Tรฉlรฉcharger le fichier pdf d’un mรฉmoire de fin d’รฉtudes
Dรฉtournement de flux :
Les techniques de dรฉtournement de flux servent ร rediriger le flux rรฉseau vers un client, vers un serveur, ou vers une autre machine.
ARP-Poisoning :
Toute carte rรฉseau possรจde une adresse physique MAC. C’est cette adresse qui lui permet de recevoir les paquets qui lui sont destinรฉs sur le rรฉseau local. Cette adresse physique est associรฉe ร l’adresse IP grรขce au protocole ARP. La table de correspondance entre les adresses IP et les adresses physiques est contenue dans le cache ARP. Lorsqu’un รฉchange doit s’รฉtablir entre 2 machines du rรฉseau local, ces deux machines envoient des requรชtes ARP avec l’adresse IP du rรฉcepteur, associรฉe ร un champ vide pour son adress physique. Ce rรฉcepteur va renvoyer son adresse physique dans une rรฉponse ARP.
Si un attaquant envoie un message de rรฉponse ARP avec son adresse physique correspondant ร l’adresse IP du rรฉcepteur, tout le flux IP dirigรฉ ersv le rรฉcepteur sera redirigรฉ vers l’attaquant. On dit qu’il a empoisonnรฉ le cache ARP du rรฉcepteur.
Fouille :
La fouille informatique, par analogie avec la fouille physique, consiste ร รฉtudier mรฉthodiquement l’ensemble des fichiers et des variables d’un SI pour un retirer des donnรฉes de valeur.
Cette recherche systรฉmatique d’informations est engรฉnรฉral grandement facilitรฉe par la mauvaise gestion des protections classiques qu’il est possible d’attribuer ร un fichier. Quand on se dรฉplace dans les divers rรฉpertoires d’un systรจme informatique, il est courant de constater que des fichiers et des rรฉpertoires ont des protections insuffisantes contre des agresseurs potentiels, uniquement par manque de connaissance, dรป le plus souvent ร l’insuffisance de formation de l’utilisateur. Ainsi, est-il bien utile de donner un droit de lecture ร s es fichiers pour l’ensemble des utilisateurs du systรจme ?
Si l’attaquant est quelque peu entraรฎnรฉ, il aura recours ร une attaque plus subtile. Pour s’emparer de certaines informations il va lire la mรฉmoire centrale ou secondaire, ou les supports de donnรฉes libรฉrรฉs par les autres utilisateurs. Une parade efficace consiste ร effacer physiquement toute portion de mรฉmoire ou tout support libรฉrรฉ. En contrepartie, les performances du SI seront moindres.
Canal cachรฉ :
Ca type d’attaque est de trรจs haut niveau et fait appel ร l’intelligence de l’attaquant. Il permet de faire fuir des informations en violant la politique de sรฉcuritรฉ. On propose de classer les canaux cachรฉs en quatre catรฉgories:
Les canaux de stockage qui permettent de transfรฉrerde l’information par le biais d’objets รฉcrits en toute lรฉgalitรฉ par un processus et lus en toute lรฉgalitรฉ par un autre.
Les canaux temporels qui permettent ร un processus d’envoyer un message ร un autre en modulant l’utilisation de ses ressources systรจmes afin que esl variations des temps de rรฉponse puissent รชtre observรฉes .
Les canaux de raisonnement qui permettent ร un proc essus de dรฉduire de l’information ร laquelle il n’a pas normalement accรจs .
Les canaux dits de ยซย fabricationย ยป qui permettent de crรฉer de l’information en formant des agrรฉgats qui ne peuvent รชtre obtenus directement.
Ces attaques peuvent รชtre rรฉalisรฉes dans le systรจmeou les bases de donnรฉes ร plusieurs niveaux de confidentialitรฉ.
Dรฉguisement (masquerading) :
Forme d’accรจs illรฉgitime, il s’agit d’une attaquenformatique qui consiste ร se faire passer pour quelqu’un d’autre et obtenir les privilรจges ou desdroits de celui dont on usurpe l’identitรฉ.
