Sécurité des Systèmes

Informatiques et Normes
Support de cours

1-MP-RT

Samya AMIRI 2016/2017

1
 sommaire
• 1 concepts de base de la sécurité informatique
• 2: sécurité des bases de donnée
• 3: sécurité web

2
Sommaire

Généralité
Normes

3
4
 Généralité: Sécurité Informatique1/2

 Un système d’information :
– Un système d'information est un ensemble des moyens humains et
matériels ayant pour finalité d'élaborer, traiter, stocker, acheminer,
présenter ou détruire l'information.
 Un système informatique :
– un ensemble des moyens informatiques et de télécommunication ayant
pour finalité d'élaborer, traiter, stocker, acheminer, présenter ou détruire
des données.

5
 Généralité: Sécurité Informatique 2/2

• En anglais: 2 mots
-Safety: contre les accidents
-Security: contre les actes délibérés (malveillance)
• En français: 1 seul mot « sécurité »

i Sécurité et Sureté
On parle de :
— « Sécurité de fonctionnement » dans le cas de la protection
des données et de la capacité de travail contre les actes de
malveillance ;
— « Sureté de fonctionnement » dans le cas de la protection du
système d'information contre les accidents

6
 Les principes de la sécurité informatique1/9

Principes Fondamentaux:
La confidentialité
L’intégrité
La disponibilité
Principes complémentaires
L’Authenticité
Non-répudiation
L’anti-rejeu

7
Les principes de la sécurité informatique 2/9

8
Les principes de la sécurité informatique3/9

9
 Les principes de la sécurité informatique4/9

Confidentialité

 « La confidentialité est le maintien du secret des

informations » (Le Petit Robert)
 une protection des données contre une divulgation
non autorisée
 2 actions complémentaires permettant d'assurer la
confidentialité des données
Limiter leur accès par un mécanisme de contrôle d'accès
Transformer les données par des procédures de chiffrement

10
 Les principes de la sécurité informatique5/9

L’integrité:
L'altération est principalement
occasionnée par le média de transmission
mais peut provenir du système
d'informations
 Il faut également veiller à garantir la
protection des données d'une écoutes
actives sur le réseau,
11
 Les principes de la sécurité informatique6/9

Disponibilité
 Ce paramètre est mesuré par une montée en charge du système
afin de s'assurer de la totale disponibilité du service
 Un service doit aussi être assuré avec le minimum
d'interruption
 la mise en place d'une politique de sauvegarde

12
 Les principes de la sécurité informatique7/9

L’identification et l’authentification
 L'identification de l'auteur d'un document peut être aisé par
contre être
en mesure d'assurer l'authenticité du document est chose plus
délicate
 Ces mesures doivent être mises en place afin d'assurer
 La confidentialité et l'intégrité des données d'une personne
 La non-répudiation
 L'identification peut être vu comme un simple login de
connexion sur un système
 L'authentification peut être un mot de passe connu seulement
par l'utilisateur

13
 Les principes de la sécurité informatique8/9

La non-répudiation
La non-répudiation est le fait de ne pouvoir nier ou rejeter
qu'un
événement a eu lieu
A cette notion sont associées
 L'imputabilité: une action a eu lieu et automatiquement un
enregistrement, preuve de l'action, est effectué
 La tracabilité: mémorisation de l'origine du message
 L'auditabilité: capacité d'un système à garantir la présence
d'informations nécessaires à une analyse ultérieure d'un
événement.

14
 Les principes de la sécurité informatique9/9

L’anti-rejeu
L’anti-rejeu permet d’éviter de rejouer une action ou
une série d’actions survenue sur le système
d’information.
 Le terme « rejouer » signifie réutiliser une
ressource afin d’obtenir les mêmes résultats
qu’une action précédente.

15
Qu'est-ce que la sécurité informatique?

16
Qu'est-ce que la sécurité informatique?

 services de sécurité : un service qui améliore la sécurité

des systèmes informatiques et des transferts
d’information d’une organisation. Les services sont
conçus pour contrer les attaques de sécurité, et ils
utilisent un ou plusieurs mécanismes de sécurité ;
 mécanismes de sécurité : un mécanisme est conçu pour
détecter, prévenir ou rattraper une attaque de sécurité.
 attaque de sécurité : une action qui compromet la
sécurité de l’information possédée par une organisation.

17
Les Domaines d'intervention de la sécurité

18
Les Domaines d'intervention de la sécurité

19
Les Normes

20
La suite des normes ISO 2700x

21
Quelques définitions (ISO 27000)

22
Quelques définitions (ISO 27000)

23
 La norme ISO/CEI 27002

 ISO/CEI 27002 : Code de bonne pratique pour le

management de la sécurité de l’information
 La norme ISO/CEI 27002 est une norme internationale
concernant la sécurité de l’information, publié en 2005
 L'ISO/CEI 27002 est un ensemble de 133 mesures dites «
best practices » (bonnes pratiques en français),
 destinées à être utilisées par tous ceux qui sont responsables
de la mise en place ou du maintien d'un Système de
Management de la Sécurité de l'Information.

24
 La norme ISO/CEI 27002

un code de bonne pratique pour les objectifs et mesures, dans les

catégories suivantes de la gestion de la sécurité de l'information:
 politique de sécurité;
 organisation de la sécurité de l'information;
 gestion des biens;
 sécurité liée aux ressources humaines;
 sécurité physique et environnementale;
 gestion opérationnelle et gestion de la communication;
 contrôle d'accès;
 acquisition, développement et maintenance des systèmes d'information;
 gestion des incidents liés à la sécurité de l'information;
 gestion de la continuité de l'activité;
 conformité.

25