Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

See discussions, stats, and author profiles for this publication at: https://ww

See discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/268372017 Cours de Sécurité Cours de Sécurité Article CITATIONS 0 READS 1,000 1 author: Michel Riguidel Institut Mines-Télécom 60 PUBLICATIONS 321 CITATIONS SEE PROFILE All content following this page was uploaded by Michel Riguidel on 11 June 2015. The user has requested enhancement of the downloaded file. Cours de Sécurité Cours de Sécurité Michel Riguidel Année 2007 - 2008 Page 1 Michel Riguidel - cours de sécurité Présentation Présentation Objectifs du cours appréhender l’importance de la sécurité des technologies de l’information de la – appréhender l importance de la sécurité des technologies de l information, de la communication et du multimédia – approfondir les concepts et nouveaux paradigmes Quels sont les modèles de sécurité utilisés ? Quelles sont les politiques de sécurité sous-jacentes ? – comprendre l'évolution parallèle des ingénieries de la sécurité de l'informatique et des réseaux q – dresser un panorama technique des problèmes et solutions pragmatiques et opérationnelles en sécurité Interrogations en sécurité – comment développer, déployer et interconnecter des systèmes avec la sécurité adéquate ? – quelles solutions opérationnelles (modèles, architectures, produits, ...) ? – quelles sont les contraintes (coûts, formation, administration, certification) ? quelles sont les contraintes (coûts, formation, administration, certification) ? Que doit-on maîtriser techniquement ? – quelles technologies (informatique, sécurité, mathématique, ..) ? – quels composants (algorithmes, ...) ? Michel Riguidel - cours de sécurité Page 2 – quels modules clés (piles protocolaires, ...) ? – pour quelle offre (équipements, produits, systèmes et services) ? Sommaire Sommaire Généralités : la sécurité à l'ère numérique Les enjeux de la sécurité Les enjeux de la sécurité Les définitions La confiance dans la sécurité des systèmes numériques La sécurité des réseaux et des systèmes d’information à l’ère numérique L ll Les nouvelles menaces L’état des lieux de la sécurité La sécurité des réseaux La sécurité des architectures La sécurité des architectures La sécurité, à l’ère numérique, dans un monde mobile Sécurité plurielle, Confiance versatile, Intelligence Ambiante Les verrous de la sécurité dans les années 2000 Q l l l t h i t hi Quelques rappels sur les techniques cryptographiques Pare-Feu & Filtre de Confiance Les Cyber-attaques La Biométrie La Biométrie Les virus informatiques Les aspects légaux contre le piratage informatique La sécurité des documents électroniques L’i ti ité é i ( i ) Michel Riguidel - cours de sécurité Page 3 L’intimité numérique (« privacy ») La protection des infrastructures critiques Généralités La sécurité à l'ère numérique Michel Riguidel - cours de sécurité Page 4 La Planète numérique est un q Village Virtuel Violent La volatilité du numérique ’ f – Numérisation des échanges et de l’information – Dématérialisation des contenus Les réseaux interconnectés – Routage, aiguillage La transmission de l’information – Fibre optique p q – Ressource radio Moteur de recherche – Navigation Navigation – Fouille de données Mais peuplé d’êtres anonymes dans des endroits virtuels Mais peuplé d êtres anonymes dans des endroits virtuels Un village avec de la violence Une urbanisation digitale, reflet de la vie réelle de notre société Michel Riguidel - cours de sécurité Page 5 L’ère et le nouvel Ordre Numérique L ère et le nouvel Ordre Numérique hiérarchie : bit, caractère, …, fichier, répertoire, base de données, système d'information, … Acheteur Analogique - Papier - Argentique 011000101100 01000011 1100101001010101000011 Acheteur 00101100 01010101000011 01001010101000011 ordre Original = copie Original = copie 0101100 01001010101000011 110010100101000011 ordre Vendeur Contrôle de l’usage Contrôle de l’usage 1011000011101001 1100101001010 1011000011101001 paiement Banque Michel Riguidel - cours de sécurité Page 6 Séparation support - contenu Ère numérique Ère numérique L’information numérique est vulnérable – Peut être détruite, amputée, falsifiée, confisquée, plagiée et modifiée de multiples manières – Pas d’original, ni des copies g p – Seulement des clones où la reproduction est à l’identique L’information numérique est volatile L information numérique est volatile – Peut être ajustée et personnalisée Une lettre générique peut être particularisée pour un destinataire é ifi spécifique Un logiciel général peut être ajusté selon le contexte ou peut être ciblé à un usage spécifique Michel Riguidel - cours de sécurité Page 7 Modèle de C E Shannon & Weaver (1949) Modèle de C E Shannon & Weaver (1949) Modèle de communication unidirectionnel et linéaire Ni la relation entre