SECURITE DU SYSTEME DINFORMATION (SSI)

Plan du cours
Chapitre 1 Introduction la scurit Chapitre 2 Les risque et les menaces informatique Chapitre 3 la protection informatique
Scurit physique du systme informatique. Scurit logique du systme dinformation. Scurit des systmes dexploitation.

Chapitre 4 les solutions de scurit pour les rseaux dentreprise Chapitre 5 Introduction la cryptographie
2

CHAPITRE 1
Introduction la scurit Informatique

Remarque
Les outils mis disposition ne doivent tre utiliss qu des fins de tests et pour augmenter la scurit de rseau cible; Il est illgale de les mettre en uvre pour modifier, ajouter, supprimer ou prendre connaissance dinformations non dclares comme publiques;
4

La scurit absolue nexiste pas

On ne peut jamais tre sr dtre parfaitement en scurit, davoir rgl tous les problmes de scurit. Tout ce quon peut faire, cest 1- amliorer notre scurit par rapport ce quelle tait avant ou 2- nous comparer et nous trouver mieux ou moins bien en scurit que quelquun dautre.
Il y a toujours un lment de comparaison. Par consquent, votre travail ne peut consister exiger la scurit absolue. Il consiste plutt : 1- Vous assurer que toutes les prcautions raisonnables ont t prises pour optimiser la protection des renseignements personnels confis ltat. 2- Et, la scurit tant une chose dynamique qui volue dans le temps, votre tche consiste aussi valuer les processus mis en place pour entretenir la scurit long 5 terme.

La scurit absolue nexiste pas

La scurit absolue nexiste pas essentiellement parce que nous sommes la merci de la conjoncture. Le temps qui passe apporte le changement et, en matire de scurit, le changement se traduit souvent par lapparition ou la dcouverte de nouvelles sources de risques. Mais la scurit absolue nexiste pas pour une autre raison beaucoup plus concrte: cest que les ressources que nous pouvons lui consacrer sont limites.
6

Do la ncessit dvaluer lopportunit dinvestir

En fonction de limportance des donnes protger; En fonction de la probabilit dune fuite.

Systmes dinformation :
Linformation se prsente sous trois formes : les donnes, les connaissances et les messages. On dsigne par systme dinformation lensemble des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre linformation.
9

Notion de Systme d'Information

Une entreprise cre de la valeur en traitant de l'information, en particulier dans le cas des socits de service. Ainsi, l'information possde une valeur d'autant plus grande qu'elle contribue l'atteinte des objectifs de l' entreprise. Un systme d'Information (not SI) reprsente l'ensemble des lments participant la gestion, au traitement, au transport et la diffusion de l'information au sein de l'entreprise.
10

Le Systme d'Information
Trs concrtement le primtre du terme Systme d'Information peut tre trs diffrent d'une organisation une autre et peut recouvrir selon les cas tout ou partie des lments suivants : Bases de donnes de l'entreprise, Progiciel de gestion intgr (ERP - Entreprise Ressources Planning), Outil de gestion de la relation client (CRM Customer Relationship Management), Outil de gestion de la chane logistique (SCM Supply Chain Management), Applications mtiers, Infrastructure rseau, Serveurs de donnes et systmes de stockage, Serveurs d'application, Dispositifs de scurit.
11

Valeur et proprits dune information

On ne protge bien que ce quoi on tient, cest-dire ce quoi on associe une valeur . La disponibilit, confidentialit, intgrit,et lauthentification dterminent la valeur dune information. La scurit des systmes dinformation (SSI) a pour but de garantir la valeur des informations quon utilise, si cette garantie nest plus assure, on dit que le systme dinformation a t altr (corrupted).
12

La scurit des systmes dinformation SSI

Scurit Le concept de scurit des systmes dinformation recouvre un ensemble de mthodes, techniques et outils chargs de protger les ressources dun systme dinformation afin dassurer : la disponibilit des services : les services (ordinateurs, rseaux, priphriques, applications) et les informations (donnes, fichiers) doivent tre accessibles aux personnes autorises quand elles en ont besoin. lintgrit des systmes : les services et les informations (fichiers, messages) ne peuvent tre modifis que par les personnes autorises (administrateurs, propritaires). la non-rpudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction. la confidentialit des informations : les informations nappartiennent pas tout le monde , seuls peuvent y accder ceux qui en ont le droit. 13 lauthentification des utilisateurs du systme

Quand linformation est-elle sensible?

Quand de rels renseignements sont en cause; Quand leur divulgation peut porter prjudice aux personnes concernes, mme thoriquement;

14

Comment valuer la probabilit dune atteinte?

Se mfier des effets dformants de linconnu; Moins on a limpression dtre en contrle de la situation, plus on a tendance exagrer le risque. On doit donc semployer dissiper linconnu et garder la tte froide.

15

Quelques statistiques
Aprs un test de 12 000 htes du dpartement de la dfense amricaine, on retient que 1 3% des htes ont des ouvertures exploitables et que 88% peuvent tre pntrs par les relations de confiance. Enfin, le nombre de voleurs dinformations a augment de 250% en 5 ans, 99% des grandes entreprises rapportent au moins un incident majeur les fraudes informatiques et de tlcommunication ont totaliss 10 milliards de dollars pour seuls les EtatsUnis. 1290 des plus grandes entreprises rapportent une intrusion dans leur rseau interne et 2/3 dentre elles cause de virus.
16