Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sécurité Informatique Manuel Munier LIUPPA Université de Pau et des Pays de l’A

Sécurité Informatique Manuel Munier LIUPPA Université de Pau et des Pays de l’Adour manuel.munier@univ-pau.fr UFR Sciences & Techniques Master Technologies de l’Internet M2 - Septembre/Octobre 2017 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Préambule Il faut améliorer la qualité des systèmes informatiques les pannes informatiques paraissent insupportables →les utilisateurs se sont habitués à une "informatique invisible" permanente →les experts parlent d’un monde technologique que l’on ne peut plus débrancher. . . Importance économique du logiciel importance croissante de l’informatique dans l’économie coût du logiciel supérieur à celui du matériel coût de la maintenance supérieur à celui de la conception Pb : Démarche ingénierie encore mal intégrée ⇒la non qualité des systèmes informatiques a des conséquences qui peuvent être très graves Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 2 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Pannes logicielles Convocation de centenaires à l’école convocation à l’école de personnes âgées de 106 ans cause : codage de l’année de naissance sur 2 caractères Mission Vénus passage à 5 000 000 de km de la planète, au lieu de 5000 km prévus cause : remplacement d’une virgule par un point (format US des nombres) 2 jours sans courant pour la station Mir (14→16 nov. 1997) cause : plantage d’un ordinateur l’orientation des panneaux solaires Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 3 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Pannes logicielles Passage de la ligne au passage de l’équateur un F16 se retrouve sur le dos cause : changement de signe de la latitude mal pris en compte Y2K : le bug de l’an 2000 la lutte contre le bug de l’an 2000 a coûté à la France 500 milliards de francs cause : la donnée "année" était codée sur 2 caractères, pour gagner un peu de place La carte bleue le secret des cartes bancaires reposait essentiellement sur un algorithme qui a été publié sur un newsgroup ! Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 4 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Pannes logicielles Socrate système de réservation de places Socrate de la SNCF ses plantages fréquents, sa mauvaise ergonomie, le manque de formation préalable du personnel, ont amené un report impor- tant et durable de la clientèle vers d’autres moyens de transport cause : rachat par la SNCF d’un système de réservation de places d’une compagnie aérienne, sans réadaptation totale au cahier des charges du transport ferroviaire Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 5 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Pannes logicielles Échec du premier lancement d’Ariane V au 1er lancement de la fusée Ariane V, celle-ci a explosé en vol cause : logiciel de plate forme inertielle repris tel quel d’Ariane IV sans nouvelle validation ; Ariane V ayant des moteurs plus puissants, elle s’incline donc plus rapidement que Ariane IV pour récupérer l’accélération due à la rotation de la Terre les capteurs ont bien détecté cette inclinaison d’Ariane V, mais le logiciel l’a jugée non conforme au plan de tir (d’Ariane IV), et a provoqué l’ordre d’auto destruction en fait, tout se passait bien. . . coût du programme d’étude d’Ariane V : 38 milliards de Francs Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 6 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Pannes logicielles Perte de Mars Climate Orbiter, le 23 septembre 1999, après 9 mois de voyage coût : 120 M$ cause : confusion entre pieds et mètres Microsoft raciste ? le correcteur d’orthographe de Word proposait "anti-arabe" pour corriger "anti-stress". . . Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 7 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Pannes logicielles eBay indisponible l’indisponibilité durant 22 heures du serveur web de eBay, site de vente aux enchères, a fait échouer plus de 2,3 millions d’enchères dans un secteur où la compétitivité dépend plus que jamais du zéro-défaut face au consommateur, eBay a annoncé qu’elle rem- boursait les frais d’enregistrement des enchères en cours le jeudi 10 juin 1999, soit entre 3 et 5 millions de dollars à Wall Street, le titre a chuté de plus de 9% (S&T Presse, 14 juin 1999) Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 8 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Pannes logicielles Le micro-ordinateur menace-t-il la productivité ? des milliers d’heures de travail sont perdues à essayer de faire faire à l’ordinateur ce qu’il devrait faire, ou de comprendre des messages d’erreur incompréhensibles. . . Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 9 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Pannes logicielles Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 10 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Logiciel Déﬁnition d’un logiciel a a. Arrêté ministériel du 22 décembre 1981 Ensemble des programmes, procédés et règles, et éventuellement de la documentation, relatifs au fonctionnement d’un ensemble de trai- tement de données (en anglais : software) Citation de Rich Cook : →"Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning." Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 11 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion "Qualité" des logiciels Les erreurs involontaires de conception et de codage représentent un tiers du coût des sinistres informatiques ! ⇒Génie Logiciel La malveillance quant à elle cause 60% de ce coût. . . ⇒sécurité informatique Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 12 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Sécurité informatique ? Diﬀérentes facettes de la sécurité informatique ⇒Diﬀérentes compétences ⇒Diﬀérents intervenants MM Manuel Munier (MC LIUPPA - MdM) ⇝intro, politiques, sécurité Java LG Laurent Gallon (MC LIUPPA - MdM) ⇝intro cybercriminalité, messagerie sécurisée VC Vanea Chiprianov (MC LIUPPA - MdM) ⇝approche IDM de la sécurité FK Frédéric Kustyan (CETE SO/DIM/CS - Bdx) 1 ⇝gestion des risques, audit sécurité 1. Ministère de l’Écologie (CP2I/DOIP), Responsable Centre Serveur Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 13 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Plan du cours 1 Introduction à la Sécurité Informatique 2 Sécurité Bases de Données 3 Sécurité Java 4 Gestion des Risques 5 Droit 6 Conclusion Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 14 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Présentation Critères d’évaluation Modèles de sécurité Implémentation Plan du cours 1 Introduction à la Sécurité Informatique Présentation Critères d’évaluation Modèles de sécurité Implémentation 2 Sécurité Bases de Données 3 Sécurité Java 4 Gestion des Risques 5 Droit Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 15 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Présentation Critères d’évaluation Modèles de sécurité Implémentation La sécurité en informatique Intuitivement : permettre uniquement les actions légitimes, c’est- à-dire empêcher qu’un utilisateur puisse exécuter des opérations qui ne devraient pas lui être permises ⇒Pour déﬁnir quelles sont les opérations autorisées et celles qui sont interdites, il faut établir une politique de sécurité Les ITSEC 2 (standard européen) déﬁnissent une politique de sécurité comme étant "l’ensemble des lois, règles et pratiques qui régissent la façon dont l’information sensible et les autres ressources sont gérées, protégées et distribuées à l’intérieur d’un système spéciﬁque" 2. Information Technology Security Evaluation Criteria Manuel Munier : Sécurité Informatique M2 TI - Septembre/Octobre 2017 16 / 371 Introduction à la Sécurité Informatique Sécurité Bases de Données Sécurité Java Gestion des Risques Droit Conclusion Présentation Critères d’évaluation Modèles de sécurité Implémentation La sécurité en informatique Pour construire une politique de sécurité il faut : d’une part, déﬁnir un ensemble de propriétés de sécurité qui doivent être satisfaites par le système →ex : "une information classiﬁée ne doit pas être transmise à un utilisateur non habilité à la connaître" d’autre part, établir un schéma d’autorisation, qui présente les règles permettant de modiﬁer l’état de protection du système →ex : "le propriétaire d’une information peut accorder un droit d’accès pour cette information à n’importe quel utilisateur" Manuel Munier : Sécurité Informatique uploads/Science et Technologie/ securite-informatique-pdfdrive 1 .pdf