Вы находитесь на странице: 1из 29

Solange Ghernaouti

Scurit informatique
et rseaux
Cours avec plus de 100 exercices corrigs
4
e
dition
First_pages_Guernaouti.fm Page I Mercredi, 3. juillet 2013 9:56 09
Toutes les marques cites dans cet ouvrage sont des
marques dposes par leurs propritaires respectifs.
Illustration de couverture :
WavebreakmediaMicro-Fotolia.com
Dunod, Paris, 2006, 2008, 2011, 2013
ISBN 978-2-10-059912-7
First_pages_Guernaouti.fm Page II Mercredi, 26. juin 2013 3:22 15
III


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
Avant-propos IX
Chapitre 1 Principes de scurit 1
1.1 Objectifs de scurit et fonctions associes 1
1.1.1 Disponibilit 2
1.1.2 Intgrit 3
1.1.3 Confidentialit 4
1.1.4 Identification et authentification 4
1.1.5 Non-rpudiation 5
1.2 Domaines dapplication de la scurit informatique 6
1.2.1 Scurit physique et environnementale 6
1.2.2 Scurit de lexploitation 7
1.2.3 Scurit logique, applicative et scurit de linformation 8
1.2.4 Scurit des infrastructures de tlcommunication 10
1.2.5 Cas particulier de la cyberscurit 11
1.3 Diffrentes facettes de la scurit 12
1.3.1 Diriger la scurit 12
1.3.2 Importance du juridique dans la scurit des systmes dinformation 13
1.3.3 thique et formation 13
1.3.4 Architecture de scurit 14
Exercices 16
Solutions 17
Chapitre 2 Cybercriminalit et scurit informatique 21
2.1 Comprendre la menace dorigine criminelle pour une meilleure scurit 21
2.2 Infrastructure Internet et vulnrabilits exploites des fins criminelles 22
2.2.1 lments de vulnrabilit dune infrastructure Internet 22
2.2.2 Internet comme facteur de performance pour le monde criminel 23
2.2.3 Internet au cur des stratgies criminelles 26
2.2.4 Risque dorigine criminelle et inscurit technologique 27
2.3 Crime informatique et cybercriminalit 27
2.3.1 lments de dfinition 27
2.3.2 Lcosystme cybercriminel 29
2.3.3 Les marchs noirs de la cybercriminalit 31
2.3.4 Cybercriminalit, cyberterrorisme et cyberguerre 32
2.4 Attaques informatiques via Internet 34
2.4.1 Principes de base de la ralisation dune cyberattaque 34
2.4.2 Attaques actives et passives 36
2.4.3 Attaques fondes sur lusurpation de mots de passe 36
2.4.4 Attaques fondes sur le leurre 40
2.4.5 Attaques fondes sur le dtournement des technologies 41
2.4.6 Attaques fondes sur la manipulation dinformation 41
2.5 Les organisations face la cybercriminalit et aux nuisances 42
TABLE DES MATIRES
Livre_ghernaouti_compo_BVTDM.fm Page III Mercredi, 3. juillet 2013 9:57 09
Scurit informatique et rseaux
IV
2.5.1 Chiffre noir de la cybercriminalit 42
2.5.2 Culture de la scurit 43
2.6 Matrise du risque informatique dorigine criminelle 46
2.6.1 Limites des solutions de scurit 46
2.6.2 Complexit du problme 47
2.6.3 Approche interdisciplinaire de la scurit 47
2.6.4 Contribuer lutter contre la cybercriminalit et diminuer le risque
cybercriminel 48
Exercices 50
Solutions 51
Chapitre 3 Gouvernance et stratgie de scurit 57
3.1 Gouverner la scurit 57
3.1.1 Contexte 57
3.1.2 Principes de base de la gouvernance de la scurit de linformation 58
3.2 Grer le risque informationnel 60
3.2.1 Dfinitions 60
3.2.2 Principes de gestion 60
3.2.3 Projet dentreprise orient gestion des risques 61
3.3 Connatre les risques pour les matriser 61
3.4 Vision stratgique de la scurit 65
3.4.1 Fondamentaux 65
3.4.2 Mission de scurit 66
3.4.3 Principes de base 66
3.4.4 Conditions de succs 67
3.4.5 Approche pragmatique 68
3.4.6 Bnfices 68
3.4.7 Aspects conomiques 69
3.5 Dfinir une stratgie de scurit 71
3.5.1 Stratgie gnrale 71
3.5.2 Compromis et bon sens 72
3.5.3 Responsabilit 74
3.5.4 Nouveaux risques, nouveaux mtiers 74
3.6 Organiser et diriger 75
3.6.1 Organisation structurelle 75
3.6.2 Formation professionnalisante 77
3.6.3 Acteurs et comptences 78
3.7 Prise en compte des besoins juridiques 80
3.7.1 Scurit et rpression du crime informatique 80
3.7.2 Infractions, responsabilits et obligations de moyens 80
3.7.3 Prendre en compte la scurit en regard de la lgislation 83
3.7.4 La confiance passe par le droit, la conformit et la scurit 84
Exercices 87
Solutions 88
Chapitre 4 Politique de scurit 93
4.1 De la stratgie la politique de scurit 93
4.2 Proprits dune politique de scurit 95
4.3 Mthodes et normes contribuant la dfinition dune politique de scurit 97
4.3.1 Principales mthodes franaises 97
Livre_ghernaouti_compo_BVTDM.fm Page IV Mercredi, 26. juin 2013 3:28 15


