Вы находитесь на странице: 1из 18

Chapitre I

Introduction la Scurit Informatique


Terminologie de la SI
Scurit informatique: l'ensemble des techniques qui sassurent que les
ressources du systme d'information (matrielles ou logicielles) d'une organisation
sont utilises uniquement dans le cadre o il est prvu qu'elles le soient.

Scurit :
Confidentialit = Accs au systme ou aux donnes est limit aux parties
autorises
Intgrit = avoir la bonne donne au moment voulu
Disponibilit (Availability) = Le systme ou les donnes sont l au moment
voulu

Objectif : assurer la continuit des activits de lentreprise et de minimiser les


risques de dommages en prvenant et en rduisant les impacts des incidents de
scurit.

Actif (Asset) : ressource protger


Matriel/logiciel/donne
Vulnrabilit : faiblesse= faille = brche = niveau d'exposition face la menace
dans un contexte particulier.
Terminologie de la SI
Menace (Threat) : Action susceptible de nuire dans l'absolu.
source du risque (Ce que peut faire le pirate )
cible un ou plusieurs actifs grandes catgories:
1. Interception
2. Interruption
3. Falsification (modification)
4. Fabrication
5. Rpudiation
6. usurpation
Hypothse de conception: Threat model = ensemble des menaces prvenir & de qui prvenir

Attaque : action exploitant une vulnrabilit et excutant une menace.

Risque : Une menace associe un ensemble de vulnrabilits qui permettent sa


ralisation

Impact : consquence du risque sur lorganisme et ses objectifs


se mesure par les dommages que peut causer une attaque.
Qualifi en termes de niveau de svrit
Terminologie de la SI
Attaque: action exploitant une vulnrabilit et excutant une menace.
Contrle du risque
Suppression ou rduction dune vulnrabilit
Contrler une vulnrabilit pour prvenir une attaque et bloquer une menace

Donc: notre objectif: contrler les vulnrabilits.


Comment?
Prvenir: Prevent it: prevent the attack
Dissuader: Deter it: make the attack harder or more expensive
Dvier: Deflect it: make yourself less attractive to attacker
Dtecter: Detect it: notice that attack is occurring (or has occurred)
Rparer: Recover from it: mitigate the effects of the attack
Dfense en profondeur Defence in depth : plusieurs approches
Scurit informatique ?
3 proprits:
Confidentialit = accs aux ressources
(systme/data) est limit aux parties autorises.
Intgrit : avoir la bonne
donne/information
Disponibilit: Le systme/donnes fonctionnel
au moment voulu.
Services de scurit

1 . Contrle daccs
2 . Confidentialit
3 . Intgrit
4 . Authentification
5. Non Rpudiation
6. Disponibilit
Evaluation du risque 1/2
Evaluation des risques 2/2
Gestion des risques
L'vitement : on ne fait pas l'activit prsentant un risque.
Cette stratgie est la moins risque et la moins chre.
Frein au dveloppement de l'entreprise
L'acceptation : Le risque est accept.
Pas de protection
La rduction du risque = scurisation
Matrise des risques par les mesures de protection et de prvention
Le transfert : assurance ou toute autre forme de couverture du risque
financier ou garantie financire est contracte.
(sous-traitance directe, en cascade, co-traitance, externalisation)
Privacy (vie prive)
informational self-determination
This means that you get to control informationabout you
droit individuel davoir un espace personnel loin de
lintrusion des autres personnes ou organisations
Control means many th:
Who gets to see it
Who gets to use it
What they can use it for
Who they can give it to
etc.
Scurit vs fiabilit
Security vs reliability

Systme secure: secure system is one you can


rely on to:
Confidentialit des donnes personnelles
Contrle de laccs /modification les donnes
Rsultats corrects et ayant un sens
temps voulu
Les tapes de la SI
Prvention
Analyse des risques
Dfinition d'une politique de scurit
Mise en uvre d'une solution de scurisation
Audit de la solution
Mises jour

Dtection
Raction
Normes et standards de la SI
ISO 17799:
2000 Code de pratiques pour la gestion de la scurit de
l'information. recommandations pour assurer la
scurit de l'information.
objectifs de contrles ou de mesures de scurit rpartis en 10
domaines.
juin 2005 version(E) propose des moyens de contrle,
des mesures rduire les risques qui psent sur la SI.
Ces contrles sont rpartis par domaines, avec un objectif
de scurit nonc pour chaque domaine, dfinissant le
rsultat qui doit tre obtenu. Des contrles sont proposs
afin datteindre lobjectif de contrle recherch.
Normes et standards de la SI (suite)
ISO 27001 = cadre dun systme de management de la scurit de
l'information (SMSI). Le SMSI s'appuie principalement sur un cycle
de gestion de la SI dit PDCA (PLAN-DO-CHECK-ACT) de la roue
de Deming.
Normes et standards de la SI (suite)
Le PDCA (PLAN-DO-CHECK-ACT)

Plan/ poser le vrai problme, trouver les causes


Planifier racines et choisir les solutions optimales

Do / Implmentation des contrles et/ou mesures


Dployer retenus

Check / Vrifier que les actions mises en place sont


Contrler efficaces et atteignent lobjectif dfini

Act / Agir Amlioration du processus global


Impacts de la violation de scurit

Perte de chiffre daffaires


Rputation entache
Perte/endommagement des donnes
Interruption du processus de production
Consquences jurisiques
Perte de confiance des clients
Perte de confiance des investisseurs
Scurit du SI