Les principes de base de la

sécurité informatique

Walid Najjar

1
 Introduction
• Chaque année, le nombre d’incidents et d’attaques ne cesse d’augmenter.
Quelles que soient les méthodes d’intrusion utilisées par les attaquants,
elles évoluent rapidement et aucun système d'information n'est sûr à
100 %.

• La sécurisation globale du Système d’Information d'une entreprise

consiste à respecter des procédures, au niveau humain, technique et
organisationnel.

• L'objectif est de protéger le SI de l'entreprise et de se prémunir contre

tout type de risques pouvant dégrader ses performances.

• La sécurité du réseau consiste également à mettre en place des politiques

de sécurité, comme la gestion des accès, pour garantir l'intégrité des
données critiques de l'entreprise.

• https://www.youtube.com/watch?v=7L9JerWIT3Y&list=RDLV7L9JerWIT3Y
2
 ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

a) Préambule
b) Les enjeux
c) Pourquoi les pirates s’intéressent aux S.I. ?
d) La nouvelle économie de la cybercriminalité
e) Les impacts sur la vie privée
f) Les infrastructures critiques
g) Conclusion

3
 LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

• Les risques d’atteinte aux données et aux systèmes

informatiques selon des critères de disponibilité, d’intégrité et
de confidentialité constituent les enjeux de la sécurité des
systèmes d'information.

• La sécurité des SI est un enjeu croissant du fait des évolutions

technologiques rapides et de l'augmentation naturelle des
risques qui en résulte.

• Dans le monde, une attaque envers les entreprises a lieu tous

les 1,5 secondes.

4
 LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

a. Préambule

• Système d’Information (S.I.)

– Ensemble des ressources destinées à collecter, classifier,
stocker, gérer, diffuser les informations au sein d’une
organisation

Le S.I. doit permettre et faciliter la mission de l’organisation

5
 LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

a. Préambule
• Le système d’information d’une organisation contient un ensemble d’actifs :
actifs primordiaux

processus métiers
et informations

actifs supports

site personne matériel réseau logiciel organisation

ISO/IEC 27005:2008

La sécurité du S.I. consiste donc à assurer

la sécurité de l’ensemble de ces biens
6
 LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

b. Les enjeux

• La sécurité a pour objectif de réduire les risques pesant sur le

système d’information, pour limiter leurs impacts sur le
fonctionnement et les activités métiers des organisations…

• La gestion de la sécurité au sein d’un système d’information n’a pas

pour objectif de faire de l’obstruction. Au contraire :

– Elle contribue à la qualité de service que les utilisateurs sont

en droit d’attendre

– Elle garantit au personnel le niveau de protection qu’ils sont en

droit d’attendre

7
 LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou au PC d’individus ?

• Les motivations évoluent

– Années 80 et 90 : beaucoup de bidouilleurs enthousiastes
– De nos jours : majoritairement des actions organisées et réfléchies

• Cyber délinquance
– Les individus attirés par l’appât du gain
– Les « hacktivistes »
– Motivation politique, religieuse, etc.
– Les concurrents directs de l’organisation visée
– Les fonctionnaires au service d‘un état
– Les mercenaires agissant pour le compte de commanditaires
– …

8
 LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou au PC d’individus ?

• Gains financiers (accès à de l’information, puis monétisation et revente)
– Utilisateurs, emails
– Organisation interne de l’entreprise
– Fichiers clients
– Mots de passe, N° de comptes bancaire, cartes bancaires

• Utilisation de ressources (puis revente ou mise à disposition en tant que « service »)

– Bande passante & espace de stockage (hébergement de musique, films et autres contenus)
– Zombies (botnets)

• Chantage
– Déni de service
– Modifications des données

• Espionnage
– Industriel / concurrentiel
– Étatique
• …
9
LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

d. La nouvelle économie de la cybercriminalité

•Une majorité des actes de délinquance réalisés sur Internet sont commis par des groupes
criminels organisés, professionnels et impliquant de nombreux acteurs
des groupes spécialisés dans le développement de programmes
malveillants et virus informatiques
1
des groupes en charge de l’exploitation et de la commercialisation de
services permettant de réaliser des attaques informatiques
2
un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des
3 hébergeurs malhonnêtes soit des hébergeurs victimes eux-mêmes d’une
attaque et dont les serveurs sont contrôlés par des pirates

4 des groupes en charge de la vente des données volées, et principalement

des données de carte bancaire

5
des intermédiaires financiers pour collecter l’argent qui s’appuient
généralement sur des réseaux de mules

10
 LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

e. Les impacts de la cybercriminalité sur la vie privée

• Impact sur l’image / le caractère / la vie privée
– Diffamation de caractère
– Divulgation d’informations personnelles
– Harcèlement / cyber-bullying
• Usurpation d’identité
– « Vol » et réutilisation de logins/mots de
passe pour effectuer des actions au nom de la victime
• Perte définitive de données
– malware récents (rançongiciel) : données chiffrées contre rançon
– connexion frauduleuse à un compte « cloud » et suppression malveillante de
l’ensemble des données
• Impacts financiers
– N° carte bancaire usurpé et réutilisé pour des achats en ligne
– Chantage (divulgation de photos ou d’informations compromettantes si non
paiement d’une rançon)

11
 LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

f. Conclusion
• Par le passé, les attaques informatiques exploitaient
majoritairement des failles systèmes ou réseaux. Aujourd’hui,
le nombre de vulnérabilités applicatives reste élevé et les
délais entre la découverte d’une vulnérabilité et son
exploitation ont diminué fortement.

• L’exploitation de vulnérabilités informatiques vise à porter

atteinte à l’intégrité ou la disponibilité du système
d'information avec la possibilité de contamination virale.

12
LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

13
LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

14
LES ENJEUX DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION

 se doter d’un ensemble de capacités proactives

et réactives permettant de:
 répondre rapidement
 s’adapter aux cyber incidents
 poursuivre les activités avec des répercussions
limitées sur leurs opérations.

https://www.youtube.com/watch?v=PLqJiEMpZfQ
https://www.youtube.com/watch?v=FR0jaPLbHn0
15
TERMINOLOGIE

16
 TERMINOLOGIE

Sécurité informatique: repose sur 3 principes fondamentaux,

regroupé au sein de la triade : C.I.A (Confidentiality, Integrity and
Availability ; Confidentialité, Intégrité et Disponibilité)

La confidentialité: le fait de s’assurer qu’une information est

accessible uniquement par les entités qui ont le droit d’accéder à
celle-ci.

L’intégrité: s’assurer que la donnée reste toujours intègre c’est-à-dire

qu’elle n’a pas été modifiée par un tiers non autorisé. Ce principe
devra être respecté tout au long de la vie de l’information. Garantir
l’intégrité d’une donnée, c’est garantir que la donnée est restée
fiable depuis sa création.

La disponibilité: le fait de s’assurer que l’information soit toujours

disponible peu importe le moment choisit.
17
 TERMINOLOGIE

Incident de sécurité: est la concrétisation d'un risque. Autrement dit c'est

un événement qui porte atteinte à la disponibilité, la confidentialité ou
l'intégrité d'un bien.
Exemples:
 Utilisation illégale d'un mot de passe, usurpation d'identité
ou abus de droits
Divulgation de données sensibles
Non respect des recommandations et règles de sécurité

Intrusion: Opération qui consiste à accéder, sans autorisation, aux données

d'un système informatique ou d'un réseau, en contournant ou en
désamorçant les dispositifs de sécurité mis en place.

Vulnérabilité: est une faiblesse dans un système informatique permettant à

un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à
son fonctionnement normal, à la confidentialité ou à l'intégrité des
données qu'il contient
18
 TERMINOLOGIE

vulnérabilité + menace = risque

menace: un danger qui existe dans l’environnement d’un système indépendamment de celui-ci :
accident, erreur, malveillance passive si elle porte sur la confidentialité, malveillance active si elle
modifie le contenu de l’information ou le comportement des systèmes de traitement.

vulnérabilité: une faiblesse du système qui le rend sensible à une menace :

 Bogues dans les logiciels
 Mauvaises configurations
 Erreurs humaines
 Services permis et non utilisés
 Virus et chevaux de Troie
 Saturation de la liaison d’accès à l’Internet

risque: la probabilité qu’une menace particulière puisse exploiter une vulnérabilité donnée du
système.

