Flux rss

Introduction à la sécurité informatique

Collection CommentCaMarche.net
Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet.

Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système d'information à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise.

Introduction à la sécurité

Le risque en terme de sécurité est généralement caractérisé par l'équation suivante :

risque = (menace * vulnerabilite) / contre mesure

La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche) représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.

Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies.

Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions.

Objectifs de la sécurité informatique

Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger.

La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

La sécurité informatique vise généralement cinq principaux objectifs :

  • L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ;
  • La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ;
  • La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ;
  • La non répudiation, permettant de garantir qu'une transaction ne peut être niée ;
  • L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources.

La confidentialité

La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction.

L'intégrité

Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).

La disponibilité

L'objectif de la disponibilité est de garantir l'accès à un service ou à des ressources.

La non-répudiation

La non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction.

L'authentification

L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées.

Nécessité d'une approche globale

La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.

Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :

  • La sensibilisation des utilisateurs aux problèmes de sécurité
  • La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation.
  • La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc.
  • La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

Mise en place d'une politique de sécurité

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.

Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des utilisateurs et les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend. Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance.

C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :

  • Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ;
  • Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de l'organisation pour les risques identifiés ;
  • Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ;
  • Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;

La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au sens large) en terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

A cet égard, il ne revient pas aux seuls administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique est donc de s'assurer que les ressources informatiques et les droits d'accès à celles-ci sont en cohérence avec la politique de sécurité définie par l'organisation.

De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de conseiller les décideurs sur les stratégies à mettre en oeuvre, ainsi que d'être le point d'entrée concernant la communication à destination des utilisateurs sur les problèmes et recommandations en terme de sécurité.

La sécurité informatique de l'entreprise repose sur une bonne connaissance des règles par les employés, grâce à des actions de formation et de sensibilisation auprès des utilisateurs, mais elle doit aller au-delà et notamment couvrir les champs suivants :

  • Un dispositif de sécurité physique et logique, adapté aux besoins de l'entreprise et aux usages des utilisateurs ;
  • Une procédure de management des mises à jour ;
  • Une stratégie de sauvegarde correctement planifiée ;
  • Un plan de reprise après incident ;
  • Un système documenté à jour ;

Les causes de l'insécurité

On distingue généralement deux types d'insécurités :

  • l'état actif d'insécurité, c'est-à-dire la non connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (par exemple le fait de ne pas désactiver des services réseaux non nécessaires à l'utilisateur)
  • l'état passif d'insécurité, c'est-à-dire la méconnaissance des moyens de sécurité mis en place, par exemple lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose.


Dernière modification le mardi 14 octobre 2008 à 17:40:31.
Ce document intitulé « Introduction à la sécurité informatique » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Résultats pour Introduction à la sécurité informatique

Les métiers 'sécurité informatique' (Résolu) Bonsoir à tous ! :-) Lycéen de 1ère S, je suis un passionné d'informatique, surtout la sécurité informatique (plus particulièrement tout ce qui a trait aux virus/spywares/antivirus/hijackers, etc.) Je me suis documenté sur les différents métiers... www.commentcamarche.net/forum/affich-2501080-les-metiers-securite-informatique
Audits de sécurité Notion d'audit Un audit de sécurité (en anglais security audit) consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en oeuvre, au regard de la... www.commentcamarche.net/contents/secu/audit-securite.php3
[sécurité] Choix d'un mastère spécialisé (Résolu) Bonjour, je suis entrain de finir mes études d'ingénieur généraliste à dominance informatique. Je souhaiterai travailler dans le domaine de la sécurité informatique que j'ai du mal à intégrer du fait du caractère généraliste de ma formation... www.commentcamarche.net/forum/affich-2253032-securite-choix-d-un-mastere-specialise

Résultats pour Introduction à la sécurité informatique

Les mesures en informatiqueSommaire: Principes de conversion Norme AVANT 1998 (maintenant obsolète et erronée) Norme ACTUELLE (peu usitée mais exacte) Liens Tendance de conversion populaire Les unités de mesure En informatique, la quantité d'information la plus... www.commentcamarche.net/faq/sujet-11164-les-mesures-en-informatique
La veille concurrentielleUtiliser internet pour sa veille concurrentielle La veille concurrentielle, c'est rechercher, analyser et exploiter les informations relatives à son entreprise, ses concurrents et son secteur d'activité, dans le but d'accroître sa productivité et... www.commentcamarche.net/faq/sujet-9736-la-veille-concurrentielle
Cours Informatique UbuntuPlutôt bien fait et pas rébarbatif : http://coursinforev.ovh.org/dokuwiki/doku.php?id=linux#introduction Le livre "Simple comme Ubuntu": http://www.framabook.org/ubuntu.html Le site de documentation Ubuntu francophone: http://doc.ubuntu... www.commentcamarche.net/faq/sujet-9618-cours-informatique-ubuntu
1 2 3 Suivant