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
V
Table des matires
4.3.2 Normes internationales ISO de la srie 27000 99
4.3.3 Mthodes et bonnes pratiques 109
4.3.4 Modle formel de politique de scurit 111
4.4 De la politique aux mesures de scurit 111
4.4.1 Classification des ressources 111
4.4.2 Mesures de scurit 112
4.5 Continuit des services, des activits et gestion de crises 113
4.5.1 Dfinitions et objectifs 113
4.5.2 Dmarche de dploiement dun plan de continuit 114
4.5.3 Plans de continuit et de reprise 116
4.5.4 Dispositifs de secours et plan de secours 117
4.5.5 Plan daction 121
4.6 Place de laudit des systmes dinformation en matire de scurit 122
4.6.1 Audit des systmes dinformation 122
4.6.2 Rfrentiel CobiT 123
4.7 Mesurer lefficacit de la scurit 124
4.7.1 Mtriques de scurit 124
4.7.2 Modle de maturit 126
4.8 Certification des produits de scurit 127
4.8.1 Critres Communs 127
4.8.2 Acteurs concerns par les Critres Communs 128
4.8.3 Principales limites des Critres Communs 129
4.8.4 Principes de base des Critres Communs 130
4.8.5 Vocabulaire et concepts 130
Exercices 133
Solutions 134
Chapitre 5 La scurit par le chiffrement 139
5.1 Principes gnraux 139
5.1.1 Vocabulaire 139
5.1.2 Algorithmes et cls de chiffrement 140
5.2 Principaux systmes cryptographiques 141
5.2.1 Systme de chiffrement symtrique 141
5.2.2 Systme de chiffrement asymtrique 143
5.2.3 Quelques considrations sur la cryptanalyse 145
5.2.4 Cryptographie quantique 147
5.2.5 Principaux algorithmes et techniques 149
5.3 Services offerts par la mise en uvre du chiffrement 151
5.3.1 Optimisation du chiffrement par une cl de session 151
5.3.2 Vrifier lintgrit des donnes 152
5.3.3 Authentifier et signer 153
5.3.4 Rendre confidentiel et authentifier 155
5.3.5 Offrir un service de non-rpudiation 156
5.4 Infrastructure de gestion de cls 156
5.4.1 Cls secrtes 156
5.4.2 Objectifs dune infrastructure de gestion de cls 157
5.4.3 Certificat numrique 157
5.4.4 Organismes de certification 159
5.4.5 Exemple de transaction scurise par lintermdiaire dune PKI 160
5.4.6 Cas particulier dautorit de certification prive 161
5.4.7 Limites des solutions bases sur des PKI 162
Livre_ghernaouti_compo_BVTDM.fm Page V Mercredi, 26. juin 2013 3:28 15
Scurit informatique et rseaux
VI
Exercices 164
Solutions 165
Chapitre 6 La scurit des infrastructures de tlcommunication 169
6.1 Protocole IPv4 169
6.2 Protocoles IPv6 et IPSec 172
6.2.1 Principales caractristiques dIPv6 172
6.2.2 Principales caractristiques dIPSec 173
6.2.3 En-tte dauthentification (AH) 174
6.2.4 En-tte de confidentialit authentification (ESP) 174
6.2.5 Association de scurit 175
6.2.6 Implantation dIPSec 176
6.2.7 Gestion des cls de chiffrement 177
6.2.8 Modes opratoires 178
6.2.9 Rseaux privs virtuels 178
6.3 Scurit du routage 179
6.3.1 Contexte 179
6.3.2 Principes gnraux dadressage 180
6.3.3 La gestion des noms 182
6.3.4 Principes gnraux de lacheminement des donnes 187
6.3.5 Scurit des routeurs et des serveurs de noms 189
6.4 Scurit et gestion des accs 190
6.4.1 Degr de sensibilit et accs aux ressources 190
6.4.2 Principes gnraux du contrle daccs 190
6.4.3 Dmarche de mise en place du contrle daccs 192
6.4.4 Rle et responsabilit dun fournisseur daccs dans le contrle daccs 192
6.4.5 Certificats numriques et contrles daccs 193
6.4.6 Gestion des autorisations daccs via un serveur de noms 195
6.4.7 Contrle daccs bas sur des donnes biomtriques 195
6.5 Scurit des rseaux 197
6.5.1 Protection de linfrastructure de transmission 197
6.5.2 Protection du rseau de transport 198
6.5.3 Protection des flux applicatifs et de la sphre de lutilisateur 198
6.5.4 Protection optimale 199
6.5.5 La scurit du cloud 200
Exercices 203
Solutions 204
Chapitre 7 La scurit des rseaux sans fil 209
7.1 Mobilit et scurit 209
7.2 Rseaux cellulaires 210
7.3 Scurit des rseaux GSM 213
7.3.1 Confidentialit de lidentit de labonn 213
7.3.2 Authentification de lidentit de labonn 214
7.3.3 Confidentialit des donnes utilisateur et de signalisation 215
7.3.4 Limites de la scurit GSM 216
7.4 Scurit des rseaux GPRS 216
7.4.1 Confidentialit de lidentit de labonn 216
7.4.2 Authentification de lidentit de labonn 217
7.4.3 Confidentialit des donnes de lutilisateur et de signalisation 217
7.4.4 Scurit du cur du rseau GPRS 219
Livre_ghernaouti_compo_BVTDM.fm Page VI Mercredi, 26. juin 2013 3:28 15


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
VII
Table des matires
7.5 Scurit des rseaux UMTS 219
7.5.1 Confidentialit de lidentit de labonn 219
7.5.2 Authentification mutuelle 220
7.5.3 Confidentialit des donnes utilisateurs et de signalisation 222
7.5.4 Intgrit des donnes de signalisation 223
7.6 Rseaux locaux sans fil 802.11 224
7.6.1 Connaissance de base 224
7.6.2 Scurit 802.11 225
7.6.3 Renforcer la scurit (norme 802.11i) 228
7.7 Rseaux personnels sans fil 232
Exercices 234
Solutions 235
Chapitre 8 La scurit par les systmes pare-feu et de dtection dintrusion 239
8.1 Scurit dun intranet 239
8.1.1 Risques associs 239
8.1.2 lments de scurit dun intranet 240
8.2 Principales caractristiques dun pare-feu 242
8.2.1 Fonctions de cloisonnement 242
8.2.2 Fonction de filtre 244
8.2.3 Fonctions de relais et de masque 245
8.2.4 Critres de choix dun pare-feu 247
8.3 Positionnement dun pare-feu 248
8.3.1 Architecture de rseaux 248
8.3.2 Primtre de scurit 249
8.4 Systme de dtection dintrusion (IDS) 250
8.4.1 Dfinitions 250
8.4.2 Fonctions et mode opratoire 251
8.4.3 Attaques contre les systmes de dtection dintrusion 255
Exercices 256
Solutions 257
Chapitre 9 La scurit des applications et des contenus 261
9.1 Messagerie lectronique 261
9.1.1 Une application critique 261
9.1.2 Risques et besoins de scurit 262
9.1.3 Mesures de scurit 262
9.1.4 Cas particulier du spam 263
9.2 Protocoles de messagerie scuriss 265
9.2.1 S/MIME 265
9.2.2 PGP 266
9.2.3 Recommandations pour scuriser un systme de messagerie 267
9.3 La scurit de la tlphonie Internet 268
9.3.1 Contexte et lments darchitecture 268
9.3.2 lments de scurit 269
9.4 Mcanismes de scurit des applications Internet 271
9.4.1 Secure Sockets Layer (SSL) Transport Layer Security (TLS) 271
9.4.2 Secure-HTTP (S-HTTP) 273
9.4.3 Authentification des applications 273
9.5 Scurit du commerce lectronique et des paiements en ligne 273
Livre_ghernaouti_compo_BVTDM.fm Page VII Mercredi, 26. juin 2013 3:28 15
Scurit informatique et rseaux
VIII
9.5.1 Contexte du commerce lectronique 273
9.5.2 Protection des transactions commerciales 274
9.5.3 Risques particuliers 274
9.5.4 Scuriser la connexion entre lacheteur et le vendeur 275
9.5.5 Scurit des paiements en ligne 276
9.5.6 Scuriser le serveur 278
9.5.7 Notions de confiance et de contrat dans le monde virtuel 279
9.6 La scurit des contenus et des documents 280
9.6.1 Risques et besoins de scurit lis lusage de documents XML 280
9.6.2 Signatures XML 281
9.6.3 Chiffrement/dchiffrement XML 282
9.6.4 Tatouage numrique de documents 283
9.6.5 La gestion des droits numriques 284
9.7 Le BYOD, les rseaux sociaux et la scurit 286
Exercices 288
Solutions 289
Chapitre 10 La scurit par la gestion de rseaux 293
10.1 Intgration des technologies de scurit 293
10.1.1 Interoprabilit et cohrence globale 293
10.1.2 Externalisation et investissement 294
10.2 Gestion de systmes et rseaux 295
10.3 Gestion du parc informatique 296
10.3.1 Objectifs et fonctions 296
10.3.2 Quelques recommandations 297
10.4 Gestion de la qualit de service rseau 298
10.4.1 Indicateurs de qualit 298
10.4.2 valuation et efficacit 299
10.5 Gestion comptable et facturation 299
10.6 Gestion oprationnelle dun rseau 300
10.6.1 Gestion des configurations 300
10.6.2 Surveillance et optimisation 301
10.6.3 Gestion des performances 302
10.6.4 Maintenance et exploitation 302
10.6.5 Supervision et contrle 305
10.6.6 Documentation 305
10.7 Gestion de systmes par le protocole SNMP 306
Exercices 309
Solutions 319
Glossaire 327
Bibliographie 347
Index 349
Livre_ghernaouti_compo_BVTDM.fm Page VIII Mercredi, 26. juin 2013 3:28 15
IX


