La Sécurité Informatique.

Plan de l’exposé.
• I. Pourquoi la Sécurité Informatique.
• II.La politique de Sécurité Informatique.
• III. Mise en œuvre de la sécurité
Informatique.
• IV. Attaques, Contre-mesures.
• Conclusion
I. Pourquoi la Sécurité Informatique.

• Question Liminaire:

• Qu’elle est votre vision de la Sécurité

Informatique ?
• Vous confiez vos données, qu’elle
conscience avez vous des possibles
évènements fâcheux?
 État des lieux, Clusif 2002
• Entreprises attentistes
• Il y a un budget.
• Sinistres en 2018/2019
– Le vols et les erreurs de conception
– Beaucoup de pannes et de virus
– Sous estimation, ignorance de la menace
interne.
Le besoin de Sécurité Informatique.

• Les sociétés sont devenus dépendantes de

leur outil informatique.
• Internet et le travail avec les réseaux ouverts
introduisent une révolution pour la sécurité.
– Les systèmes d’Intelligence sont répartis.
– Les morceaux sont interconnectés.
– Le succès d’Internet n’a pas été prévu.
 Les conditions du bon
fonctionnement du système.
• Intégrité des données.
– Limitation des accès,…
• Confidentialité des données.
– Obligation légale, confiance,...
• Assurer la disponibilité des services.
– Fiabilité, performance,…
 II. La politique de Sécurité
Informatique.

La PSI est l’ensemble des principes et des

règles de sécurité pour la gestion et le
fonctionnement du système d’information.
 Objectif de la PSI

Son objectif est de protéger les actifs

informatiques contre les risques, d’une
manière adaptée à l’entreprise, à son
environnement et à l’état de son outil
informatique.
Objectif: Ce qui implique que le responsable de sécurité se
charge des activités de:

Protéger… Conception, mise en œuvre, et maintenance des

contre-mesures de sécurité

Identification des actifs informatiques (information,

…les actifs informatiques de applications, systèmes, ressources humaines).
l'entreprise… Détermination de la valeur des actifs:
•pour l'entreprise, et
•pour les intrus potentiels

…contre les risques… Identification des risques, ce qui implique

l'identification des actifs vulnérables sur lesquels
pèsent des menaces significatives

…et ce, d'une manière qui est Détermination du niveau de criticité des différents
adaptée à l'entreprise,… actifs informatiques. Détermination du meilleur
équilibre entre risques et coût de protection

…à son environnement… Identification des menaces:

•internes et externes,
•d'origine accidentelle ou intentionnelle

…et à l'état de son outil

informatique. Identification des vulnérabilités des actifs informatiques
Chronologie de la PSI
Identification des
Identification des actifs
menaces

Détermination de la valeur
des actifs

Identification des
vulnérabilités

Identification des
risques

Détermination du niveau de
criticité des actifs

Conception, mise en œuvre et maintenance des

contre-mesures
 Principes de bases.
• La Sécurité à 100% est une utopie.
• Le tout sécurité est pire que le mal.

• Toujours avoir une vision globale

• La Sécurité est un éternel compromis.

III. Mise en œuvre de la PSI.

• Protéger quoi?
• Pourquoi?
• Contre Quoi?
• Contre Qui?
• A quel coût?
Vulnérabilité, Menaces, Risques.
• Définition de la vulnérabilité:

– Faille matérielle ou logicielle qui permet

d’obtenir un accès non autorisé ou de
provoquer un Déni de Service.

– Naturelle, Physique, Logique,…

– Ex. eau, incendie, lecteur, absence de MJ…
 Menaces.
• Définition de la Menace:
– Expression de nuire à autrui.

On distingue, les attaques externes, internes et

physiques.
 Les attaques externes.
• Intrusion via le réseau
• Diffusion de virus

• Elles sont médiatisées, connues

• Elles sont rares (20%)
• Nécessites pare-feu, la surveillance du
réseau…, isolation des zones sensibles.
 Les attaques internes.
• Le cas typique est l’employé pas content,
mais alors pas du tout content.

• Ce sont les plus fréquentes.

• Lutte complexe.

• Employer des serveurs distincts.

 Les attaques physiques.
• C’est un risque majeur.

• Difficile à contrer sans une réflexion en

amont. (Ex. Française des Jeux,…)

• La plus connue est la pose d’un sniffeur.

 Postulat.
• Plus le niveau de sécurité initial sera élevé,
plus il sera simple de développer et de
suivre les standards et les procédures pour
le maintenir à niveau.

• Éviter de s’en remettre à la chance.

 Le coût.
• Aucune assurance n’est gratuite.
• La politique de sécurité est là pour le rendre
acceptable.
• C’est un compromis.

• La perte de données vitales coûte beaucoup

plus (Perte d’exploitation, etc.)
 Bases d’une PSI (1)
• Volonté de la direction Générale.

• Exercé par un Responsable de la sécurité.

• Elle concerne tout le monde. (pas

d’exception)
• Elle est discutée, on y adhère.
 Bases d’une PSI (2)
• Elle ne dépend pas de la technique.

• Elle définit la technique utilisée.

• Elle se base surtout sur l’information et la

FORMATION.
 Concrètement
• Une SI c’est 80% de bon sens.

• Il faut connaître son environnement.

• Être informé, SANS, CERT, CNRS-CRU, le
site du fabriquant de votre OS.

• Elle doit être COHÉRENTE, sinon vous

êtes le maillon faible,…
Questions