Notes de cours Driss Harzalla  Concepts de sécurité informatique Ava

Notes de cours Driss Harzalla  Concepts de sécurité informatique Avant l'utilisation généralisée des équipements de traitement des données, la sécurité des informations importantes pour une organisation était principalement assurée par des moyens physiques et administratifs. Avec l'introduction de l'ordinateur, le besoin d'outils automatisés pour protéger les fichiers et autres informations stockées sur l'ordinateur est devenu évident Un autre changement majeur qui a affecté la sécurité est l'introduction de systèmes distribués et l'utilisation de réseaux et d'installations de communication pour transporter des données entre l'utilisateur du terminal et l'ordinateur et entre l'ordinateur et l'ordinateur. Sécurité informatique Le nom générique de la collection d'outils conçus pour protéger les données et contrecarrer les pirates Comprend des mesures pour dissuader, prévenir, détecter et corriger les violations de sécurité qui impliquent la transmission d'informations Introduction Chapitre 1 sécurité réseau («r» minuscule fait référence à toute collection interconnectée de réseau) (1) Le manuel de sécurité informatique du NIST définit le terme sécurité informatique comme: “La protection accordée à les objectifs applicables de Système d'Information matériel, logiciel, firmware, informations / données, et télécommunications) " préserver l'intégrité, disponibilité, et confidentialité des ressources d'un ressources ( comprend un système d'information automatisé afin d'atteindre Objectifs de sécurité informatique Confidentialité Confidentialité des données disposition ou divulguées à des personnes non autorisées Intimité (vie privée) concernant peuvent être collectées et stockées et par qui et à qui ces informations peuvent être divulguées Garantit que les informations privées ou confidentielles ne sont pas mises à Assure que les individus contrôlent ou influencent quelles informations les Intégrité Intégrité des données manière spécifiée et autorisée Intégrité du système Disponibilité aux utilisateurs autorisés Assure que les informations et les programmes ne sont modifiés que d'une Assure qu'un système remplit sa fonction prévue de manière et aussi protégé de toute irréprochable, manipulation non autorisée (3) Triade de la CIA Assure que les systèmes fonctionnent rapidement et que le service n'est pas refusé Concepts supplémentaires possibles: Authenticité Vérifier que les utilisateurs sont bien ceux qu'ils prétendent être et que chaque entrée arrivant sur le système provient d'une source fiable Responsabilité L'objectif de sécurité qui génère l'exigence que les actions d'une entité soient tracées de manière unique vers cette entité (5) iveaux d'impact de sécurité N Exemples d'exigences de sécurité (7) Défis de sécurité informatique La sécurité n'est pas simple Les attaques potentielles contre les fonctionnalités de sécurité doivent être prises en compte Nécessite une surveillance constante Est trop souvent une réflexion après coup Les mécanismes de sécurité impliquent généralement plus qu'un algorithme ou un protocole particulier La sécurité est essentiellement une bataille d'esprit entre un pirate et le concepteur Peu d'avantages d'un investissement en sécurité sont perçus jusqu'à ce qu'une défaillance de sécurité survienne Une sécurité renforcée est souvent considérée comme un obstacle à un fonctionnement efficace et convivial (5) Architecture de sécurité OSI OSI: Open Systems Interconnection Attaque de sécurité Toute action qui compromet la sécurité des informations détenues par une organisation Mécanisme de sécurité Un processus (ou un appareil incorporant un tel processus) qui est conçu pour détecter, prévenir ou récupérer après une attaque de sécurité Un service de traitement ou de communication qui améliore la sécurité des systèmes de traitement de données et les transferts d'informations d'une organisation (9) RFC 4949, Internet Security Glossary. Menaces et attaques (RFC 4949) Attaques de sécurité Un moyen de classer les attaques de sécurité, utilisé à la fois Une attaque passive tente d'apprendre ou d'utiliser des informations du système mais n'affecte pas les ressources système Une attaque active tente de modifier les ressources du système ou d'affecter leur fonctionnement dans X.800 et RFC 4949, est en termes d'attaques passives et d'attaques actives Attaques passives Sont de la nature de l'écoute clandestine ou de la surveillance des transmissions Le but de l'adversaire est d'obtenir des informations qui sont transmises Deux types d'attaques passives sont: La publication du contenu du message Analyse du trafic (11) Attaques actives Impliquent une modification du flux de données ou la création d'un faux flux Difficile à prévenir en raison de la grande variété de vulnérabilités physiques, logicielles et réseau potentielles L'objectif est de détecter les attaques et de se remettre de toute interruption ou retard causé par elles Services de sécurité Défini par X.800 comme: Un service fourni par une couche de protocole de systèmes ouverts communicants et qui assure une sécurité adéquate des systèmes ou des transferts de données Défini par RFC 4949 comme: Un service de traitement ou de communication fourni par un système pour donner un type spécifique de protection aux ressources du système Catégories de service X.800 Authentication Contrôle d'accès Confidentialité des données Intégrité des données Non repudiation (13) (14) Authentication Soucieux de garantir qu'une communication est authentique Dans le cas d'un message unique, assure au destinataire que le message provient de la source dont il prétend provenir Dans le cas d'une interaction en