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
AVANT-PROPOS
Ce livre offre une synthse des problmatiques et des lments de solution lis
la scurit informatique, qui inclut la scurit des systmes dinformation, des
rseaux de tlcommunication, la scurit de linformation et la cyberscurit. Par
une approche transversale, intgrative et pragmatique, il traite la fois des aspects de
gestion des risques informatiques, de gouvernance, de conformit rglementaire, de
gestion stratgique et oprationnelle de la scurit. Il prsente les technologies qui
permettent de raliser des services et des fonctions de scurit dans une approche
dingnierie de la scurit et dintelligence juridique.
En traitant des diffrentes expressions de la criminalit informatique, il donne les
cls ncessaires la comprhension des menaces dorigine criminelle et des princi-
pales questions souleves par la lutte contre la cybercriminalit.
Le chapitre 1 introduit les principes fondamentaux et les domaines dapplica-
tion de la scurit informatique qui doivent tre apprhends de manire syst-
mique. Il constitue la base ncessaire la comprhension globale des diffrents
aspects et dimensions de la scurit.
Le chapitre 2 dfinit la notion de crime informatique et de cybercrime, il met
en avant les vulnrabilits inhrentes au monde numrique et aux environnements
Internet ainsi que leur exploitation des fins malveillantes. Il identifie les diff-
rentes pistes de prvention et de lutte contre la cybercriminalit.
Le chapitre 3 traite des aspects de matrise des risques informatiques, de
gestion stratgique et de gouvernance de la scurit informatique et des tl-
communications. Les dimensions politiques, juridique et socio-conomique
dans lesquelles sinscrit la scurit informatique sont identifies pour insister sur
la ncessit de doter les individus, les organisations et les tats, de moyens suffi-
sants et ncessaires leur protection et la confiance dans un monde en rseau.
Les mtiers de la scurit informatique, les acteurs, les comptences comme les
notions dorganisation, de responsabilit et de mission de scurit sont prsents.
Le chapitre 4 aborde les outils mthodologiques, les normes, les mthodes, les
bonnes pratiques, les dmarches disposition pour analyser les besoins de scu-
rit, dfinir une politique de scurit, mettre en place des mesures, auditer,
mesurer, valuer, certifier la scurit. Ce chapitre traite galement de la gestion
de crise, des plans de secours et de continuit des activits.
Le chapitre 5 est consacr aux principes fondamentaux et invariants concernant
les mcanismes cryptographiques (de chiffrement) mis en uvre dans des
Avant-Propos.fm Page IX Mercredi, 3. juillet 2013 9:57 09
Avant-propos
X
environnements distribus pour offrir des services de confidentialit, dauthentifi-
cation, dintgrit et de non-rpudiation. Une introduction la cryptographie
quantique ainsi que les avantages, inconvnients et limites des systmes de chif-
frement sont proposs. Les concepts et les mcanismes de signature numrique, de
certificats numriques, dinfrastructures de gestions de cls (PKI), de tiers de
confiance, dautorit de certification sont analyss.
Le chapitre 6 traite des problmatiques de scurit des infrastructures de tl-
communication ralisant Internet. Il prsente notamment la nouvelle version
scurise du protocole Internet (IPv6, IPSec), les principes de scurit lis au
routage, au contrle daccs, des rseaux privs virtuels (VPN), lexternalisa-
tion et au cloud computing.
Le chapitre 7 est ddi la manire dont les rseaux sans fil sont scuriss. Les
technologies de la scurit des rseaux cellulaires GSM, GPRS, UMTS sont
tudies comme celles des rseaux locaux sans fil 802.11 et des rseaux personnels.
Aprs avoir prsent dans les chapitres prcdents, les protocoles cryptogra-
phiques implants dans des infrastructures rseaux filaires et sans fil, le chapitre
8 analyse la manire dont les systmes pare-feu et de dtection dintrusion
contribuent renforcer la scurit des environnements informatiques.
Le chapitre 9 est ddi la protection des contenus et des principaux services
applicatifs de lInternet, notamment de la scurit de la messagerie lectronique,
de la tlphonie sur Internet, de la navigation web, du commerce lectronique, des
paiements en ligne, des documents XML. Sont galement abordes les notions de
protection des donnes par le tatouage lectronique la gestion des droits num-
riques (DRM) et les problmatiques de scurit lies lusage de linformatique
personnelle et des rseaux sociaux en entreprise.
Le chapitre 10 traite de la gestion de rseau comme outil de cohrence et dint-
gration des mesures de scurit et des savoir-faire managrial et technologique.
Chaque chapitre comprend, entre autres, une prsentation de ses objectifs, un
rsum et des exercices. Un certain relief est introduit dans le texte par des termes
mis en gras pour souligner leur importance, par la traduction anglaise du vocabulaire
de la scurit (security vocabulary) et par des encarts. De nombreuses rfrences, un
glossaire des principaux termes, un lexique de sigles ou encore la correction des
exercices contribuent une meilleure assimilation des thmes abords.
Une bibliographie succincte ainsi que quelques rfrences en ligne et un index
concluent cet ouvrage.
Les chapitres peuvent se lire de manire squentielle ou indpendamment les uns
des autres. Le lecteur pourra sintresser uniquement :
une introduction gnrale et une approche transversale de la scurit
(chapitre 1) ;
la criminalit informatique et la cybercriminalit (chapitre 2) ;
la gouvernance, la politique de scurit, aux normes et mthodologies de
gestion stratgique et oprationnelle de la scurit (chapitres 3 et 4) ;
aux techniques, mcanismes et solutions de scurit :
Avant-Propos.fm Page X Mercredi, 3. juillet 2013 9:57 09


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
XI
Avant-propos
techniques de chiffrement (chapitre 5),
techniques mises en uvre pour la scurit des infrastructures de tlcommu-
nication (chapitre 6),
techniques mises en uvre pour la scurit des rseaux sans fil (chapitre 7),
techniques de scurit par des systmes pare-feu et de dtection dintrusion
(chapitre 8),
techniques mises en uvre pour la scurit des applications, des services et
des contenus (chapitre 9),
techniques mises en uvre pour assurer la scurit au travers de la gestion
oprationnelle des rseaux (chapitre 10).
Ce livre est le fruit de mes activits de recherche et d'enseignement. Il est gale-
ment le descendant de mes premiers ouvrages entirement consacrs la scurit
savoir : Stratgie et ingnierie de la scurit des rseaux (Interditions, 1998) et
Scurit Internet, stratgies et technologies (Dunod, 2000).
Je le ddie mes tudiants d'hier, d'aujourd'hui et de demain, mais aussi tous les
autres, qui lui donnent sa raison d'tre.
Solange GHERNAOUTI
www.scarg.org
Cette dition revue et augmente propose plus dune centaine dexercices
corrigs ainsi que des complments en ligne dont un support de cours tl-
chargeable sur la page associe louvrage sur le site des ditions Dunod,
www.dunod.com.
Avant-Propos.fm Page XI Jeudi, 4. juillet 2013 12:34 12
Avant-Propos.fm Page XII Mercredi, 3. juillet 2013 9:57 09
1


