c cours sécurité et cryptographie -...
TRANSCRIPT
![Page 1: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/1.jpg)
C Cours Sécurité et cryptographieSécurité et cryptographie
Mohamed Houcine Elhdhili & Khaled Sammoud
Med elhdhili@yahoo [email protected]@gmail.com
Remarque: ce document doit être complété par les notes de cours
Cours sécurité et cryptographieHdhili M.H 1
![Page 2: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/2.jpg)
Objectifs
Objectifs du cours:
Acquérir des connaissances fondamentales sur les aspects de la sécurité des systèmes d’informationde la sécurité des systèmes d information
Apprendre comment analyser les risquesApprendre comment analyser les risques
Apprendre comment choisir et déployer les mécanismes Apprendre comment choisir et déployer les mécanismes appropriées pour lutter contre les attaques.
Acquérir des connaissances sur les méthodes cryptographique intervenant dans la plupart des
Cours sécurité et cryptographieHdhili M. H
yp g p q p pmécanismes de sécurité
2
![Page 3: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/3.jpg)
Plan
Partie 1: Introduction à la sécuritéNiveaux de sécurisationNiveaux de sécurisationAspects de la sécurité
Services attaques et mécanismesServices, attaques et mécanismesRisquesPolitique de sécuritéPolitique de sécuritéAudit de la sécurité
Partie 2: Attaques / menaces / vulnérabilitésPartie 2: Attaques / menaces / vulnérabilitésDéfinitions, ClassificationsV l é bilité l i i llVulnérabilités logiciellesVulnérabilités des protocoles et des servicesL i i l l ill
Cours sécurité et cryptographieHdhili M. H
Logiciels malveillants3
![Page 4: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/4.jpg)
Plan
Partie 3: Gestion des risquesDéfinitionsDéfinitionsIdentifications des risquesÉvaluation du risqueÉvaluation du risque
Partie 4: Mécanismes de sécuritéMécanismes cryptographiquesContrôle d’accès
Firewall et ACL, VPN, VLAN, SSH, authentification Outils: IDS, IPS, scanners de vulnérabilitésSécurité dans les couches protocolaires
Cours sécurité et cryptographieHdhili M. H
SSL/TLS / SET, IPSEC4
![Page 5: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/5.jpg)
Plan
Partie 5: introduction à la cryptographiePartie 6: t tè Partie 6: crypto-systèmes
Symétriques A é iAsymétriquesHybrides
Partie 7: AuthentificationSchéma de signatures Fonctions de hashage
Partie 8: Authentification interactivePartie 9: Protocoles et infrastructures de gestion de clés
Cours sécurité et cryptographieHdhili M. H
clés5
![Page 6: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/6.jpg)
Chapitre 1
introduction à la sécurité
Cours sécurité et cryptographieHdhili M.H 6
![Page 7: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/7.jpg)
Définitions
Sécurité:Ensemble des techniques qui assurent que les données et Ensemble des techniques qui assurent que les données et les ressources (matérielles ou logicielles) soient utilisées uniquement dans le cadre où il est prévu qu'elles le q p qsoient.Sécurité des systèmes d’informations y
Système d’information:Système d information:Ensemble d’activités consistant à gérer les informations:
acquérir stocker transformer diffuser exploiteracquérir, stocker, transformer, diffuser, exploiter…Fonctionne souvent grâce à un système informatiqueSécurité du système d’information = sécurité du système
Cours sécurité et cryptographieHdhili M. H
Sécurité du système d information sécurité du système informatique
7
![Page 8: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/8.jpg)
Périmètre de la sécurité (1/3)
Réseaux
PersonnelBases de
Réseaux
SÉCURITÉ
Personnel
Locaux
données
Web DE QUI ?DE QUOI ?
Locaux
M té i l
Web
Systèmes MatérielSystèmes d’exploitations
Applications
Cours sécurité et cryptographieHdhili M. H 8
![Page 9: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/9.jpg)
Périmètre de la sécurité (1/3)Périmètre organisationnel et fonctionnel:
Organisation de la sécuritégRépartition des responsabilitésSensibilisations des utilisateursContrôle Contrôle
Politique et guides de sécuritéProcédure de sécurité
Sécurité physique SÉCURITÉ
Personnel
Lutte anti-incendie, dégâts d’eauContrôle d’accès physiqueS d t hi d d t
SÉCURITÉDE QUI ?
