Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours Hdhili M.H Cours sécurité et cryptographie 1
Objectifs Objectifs du cours: Acquérir des connaissances fondamentales sur les aspects de la sécurité des systèmes d information Apprendre comment analyser les risques Apprendre comment choisir et déployer les mécanismes appropriées pour lutter contre les attaques. Acquérir des connaissances sur les méthodes cryptographique p intervenant dans la plupart p des mécanismes de sécurité Hdhili M. H Cours sécurité et cryptographie 2
Plan Partie 1: Introduction à la sécurité Niveaux de sécurisation Aspects de la sécurité Services, attaques et mécanismes Risques Politique de sécurité Audit de la sécurité Partie 2: Attaques / menaces / vulnérabilités Définitions, Classifications Vulnérabilités logicielles i ll Vulnérabilités des protocoles et des services Logiciels i malveillants Hdhili M. H Cours sécurité et cryptographie 3
Plan Partie 3: Gestion des risques Définitions Identifications des risques Évaluation du risque Partie 4: Mécanismes de sécurité Mécanismes cryptographiques Contrôle d accès Firewall et ACL, VPN, VLAN, SSH, authentification Outils: IDS, IPS, scanners de vulnérabilités Sécurité dans les couches protocolaires SSL/TLS / SET, IPSEC Hdhili M. H Cours sécurité et cryptographie 4
Plan Partie 5: introduction à la cryptographie Partie 6: crypto-systèmes tè Symétriques Asymétriques Hybrides Partie 7: Authentification Schéma de signatures Fonctions de hashage Partie 8: Authentification interactive Partie 9: Protocoles et infrastructures de gestion de clés Hdhili M. H Cours sécurité et cryptographie 5
Chapitre 1 introduction à la sécurité Hdhili M.H Cours sécurité et cryptographie 6
Définitions Sécurité: Ensemble des techniques qui assurent que les données et les ressources (matérielles ou logicielles) soient utilisées uniquement dans le cadre où il est prévu qu'elles le soient. Sécurité des systèmes d informations Système d information: Hdhili M. H Ensemble d activités consistant à gérer les informations: acquérir, stocker, transformer, diffuser, exploiter Fonctionne souvent grâce à un système informatique Sécurité du système d information = sécurité du système informatique Cours sécurité et cryptographie 7
Périmètre de la sécurité (1/3) Réseaux Bases de données SÉCURITÉ Web DE QUI? Systèmes d exploitations DE QUOI? Personnel Locaux Mtéil Matériel Applications Hdhili M. H Cours sécurité et cryptographie 8
Périmètre de la sécurité (1/3) Périmètre organisationnel et fonctionnel: Organisation de la sécurité Répartition des responsabilités Sensibilisations des utilisateurs Contrôle Politique et guides de sécurité Procédure de sécurité Sécurité physique Lutte anti-incendie, dégâts d eau SÉCURITÉ DE QUI? DE QUOI? Personnel Locaux Contrôle d accès physique Sauvegarde et archivage des documents Sécurité du matériel: climatisation Matériel Hdhili M. H Cours sécurité et cryptographie 9
Périmètre de la sécurité (2/2) Sécurité logique: des données, des applications, des systèmes d'exploitation. Des communications réseaux Bases de données Web Systèmes d exploitations Réseaux SÉCURITÉ DE QUI? DE QUOI? Applications Hdhili M. H Cours sécurité et cryptographie 10
Sécurité: nécessité Besoin d une stratégie de sécurité pour: Réseaux Contrats Utilisateurs Législation Informaticiens STRATÉGIE DE SÉCURITÉ Logiciel i Matériel Hdhili M. H Applications Cours sécurité et cryptographie 11
Aspects de la sécurité Méthodes employées pour casser les services de la sécurité en détournant les mécanismes (2) ATTAQUES (1) SERVICES (3)MÉCANISMES Fonctionnalités requises pour assurer un environnement sécurisé en faisant appel aux mécanismes Moyens utilisés pour assurer les services de la sécurité en luttant contre les attaques Hdhili M. H Cours sécurité et cryptographie 12
Aspects de la sécurité: services Authentification Assurance de l'identité d'un objet de tout type qui peut être une personne (identification), un serveur ou une application. Intégrité Garantie qu'un objet (document, fichier, message, etc.) ne soit pas modifié par un tiers que son auteur. Confidentialité Assurance qu une information ne soit pas comprise par un tiers qui n en a pas le droit Non répudiation Assurance que l'émetteur d'un message ne puisse pas nier l'avoir envoyé et que son récepteur ne puisse pas nier l'avoir reçu. Disponibilité Assurance que les services ou l'information soient utilisable et accessible par les utilisateurs autorisés Hdhili M. H Cours sécurité et cryptographie 13