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
1
PRINCIPES DE SCURIT
1.1 OBJECTIFS DE SCURIT ET FONCTIONS ASSOCIES
La notion de scurit fait rfrence la proprit dun systme, dun service ou
dune entit. Elle sexprime le plus souvent par les objectifs de scurit suivants :
la disponibilit (D) ;
lintgrit (I) ;
la confidentialit (C).
Ces objectifs peuvent tre compris comme tant des critres de base (dits critres
DIC) auxquels sajoutent des fonctions de scurit qui contribuent confirmer dune
part la vracit, lauthenticit dune action, entit ou ressource (notion dauthentifi-
cation) et, dautre part, lexistence dune action (notion de non-rpudiation dune
transaction, voire dimputabilit (figure 1.1).
La ralisation de fonctions de scurit, telles que celles de gestion des identits,
du contrle daccs, de dtection dintrusion par exemple, contribuent, via des mca-
nismes de scurit comme le chiffrement par exemple, satisfaire les exigences de
scurit exprimes en termes de disponibilit, dintgrit, de confidentialit. Elles
concourent la protection des contenus et des infrastructures numriques et sont
supportes par des solutions techniques. Celles-ci sont intgrer dans le systme
scuriser, en fonction du cycle de vie de ce dernier, par des approches complmen-
taires dingnierie et de gestion de la scurit informatique.
P
L
A
N
1.1 Objectifs de scurit et fonctions associes
1.2 Domaines dapplication de la scurit informatique
1.3 Diffrentes facettes de la scurit
O
B
J
E
C
T
I
F
S
Identifier les critres et les principales caractristiques et fonctions de la scurit
informatique.
Comprendre les champs dapplication, les diffrents aspects et la dimension
interdisciplinaire de la scurit informatique et de la cyberscurit.
Aborder la notion darchitecture de scurit.
Chap1.fm Page 1 Mardi, 25. juin 2013 2:22 14
Chapitre 1 Principes de scurit
2
1.1.1 Disponibilit
La disponibilit dune ressource est relative la priode de temps pendant laquelle
le service offert est oprationnel. Le volume potentiel de travail susceptible dtre
pris en charge durant la priode de disponibilit dun service, dtermine la capacit
dune ressource tre utilise (serveur ou rseau par exemple).
Il ne suffit pas quune ressource soit disponible, elle doit pouvoir tre utilisable
avec des temps de rponse acceptables. Sa disponibilit est indissociable de sa capa-
cit tre accessible par lensemble des ayants droit (notion daccessibilit).
La disponibilit des services, systmes et donnes est obtenue par un dimension-
nement appropri et une certaine redondance des infrastructures ainsi que par une
gestion oprationnelle et une maintenance efficaces des infrastructures, ressources
et services.
Un service nominal doit tre assur avec le minimum dinterruption, il doit
respecter les clauses de lengagement de service tablies sur des indicateurs ddis
la mesure de la continuit de service
1
.
Des pertes de donnes, donc une indisponibilit de celles-ci, peuvent tre
possibles si les procdures denregistrement et les supports de mmorisation ne sont
pas grs correctement. Ceci constitue un risque majeur pour les utilisateurs. Leur
1. La gestion de la continuit des services est traite au chapitre 4.
Prennit Accessibilit Prennit Accessibilit
Disponibilit
C it
Condenalit
Critres
de
scurit
Qualit
Exactude
Intgrit
scurit
Non-Rpudiaon Authencit
P
Imputabilit Vracit
Preuve
Figure 1.1 Critres de scurit.
Chap1.fm Page 2 Mardi, 25. juin 2013 2:22 14


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
3
1.1 Objectifs de scurit et fonctions associes
sensibilisation cet aspect de la scurit est importante mais ne peut constituer un
palliatif une indispensable mise en place de procdures centralises de sauvegarde
effectues par les services comptents en charge des systmes dinformation de
lentreprise.
De nombreux outils permettent de sauvegarder priodiquement et de faon auto-
matise les donnes, cependant, une dfinition correcte des procdures de restitution
des donnes devra tre tablie afin que les utilisateurs sachent ce quils ont faire
sils rencontrent un problme de perte de donnes.
Une politique de sauvegarde ainsi quun arbitrage entre le cot de la sauvegarde
et celui du risque dindisponibilit supportable par lorganisation doivent tre pra-
lablement tablis pour que la mise en uvre des mesures techniques soit efficace et
pertinente.
1.1.2 Intgrit
Le critre dintgrit des ressources physiques et logiques (quipements, donnes,
traitements, transactions, services) est relatif au fait quelles nont pas t dtruites
(altration totale) ou modifies (altration partielle) linsu de leurs propritaires
tant de manire intentionnelle quaccidentelle. Une fonction de scurit applique
une ressource pour contribuer prserver son intgrit, permettra de la protger plus
ou moins efficacement contre une menace de corruption ou de destruction.
En effet, il convient de se prmunir contre laltration des donnes en ayant la
certitude quelles nont pas t modifies lors de leur stockage, de leur traitement
ou de leur transfert. Les critres de disponibilit et dintgrit sont satisfaire par
des mesures appropries afin de pouvoir atteindre un certain niveau de confiance
dans les contenus et le fonctionnement des infrastructures informatiques et tl-
coms.
Si en tlcommunication, lintgrit des donnes relve essentiellement de
problmatiques lies au transfert de donnes, elle dpend galement des aspects
purement informatiques de traitement de linformation (logiciels dapplication,
systmes dexploitation, environnements dexcution, procdures de sauvegarde, de
reprise et de restauration des donnes).
En principe, lors de leur transfert, les donnes ne sont pas altres par les proto-
coles de communication qui les vhiculent en les encapsulant.
Des contrles dintgrit
1
peuvent tre effectus pour sassurer que les donnes
nont pas t modifies lors de leur transfert par des attaques informatiques qui les
interceptent et les transforment (notion dcoutes actives). En revanche ils seront de
peu dutilit pour dtecter des coutes passives qui portent atteintes non lintgrit
des donnes mais leur confidentialit.
1. Voir chapitre 5.
Chap1.fm Page 3 Mardi, 25. juin 2013 2:22 14
Chapitre 1 Principes de scurit
4
1.1.3 Confidentialit
La confidentialit est le maintien du secret des informations (Le Petit Robert).
Transpose dans le contexte de linformatique et des rseaux, la notion de confiden-
tialit peut tre vue comme la protection des donnes contre une divulgation non
autorise .
Il existe deux types dactions complmentaires permettant dassurer la confidenti-
alit des donnes :
limiter et contrler leur accs afin que seules les personnes habilites les lire ou
les modifier puissent le faire ;
les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne
sont pas autorises les dchiffrer ne puissent les utiliser.
Le chiffrement des donnes (ou cryptographie)
1
contribue assurer la confi-
dentialit des donnes et augmenter la scurit des donnes lors de leur trans-
mission ou de leur stockage. Bien quutilises essentiellement lors de transactions
financires et commerciales, les techniques de chiffrement sont relativement peu
mises en uvre par les internautes de manire courante.
1.1.4 Identification et authentification
Identifier lauteur prsum dun tableau sign est une chose, sassurer que le tableau
est authentique en est une autre. Il en est de mme en informatique o des proc-
dures didentification et dauthentification peuvent tre mises en uvre pour
contribuer raliser des procdures de contrle daccs et des mesures de scurit
assurant :
la confidentialit et lintgrit des donnes : seuls les ayants droit identifis et
authentifis peuvent accder aux ressources (contrle daccs
2
) et les modifier
sils sont habilits le faire ;
la non-rpudiation et limputabilit : seules les entits identifies et authenti-
fies ont pu raliser une certaine action (preuve de lorigine dun message ou
dune transaction, preuve de la destination dun message). Lidentification et
lauthentification des ressources et des utilisateurs permettent dimputer la
responsabilit de la ralisation dune action une entit. Celle-ci pourra tre tenue
responsable de certains faits et ventuellement rendre des comptes, sils ont t
enregistrs, sauvegards et analyss. Ainsi la traabilit des vnements est une
fonction indispensable qui permet de garder la mmoire des actions survenues
des fins danalyse pour reconstituer et comprendre ce qui sest pass. Cela permet
par exemple danalyser le comportement du systme et des utilisateurs des fins
doptimisation, de gestion des incidents, de recherche de preuves, dimputation de
responsabilit ou encore daudit par exemple.
1. Le chiffrement des donnes est trait au chapitre 5.
2. Le contrle daccs est trait au chapitre 6.
Chap1.fm Page 4 Mardi, 25. juin 2013 2:22 14


