ours Sécurité et cryptographie



Documents pareils
Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Sécurité informatique: introduction

La sécurité IT - Une précaution vitale pour votre entreprise

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Projet Sécurité des SI

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Sécurité des systèmes informatiques Introduction

Fiche descriptive de module

Mise en œuvre de la certification ISO 27001

SOMMAIRE Thématique : Sécurité des systèmes d'information

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Groupe Eyrolles, 2004, ISBN :

z Fiche d identité produit

Mise en place d une politique de sécurité

Bibliographie. Gestion des risques

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

La sécurité applicative

SOMMAIRE Thématique : Sécurité des systèmes d'information

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

La sécurité des systèmes d information

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

face à la sinistralité

WIFI (WIreless FIdelity)


Formation en Sécurité Informatique

Menaces et sécurité préventive

Guide de bonnes pratiques de sécurisation du système d information des cliniques


TUNIS LE : 20, 21, 22 JUIN 2006

PACK SKeeper Multi = 1 SKeeper et des SKubes

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

Cloud Computing : guide de la sécurité. Recommandations d IBM pour la sécurisation de l informatique en nuage

L'écoute des conversations VoIP

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

La politique de sécurité

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Sécurité des applications Retour d'expérience

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Audits Sécurité. Des architectures complexes

Gestion du risque numérique

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Gestion des Incidents SSI

Sécurité des Postes Clients

Fiche de l'awt La sécurité informatique

Indicateur et tableau de bord

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Malveillances Téléphoniques

Etat des lieux sur la sécurité de la VoIP

2012 / Excellence. Technicité. Sagesse

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Contrôle d accès Centralisé Multi-sites

Excellence. Technicité. Sagesse

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Gestion des incidents

Connaître les Menaces d Insécurité du Système d Information

Sécurité des réseaux sans fil

Réseaux Privés Virtuels

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Sécurité informatique

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

THEORIE ET CAS PRATIQUES

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e)

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

L analyse de risques avec MEHARI

Les principes de la sécurité

Politique de sécurité de l information

TOPOLOGIES des RESEAUX D ADMINISTRATION

Prestations d audit et de conseil 2015

Charte d installation des réseaux sans-fils à l INSA de Lyon

Fiche Technique. Cisco Security Agent

dans un contexte d infogérance J-François MAHE Gie GIPS

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

La dématérialisation au service des entreprises. Ysoria

Sécurité du cloud computing

Atelier Sécurité / OSSIR

A.E.C. - Gestion des Applications, TI LEA.BW

L'infonuagique, les opportunités et les risques v.1

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Présentation de la solution Open Source «Vulture» Version 2.0

curité des TI : Comment accroître votre niveau de curité

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Evolution de messagerie en Cloud SaaS privé

Panorama général des normes et outils d audit. François VERGEZ AFAI

Le protocole SSH (Secure Shell)

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Politique de Sécurité des Systèmes d Information

Projet de Sécurité Groupe Audit

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

Transcription:

Objectifs Cours Sécurité et cryptographie Objectifs du cours: Acquérir des connaissances fondamentales sur les aspects de la sécurité des systèmes d information Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Apprendre comment analyser les risques Apprendre comment choisir et déployer les mécanismes appropriées pour lutter contre les attaques. Remarque: ce document doit être complété par les notes de cours Hdhili M.H 1 Acquérir des connaissances sur les méthodes cryptographique p intervenant dans la plupart p des mécanismes de sécurité 2 Plan Plan Partie 1: Introduction à la sécurité Niveaux de sécurisation Aspects de la sécurité Services, attaques et mécanismes Risques Politique de sécurité Audit de la sécurité Partie 2: Attaques / menaces / vulnérabilités Définitions, Classifications Vulnérabilités logicielles i ll Vulnérabilités des protocoles et des services Logiciels i malveillants Partie 3: Gestion des risques Définitions Identifications des risques Évaluation du risque Partie 4: Mécanismes de sécurité Mécanismes cryptographiques Contrôle d accès Firewall et ACL, VPN, VLAN, SSH, authentification Outils: IDS, IPS, scanners de vulnérabilités Sécurité dans les couches protocolaires SSL/TLS / SET, IPSEC 3 4

Plan Partie 5: introduction à la cryptographie Partie 6: crypto-systèmes tè Symétriques Asymétriques Hybrides Partie 7: Authentification Schéma de signatures Fonctions de hashage Partie 8: Authentification interactive Partie 9: Protocoles et infrastructures de gestion de clés Chapitre 1 introduction à la sécurité 5 Hdhili M.H 6 Définitions Sécurité: Ensemble des techniques qui assurent que les données et les ressources (matérielles ou logicielles) soient utilisées uniquement dans le cadre où il est prévu qu'elles le soient. Sécurité des systèmes d informations Système d information: Ensemble d activités consistant à gérer les informations: acquérir, stocker, transformer, diffuser, exploiter Fonctionne souvent grâce à un système informatique Sécurité du système d information = sécurité du système informatique 7 Périmètre de la sécurité (1/3) Bases de données Réseaux Web DE QUI? Systèmes d exploitations DE QUOI? Applications Personnel Locaux Mtéil Matériel 8