Un utilisateur est caractรฉrisรฉ par ce qu’il est, (empreintes, digitales ou palmaires, rรฉtiniennes, vocales, ou toute autre authentifiant biomรฉtrique), ce qu’il possรจde (un badge, une carte magnรฉtique, ร puce, un jeton, un bracelet…) et ce qu’il sait (un mot de passe, sa date de naissance, le prรฉnom de ses parents…). Pour se faire passerpour lui, un agresseur doit donc s’emparer d’un ou plusieurs รฉlรฉments propres ร l’utilisateur. Si le ontrรดlec d’accรจs au SI se fait par mot de passe, l’attaquant tentera de le lire quand l’utilisateur le rentrera au clavier ou quand il le transmettra par le rรฉseau. Si le contrรดle d’accรจs se fait avec unecarte ร puce, l’attaquant cherchera ร en dรฉrober ou en reproduire une. Si le contrรดle d’accรจs est biomรฉtrique, la tรขche de l’attaquant sera plus difficile mais pas impossible comme le montre ce cas oรน un dirigeant d’entreprise a รฉtรฉ enlevรฉ par des malfaiteurs qui lui ont sectionnรฉ un doigt afin detromper un systรจme de contrรดle d’accรจs.
Sans arriver ร des solutions lourdes et coรปteuses, le dรฉfenseur pourra combiner des mรฉthodes d’identification et d’authentification comme carteet mot de passe pour renforcer sa sรฉcuritรฉ.
Mystification:
Dans ce cas, l’attaquant va simuler le comportement d’une machine pour tromper un utilisateur lรฉgitime et s’empare de son nom et de son mot de passe. Un exemple type est la simulation de terminal et le comportement d’une machine pour tromper un utilisateur lรฉgitime et s’emparer de son nom et de son mot de passe. Un exemple type est la simulation de terminal.
Man in The Middle attack:
Man-in-the-Middle signifie l’homme du milieu. Cette attaque fait intervenir trois protagonistes : le client, le serveur et l’attaquant. Le but de l’attaquant est de se faire passer pour le client auprรจs du serveur et se faire passer pour le serveur auprรจs du client. Il devient ainsi l’homme du milieu. Cela permet de surveiller tout le trafic rรฉseau entre leclient et le serveur, et de le modifier ร sa guise pour l’obtention d’informations (mots de passe, accรจs systรจme, etc.).
Rejeu (replay) :
Le rejeu et une variante du dรฉguisement qui permet ร un attaquant de pรฉnรฉtrer dans un SI en envoyant une sรฉquence de connexion effectuรฉe par unutilisateur lรฉgitime et prรฉalablement enregistrรฉe ร son insu.
Substitution :
Ce type d’attaque est rรฉalisable sur un rรฉseau ouurs un SI comportant des terminaux distants. L’agresseur รฉcoute une ligne et intercepte la demande de dรฉconnexion d’un utilisateur travaillant sur une machine distante. Il peut alors se substituer ร ce dernier et continuer une session normale sans que le systรจme note un changement d’utilisateur.
Un cas bien connu est celui des ordinateurs sur un rรฉseau local qui ne sont dรฉclarรฉs que par leur adresse Internet. Un attaquant peut alors attendre qu’une machine soit arrรชtรฉe pour se faire passer pour elle en usurpant l’adresse de la machine รฉteinte.
Faufilement :
Par analogie avec le faufilement physique oรน une personne non autorisรฉe franchit un contrรดle d’accรจs en mรชme temps qu’une personne autorisรฉe, ondira qu’il y a faufilement รฉlectronique quand, dans le cas oรน des terminaux ou des ordinateurs ne peuvent รชtre authentifiรฉs par un SI, un attaquant se fait passer pour le propriรฉtaire de l’ordinateur ou du terminal.
Saturation (Denial of Service DoS):
Cette attaque contre la disponibilitรฉ consiste ร remplir une zone de stockage ou un canal de communication jusqu’ร ce que l’on ne puisse plus l’utiliser. Il en rรฉsultera un dรฉni de service.