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
5
1.1 Objectifs de scurit et fonctions associes
Lauthentification doit permettre de vrifier lidentit dune entit afin de sassu-
rer entre autres, de lauthenticit de celle-ci. Pour cela, lentit devra prouver son
identit, le plus souvent en donnant une information spcifique quelle est cense
tre seule dtenir telle que, par exemple, un mot de passe ou une empreinte biom-
trique.
Tous les mcanismes de contrle daccs logique aux ressources informatiques
ncessitent de grer lidentification, lauthentification des entits et la gestion des
droits et permissions associes aux personnes (figure 1.2). Cela exclut lusage
anonyme des ressources. Cest galement sur la base de lidentification des
personnes et des accs aux ressources que stablissent des fonctions de facturation
et de surveillance.
1.1.5 Non-rpudiation
La non-rpudiation est le fait de ne pouvoir nier ou rejeter quun vnement
(action, transaction) a eu lieu. ce critre de scurit peuvent tre associes les
notions dimputabilit, de traabilit ou encore parfois dauditabilit.
Limputabilit se dfinit par lattribution dune action (un vnement) une
entit dtermine (ressource, personne). Elle peut tre ralise par un ensemble de
mesures garantissant lenregistrement fiable dinformations pertinentes par rapport
une entit et un vnement.
Ltablissement de la responsabilit dune personne vis--vis dun acte dans le
monde de linformatique et des tlcoms ncessite lexistence de mesures
dauthentification des individus et dimputabilit de leurs actions.
La traabilit permet de suivre la trace numrique laisse par la ralisation dun
vnement (message lectronique, transaction commerciale, transfert de
donnes). Cette fonction comprend lenregistrement des vnements, de la date de
Dsignaon des ents Vricaon de lident
Accs
accord
Permissions
Idencaon Idencaon Authencaon Authencaon
Contrle daccs Contrle daccs

accord
ou
refus
Figure 1.2 Identification et authentification.
Chap1.fm Page 5 Mardi, 25. juin 2013 2:22 14
Chapitre 1 Principes de scurit
6
leur ralisation et leur imputation. Elle permet, par exemple, de retrouver ladresse
IP dun systme partir duquel des donnes ont t envoyes.
Lauditabilit se dfinit par la capacit dun systme garantir la prsence
dinformations ncessaires une analyse ultrieure dun vnement (courant ou
exceptionnel) effectue dans le cadre de procdures de contrle spcifiques et
daudit. Cet audit peut tre mis en uvre pour diagnostiquer ou vrifier ltat de la
scurit dun systme ou encore pour dterminer sil y a eu ou non violation de la
politique de scurit
1
et, ventuellement quelles sont les ressources compromises.
Cest galement la fonction destine dceler et examiner les vnements suscep-
tibles de constituer une menace pour la scurit dun environnement.
Afin de garder la trace des vnements, on recourt des solutions informatiques
qui permettent de les enregistrer (de les journaliser), la manire dun journal de
bord, dans des fichiers (log).
Les cots lis la journalisation et la capacit mmoire des journaux ntant pas
infinie, ladministrateur systme ou le responsable scurit ont tout intrt identi-
fier les vnements pertinents et la dure de rtention des informations contenues
dans ces journaux qui pourront faire lobjet danalyse ultrieure lors de la survenue
dincidents, de procdures daudit ou dactions en justice. La dure de rtention des
donnes peut tre fixe par des rglementations sectorielles ou par la loi, comme
cest le cas par exemple pour les fournisseurs daccs et de services Internet, qui
doivent garder toutes les donnes de connexion des internautes. Cela permet lors
denqutes policires, didentifier partir des adresses IP, les internautes souponns
davoir enfreint la loi.
1.2 DOMAINES DAPPLICATION DE LA SCURIT
INFORMATIQUE
Pour une organisation, toutes les sphres dactivit de linformatique et des rseaux
de tlcommunication sont concernes par la scurit dun systme dinformation.
En fonction de son domaine dapplication la scurit informatique se dcline en
(figure 1.3) :
scurit physique et environnementale ;
scurit de lexploitation ;
scurit logique, scurit applicative et scurit de linformation ;
scurit des infrastructures informatique et de tlcommunication (scurit des
rseaux, scurit Internet et cyberscurit).
1.2.1 Scurit physique et environnementale
La scurit physique et environnementale concerne tous les aspects lis la
matrise des systmes et de lenvironnement dans lesquels ils se situent.
1. La politique de scurit fait lobjet du chapitre 4.
Chap1.fm Page 6 Mardi, 25. juin 2013 2:22 14


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
7
1.2 Domaines dapplication de la scurit informatique
Sans vouloir tre exhaustif, nous retiendrons que la scurit physique repose
essentiellement sur :
la protection des sources nergtiques et de la climatisation (alimentation lec-
trique, refroidissement, etc.) ;
la protection de lenvironnement (mesures ad hoc notamment pour faire face aux
risques dincendie, dinondation ou encore de tremblement de terre pour
respecter les contraintes lies la temprature, lhumidit, etc.) ;
des mesures de gestion et de contrle des accs physiques aux locaux, quipe-
ments et infrastructures (avec entre autres la traabilit des entres et une gestion
rigoureuse des cls daccs aux locaux) ;
lusage dquipements qui possdent un bon degr de sret de fonctionnement et
de fiabilit ;
la redondance physique des infrastructures et sources nergtiques ;
le marquage des matriels pour notamment contribuer dissuader le vol de mat-
riel et ventuellement le retrouver ;
le plan de maintenance prventive (tests, etc.) et corrective (pices de rechange,
etc.) des quipements ce qui relve galement de la scurit de lexploitation des
environnements.
1.2.2 Scurit de lexploitation
La scurit de lexploitation doit permettre un bon fonctionnement oprationnel
des systmes informatiques. Cela comprend la mise en place doutils et de proc-
dures relatifs aux mthodologies dexploitation, de maintenance, de test, de diagnos-
tic, de gestion des performances, de gestion des changements et des mises jour.
Figure 1.3 Domaines dapplication de la scurit.
Chap1.fm Page 7 Mardi, 25. juin 2013 2:22 14
Chapitre 1 Principes de scurit
8
La scurit de lexploitation dpend fortement de son degr dindustrialisation,
qui est qualifi par le niveau de supervision des applications et lautomatisation des
tches. Bien que relevant de la responsabilit de lexploitation, ces conditions
concernent trs directement la conception et la ralisation des applications elles-
mmes et leur intgration dans un systme dinformation.
Les points cls de la scurit de lexploitation sont les suivants :
gestion du parc informatique ;
gestion des configurations et des mises jour ;
gestion des incidents et suivi jusqu leur rsolution ;
plan de sauvegarde ;
plan de secours ;
plan de continuit ;
plan de tests ;
inventaires rguliers et, si possible, dynamiques ;
automatisation, contrle et suivi de lexploitation ;
analyse des fichiers de journalisation et de comptabilit ;
gestion des contrats de maintenance ;
sparation des environnements de dveloppement, dindustrialisation et de
production des applicatifs.
La maintenance doit tre prventive et rgulire, et conduire ventuellement
des actions de rparation, voire de remplacement des matriels dfectueux.
Au-del du cot dune panne entranant le remplacement des quipements, le
risque dexploitation se traduit par une interruption de service ou une perte de
donnes qui peuvent avoir des consquences prjudiciables pour lentreprise.
Notons que le domaine de la scurit de lexploitation peut, dans une certaine
mesure, rejoindre celui des tlcommunications, si lon considre que cest au
niveau des procdures dexploitation que lon fixe les paramtres servant la factu-
ration de lutilisation des ressources informatiques ou de tlcommunication. Toute-
fois, ceci est plus spcifiquement relatif la gestion de la comptabilit et la
matrise du risque financier. Cest galement lors de lexploitation des ressources
que lon vrifie ladquation du niveau de service offert, par rapport celui spcifi
dans un contrat de service et sa facturation.
1.2.3 Scurit logique, applicative et scurit
de linformation
La scurit logique fait rfrence la ralisation de mcanismes de scurit par
logiciel contribuant au bon fonctionnement des programmes, des services offerts et
la protection des donnes. Elle sappuie gnralement sur :
la qualit des dveloppements logiciels et des tests de scurit ;
une mise en uvre adquate de la cryptographie pour assurer intgrit et confi-
dentialit ;
des procdures de contrle daccs logique, dauthentification ;
Chap1.fm Page 8 Mardi, 25. juin 2013 2:22 14