les interlocuteurs ni le contexte ne sont pris en considération Pas de sémantique émetteur récepteur message p Astrid Bertrand Astrid Bertrand Michel Riguidel - cours de sécurité Page 8 Orthogonalité de la sécurité au nouveau contexte Orthogonalité de la sécurité au nouveau contexte La généralisation du numérique – vulnérabilité essentielle des organisations – mobilité de l’information – tous secteurs : patrimoine, monétique, documents administratifs tous secteurs : patrimoine, monétique, documents administratifs L’ouverture des systèmes – limitations des systèmes propriétaires – la banalisation des accès – les logiciels sur étagère – la non maîtrise des SI par les personnes responsables p p p L’interconnexion des systèmes La convergence Multimédia, Communication, Informatique La mondialisation – tous les systèmes se ressemblent (reproductibilité des méthodes et techniques) Michel Riguidel - cours de sécurité Page 9 q ) – uniformisation des méthodes d’administration La sécurité : l'art de partager un secret La sécurité : l art de partager un secret Secret – Le cycle de vie du secret Le cycle de vie du secret Création, Stockage (archivage, sauvegarde), Distribution, Exploitation, Obsolescence, Destruction • Secrets éternels Î périlleux de fonder une sécurité sur un unique secret statique, « inviolable » (?) • Secrets éphémères, jetables (one-time password, …) Î attention que la gestion et la circulation des secrets ne soient pas une nouvelle vulnérabilité ou un obstacle dans les q g p communications (une clé par message) – Stockage sécurisé Dissimulé dans un coffre-fort • S’il n’existait pas de huis clos tangible dans un univers numérique, tous les secrets seraient des secrets de Polichinelle – Transport protégé Protégé par chiffrement Î nécessité d'un autre secret : « nous voilà au rouet » (M de Montaigne) Î le quantique résout cette récursivité – Exploitation en secret : Alchimie des secrets p Cryptographie, stéganographie, tatouage, … La relation spatiale entre le secret et l'objet à sécuriser – Le secret absolu, statique, éternel, à conserver dans un coffre inviolable Ancrage qui appartient à l'architecture de sécurité g q pp Î À l'abri – Le secret qui accompagne l'objet Étiquette, label, tagguage, sceau, signature Î À découvert – Le secret qui est incrusté intimement dans l'objet Michel Riguidel - cours de sécurité Page 10 – Le secret qui est incrusté intimement dans l objet Tatouage, aquamarquage, filigrane électronique Î À la merci (Écrin fragile) Architecture de sécurité Architecture de sécurité Instiller la sécurité dans le système, puis la maintenir f f – Entités de confiance forte Amorce de confiance – Liaisons des entités Sé ité i diti ll t tité t l t hi Sécurité inconditionnelle entre entités par protocoles cryptographiques – Entités de services de sécurité Dispositif matériel et/ou logiciel pour audit, détection d'intrusion, pare-feu, … Accrocher cette sécurité aux Applications & Individus dans un Accrocher cette sécurité aux Applications & Individus dans un système d'information – Identification Certificats authentification Certificats, authentification – Autorisation, privilèges, droits et devoirs, contrôle d’accès Protocoles, certificats, tickets, … Sécurité des applications et du système dans la durée – Sécurité des applications et du système dans la durée Outils matériel (carte à puce, pare-feu, système de détection d'intrusion, boîtier de chiffrement, …) et logiciel (protocole, …) – Assurance de sécurité Michel Riguidel - cours de sécurité Page 11 Garantie de construction, d'installation, d'exploitation, … – Formation, sensibilisation Le modèle général de sécurité (protection / attaque) Le modèle général de sécurité (protection / attaque) PROPRIÉTAIRE valorise valorise veut minimiser impose rythmes : politique de sécurité multi-annuelle actions de progrès quotidien contre-mesures doit être conscient peuvent engendrer impose pour protéger risques biens vulnérabilités exploitent conduisent sur décalage menaces crée sur met en péril rythmes : stratégie d'attaque année, mois renseignement informatique L’attaquant – Prend connaissance du Système d'Information (SI) ATTAQUANT année, mois scénario d'attaque semaine, jour, heure Michel Riguidel - cours de sécurité Page 12 – Décide d’un degré maximum de détectabilité avec un certain risque – Décide d’un degré de compromission avec le SI Les modèles opérationnels de sécurité Les modèles opérationnels de sécurité La protection – Cryptographie : Cacher le contenu sémantique et esthétique d'un message yp g p q q g – Stéganographie : Transmettre un message caché de manière subliminale en utilisant le support d'une communication banale La dissuasion – Tatouage : Couvrir le corps d'un message avec un filigrane électronique qui est un autre message l d ti l uploads/Ingenierie_Lourd/ hacker-2020-cours-de-hacking-pdf.pdf