Cheval de Troie (Trojan horse) :
En informatique un cheval de Troie est un programme qui comporte une fonctionnalitรฉ cachรฉe connue de l’attaquant seul. Elle lui permet de contourner des contrรดles de sรฉcuritรฉ en vigueur. Cependant un cheval de Troie doit d’abord รชtre installรฉ et ceci n’est possible que si les mesures de sรฉcuritรฉ sont incomplรจtes, inefficaces ou si l’agresseur bรฉnรฉficie d’une complicitรฉ.
Un cheval de Troie doit รชtre attirant (nom รฉvocateur) pour รชtre utilisรฉ, possรฉder l’apparence d’un authentique programme (un utilitaire par exemple) pour inspirer confiance et enfin ne pas laisser de traces pour ne pas รชtre dรฉtectรฉ. La simulatione dterminal, dont le but est de s’emparer du mot de passe d’un utilisateur, est un cheval de Troie.
En consรฉquence, identifier la prรฉsence d’un chevalde Troie n’est pas aisรฉe et une bonne connaissance du systรจme et des applications installรฉes est nรฉcessaire.
Salami :
La technique du salami permet ร un attaquant de ret irer des informations parcellaires d’un SI afin de les rassembler progressivement et de les augmenter de faรงon imperceptible. Cette technique est utilisรฉe par de nombreux fraudeurs pour dรฉtourner ubrepticements des sommes d’argent soit en s’appropriant de faibles sommes sur de nombreux comptes, soit en faisant transiter d’importantes valeurs sur des pรฉriodes courtes mais sur des comptes rรฉmunรฉrรฉs leur appartenant.
Trappe (backdoor) :
Une trappe est un point d’entrรฉe dans une application gรฉnรฉralement placรฉ par un dรฉveloppeur pour faciliter la mise au point des programmes. Les programmeurs peuvent ainsi interrompre le dรฉroulement normal de l’application, effectuer destests particuliers et modifier dynamiquement certains paramรจtres pour changer le comportement original. Il arrive quelquefois que ces points dโentrรฉe nโen soient pas enlevรฉs lors de la commercialisation des produits et qu’il soit possible de les utiliser pour contourner les mesures de sรฉcuritรฉ.
Bombe :
Une bombe est un programme en attente d’un รฉvรฉnement spรฉcifique dรฉterminรฉ par le programmeur et qui se dรฉclenche quand celui-ci se produit. Ce code malicieux attend gรฉnรฉralement une date particuliรจre pour entrer en action. Les consรฉquence peuvent รชtre bรฉnignes comme l’affichage d’un message, d’une image ou d’un logo mais aussi dommageables, comme la destruction de donnรฉes et plus rarement la destruction du matรฉriel.
Virus :
Nommรฉ ainsi parce qu’il possรจde de nombreuses simitudesl avec ceux qui attaquent le corps humain, un virus est un programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le SI : on parle d’infection. Le virus dispose de fonctions qui lui permettent de tester s’il a dรฉjร contaminรฉ un programme, de se propager en se recopiant sur un programme et de se dรฉclencher comme une bombe logique quand un รฉvรฉnement se produit.
Ses actions ont gรฉnรฉralement comme consรฉquence la ertep d’intรฉgritรฉ des informations d’un SI et/ou une dรฉgradation ou une interruption du service fourni.
Ver (worm) :
Un ver est un programme malicieux qui a la facultรฉde se dรฉplacer ร travers un rรฉseau qu’il cherche
ร perturber en le rendant indisponible. Cette techn ique de propagation peut aussi รชtre utilisรฉe pour acquรฉrir des informations par sondage.
. Gรฉnรฉrateur de nombres alรฉatoires:
Il sโagit des cartes ร puces qui gรฉnรฉrent pรฉriodiquement (~ tous les 30 ou 60 secs) des nombres diffรฉrents servant ร identifier le dรฉtenteur de la carte. La gรฉnรฉration se fait ร partir dโune clรฉ secrรจte prรฉsente sur la carte et connue du systรจme.
