M.

TERDAM Valentin
Université De Maroua (UMa)
École Nationale Supérieure Polytechnique de Maroua (ENSPM)
Département d’Informatique et des Télécommunications (INFOTEL)
[Link]@[Link]
terdamvalentin@[Link]
terdamvalentin@[Link]

IC3_IT3 2019/2020
 Sécurité des SI et réseaux (12h CM ; 8h TD ; 10h TP ; 2 crédits)
Pré requis :

Objectifs : A la fin de ce cours, l’étudiant sera capable de :

 Comprendre l’étude et l'analyse des risques, attaques et vulnérabilités des systèmes
informatiques
et des réseaux;
 Connaitre les mécanismes de base pour la conception de solutions de sécurisation.

Contenu :
 Sécurité et protection d'un système, typologie de risques, la vulnérabilité, les détections
d'intrusion.
 Protection juridique contre l'intrusion.
 Les risques et les parades vis-à-vis d'Internet.
 Identification, Authentification, Cryptographie et infrastructure.
 Sécurité des réseaux : les firewalls, les réseaux virtuels prives, la sécurisation de la messagerie,
IPSEC, SSL..., les protocoles d'accès a distance.
 Sécurité des systèmes informatiques, les virus, la sécurité des OS.
 Solutions de sécurité actuelles et prospectives.
 Cryptographie (clef, certificats, signature électronique)

Mots-clés : Sécurité, identification, authentification, IPSEC, cryptographie. ENSPM

INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 2
 INTRODUCTION GÉNÉRALE

Chapitre 1: INTRODUCTION AUX CONCEPTS DE SÉCURITÉ

INFORMATIQUE
Introduction Générale

Chapitre 2: INTRODUCTION AUX CRYPTO-SYSTÈMES

Chapitre 3: INFRASTRUCTURE PKI

Chapitre 4: PROTOCOLES VPN/IPSec/SSL/TLS

Chapitre 5: MESURES TECHNIQUES

CONCLUSION GÉNÉRALE
ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 3
 INTRODUCTION GENERALE

« C’est une chose étrange à quel point la sécurité de la conscience

donne la sécurité du reste ». Victor Hugo
Introduction Générale

Un système d'information (SI) est un ensemble organisé

de ressources (technologique, personnel, données et
procédures) qui permet de collecter, stocker, traiter et
diffuser de l'information dans un environnement donné.[1]

« La plus grande pulsion n’est pas la libido mais le besoin de

sécurité ». Jean Delumeau
ENSPM
INFOTEL
4
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux
 Les réseaux, malgré leurs diversités architecturales et technologiques
constituent l’ossature des systèmes d’échange d’information.
Introduction Générale

La problématique attachée à la transmission de

l’information est cependant vaste. ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 5
 Les mécanismes d’intrusion sont nombreux (malwares…).
Cheval De Troie Spyware
« Logiciel Espion » Virus
« Trojan horse »
« Malware »
Introduction Générale

Keylogger Botnets
« Enregistreur de touche » « Réseau de Zombies »
Ver
« Worm »

Bluesnarf

Porte dérobée (backdoor)

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 6
 INTRODUCTION GENERALE
Les intensions sont diverses
 Espionnage
Je vais
Qu’est ce Je t’aime! utiliser cette
qu’ils se information
racontent ? Moi aussi !
contre elle !!!
Introduction Générale

 Piratage  Destruction
Face aux possibilités de piratage, de détériorisation de
l’information, de nombreuses mesures de sécurité basées
sur la cryptographie sont développées et intégrées dans les
systèmes d’échange de l’information.
ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 7
 Chapitre 1

terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 8

 INTRODUCTION

A. CONCEPTS DE SÉCURITÉ

B. PROBLEMES DE SÉCURITÉ SUR INTERNET

C. DOMAINES D’APPLICATION DE LA SÉCURITÉ

D. CONTRAINTES ET FACETTES DE LA SÉCURITÉ

CONCLUSION

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux
9
Chapitre1: Intro Aux Concepts de Sécurité Informatique

La sécurité reste un enjeu majeur dans tout Système

d’Information et Réseau. En effet la sécurisation des
données nécessite divers moyens et une expertise. Nous
abordons dans ce chapitre quelques fondamentaux du
monde de la sécurité informatique permettant ainsi de
ressortir la problématique et les contraintes liées à ce
domaine.