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
9
1.2 Domaines dapplication de la scurit informatique
des procdures de dtection de logiciels malveillants, de dtection dintrusions et
dincidents ;
mais aussi sur un dimensionnement suffisant des ressources, une certaine redon-
dance ainsi que sur des procdures de sauvegarde et de restitution des informa-
tions sur des supports fiables ventuellement spcialement protgs et conservs
dans des lieux scuriss pour les applications et donnes critiques.
La scurit logique fait galement rfrence la scurit applicative qui doit
tenir compte des besoins de scurit et de robustesse dveloppement des logiciels,
des applications et de leur contrle qualit. Le cycle de vie des logiciels, comme leur
intgration dans des environnements de production doit galement satisfaire aux
exigences de scurit en termes de disponibilit, de continuit des services, dint-
grit ou de confidentialit.
La scurit applicative comprend le dveloppement pertinent de solutions logi-
cielles (ingnierie du logiciel, qualit du logiciel) ainsi que leur intgration et excu-
tion harmonieuses dans des environnements oprationnels.
Elle repose essentiellement sur lensemble des facteurs suivants :
une mthodologie de dveloppement (en particulier le respect des normes de
dveloppement propre la technologie employe et aux contraintes dexploitabi-
lit) ;
la robustesse des applications ;
des contrles programms ;
des jeux de tests ;
des procdures de recettes ;
lintgration de mcanismes de scurit, doutils dadministration et de contrle
de qualit dans les applications ;
la scurit des progiciels (choix des fournisseurs, interface scurit, etc.) ;
llaboration et la gestion des contrats (les relations avec des sous-traitants ven-
tuels comprenant des clauses dengagement de responsabilit) ;
un plan de migration des applications critiques ;
la validation et laudit des programmes ;
la qualit et la pertinence des donnes ;
un plan dassurance scurit.
Bien protger linformation, cest avant tout comprendre son rle, son impor-
tance stratgique et limpact des dcisions qui la concernent. Cest galement
assurer son exactitude et sa prennit pour le temps ncessaire son exploitation et
son archivage. Cela ncessite de dterminer le niveau de protection ncessaire aux
informations manipules, par une classification des donnes qui permet de qualifier
leur degr de sensibilit (normale, confidentielle, etc.) et de les protger en fonction
de ce dernier. Ainsi, partir dun tableau mettant en relation le type de donnes et
leur degr de sensibilit, la nature et le nombre de verrous logiques y affecter
peuvent tre dtermins et des mesures de scurit ad hoc dveloppes. Par ailleurs,
du point de vue de lutilisateur, une bonne scurit doit lui assurer le respect de son
intimit numrique (privacy) et de ses donnes personnelles.
Chap1.fm Page 9 Mardi, 25. juin 2013 2:22 14
Chapitre 1 Principes de scurit
10
1.2.4 Scurit des infrastructures de tlcommunication
La scurit des tlcommunications consiste offrir lutilisateur final et aux
applications communicantes, une connectivit fiable de bout en bout . Cela passe
par la ralisation dune infrastructure rseau scurise au niveau des accs au
rseau et du transport de linformation (scurit de la gestion des noms et des
adresses, scurit du routage, scurit des transmissions proprement parler) et cela
sappuie sur des mesures architecturales adaptes, lusage de plates-formes mat-
rielles et logicielles scurises et une gestion de rseau de qualit.
La scurit des tlcommunications ne peut elle seule garantir la scurit des
informations. Elle ne constitue quun maillon de la chane scuritaire car il est gale-
ment impratif de scuriser linfrastructure informatique dans laquelle sexcu-
tent les programmes. Pris au sens large, cela comprend la scurit physique et
environnementale des systmes (poste de travail de lutilisateur, serveur ou systme
dinformation, (figure 1.4)).
Pour que les infrastructures informatiques et tlcoms soient cohrentes, perfor-
mantes et scurises de manire optimale, linfrastructure de scurit (outils,
procdures, mesures) et la gestion de la scurit doivent tre ralises de manire
scurise. Les solutions de scurit doivent tre galement scurises (notion de
rcursivit de la scurit).
La scurit des tlcommunications est peu diffrente de celle que lon doit mettre
en uvre pour protger les systmes. Bien que vulnrables, les rseaux de tl-
communication ne le sont pas plus que les systmes dextrmit ou que les
personnes qui les conoivent, les grent ou les utilisent.
Un environnement informatique et de tlcommunication scuris implique la
scurisation de tous les lments qui le compose. La scurit est toujours celle du
maillon le plus faible. Implanter des mcanismes de chiffrement pour rendre les
donnes transfres confidentielles est de peu dutilit si daucun peut y accder
Figure 1.4 Scurit des infrastructures de tlcommunication.
Chap1.fm Page 10 Mardi, 25. juin 2013 2:22 14