Le gรฉnรฉrateur de nombres alรฉatoires le plus connuste SecureId fabriquรฉe par Security Dynamics, qui gรฉnรจre un nombre ร 6-digits valables pour 60 secondes. La carte a รฉtรฉ adoptรฉ par des nombreuses banques (dont le Crรฉdit Suisse) comme support dโauthentification du tele-banking sur Internet.
Comme le OTP, le gรฉnรฉrateur de nombres alรฉatoiresste รฉgalement exposรฉ aupre-play attack mais le dรฉlai pour rejouer le password se limite ร la frรฉquence de changement (30 ou 60 sec).
.Authentification forte.
Contrairement ร lโauthentification faible, le secre t permettant de corroborer lโidentitรฉ nโest pas rรฉvรฉlรฉ explicitement mais, plutรดt, lโutilisateur fournit au systรจme dโauthentification une preuve de possession de ce secret.
Le protocole dโauthentification forte utilise les techniques de la cryptograhie.
Authentification ร transfert nul de connaissance (z ero-knowledge protocol) :
Ce sont des protocoles dโauthentification forte qui ont en plus la caractรฉristique de prouver lโidentitรฉ de lโutilisateur sans dรฉvoiler aucune information (ni mรชme une piste…) sur le secret lui mรชme. En dโautres mots, il sโagit de donner une preuve dโune assertion sans en rรฉvรฉler le moindre dรฉtail.
Principe de contrรดle dโaccรจs
Le contrรดle dโaccรจs fournit un service de sรฉcuritรฉvisant ร vรฉrifier la lรฉgitimitรฉ de lโaccรจs dโune entitรฉ aux ressources du SI. Lโautorisation dโaccรฉder ร un รฉlรฉment du SI dรฉpend principalement de ce contrรดle dโaccรจs [32]. Par exemple, les listes de contrรดle d’accรจs permettent ร un hรดte d’accรฉder ร une section du rรฉseau tout en empรชchant un autrehรดte d’avoir accรจs ร la mรชme section. Le contrรดle dโaccรจs peut รชtre implรฉmentรฉ sous plusieurformes telles que le ACL ou liste de contrรดle dโaccรจs, listes de capacitรฉs, tables dโautorisation. Le contrรดle dโaccรจs peut รชtre catรฉgoriser en deux grandes familles : le contrรดle dโaccรจs basรฉ sur lโidentitรฉ de lโutilisateur et celui basรฉ sur le rรดle. Mais il existe des mรฉthodes dโimplรฉmentation dรฉrivรฉes de la combinaison de ces modรจles, comme le mur de chine, visant ร affiner et adapter au mie ux le contrรดle dโaccรจs logique suivant lโactivitรฉ de lโorganisation.
Prรฉsentation gรฉnรฉrale du contrรดle dโaccรจs logique.
Le contrรดle dโaccรจs ou CA est rรฉalisรฉ par un โmoniteur de rรฉfรฉrenceโ ou โarbitre de rรฉfรฉrenceโ qui accepte ou refuse chaque tentative dโaccรจs aux รฉlรฉments du SI par une entitรฉ i.e. utilisateur ou les programmes exรฉcutรฉs sur demande de lโutilisateur, fina que lโon puisse restreindre leurs actions vis-ร -vis de leurs privilรจges. Lโarbitre de rรฉfรฉrence consulte une base de donnรฉes de privilรจges de chaque entitรฉ afin de vรฉrifier la lรฉgitimitรฉ dโunetntative dโaccรจs. Cette base de donnรฉes a รฉtรฉ conรงue suivant les mรฉcanismes de contrรดle dโaccรจs qui est dictรฉ par la politique de sรฉcuritรฉ de lโorganisation. On note que le contrรดle dโaccรจs co nsidรจre que lโidentitรฉ de lโutilisateur a รฉtรฉ prรฉalablement vรฉrifiรฉe avant dโappliquer le contrรดle dโaccรจs via un moniteur de rรฉfรฉrence.
Matrice des contrรดles dโaccรจs :
La matrice des droits dโaccรจs est une reprรฉsentatio conceptuelle des autorisations dโun systรจme. Il sโagit dโun tableau reprรฉsentant les droits et modes dโaccรจs des entitรฉs aux ressources du systรจme. On remarquera que la possession dโune ressource est considรฉrรฉe comme un droit.