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 10
Chapitre1: Intro Aux Concepts de Sécurité Informatique

La sécurité absolue n’existe pas.

La garantie d’avoir une sécurité acceptable existe si :

 la sécurité est améliorée par rapport à ce qui existait;

 une comparaison et une estimation de la sécurité est faite par

rapport à quelqu’un d’autre;

 des précautions raisonnables ont été prises pour optimiser la

protection des données;

 une évaluation des processus mis en place permet d’assurer que la

sécurité mise en place peut tenir à long terme.
ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 11
Chapitre1: Intro Aux Concepts de Sécurité Informatique

E-Commerce
E-Government
E-Banking

Non-Répudiation
Authentification

Confidentialité
Disponibilité

Intégrité

Infrastructure de Sécurité
Politique de Sécurité

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 12
  Disponibilité:
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Les services (ordinateurs, réseaux, périphériques, applications...) et

les informations (données, fichiers…) doivent être accessibles aux
personnes autorisées quand elles en ont besoin en temps acceptable.
 L’authentification:
Vérifier l’identité annoncée et s’assurer de la non usurpation de
l’identité d’une entité.
 Confidentialité:
S’assurer que les informations restent privées; que seuls ceux qui ont
le droit d’y accéder puisse y accéder.
 Intégrité:
S’assurer que les informations sont entières, en bon état.
 La non-répudiation:
S’assurer qu’aucun correspondant ne puisse nier une transaction.
ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux
13
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Non-répudiation

Confidentialité Audit

Authentification Intégrité

Autorisation

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 14
 a. Confidentialité Des Données
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Monde réel: Monde numérique:

 Utilisation d’enveloppes
scellées;
 Contrôle d’accès;
 Verrouillage avec clés;
 Chiffrement des données.
 Utilisation de l’encre invisible;

 Mesures de sécurité physique.

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 15
 b. Identification Et Authentification
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Monde réel: Monde numérique:

1. Présentation de l’individu
2. Vérification de l’identité de
l’individu au moyen de
quelque chose :
 qu’il connait  Contrôle d’accès
 qu’il possède
 qui lui est propre

Exemple: Carte bancaire ENSPM

INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 16
 c. Autorisation
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Monde réel: Monde numérique:

 La procédure de sécurité
contrôle les privilèges accordés
à l’individu:  Privilèges

 quells actions sont autorisées ?

 quelles données peuvent être
accédées ?

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 17
 c. Intégrité Des Données
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Monde réel: Monde numérique:

 Utilisation d’enveloppes
 Cryptage des données
scellées;
 Signature des données
 Verrouillage avec clés.

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 18
 e. Non-répudiation
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Emetteur de l’information

Monde réel: Monde numérique:

 La signature légalisée

Horodatage
 Décharge de courrier
Récepteur de l’information

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 19
 d. Audit
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Enquête électronique

 À la suite d’un évènement non-autorisé, un système d’audit devrait

permettre de trouver:
 Qui a fait quoi ?

 Quand ?

 Où ?

 Comment ?
ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 20
 Problèmes dus à des failles notamment dans les protocoles de
Chapitre1: Intro Aux Concepts de Sécurité Informatique

communication :
 Toute information circulant sur internet peut être capturée et
enregistrée et/ou modifiée.
Problème de confidentialité et d’intégrité

 Toute personne peut falsifier son adresse IP (Spoofing) ce qui

engendre une fausse identification.

Problème d’authentification
 Aucune preuve n’est fournie par Internet quant à la participation
dans un échange électronique.

