ours Sécurité et cryptographie

Dimension: px

Commencer à balayer dès la page:

Download "ours Sécurité et cryptographie"

Arlette Girard
il y a 9 ans
Total affichages :

1 Objectifs Cours Sécurité et cryptographie Objectifs du cours: Acquérir des connaissances fondamentales sur les aspects de la sécurité des systèmes d information Mohamed Houcine Elhdhili & Khaled Sammoud [email protected]@yahoo es [email protected] Apprendre comment analyser les risques Apprendre comment choisir et déployer les mécanismes appropriées pour lutter contre les attaques. Remarque: ce document doit être complété par les notes de cours Hdhili M.H 1 Acquérir des connaissances sur les méthodes cryptographique p intervenant dans la plupart p des mécanismes de sécurité 2 Plan Plan Partie 1: Introduction à la sécurité Niveaux de sécurisation Aspects de la sécurité Services, attaques et mécanismes Risques Politique de sécurité Audit de la sécurité Partie 2: Attaques / menaces / vulnérabilités Définitions, Classifications Vulnérabilités logicielles i ll Vulnérabilités des protocoles et des services Logiciels i malveillants Partie 3: Gestion des risques Définitions Identifications des risques Évaluation du risque Partie 4: Mécanismes de sécurité Mécanismes cryptographiques Contrôle d accès Firewall et ACL, VPN, VLAN, SSH, authentification Outils: IDS, IPS, scanners de vulnérabilités Sécurité dans les couches protocolaires SSL/TLS / SET, IPSEC 3 4

com Apprendre comment analyser les risques Apprendre comment choisir et déployer les mécanismes appropriées pour lutter contre les attaques.

2 Plan Partie 5: introduction à la cryptographie Partie 6: crypto-systèmes tè Symétriques Asymétriques Hybrides Partie 7: Authentification Schéma de signatures Fonctions de hashage Partie 8: Authentification interactive Partie 9: Protocoles et infrastructures de gestion de clés Chapitre 1 introduction à la sécurité 5 Hdhili M.H 6 Définitions Sécurité: Ensemble des techniques qui assurent que les données et les ressources (matérielles ou logicielles) soient utilisées uniquement dans le cadre où il est prévu qu'elles le soient. Sécurité des systèmes d informations Système d information: Ensemble d activités consistant à gérer les informations: acquérir, stocker, transformer, diffuser, exploiter Fonctionne souvent grâce à un système informatique Sécurité du système d information = sécurité du système informatique 7 Périmètre de la sécurité (1/3) Bases de données Réseaux Web DE QUI? Systèmes d exploitations DE QUOI? Applications Personnel Locaux Mtéil Matériel 8

H 6 Définitions Sécurité: Ensemble des techniques qui assurent que les données et les ressources (matérielles ou logicielles) soient utilisées uniquement dans le cadre où il est prévu qu'elles le

3 Périmètre de la sécurité (1/3) Périmètre organisationnel et fonctionnel: Organisation de la sécurité Répartition des responsabilités Sensibilisations des utilisateurs Contrôle Politique et guides de sécurité Procédure de sécurité Personnel Sécurité physique Lutte anti-incendie, dégâts d eau DE QUI? Locaux Contrôle d accès physique DE QUOI? Sauvegarde et archivage des documents Sécurité du matériel: climatisation Matériel 9 Périmètre de la sécurité (2/2) Sécurité logique: des données, des applications, des systèmes d'exploitation. Des communications réseaux Bases de données Web Systèmes d exploitations Réseaux DE QUI? DE QUOI? Applications 10 Sécurité: nécessité Besoin d une stratégie de sécurité pour: Réseaux Aspects de la sécurité Méthodes employées pour casser les services de la sécurité en détournant les mécanismes Contrats Utilisateurs (2) ATTAQUES Législation Informaticiens STRATÉGIE DE Logiciel i Matériel Applications 11 (1) SERVICES (3)MÉCANISMES Fonctionnalités requises pour assurer un environnement sécurisé en faisant appel aux mécanismes Moyens utilisés pour assurer les services de la sécurité en luttant contre les attaques 12

Sauvegarde et archivage des documents Sécurité du matériel: climatisation Matériel 9 Périmètre de la sécurité (2/2) Sécurité logique: des données, des applications, des systèmes d'exploitation.