Périmètre de la sécurité (1/3) Périmètre organisationnel et fonctionnel: Organisation de la sécurité Répartition des responsabilités Sensibilisations des utilisateurs Contrôle Politique et guides de sécurité Procédure de sécurité Personnel Sécurité physique Lutte anti-incendie, dégâts d eau DE QUI? Locaux Contrôle d accès physique DE QUOI? Sauvegarde et archivage des documents Sécurité du matériel: climatisation Matériel 9 Périmètre de la sécurité (2/2) Sécurité logique: des données, des applications, des systèmes d'exploitation. Des communications réseaux Bases de données Web Systèmes d exploitations Réseaux DE QUI? DE QUOI? Applications 10 Sécurité: nécessité Besoin d une stratégie de sécurité pour: Réseaux Aspects de la sécurité Méthodes employées pour casser les services de la sécurité en détournant les mécanismes Contrats Utilisateurs (2) ATTAQUES Législation Informaticiens STRATÉGIE DE Logiciel i Matériel Applications 11 (1) SERVICES (3)MÉCANISMES Fonctionnalités requises pour assurer un environnement sécurisé en faisant appel aux mécanismes Moyens utilisés pour assurer les services de la sécurité en luttant contre les attaques 12

Aspects de la sécurité: services Authentification Assurance de l'identité d'un objet de tout type qui peut être une personne (identification), un serveur ou une application. Intégrité Garantie qu'un objet (document, fichier, message, etc.) ne soit pas modifié par un tiers que son auteur. Confidentialité Assurance qu une information ne soit pas comprise par un tiers qui n en a pas le droit Non répudiation Assurance que l'émetteur d'un message ne puisse pas nier l'avoir envoyé et que son récepteur ne puisse pas nier l'avoir reçu. Disponibilité Assurance que les services ou l'information soient utilisable et accessible par les utilisateurs autorisés 13 Aspects de la sécurité: attaques Attaques Attaques Externes Internes Système Passives Actives Exécutées par des entités externes au système victime Exécutées par des entités internes au système victime parce qu ils sont malicieux ou détenu par des attaquants Attaque interne Attaque externe Ecoute du système (réseau) pour l analyser Injection, suppression ou modification de données 14 Aspects de la sécurité: Mécanismes Mécanismes de la sécurité Mécanisme de base Mécanismes secondaires Cryptographie Filtrage Contrôle d accès Détection d intrusion Scanners de vulnérabilité 15 Risques Le risque: Le fait qu un événement puisse empêcher de Maintenir une situation donnée et Maintenir un objectif dans des conditions fixées et Satisfaire i une finalité programmée fraudes Divulgation d information Pannes Risques Attaques Accidents, (incendie, dégâts des eaux,..) Erreurs: utilisation, exploitation 16

Types de risques 3 types principaux Analyse des risques (chapitre) Objectifs: Risques opérationnels Qui concernent le fonctionnement de l entreprise: la continuité d activité, le risque vis-à-vis de personnes ou équipes clefs, les risques légaux et contractuels, Risques stratégiques Liés par exemple à l obsolescence des produits et les évolutions des réseaux de distribution. Risques financières Liés par exemple aux taux de change et au défaut de payement. Avoir une meilleure protection des systèmes qui conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires. Prendre de meilleures décisions basées sur des faits tangibles et mesurables. Investissement en équipement, personnel, formation, Permettre à une organisation d accomplir sa mission. 17 18 Analyse des risques premier pas Définir les besoins. Déterminer les actifs à protéger et leurs propriétaires. Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés? Déterminer les menacesre présentant t des risques. Quels sont les attaqueurs? Quels sont leurs moyens? Quelles sont leurs motivations? Déterminer les objectifs à atteindre. Quelles sont les propriétés des actifs à protéger? Proposer un solution. Déterminer les contre-mesures à mettre en place. Évaluer les risques résiduels. Déterminer quelles sont les vulnérabilités toujours présentes. Déterminer leurs impacts sur les objectifs initiaux. 19 Analyse des risques schématiquement 20

Politique de sécurité Objectifs Sécurisation adaptée aux besoins de l entreprise (après l analyse des risques) Compromis sécurité - fonctionnalité. Permet d analyser un audit de sécurité Composantes politique de confidentialité politique d accès politique d authentification Politique de responsabilité Politique de maintenance politique de rapport de violations 21 Politique de sécurité Etapes d élaboration: Identifier les risques et leurs conséquences. Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés. Surveillance et veille technologique sur les vulnérabilités découvertes. Actions à entreprendre et personnes à contacter en cas de détection d'un problème. Etapes de mise en place: Mise en œuvre Audit et tests t d'intrusion i Détection d'incidents Réactions Restauration 22 Audit: Audit de la sécurité (chapitre) Mission d examen et de vérification de la conformité (aux règles) d une opération, d une activitéou de la situation générale d une entreprise Objectifs: Voir si la politique i de sécurité é est respectée Découvrir les risques Quelques méthodes de sécurité EBIOS (Expressions des Besoins et Identification des Objectifs de Sécurité) http://www.ssi.gouv.fr/fr/confiance/ebios.html MEHARI (MEthode Harmonisée d'analyse de Risques) http://www.clusif.asso.fr/fr/production/mehari Effectuer des tests techniques de vulnérabilité Proposer des recommandations Proposer un plan d action La norme ISO 17799 http://www.clusif.asso.fr/fr/production/ouvrages/pdf/presentati on-iso17799-2005.pdf 23 24

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back