Problème d’absence de traçabilité

Mesures de sécurité physique. ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 21
 5 Principaux Domaines ou Niveaux
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Normes de sécurité, protection des ressources énergétiques,

protection de l’environnement, redondance physique, plan de
Physique maintenance préventive et corrective…
Plan de secours, plan de continuité, plan de tests, inventaire
régulier/dynamique, gestion des incendies, gestion du parc, analyse
Exploitation des fichiers, journalisation, séparation des environnements (dev,
appli), gestion des contrats de maintenance …

Logique Réalisation de mécanisme de sécurité par logiciel

Robustesse des applications, contrôles programmés, intégration de

Applicatif mécanisme de sécurité, plan d’assurance sécurité, gestion des
contrats d’achat de logiciels…
Téléco
mmuni Connectivité fiable et de qualité, protocoles sécurisés,…
cations

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 22
 Pratiques Domaines
 Plan de sauvegarde
Chapitre1: Intro Aux Concepts de Sécurité Informatique

 Gestion rigoureuse des clés  Physique

d’accès aux locaux
 Validation et audit des
programmes  Exploitation
 Antivirus
 Choix des protocoles réseaux  Logique
 Marquage des matériels
 Gestion des configurations et  Applicative
des mises à jour
 Méthodologie de
développement
 Télécommunication
 Cryptographie
ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 23
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Technologie grand public, n’intègre pas en natif

Technologies des mécanismes de sécurité, disponibilité des
Internet outils de gestion de réseau, d’analyse de trafic,
d’audit…
Permissivité des configurations, attractivité des
Système systèmes (failles connues), gestion inadaptée,
approche partielle de la sécurité…
Connectivité entendue, multiplicité et distribution
Réseau des éléments constructifs, absence de contrôle
global, dimensionnement insuffisant
Différentes catégories et modes d’usage,
Personnes différents points d’accès au réseau, nombre
croissant, formation et compétences variables,
caractère imprévisible…
ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux
24
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Une vision globale et stratégique doit motiver le déploiement des

mesures de sécurité.
Quatre points peuvent définir cette vision :

 la définition d’une politique de sécurité;

 la motivation et la formation du personnel;

 la mise en place des mesures proactives et réactives;

 L’optimisation de l’usage des technologies de l’information et des

communications ainsi que de celui des solutions de sécurité.
ENSPM
25
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux
Chapitre1: Intro Aux Concepts de Sécurité Informatique

La responsabilité des acteurs de la sécurité est de plus en plus

invoquée lors de sinistre où les ressources informatiques qu’ils gèrent
sont l’objet ou le moyen d’une fraude.
Les responsables d’entreprises eux même doivent être extrêmement
attentifs à l’égard du droit des technologies du numérique et s’assurer
que leur système d’information est en conformité juridique.
Il s’agit des exigences et contraintes vis-à-vis de la juridiction :
 humaine;

 économique;

 organisationnelle;

 technique. ENSPM
26
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux
Chapitre1: Intro Aux Concepts de Sécurité Informatique

Le personnel doit être:

 Éduquer, informer et former aux technologies de traitement de

l’Info.

 Sensibiliser régulièrement sur les enjeux, les risques et les mesures

préventives et dissuasives de sécurité.

ENSPM
27
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux
 L’architecture de sécurité reflète l’ensemble des dimensions organisationnelles,
Chapitre1: Intro Aux Concepts de Sécurité Informatique

juridiques, humaines et technologique de la sécurité informatique à prendre en

compte pour une appréhension complète de la sécurité d’une organisation.
Dimension
Dimension
technique
humaine
et opérationnelle

o Gestion o Éthique o Sécurité matérielle o Sécurité logique

des ressources o Formation o Sécurité o Sécurité applicative

humaines o Compétence environnementale o Sécurité

o Dissuasion o Etc. o Sécurité des télécoms de l’exploitation

o Surveillance oSécurité des personnes o Sécurité physique

Dimension
Dimension politique
juridique
organisationnelle et
et réglementaire
économique
o Stratégie o Contrôle
o Norme o Législation
o Gouvernance o Optimisation
o Procédures o Contrats
o Responsabilité o Maîtrise des coûts
o Conformité o Etc.
o Organisation o Assurance
o Évaluation o Etc.

ENSPM
28
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux
Chapitre1: Intro Aux Concepts de Sécurité Informatique

La problématique fondamentale dans la sécurisation du réseau et des

SI est la diversité des moyens d’intrusions et les intentions
imprévisibles des pirates. L’analyse des risques et l’utilisation des
mécanismes de chiffrement proposés par les crypto-systèmes est une
part de solution garantie.

ENSPM
INFOTEL
terdamvalentin@[Link] UE: Sécurité Des SI et Réseaux 29