Résultats pour Introduction à la sécurité informatique

Ingénieur informatique - cryptographie (Résolu)Bonjour, Je suis actuellement en 2nde et j'ai dans mes projets de devenir ingénieur informatique. J'aimerai aussi me spécialiser dans la sécurité informatique (mais pas vers la programmation) mais je ne sais pas dans quoi exactement...... www.commentcamarche.net/forum/affich-8701927-ingenieur-informatique-cryptographie
Expert en informatique ou cryptographe (Résolu)Bonjour, Je ne suis qu'en 4 eme mais je veux devenir depuis assez longtemps cryptographe ou expert en securite informatique, jaimerais savooir le cheminement a suivre et les formations a faire . je vous remerci d'avance www.commentcamarche.net/forum/affich-4415667-expert-en-informatique-ou-cryptographe
Configuration Securite OPTIMALE (Résolu)Bonjour à tous, Je voudrais connaître par des experts en sécurité informatique où bon connaisseur dans ce domaine, pour me préscrire une suite logiciel la plus efficace qui soit pour contrer n'importe quel forme de menace sur internet. Je... www.commentcamarche.net/forum/affich-2060388-configuration-securite-optimale
1 2 3 Suivant

Résultats pour Introduction à la sécurité informatique

Télécharger McAfee Rootkit Detective 1,1Depuis quelques mois, les 'rootkits' défrayent la chronique dans le domaine de la sécurité informatique. Tous les grands éditeurs mettent en circulation un logiciel anti-rootkit. McAfee la célébre firme anti-virus & Malware nous délivre son logiciel... www.commentcamarche.net/telecharger/telecharger-34055259-mcafee-rootkit-detective-1-1
Télécharger SUPERAntiSpywareSuperAntiSpyware est un système de sécurité qui analyse l’ordinateur et élimine des éléments de spyware, adware, trojans, vers, keylogger, hijacker, dialer et toutes autres menaces destinées au vol d'informations confidentielles. Régulièrement mis... www.commentcamarche.net/telecharger/telecharger-34055294-superantispyware
1 2 3 Suivant

Résultats pour Introduction à la sécurité informatique

[Brève] La France va lancer son portail de sécurité(Paris - Relaxnews) - D'après des informations obtenues par le site ZDNet.fr, la France devrait se doter, d'ici la fin de l'année, d'un portail gouvernemental dédié à la sécurité informatique. Grand public et entreprises pourront y obtenir des... www.commentcamarche.net/actualites/breve-la-france-va-lancer-son-portail-de-securite-3116334-actualite.php3
"Pas de risque pour les utilisateurs du site Voyages-sncf.com", selon la SNCF(Paris - Relax news) - Suite à un article du Canard Enchaîné (édition du 16 juillet), remettant en cause la sécurité informatique du site Voyages-sncf.com, la SNCF a assuré dans un communiqué qu'il n'y avait "pas de risque pour les utilisateurs du... www.commentcamarche.net/actualites/pas-de-risque-pour-les-utilisateurs-du-site-voyages-sncf-com-selon-la-sncf-5847074-actualite.php3
[Brève] L'UE met en garde contre Facebook et MySpaceLes réseaux sociaux tels que Facebook ou MySpace sont dans le collimateur de l'Enisa. Andreas Pirotti, un haut responsable de l'agence européenne chargée de la sécurité informatique, a mis en garde les internautes contre ces sites communautaires,... www.commentcamarche.net/actualites/breve-l-ue-met-en-garde-contre-facebook-et-myspace-5846737-actualite.php3
1 2 3 Suivant

Résultats pour Introduction à la sécurité informatique

Définition des besoins en terme de sécurité informatiquePhase de définition La phase de définition des besoins en terme de sécurité est la première étape vers la mise en oeuvre d'une politique de sécurité. L'objectif consiste à déterminer les besoins de l'organisation en faisant un véritable état des... www.commentcamarche.net/contents/secu/securite-besoins.php3
Sécurité - Identification des risques et typologies de piratesQu'est-ce qu'un hacker ? Le terme « hacker » est souvent utilisé pour désigner un pirate informatique. Les victimes de piratage sur des réseaux informatiques aiment à penser qu'ils ont été attaqués par des pirates chevronnés ayant... www.commentcamarche.net/contents/secu/secuconn.php3
Infogérance (OutSourcing) - ExternalisationNotion d'infogérance On appelle infogérance (en anglais facilities management ou outsourcing) l'externalisation d'une partie de ses services, c'est-à-dire confier tout ou partie de la gestion du système d'information à un prestataire informatique... www.commentcamarche.net/contents/entreprise/infogerance.php3
1 2 3 Suivant