4 Aspects de la sécurité: services Authentification Assurance de l'identité d'un objet de tout type qui peut être une personne (identification), un serveur ou une application. Intégrité Garantie qu'un objet (document, fichier, message, etc.) ne soit pas modifié par un tiers que son auteur. Confidentialité Assurance qu une information ne soit pas comprise par un tiers qui n en a pas le droit Non répudiation Assurance que l'émetteur d'un message ne puisse pas nier l'avoir envoyé et que son récepteur ne puisse pas nier l'avoir reçu. Disponibilité Assurance que les services ou l'information soient utilisable et accessible par les utilisateurs autorisés 13 Aspects de la sécurité: attaques Attaques Attaques Externes Internes Système Passives Actives Exécutées par des entités externes au système victime Exécutées par des entités internes au système victime parce qu ils sont malicieux ou détenu par des attaquants Attaque interne Attaque externe Ecoute du système (réseau) pour l analyser Injection, suppression ou modification de données 14 Aspects de la sécurité: Mécanismes Mécanismes de la sécurité Mécanisme de base Mécanismes secondaires Cryptographie Filtrage Contrôle d accès Détection d intrusion Scanners de vulnérabilité 15 Risques Le risque: Le fait qu un événement puisse empêcher de Maintenir une situation donnée et Maintenir un objectif dans des conditions fixées et Satisfaire i une finalité programmée fraudes Divulgation d information Pannes Risques Attaques Accidents, (incendie, dégâts des eaux,..) Erreurs: utilisation, exploitation 16

Confidentialité Assurance qu une information ne soit pas comprise par un tiers qui n en a pas le droit Non répudiation Assurance que l'émetteur d'un message ne puisse pas nier l'avoir envoyé et que

5 Types de risques 3 types principaux Analyse des risques (chapitre) Objectifs: Risques opérationnels Qui concernent le fonctionnement de l entreprise: la continuité d activité, le risque vis-à-vis de personnes ou équipes clefs, les risques légaux et contractuels, Risques stratégiques Liés par exemple à l obsolescence des produits et les évolutions des réseaux de distribution. Risques financières Liés par exemple aux taux de change et au défaut de payement. Avoir une meilleure protection des systèmes qui conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires. Prendre de meilleures décisions basées sur des faits tangibles et mesurables. Investissement en équipement, personnel, formation, Permettre à une organisation d accomplir sa mission Analyse des risques premier pas Définir les besoins. Déterminer les actifs à protéger et leurs propriétaires. Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés? Déterminer les menacesre présentant t des risques. Quels sont les attaqueurs? Quels sont leurs moyens? Quelles sont leurs motivations? Déterminer les objectifs à atteindre. Quelles sont les propriétés des actifs à protéger? Proposer un solution. Déterminer les contre-mesures à mettre en place. Évaluer les risques résiduels. Déterminer quelles sont les vulnérabilités toujours présentes. Déterminer leurs impacts sur les objectifs initiaux. 19 Analyse des risques schématiquement 20

Risques financières Liés par exemple aux taux de change et au défaut de payement.

6 Politique de sécurité Objectifs Sécurisation adaptée aux besoins de l entreprise (après l analyse des risques) Compromis sécurité - fonctionnalité. Permet d analyser un audit de sécurité Composantes politique de confidentialité politique d accès politique d authentification Politique de responsabilité Politique de maintenance politique de rapport de violations 21 Politique de sécurité Etapes d élaboration: Identifier les risques et leurs conséquences. Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés. Surveillance et veille technologique sur les vulnérabilités découvertes. Actions à entreprendre et personnes à contacter en cas de détection d'un problème. Etapes de mise en place: Mise en œuvre Audit et tests t d'intrusion i Détection d'incidents Réactions Restauration 22 Audit: Audit de la sécurité (chapitre) Mission d examen et de vérification de la conformité (aux règles) d une opération, d une activitéou de la situation générale d une entreprise Objectifs: Voir si la politique i de sécurité é est respectée Découvrir les risques Quelques méthodes de sécurité EBIOS (Expressions des Besoins et Identification des Objectifs de Sécurité) MEHARI (MEthode Harmonisée d'analyse de Risques) Effectuer des tests techniques de vulnérabilité Proposer des recommandations Proposer un plan d action La norme ISO on-iso pdf 23 24

rapport de violations 21 Politique de sécurité Etapes d élaboration: Identifier les risques et leurs conséquences. Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés.

Documents pareils

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours