Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Universite de Politehnique Bucharest 2011 PROJET Fiabilité et contrôle de la qu

Universite de Politehnique Bucharest 2011 PROJET Fiabilité et contrôle de la qualité Étudiante : Andra CODREANU Groupe: 1230F Prof. Coordonnateur: Ioan BACIVAROV 1. Enjeux de la sécurité des systèmes d'information 2. Introduction à la sécurité informatique 2.1 Objectifs de la sécurité informatique. 2.2 Nécessite d’une approche globale 2.3 Le processus de sécurité 3. Sécurité - Définition des besoins 3.1 Identification des besoins 3.2 Analyse des risques 3.3 La politique de sécurité 3.3.1 Mise en place d’une politique de sécurité 4. Mesure des risques 4.1 Risques humains 4.2 Risques techniques 4.3 Risques juridiques 4.4 Liste des risques 5. Les Tests d’intrusion 5.1 Notion d’Audit 5.2 Phase de détection des incidents 6. Sécurité - Réaction aux incidents 7. La sécurité des systèmes informatiques 8. Conclusions et perspectives 9. Bibliographie 1. Annexe1 2. Annexe2 2 1. Enjeux de la sécurité des systèmes d'information Le terme « système informatique » désigne ici tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information. Les systèmes d'information s'appuient en règle générale sur des systèmes informatiques pour leur mise en œuvre. Ils comprennent les données de télécommunications (voix analogique, voix sur IP…) et dans certains cas, les données sur papier. De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire l'information (on parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité des traitements, les partages de données et l'interactivité ont augmenté de façon considérable — mais c'est également le cas des pannes — indisponibilités, incidents, erreurs, négligences et malveillances en particulier avec l'ouverture sur internet. Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages financiers. Par exemple, bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus précisément. Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires), et peuvent pour cette raison être sanctionnés lorsqu'une négligence de l'hébergeur est établie : si, par exemple, celui-ci n'a pas appliqué un correctif dans des délais raisonnables. Indirectement aussi, certaines menaces peuvent nuire à l'image même du propriétaire du système d'information. Des techniques répandues de « defacing » (une refonte d'un site web) permettent à une personne mal intentionnée de mettre en évidence des failles de sécurité sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de fausses informations sur son propriétaire (on parle alors de désinformation). 3 2. Introduction à la sécurité informatique Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet. Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système d'information à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise. 2.1 Objectifs de la sécurité informatique Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. La sécurité informatique vise généralement cinq principaux objectifs: - L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être; - La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées; - La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ; - La non répudiation, permettant de garantir qu'une transaction ne peut être niée ; - L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources. 2.2 Nécessite d’une approche globale La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants : 4  La sensibilisation des utilisateurs aux problèmes de sécurité  La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation.  La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc.  La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc. 2.3 Le processus de sécurité Le processus de sécurité doit être intégré de façon dynamique :  Le contrôle de risque permet d'énumérer les vulnérabilités présentes, associées à des degrés de gravité.  Puis l'analyse des risques consiste à évaluer la criticité d'une menace en fonction de sa probabilité et son impact.  Afin d'élaborer une politique de sécurité cohérente,il faut émettre toutes les préconisations nécessaires à la sécurisation de l'infrastructure.  Une implémentation d'architecture sécurisée pourra alors être organisée. 3. Sécurité - Définition des besoins Phase de définition La phase de définition des besoins en terme de sécurité est la première étape vers la mise en oeuvre d'une politique de sécurité. L'objectif consiste à déterminer les besoins de l'organisation en faisant un véritable état des lieux du système d'information, puis d'étudier les différents risques et la menace qu'ils représentent afin de mettre en oeuvre une politique de sécurité adaptée. La phase de définition comporte ainsi trois étapes :  L'identification des besoins  L'analyse des risques 5  La définition de la politique de sécurité 3.1 Identification des besoins La phase d'identification des besoins consiste dans un premier temps à faire l'inventaire du système d'information, notamment pour les éléments suivants :  Personnes et fonctions ;  Matériels, serveurs et les services qu'ils délivrent ;  Cartographie du réseau (plan d'adressage, topologie physique, topologie logique, etc.) ;  Liste des noms de domaine de l'entreprise ;  Infrastructure de communication (routeurs, commutateurs, etc.)  Données sensibles. 3.2 Analyse des risques L'étape d'analyse des risques consiste à répertorier les différents risques encourus, d'estimer leur probabilité et enfin d'étudier leur impact. La meilleure approche pour analyser l'impact d'une menace consiste à estimer le coût des dommages qu'elle causerait (par exemple attaque sur un serveur ou détérioration de données vitales pour l'entreprise). Sur cette base, il peut être intéressant de dresser un tableau des risques et de leur potentialité, c'est-à-dire leur probabilité de se produire, en leur affectant des niveaux échelonné selon un barème à définir, par exemple :  Sans objet (ou improbable) : la menace n'a pas lieu d'être ;  Faible : la menace a peu de chance de se produire ;  Moyenne : la menace est réelle ;  Haute : la menace a de grandes chances de se produire. Il existe de nombreux risques en sécurité du système d'information, qui évoluent d'année en année. Le terme criminalité informatique, aussi appelé « cyber-criminalité », définit à mauvais titre les différentes attaques contre les systèmes informatiques, la plupart des attaques pouvant être classifiées comme des délits, et non des crimes. Ce 6 terme est souvent employé comme FUD, généralement par les même personnes qui considèrent les hackers comme des terroristes. 3.3 La politique de sécurité La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière de sécurité et les moyens mis en oeuvre pour les assurer. La politique de sécurité définit un certain nombre de règles, de procédures et de bonnes pratiques permettant d'assurer un niveau de sécurité conforme aux besoins de l'organisation. Un tel document doit nécessairement être conduit comme un véritable projet associant des représentants des utilisateurs et conduit au plus haut niveau de la hiérarchie, afin qu'il soit accepté par tous. Lorsque la rédaction de la politique de sécurité est terminée, les clauses concernant le personnel doivent leur être communiquées, afin de donner à la politique de sécurité le maximum d'impact. La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au sens large) en terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car uploads/Management/ securite-des-systemes-informatiques.pdf