19
 2. LES BESOINS DE SECURITE

https://www.youtube.com/watch?v=D0rtXW9lhEg

a) Introduction aux critères DIC

b) Besoin de sécurité : « Preuve »
c) Différences entre sureté et sécurité
d) Exemple d’évaluation DICP
e) Mécanisme de sécurité pour atteindre les besoins DICP

20
 2. LES BESOINS DE SECURITE

a. Introduction aux critères DIC

21
 2. LES BESOINS DE SECURITE

b. Besoin de sécurité : « Preuve »

22
 2. LES BESOINS DE SECURITE

c. Différences entre sureté et sécurité

23
 2. LES BESOINS DE SECURITE

c. Différences entre sureté et sécurité

Sûreté : ensemble de mécanismes mis en place pour

assurer la continuité de fonctionnement du système dans
les conditions requises.

Sécurité : ensemble de mécanismes destinés à protéger

l'information des utilisateurs ou processus n'ayant pas
l'autorisation de la manipuler et d’assurer les accès
autorisés.

24
 2. LES BESOINS DE SECURITE

d. Exemple d’évaluation DICP

Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur une échelle
permet de déterminer si ce bien est correctement sécurisé.

Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très fort) :

Niveau de Disponibilité du bien Très fort

Niveau d’Intégrité du bien Moyen
Niveau de Confidentialité du bien Très fort
Niveau de Preuve du bien Faible

Le bien bénéficie d’un niveau de sécurité adéquat

25
 2. LES BESOINS DE SECURITE

d. Exemple d’évaluation DICP

• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses services sur internet :

Disponibilité = Très fort Confidentialité = Faible

Un haut niveau de disponibilité du site Un faible niveau de confidentialité
web est nécessaire, sans quoi suffit. En effet, les informations
l’entreprise ne peut atteindre son objectif contenues dans ce site web sont
de faire connaitre ses services au public publiques par nature!

Intégrité = Très fort Serveur Preuve = Faible

Un haut niveau d’intégrité des web Un faible niveau de preuve suffit.
informations présentées est nécessaire.
En effet, ce site web ne permet
En effet, l’entreprise ne souhaiterait pas
aucune interaction avec les
qu’un concurrent modifie
utilisateurs, il fournit simplement
frauduleusement le contenu du site web
des informations fixes.
pour y insérer des informations erronées
(ce qui serait dommageable)

26
2. LES BESOINS DE SECURITE

27
2. LES BESOINS DE SECURITE

28
2. LES BESOINS DE SECURITE

29
2. LES BESOINS DE SECURITE

30
2. LES BESOINS DE SECURITE

31
2. LES BESOINS DE SECURITE

32
2. LES BESOINS DE SECURITE

33
34
35
36
 2. LES BESOINS DE SECURITE

e. Mécanismes de sécurité pour atteindre les besoins DICP

Un Système d’Information a besoin de mécanismes de sécurité qui ont pour

objectif d’assurer et garantir les propriétés DICP sur les actifs de ce S.I.

Voici quelques exemples de mécanismes de sécurité participant à cette

garantie:

37
38
 2. LES BESOINS DE SECURITE

e. Mécanismes de sécurité pour atteindre les besoins DICP

39
 2. LES BESOINS DE SECURITE

e. Mécanismes de sécurité pour atteindre les besoins DICP

40
2. LES BESOINS DE SECURITE

41
 3. Notions de vulnérabilité, menace, attaque

Qu'est-ce que le risque, la menace et la vulnérabilité ? Relation entre le risque, la menace et la vulnérabilité expliquée. – YouTube

a) Notion de « Vulnérabilité »
b) Notion de « Menace »
c) Notion d’« Attaque »
d) Exemple de vulnérabilité lors de la conception d'une application
e) Illustration d'un usage normal de l'application vulnérable
f) Illustration de l'exploitation de la vulnérabilité présente dans l'application

42
 3. Notions de vulnérabilité, menace, attaque

a. Notion de « Vulnérabilité »

43
 3. Notions de vulnérabilité, menace, attaque

b. Notion de « Menace »

44
 3. Notions de vulnérabilité, menace, attaque

c. Notion d’« Attaque »

45
 3. Notions de vulnérabilité, menace, attaque

c. Notion d’« Attaque »

46
3. Notions de vulnérabilité, menace, attaque

47
 3. Notions de vulnérabilité, menace, attaque

d. Exemple de vulnérabilité : Contournement de l'authentification dans l’application

VNC

48
 3. Notions de vulnérabilité, menace, attaque

e. Illustration d’un usage normal de l’application vulnérable

49
 3. Notions de vulnérabilité, menace, attaque

f. Illustration de l’exploitation de la vulnérabilité présente dans l’application