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
11
1.2 Domaines dapplication de la scurit informatique
lorsquelles sont manipules par des plates-formes matrielles et logicielles non
correctement scurises.
Limplantation de mesures de scurit doit rpondre des besoins de scurit clai-
rement identifis la suite dune analyse des risques spcifiquement encourus par
une organisation. Les besoins sexpriment en termes dexigences de scurit satis-
faire au travers dune politique de scurit (cf. chapitre 4). De plus, un systme scu-
ris, mobilisant dimportants moyens scuritaires, aussi pertinents soient-ils, ne pourra
tre efficace que sil sappuie sur des personnes intgres et sur un code dutilisation
adquat des ressources informatiques pouvant tre formalis par une charte de scu-
rit. Souplesse et confiance rciproque ne peuvent se substituer la rigueur et au
contrle imposs par le caractre stratgique des enjeux conomiques et politiques que
doivent satisfaire les systmes dinformation et les rseaux de tlcommunications.
Il ne faut jamais oublier que dans le domaine de la scurit, la confiance nexclut
pas le contrle ! La scurit, en tant que proprit dun systme, peut tre quali-
fiable (notion dassurance de scurit qui fait rfrence la quantification de la
qualit de la scurit). En revanche, la confiance est une relation binaire entre
deux entits qui relve du sentiment.
1.2.5 Cas particulier de la cyberscurit
Dsormais, un grand nombre dactivits sont ralises via Internet. Lusage des tech-
nologies de lInternet, les services offerts, les transactions ralises et les donnes
manipules sont constitutifs du cyberespace. La racine cyber provient du mot
cyberntique qui avait t form en franais en 1834 pour dsigner la science du
gouvernement , partir du grec Kuberntik, signifiant diriger, gouverner. Terme
repris en 1948, par Norman Wiener aux tats Unis et qui a donn naissance la
cyberntique (cybernetics), science constitue par lensemble des thories relatives
au contrle, la rgulation et la communication entre ltre vivant et la machine.
Depuis lors, le prfixe cyber contribue dfinir des traitements automatiques
ralisables par des techniques de linformatique et des tlcommunications. Il est
devenu relatif lenvironnement informatique accessible par Internet et la tlpho-
nie mobile et, plus largement, aux activits rendues possibles par les technologies
du numrique. Dans le cyberespace o tout internaute peut se dplacer (naviguer,
surfer), entrer en relation avec des systmes et des personnes (via toujours des
systmes et des logiciels informatiques) et raliser (obtenir) des services. Mme sil
donne accs des mondes dits virtuels, le cyberespace, est bien rel. Il est rapide-
ment devenu une extension de notre espace naturel et est le reflet de notre socit
avec ses ralits politique, conomique, sociale et culturelle.
La cyberscurit est un sous-ensemble de la scurit informatique et des rseaux
appliqus aux cyberespace et tout environnement informatique connect lInter-
net. Elle peut tre mise en dfaut par des cyberattaques informatiques. Du fait de
lusage extensif de lInternet, de nouvelles menaces sont apparues gnrant des
risques additionnels dont les impacts, de niveaux dimportance variables, peuvent
affecter les individus, les organisations ou les tats.
Chap1.fm Page 11 Mercredi, 3. juillet 2013 9:59 09
Chapitre 1 Principes de scurit
12
1.3 DIFFRENTES FACETTES DE LA SCURIT
1.3.1 Diriger la scurit
La scurit informatique dune organisation doit sapprhender dune manire
globale et stratgique (notion de stratgie de scurit) et sappuie sur :
la dfinition dune politique de scurit ;
la motivation et la formation du personnel ;
la mise en place de mesures proactives et ractives ;
loptimisation de lusage des technologies de linformation et des communica-
tions (TIC) ainsi que de celui des solutions de scurit.
Lutilisation seule doutils de scurit ne peut pas rsoudre les problmes de scu-
rit dune organisation. En aucun cas, ils ne se substituent une gestion cohrente de
lapprhension des risques et des problmatiques de scurit. Les besoins de scurit
doivent tre clairement identifis et constamment rvalus au regard des risques
encourus et de leur volution.
La prolifration dsordonne doutils de scurit non intgrs dans un processus
continu de gestion ne peut quentraver lusage, alourdir lexploitation, gnrer
des cots ou encore dgrader les performances dun systme dinformation.
La scurit informatique passe galement par une gestion rigoureuse des
ressources humaines, des systmes informatiques, des rseaux, des locaux et de
linfrastructure environnementale, des mesures de scurit. La matrise de la scu-
rit informatique est avant tout une question de gestion dont les outils, technologies
ou solutions de scurit constituent une partie lie la ralisation oprationnelle des
environnements scuriss. Des outils comme ceux de chiffrement ou les pare-feu ne
permettent pas de scuriser correctement un environnement protger sils ne sont
pas inscrits dans une dmarche de gestion prcise des risques et sils ne sont pas
accompagns de procdures qui rgissent leur utilisation ou configuration. Ainsi,
piloter la scurit correspond la volont de matriser les risques lis lusage des
technologies de linformation, les cots engendrs pour se protger des menaces et
au dploiement des moyens ncessaires pour grer les incidents ou les situations de
crise, pour ragir une situation non sollicite mettant en danger la performance du
systme dinformation et celle de lorganisation. Gouverner la scurit informatique
et des tlcommunications sinscrit dans une dimension humaine, organisationnelle,
managriale et conomique des organisations rpondant une volont politique de
leur direction pour matriser les risques et protger les valeurs.
Ainsi, la scurit repose sur des axes managriaux, technique et juridique qui
doivent tre abords de manire complmentaire. Elle nest jamais acquise
dfinitivement. La constante volution des besoins, des systmes, des menaces ou
des risques rend instable toute mesure de scurit. Cela se traduit par un problme de
gestion de la qualit constante dans un environnement dynamique et volutif. Dans
ce contexte, la scurit informatique ne peut sapprhender que comme un processus
continu de gestion afin de rpondre de manire optimale (en termes de cot et de
Chap1.fm Page 12 Mardi, 25. juin 2013 2:22 14


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
13
1.3 Diffrentes facettes de la scurit
niveau de scurit) aux besoins de production de lorganisation et de protection de
ses actifs.
Pour beaucoup dentreprises, loutil informatique est un levier essentiel dans leur
activit et leur dveloppement. Dans ce cas, lindisponibilit de loutil informatique
ou son dysfonctionnement constituent un risque majeur. Il peut toutefois tre rduit
par une gestion rigoureuse des ressources et de leur scurit.
La dmarche de scurit informatique comme la dmarche qualit participent
satisfaire les exigences de rentabilit et de comptitivit des entreprises dont la
performance peut tre accrue par un systme dinformation correctement scuris.
En effet, il ne faut pas perdre de vue la finalit de celui-ci qui est de permettre
lorganisation qui le met en uvre de raliser des services ou des produits dont la
qualit et les critres de scurit sont garantis.
1.3.2 Importance du juridique dans la scurit
des systmes dinformation
La responsabilit des acteurs (responsable scurit ou directeur de systmes
dinformation par exemple) est de plus en plus invoque lors de sinistre o les
ressources informatiques quils grent sont lobjet ou le moyen dune fraude. Il est
ncessaire que les responsables puissent dmontrer que des mesures suffisantes de
protection du systme dinformation et des donnes ont t mises en uvre afin de
se protger contre un dlit de manquement la scurit ( dfaut dune obligation
de rsultat, il existe une obligation de moyens concernant la scurit).
Les responsables dentreprises eux-mmes doivent tre extrmement attentifs
lgard du droit des technologies du numrique et sassurer que leur systme
dinformation est en conformit juridique. Dsormais, les enjeux juridiques lis la
scurit informatique sont devenus prpondrants et doivent tre pris en compte
dans la mise en place de solutions de scurit, quils soient relatifs la conservation
des donnes, la responsabilit des prestataires ou des hbergeurs, la gestion des
donnes personnelles des clients, la surveillance des vnements informatiques
gnrs par lactivit des employs, la proprit intellectuelle, aux contrats infor-
matiques ou encore la signature lectronique par exemple. Lintelligence juri-
dique
1
devient lun des facteurs cls du succs de la ralisation de la scurit
informatique des organisations.
Le droit dans le domaine du numrique peut devenir un atout stratgique pour les
organisations qui le matrisent.
1.3.3 thique et formation
Il est ncessaire dduquer, dinformer et de former aux technologies de traitement
de linformation et des communications, et non uniquement la scurit et aux
1. Les aspects juridiques sont abords au chapitre 3.
Chap1.fm Page 13 Mardi, 25. juin 2013 2:22 14
Chapitre 1 Principes de scurit
14
mesures de dissuasion. La sensibilisation aux problmatiques de scurit ne doit pas
se limiter la promotion dune certaine culture de la scurit et de son thique. En
amont de la culture scuritaire, il doit exister une vritable culture de linformatique ;
ce qui peut correspondre la notion de permis de conduire informatique .
Une thique scuritaire doit tre dveloppe au sein de lentreprise pour tous les
acteurs du systme dinformation. Elle doit se traduire par une charte reconnue par
chacun et par un engagement personnel la respecter.
Cette charte dontologique dutilisation des ressources informatiques et des
services Internet doit notamment comprendre des clauses relatives :
son domaine dapplication ;
la dfinition des moyens et procdures daccs aux ressources informatiques et
services Internet ;
aux rgles dutilisation professionnelle, rationnelle et loyale des ressources ;
aux procdures de scurit ;
au bon usage des ressources (y compris des donnes manipules et transfres) ;
aux conditions de confidentialit ;
au respect de la lgislation concernant les logiciels ;
au respect de lintgrit des systmes informatiques ;
au rappel des principales lois en vigueur respecter ;
aux moyens de contrle du respect de la charte (surveillance des employs) ;
aux sanctions encourues en cas de non-respect.
Des actions de sensibilisation, dinformation ou de formation sur les enjeux,
les risques et les mesures prventives et dissuasives de scurit sont ncessaires pour
duquer lensemble du personnel adopter une dmarche scurit. En fonction du
contexte et des besoins, celles-ci peuvent porter, par exemple, sur le dveloppement
dune culture de la scurit informatique ou encore sur la configuration de pare-feu
ou sur les mesures dissuasives ainsi que les consquences pnales potentielles rsul-
tant du non-respect des obligations scuritaires.
La signature de la charte de scurit doit saccompagner de moyens aux signa-
taires afin quils puissent la respecter.
1.3.4 Architecture de scurit
Larchitecture de scurit reflte lensemble des dimensions organisationnelle,
juridique, humaine et technologique de la scurit informatique prendre en consi-
dration pour une apprhension complte de la scurit dune organisation
(figure 1.5). Dfinir une architecture globale de la scurit permet de visualiser la
dimension gnrale et la nature transversale de la scurit informatique dune entre-
prise et didentifier ses diverses facettes et composantes afin de pouvoir les dvelop-
per de faon cohrente, complmentaire et harmonieuse. Cela facilite lintgration
de mesures, de procdures et doutils de scurit.
Chap1.fm Page 14 Mardi, 25. juin 2013 2:22 14