Aspects de la sécurité: attaques Attaques Externes Internes Exécutées par des entités externes au système victime Exécutées par des entités internes au système victime parce qu ils sont malicieux ou détenu par des attaquants Système Attaque interne Attaque externe Passives Attaques Actives Ecoute du système (réseau) pour l analyser Injection, suppression ou modification de données Hdhili M. H Cours sécurité et cryptographie 14
Aspects de la sécurité: Mécanismes Mécanisme de base Cryptographie Mécanismes de la sécurité Filtrage Contrôle d accès Mécanismes secondaires Détection d intrusion Scanners de vulnérabilité Hdhili M. H Cours sécurité et cryptographie 15
Risques Le risque: Le fait qu un événement puisse empêcher de Maintenir une situation donnée et Maintenir un objectif dans des conditions fixées et Satisfaire i une finalité programmée fraudes Divulgation d information Pannes Risques Attaques Accidents, (incendie, dégâts des eaux,..) Erreurs: utilisation, exploitation Hdhili M. H Cours sécurité et cryptographie 16
Types de risques 3 types principaux Risques opérationnels Qui concernent le fonctionnement de l entreprise: la continuité d activité, le risque vis-à-vis de personnes ou équipes clefs, les risques légaux et contractuels, Risques stratégiques Liés par exemple à l obsolescence des produits et les évolutions des réseaux de distribution. Risques financières Liés par exemple aux taux de change et au défaut de payement. Hdhili M. H Cours sécurité et cryptographie 17
Analyse des risques (chapitre) Objectifs: Avoir une meilleure protection des systèmes qui conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires. Prendre de meilleures décisions basées sur des faits tangibles et mesurables. Investissement en équipement, personnel, formation, Permettre à une organisation d accomplir sa mission. Hdhili M. H Cours sécurité et cryptographie 18
Analyse des risques premier pas Définir les besoins. Déterminer les actifs à protéger et leurs propriétaires. Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés? Déterminer les menacesre présentant t des risques. Quels sont les attaqueurs? Quels sont leurs moyens? Quelles sont leurs motivations? Déterminer les objectifs à atteindre. Quelles sont les propriétés des actifs à protéger? Proposer un solution. Déterminer les contre-mesures à mettre en place. Évaluer les risques résiduels. Déterminer quelles sont les vulnérabilités toujours présentes. Déterminer leurs impacts sur les objectifs initiaux. Hdhili M. H Cours sécurité et cryptographie 19
Analyse des risques schématiquement Hdhili M. H Cours sécurité et cryptographie 20
Politique de sécurité Objectifs Sécurisation adaptée aux besoins de l entreprise (après l analyse des risques) Compromis sécurité - fonctionnalité. Permet d analyser un audit de sécurité Composantes politique de confidentialité politique d accès politique d authentification Politique de responsabilité Politique de maintenance politique de rapport de violations Hdhili M. H Cours sécurité et cryptographie 21
Politique de sécurité Etapes d élaboration: Identifier les risques et leurs conséquences. Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés. Surveillance et veille technologique sur les vulnérabilités découvertes. Actions à entreprendre et personnes à contacter en cas de détection d'un problème. Etapes de mise en place: Hdhili M. H Mise en œuvre Audit et tests t d'intrusion i Détection d'incidents Réactions Restauration Cours sécurité et cryptographie 22
Audit de la sécurité (chapitre) Audit: Mission d examen et de vérification de la conformité (aux règles) d une opération, d une activitéou de la situation générale d une entreprise Objectifs: Voir si la politique i de sécurité é est respectée Découvrir les risques Effectuer des tests techniques de vulnérabilité Proposer des recommandations Proposer un plan d action Hdhili M. H Cours sécurité et cryptographie 23
Quelques méthodes de sécurité EBIOS (Expressions des Besoins et Identification des Objectifs de Sécurité) http://www.ssi.gouv.fr/fr/confiance/ebios.html MEHARI (MEthode Harmonisée d'analyse de Risques) http://www.clusif.asso.fr/fr/production/mehari La norme ISO 17799 http://www.clusif.asso.fr/fr/production/ouvrages/pdf/presentati on-iso17799-2005.pdf Hdhili M. H Cours sécurité et cryptographie 24