DE QUOI ?Locaux
Sauvegarde et archivage des documentsSécurité du matériel: climatisation… Matériel
Cours sécurité et cryptographieHdhili M. H 9
![Page 10: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/10.jpg)
Périmètre de la sécurité (2/2)Sécurité logique:
des données, ,des applications, des systèmes d'exploitation.
B d Réseaux
Des communications réseaux
SÉCURITÉ
Bases de données
SÉCURITÉDE QUI ?
DE QUOI ?Web
Systèmes d’exploitations
A li tiCours sécurité et cryptographieHdhili M. H 10
Applications
![Page 11: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/11.jpg)
Sécurité: nécessité
Besoin d’une stratégie de sécurité pour:
Réseaux
UtilisateursContrats
STRATÉGIEL i i lLé i l ti DE
SÉCURITÉ
LogicielLégislation
MatérielInformaticiens
Cours sécurité et cryptographieHdhili M. H 11Applications
![Page 12: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/12.jpg)
Aspects de la sécurité
Méthodes employées pour Méthodes employées pour casser les services de la sécurité en détournant les mécanismes
(2) ATTAQUES
(1) SERVICES (3)MÉCANISMES(1) SERVICES (3)MÉCANISMES
Fonctionnalités requises Moyens utilisés pour Fonctionnalités requises pour assurer un environnement sécurisé en faisant appel aux
Moyens utilisés pour assurer les services de la sécurité en luttant contre les attaques
Cours sécurité et cryptographieHdhili M. H 12
en faisant appel aux mécanismes
contre les attaques
![Page 13: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/13.jpg)
Aspects de la sécurité: servicesAuthentification
Assurance de l'identité d'un objet de tout type qui peut être une personne (id tifi ti ) li ti(identification), un serveur ou une application.
IntégritéG ti ' bj t (d t fi hi t ) it Garantie qu'un objet (document, fichier, message, etc.) ne soit pas modifié par un tiers que son auteur.
ConfidentialitéConfidentialitéAssurance qu’une information ne soit pas comprise par un tiers qui n’en a pas le droit
Non répudiationAssurance que l'émetteur d'un message ne puisse pas nier l'avoir envoyé et que son récepteur ne puisse pas nier l'avoir reçu.
Disponibilitél l f l bl
Cours sécurité et cryptographieHdhili M. H 13
Assurance que les services ou l'information soient utilisable et accessible par les utilisateurs autorisés
![Page 14: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/14.jpg)
Aspects de la sécurité: attaques
ExternesExécutées par des entités externes au système victime
AttaquesInternes
Exécutées par des entités internes au système victime parce qu’ils sont malicieux
d dou détenu par des attaquants
S tèSystèmeAttaque interne
Attaque externe
P i
interne
AttaquesPassives
A i
Ecoute du système (réseau) pour l’analyser
Injection suppression ou modification de
Cours sécurité et cryptographieHdhili M. H 14Actives Injection, suppression ou modification de
données
![Page 15: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/15.jpg)
Aspects de la sécurité: MécanismesMécanisme de
base Cryptographie
FiltrageMécanismes de la
sécuritéContrôle d’accès
Mécanismes Détection secondaires d’intrusion
Scanners de Scanners de vulnérabilité
Cours sécurité et cryptographieHdhili M. H 15…
![Page 16: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/16.jpg)
RisquesLe risque:Le fait qu’un événement puisse empêcher de
Maintenir une situation donnée etMaintenir un objectif dans des conditions fixées etS ti f i fi lité éSatisfaire une finalité programmée
PPannesAccidents, (incendie, dégâts des fraudes
Risques
geaux,..)
Erreurs: Di l ti Erreurs: utilisation,
exploitation
Attaques
Divulgation d’information
Cours sécurité et cryptographieHdhili M. H 16
q
![Page 17: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/17.jpg)
Types de risques
3 types principaux
Risques opérationnels Qui concernent le fonctionnement de l’entreprise: la continuité Qui concernent le fonctionnement de l entreprise: la continuité d’activité, le risque vis-à-vis de personnes ou équipes clefs, les risques légaux et contractuels, …
Risques stratégiques Liés par exemple à l’obsolescence des produits et les évolutions des réseaux de distribution.