cours, assure que les deux entités sont authentiques et que la connexion n'est pas perturbée de telle manière qu'un tiers puisse se faire passer pour l'une des deux parties légitimes Contrôle d'accès La possibilité de limiter et de contrôler l'accès aux systèmes hôtes et aux applications via des liaisons de communication Pour y parvenir, chaque entité essayant d'accéder à l'accès doit d'abord être identifiée et authentifiée, afin que les droits d'accès puissent être adaptés à l'individu. Confidentialité des données La protection des données transmises contre les attaques passives Le service le plus large protège toutes les données utilisateur transmises entre deux utilisateurs sur une période de temps Les formes de service plus étroites incluent la protection d'un seul message ou même de champs spécifiques dans un message La protection du flux de trafic contre l'analyse Cela nécessite qu'un attaquant ne puisse pas observer la source et la destination, la fréquence, la longueur ou d'autres caractéristiques du trafic sur une installation de communication. (15) Intégrité des données Non répudiation Empêche l'expéditeur ou le destinataire de refuser un message transmis Lorsqu'un message est envoyé, le destinataire peut prouver que l'expéditeur présumé a effectivement envoyé le message Lorsqu'un message est reçu, l'expéditeur peut prouver que le destinataire présumé a bien reçu le message (16) Service de disponibilité Disponibilité La propriété d'un système ou d'une ressource système étant accessible et utilisable à la demande par une entité système autorisée, conformément aux spécifications de performance du système Service de disponibilité attaques par déni de service ressources du système (17) Celui qui protège un système pour assurer sa disponibilité Répond aux problèmes de sécurité soulevés par les Dépend d'une gestion et d'un contrôle appropriés des (18) Modèle de sécurité réseau (19) Modèle de sécurité d'accès au réseau (20) Accès indésirable Placement dans un système informatique logique qui exploite les vulnérabilités du système et qui peut affecter les programmes d'application ainsi que les programmes utilitaires (21) NIST Institut national des normes et de la technologie Agence fédérale américaine qui s'occupe de la science, des normes et de la technologie de mesure liées à l'utilisation du gouvernement américain et à la promotion de l'innovation du secteur privé américain Les normes fédérales de traitement de l'information (FIPS) et les publications spéciales (SP) du NIST ont un impact mondial ISOC Société Internet Société d'adhésion professionnelle avec des membres organisationnels et individuels mondiaux Fournit un leadership dans la résolution des problèmes auxquels est confronté l'avenir d'Internet L'organisation abrite les groupes responsables des normes d'infrastructure Internet, y compris l'Internet Engineering Task Force (IETF) et l'Internet Architecture Board (IAB) Les normes Internet et les spécifications associées sont publiées sous forme de demandes de commentaires (RFC) (22) Normes Chapter 2 Chiffrement symétrique et Confidentialité des messages Quelques termes de base l'expéditeur / destinataire du texte chiffré sans connaître la clé (23) Texte en clair : message d'origine Texte chiffré : message codé Chiffre : algorithme pour transformer du texte clair en texte chiffré Clé : informations utilisées dans le chiffrement connues uniquement de Chiffrer : Conversion de texte brut en texte chiffré Déchiffrer : Récupération du texte en clair à partir du texte chiffré Cryptographie : étude des principes / méthodes de cryptage Cryptanalyse (code breaking) : étude des principes / méthodes de déchiffrement Cryptologie : domaine de la cryptographie et de la cryptanalyse Exigences Il existe deux exigences pour une utilisation sécurisée du cryptage symétrique: L'expéditeur et le destinataire doivent avoir obtenu des copies de la clé secrète de manière sécurisée et doivent conserver la clé en lieu sûr La sécurité du cryptage symétrique dépend du secret de la clé, et non du secret de l'algorithme Cela rend possible une utilisation généralisée Les fabricants peuvent (et ont) développé des implémentations de puces à faible coût d'algorithmes de cryptage de données Ces puces sont largement disponibles et incorporées dans un certain nombre de produits (24) Un algorithme de cryptage fort Cryptographie (25) (26) Un schéma de chiffrement est sécurisé par le calcul si le texte chiffré généré par le schéma répond à l'un ou aux deux des critères suivants : informations chiffrées Attaque de force brute Implique d'essayer toutes les clés possibles jusqu'à ce qu'une traduction intelligible du texte chiffré uploads/Management/ cours-de-securite-des-systemes-version-1.pdf

Documents similaires

République Algérienne Démocratique et Populaire Ministère de l'Enseignement Sup 0 0

Pour appliquer aisément l’approche par compétences en ème année www.biblio-sw.c 0 0

Niveau max. de compétence Métier Descriptif Développement Développeur Bac +3 Dé 0 0

HYDRAULIQUE RURALE ET IRRIGATION TECHNICIEN SPÉCIALISÉ Mars 2016 PROGRAMME DE F 0 0

L e S y s t è me d ' i n f o r ma t i o n Introduction Importance de l’Informat 0 0

©Procom Soft - 2012 Brochure version 8.2 Système Informatique de Gestion Intégr 0 0

Sensibilisation et initiation à la sécurité Module 1 : notions de base Plan du 0 0

Programme Présentation d’INMAA et introduction au Lean Management Module 1.01 S 0 0

 La GRH a toujours été complexe, la gestion des talents et génies nécessitent 0 0

3èèmè partiè : L’information dans l’èntrèprisè Profèssèur LAGDIM SOUSSI Lalla H 0 0

• Détails
• Publié le Jan 29, 2022
• Catégorie Management
• Langue French
• Taille du fichier 4.8945MB