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
15
1.3 Diffrentes facettes de la scurit
Une dmarche dassurance des actifs, de gestion des risques, comme le respect
des procdures, la formation, le comportement thique des utilisateurs ou la
conformit rglementaire sont autant de points identifier dans un cadre
darchitecture de scurit. Ainsi, les critres de la scurit pourront tre raliss
judicieusement par le biais de mesures et de procdures complmentaires.
En outre, disposer dun cadre architectural permet de disposer dun rfrentiel de
scurit qui facilite la ralisation oprationnelle de la scurit ainsi que son valua-
tion lors daudit. Cette approche permet galement de pouvoir identifier les critres
minima de scurit pour chacun des lments ainsi que leurs interactions et les ven-
tuelles incompatibilits des diffrents niveaux de scurit qui pourraient en dcouler.
La conception dun systme dinformation scuris passe par la dfinition dune
structure conceptuelle quest larchitecture de scurit. Celle-ci est fondamentale
pour autoriser une approche systmique intgrant une prise en compte complte de
lensemble des problmes de scurit du systme dinformation et de lorganisation
afin de rpondre de manire cohrente et globale sa stratgie scuritaire.
Figure 1.5 Les diffrentes dimensions dune architecture de scurit.
Chap1.fm Page 15 Mardi, 25. juin 2013 2:22 14
Chapitre 1 Principes de scurit
16
Faites un tableau rcapitulatif identifiant les capacits des systmes, les
critres de scurit et les types de mesures de scurit permettant de les satisfaire.
Quels sont les objectifs de la scurit informatique ?
Expliquez la notion darchitecture de scurit. quels besoins correspond-
elle ? Expliquez de quelle manire les diffrentes dimensions qui la composent sont
complmentaires.
Rsum
Obtenir un niveau de scurit informatique suffisant pour prvenir les risques
technologique et informationnel est primordial tant pour les individus que pour
les organisations ou les tats qui utilisent ou fournissent des services via les
technologies du numrique.
Il est important de pouvoir identifier les valeurs protger et les risques correc-
tement afin de dterminer les exigences de scurit et les moyens de les satis-
faire. Ceci implique une approche globale, pluridisciplinaire et systmique de la
scurit.
La scurit informatique doit permettre de rpondre aux besoins de disponibilit,
dintgrit et de confidentialit de certaines ressources.
Les tlcommunications (infrastructures et services) rpondent une problma-
tique de scurit peu diffrente de celle des ressources informatiques dont la
rsolution rpond aux mmes impratifs techniques, organisationnels, manag-
riaux juridiques et humains. Protger les informations lors de leur transfert ne
suffit pas car ces dernires sont tout aussi vulnrables, sinon plus, lorsquelles
sont manipules, traites et mmorises.
La scurit informatique dans le contexte de lInternet et du cyberespace est le
plus souvent dnomme cyberscurit .
La scurit informatique sera effective dans la mesure o lon sait mettre en
place des mesures de protection homognes et complmentaires des ressources
informatiques et de tlcommunication, mais aussi de lenvironnement qui les
hberge. Toutefois, outre des mesures de scurit proactives de protection des
valeurs, il est ncessaire de prvoir des mesures ractives pour pallier la surve-
nue dincidents non sollicits quils soient dorigine criminelle ou quils relvent
derreurs ou de catastrophes naturelles.
Aux aspects purement techniques de la scurit, il faut associer la mise en uvre
efficace de procdures dexploitation et de gestion. Par ailleurs, le personnel de
lorganisation doit tre form aux mesures de scurit et doit sengager les
respecter. Ainsi, la scurit informatique fait galement appel lintgrit des
personnes qui conoivent, grent, utilisent les infrastructures informatiques et
une gestion approprie des ressources humaines.
Exercices
1.1
1.2
1.3
Chap1.fm Page 16 Mardi, 25. juin 2013 2:22 14


D
u
n
o
d


L
a

p
h
o
t
o
c
o
p
i
e

n
o
n

a
u
t
o
r
i
s

e

e
s
t

u
n

d

l
i
t
.
17
Exercices
Dans un rseau de tlcommunication, quels besoins correspondent les
notions didentification et dauthentification, quels services permettent-ils de rali-
ser ?
En matire de scurit informatique, faut-il privilgier une dmarche proac-
tive ou ractive ?
Justifiez que la scurit informatique et rseau relve dune problmatique de
gestion.
Pourquoi doit-on apprhender la scurit de manire globale ?
Expliquez de quelle manire le critre de non-rpudiation contribue la scu-
rit informatique.
Quelles peuvent tre les origines dun problme de scurit informatique ?
Pourquoi en matire de scurit informatique, la scurit physique est impor-
tante ?
Quest-ce que la cyberscurit ?
Solutions
Du point de vue de la scurit informatique, les systmes doivent offrir les
caractristiques suivantes (tableau 1.1) :
Capacit dun systme pouvoir tre utilis cela correspond la disponibi-
lit des ressources et des services, fonction de leur dimensionnement correct et
dune certaine redondance des ressources, mais galement des procdures de
sauvegarde, de reprise et dexploitation adaptes aux besoins de fonctionnement.
Capacit dun systme excuter les actions et rendre les services que lon
attend de lui dans des conditions de performance et dutilisation adaptes
cela traduit un besoin de continuit, de durabilit, de fiabilit, de convivialit et de
sret de fonctionnement.
Capacit dun systme ne permettre laccs aux donnes quaux personnes
et processus autoriss pour offrir confidentialit et intgrit des donnes.
Elles sont assures par des processus de contrle daccs, derreur, de cohrence
et par des mcanismes de chiffrement.
Capacit dun systme prouver que des actions, transactions ont bien eu
lieu des fins de traabilit, de preuve, dimputabilt, de contrle, daudit ou de
non-rpudiation dactions ou dvnements.
Ces diverses capacits permettent des services de qualit dans des conditions dter-
mines et peuvent tre apprhendes comme des critres de scurit ou des comp-
tences de scurit. Leur ralisation passe par la mise en uvre de mesures
spcifiques de scurit contribuant btir la confiance que peut avoir un utilisateur
envers son environnement informatique.
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.1
Chap1.fm Page 17 Mardi, 25. juin 2013 2:22 14