Risques financièresLiés par exemple aux taux de change et au défaut de payement
Cours sécurité et cryptographieHdhili M. H
Liés par exemple aux taux de change et au défaut de payement.
17
![Page 18: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/18.jpg)
Analyse des risques (chapitre)
Objectifs:
Avoir une meilleure protection des systèmes qui conservent traitent et transmettent les informations conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires.
Prendre de meilleures décisions basées sur des faits tangibles et mesurables.g
Investissement en équipement, personnel, formation, …
Permettre à une organisation d’accomplir sa mission.
Cours sécurité et cryptographieHdhili M. H 18
![Page 19: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/19.jpg)
Analyse des risques – premier pas
Définir les besoins.Déterminer les actifs à protéger et leurs propriétairesDéterminer les actifs à protéger et leurs propriétaires.
Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés?
Dét i l é t t d iDéterminer les menacesre présentant des risques.Quels sont les attaqueurs? Quels sont leurs moyens? Quelles sont leurs motivations?
Déterminer les objectifs à atteindre.Quelles sont les propriétés des actifs à protéger?
Proposer un solution.Déterminer les contre-mesures à mettre en place.
Évaluer les risques résiduels.Déterminer quelles sont les vulnérabilités toujours présentes.
Cours sécurité et cryptographieHdhili M. H
Déterminer leurs impacts sur les objectifs initiaux.19
![Page 20: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/20.jpg)
Analyse des risques – schématiquement
Cours sécurité et cryptographieHdhili M. H 20
![Page 21: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/21.jpg)
Politique de sécurité
ObjectifsSécurisation adaptée aux besoins de l’entreprise (après l’analyse des Sécurisation adaptée aux besoins de l entreprise (après l analyse des risques)Compromis sécurité - fonctionnalité.Permet d’analyser un audit de sécurité
Composantesppolitique de confidentialitépolitique d’accèsp qpolitique d’authentificationPolitique de responsabilitéPolitique de maintenancepolitique de rapport de violations
Cours sécurité et cryptographieHdhili M. H
…21
![Page 22: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/22.jpg)
Politique de sécuritéEtapes d’élaboration:
Identifier les risques et leurs conséquencesIdentifier les risques et leurs conséquences.Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés.Surveillance et veille technologique sur les vulnérabilités découvertes.Actions à entreprendre et personnes à contacter en cas de détection d'un problème.
Et d i lEtapes de mise en place:Mise en œuvreA dit t t t d'i t iAudit et tests d'intrusionDétection d'incidentsRéactions
Cours sécurité et cryptographieHdhili M. H
RéactionsRestauration 22
![Page 23: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/23.jpg)
Audit de la sécurité (chapitre)
Audit:Mission d’examen et de vérification de la conformité (aux Mission d examen et de vérification de la conformité (aux règles) d’une opération, d’une activitéou de la situation générale d’une entrepriseg p
Objectifs:V i i l li i d é i é éVoir si la politique de sécurité est respectée
Découvrir les risquesq
Effectuer des tests techniques de vulnérabilité
Proposer des recommandations
Proposer un plan d’action
Cours sécurité et cryptographieHdhili M. H
Proposer un plan d action 23
![Page 24: C Cours Sécurité et cryptographie - hdhili.weebly.comhdhili.weebly.com/uploads/9/8/9/6/9896432/seccrypto_chap1_intro_1... · Etapes d’élaboration: Identifier les risques et leurs](https://reader031.vdocuments.pub/reader031/viewer/2022012923/5b982e4609d3f2210c8bb341/html5/thumbnails/24.jpg)
Quelques méthodes de sécurité
EBIOS (Expressions des Besoins et Identification des Objectifs de EBIOS (Expressions des Besoins et Identification des Objectifs de Sécurité)http://www.ssi.gouv.fr/fr/confiance/ebios.html
MEHARI (MEthode Harmonisée d'Analyse de Risques)http://www.clusif.asso.fr/fr/production/mehari
La norme ISO 17799http://www.clusif.asso.fr/fr/production/ouvrages/pdf/Presentati
ISO17799 2005 df
Cours sécurité et cryptographieHdhili M. H
on-ISO17799-2005.pdf
24