50
 4. LES MENACES

a) Les sources potentielles de menaces

b) Panorama de quelques menaces
c) Hameçonnage & ingénierie sociale
d) Déroulement d’une attaque avancée
e) Violation d’accès non-autorisé
f) Fraude interne
g) Virus informatique
h) Déni de service Distribué (DDoS)
i) Illustration d’un réseau de botnets

https://www.youtube.com/watch?v=inWWhr5tnEA

51
 4. LES MENACES

a. Sources potentielles de menaces

52
 4. LES MENACES

b. Panorama des menaces

Hameçonnage & ingénierie
sociale
Ransomware

Violation d’accès non autorisé

Fraude interne

Virus informatique

Déni de service distribué

Les spywares

53
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Ransomware

54
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Ransomware

55
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Pour comprendre le fonctionnement des attaques d’ingénierie sociale

imaginez les scénarios suivants:

 Approche Personnel:

56
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

 Dans une entreprise:

57
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Ingénierie sociale inverse:

58
 4. LES MENACES

c. Hameçonnage & ingénierie sociale

Exemple de phishing ciblant les employés d’une entreprise
Ransomware

Ce lien pointe en fait vers un site frauduleux, et non pas

vers un serveur légitime de l’entreprise

59
 4. LES MENACES

d. Déroulement d’une attaque avancée

Ransomware

60
 4. LES MENACES

d. Déroulement d’une attaque avancée

Ransomware

61
 4. LES MENACES

d. Déroulement d’une attaque avancée

Ransomware

62
 4. LES MENACES

d. Déroulement d’une attaque avancée(Exemple)

Ransomware

http://www.wsj.com/articles/apple-celebrity-accounts-compromised-by-very-targeted-attack-1409683803

63
 4. LES MENACES

d. Déroulement d’une attaque avancée(Exemple)

Ransomware
• Des services de l'État français ciblés par des cyberattaques d'une "intensité inédite«

https://www.youtube.com/watch?v=mXBGnx8FKFM

• Rançongiciels

https://www.youtube.com/watch?v=U0fSWq6Zuu0

64
 4. LES MENACES

e. Fraude interne

Ransomware

65
 4. LES MENACES

e. Fraude interne

Ransomware

66
 4. LES MENACES

e. Fraude interne

Ransomware
Par exemple, dans un cas de fraude interne “classique”, un collaborateur
va usurper l’identité d’un fournisseur et demander au service
comptabilité de modifier les coordonnées bancaires de celui-ci pour
rediriger les règlements vers un compte frauduleux (détournement
d’actifs). Ce peut être aussi un collaborateur qui va réaliser des achats
(téléphone, ordinateur…) sans autorisation de l’entreprise. Ou encore
un collaborateur qui décide de frauder en produisant des notes de frais
erronées, dans l’objectif d’obtenir un gain financier.

67
 4. LES MENACES

e. Fraude interne

Ransomware

68
 4. LES MENACES

f. Violation d’accès non autorisé : mots de passe faibles

Des mots de passe simples ou faibles (notamment sans caractères spéciaux comme « ! » ou « _ »
Ransomware
et des chiffres) permettent – entre autre – à des attaquants de mener les actions suivantes :
• Utiliser des scripts automatiques pour tester un login avec tous les mots de passe
couramment utilisés (issus d’un dictionnaire) ;
• Utiliser des outils pour tenter de « casser » le mot de passe. Ces outils sont très efficaces
dans le cadre de mots de passe simples, et sont beaucoup moins efficaces dans le cas de
mots de passe longs et complexes.

Réflexion sur l’utilisation des mots de passe : les mots de passe constituent une faiblesse
significative pour la cybersécurité. En effet, les êtres humains n’ont pas la capacité de
mémoriser de nombreux mots de passe, complexes, différents pour chaque application, etc.
Pour cette raison, d’autres moyens d’authentification émergent, de façon à libérer les individus
des problématiques des mots de passe. Quelques exemples : la biométrie, les tokens, la
vérification via un code SMS, les « one time password », etc.

69
 4. LES MENACES

f. Violation d’accès non autorisé : intrusion

Ransomware

70
 4. LES MENACES

g. Virus informatique

Ransomware

71
 4. LES MENACES

i. Illustration d’un réseau de botnets

Ransomware

72