Sรฉcuritรฉ au niveau de la couche Internet :
Le principal avantage de placer le mรฉcanisme de sรฉcuritรฉ au niveau de la couche Internet est quโil est transparent pour les utilisateurs et les applications [28, 40]. Cependant, la sรฉcuritรฉ de cette couche nรฉcessite le changement du systรจme dโexploitation qui lโintรจgre. En outre, il est nรฉcessaire que chaque hรดte en communication emploie la mรชme version du logiciel de sรฉcuritรฉ utilisรฉ au niveau de cette couche Internet. La mise ร jour es t alors trรจs coรปteuse et demande beaucoup de temps. De plus, si ces logiciels usitรฉs ne sont pas bien configurรฉs, ils peuvent dรฉgrader รฉnormรฉment le QoS du SI. Par exemple, si le cryptage est utilisรฉ par dรฉfaut alors que lโapplication nโen a pas besoin, alors le temps de traitement est alourdi inutilement. Par addition, les mรชmes paramรจtres de sรฉcuritรฉ sont utilisรฉs pour chaque nnexionco (i.e. les clefs de chiffrement basรฉes sur lโhรดte), qui offre une sรฉcuritรฉ plus faible que cele offerte lorsque les paramรจtres de sรฉcuritรฉ sont nรฉgociรฉs de bout en bout (i.e. entre utilisateurs uo applications).
Sรฉcuritรฉ de la couche application :
La sรฉcuritรฉ de la couche application nโimplique pasle changement du systรจme dโexploitation qui lโintรจgre. Les mรฉcanismes de sรฉcuritรฉ offrent alors une meilleure protection de bout en bout car la configuration et le chiffrement ne dรฉpendent pas dusystรจme dโexploitation. La gestion des clefs se fait au niveau de la couche dโapplication. Dans ce cas, les donnรฉes ne sont pas exposรฉes aux attaques liรฉes aux faiblesses du systรจme dโexploitation. De plus, le fonctionnement de la sรฉcuritรฉ peut รชtre configurรฉ pour rรฉpondre exactement aux soinsbe de chaque application. Ainsi, les fonctionnements inutiles sont รฉvitรฉs (par exemple el chiffrement de tout le trafic). Cependant, la nรฉgociation et la configuration entre les procรฉdures communicantes peuvent รชtre trรจs complexes. Un autre inconvรฉnient est que les applications sรฉcurisรฉes sont installรฉes par des utilisateurs non expรฉrimentรฉs, ce qui rend les risques de prรฉsence esd codes malicieuses assez potentielles. Par exemple, le vol de mots de passe ou dโautres informations sensibles par la prรฉsentation dโun page de type formulaire simulรฉ semblant รชtre la page orig nelle (spoofing).
La sรฉcuritรฉ de la couche transport :
La sรฉcuritรฉ au niveau de la couche de transport [27] se place entre la couche application et la couche Internet (ex TLS). On peut la percevoir comme รฉtant une interface sรฉcurisรฉe pour la couche de transport. Dโune part, toutes les applications doivent utiliser les fonctions de sรฉcuritรฉ correspondantes, dโautre part, la bibliothรจque de sรฉcuritรฉ de la couche de transport peut รชtre installรฉe et maintenue par le sysadmin alors toutes les applications installรฉes sur les machines hรดtes peuvent lโutiliser. Dans les rรฉseaux virtuels privรฉs (VPN), lโapproche de tunnelage peut รชtre utilisรฉe. Les applications tournant au sein de la machine hรดte ne sont pas conscientes de la prรฉsence de la sรฉcuritรฉ implรฉmentรฉe par le VPN. pendant,Ce quand ces applications essaient dโรฉtablir une connexion vers une autre hรดte au dehors de lโintranet mais appartenant au VPN, la passerelle de sรฉcuritรฉ emploie le tunnel du VPN pour lโenvoie des donnรฉes de ces applications par le moyen du protocole de sรฉcuritรฉ de la couche deransport.
Lโarchitecture de sรฉcuritรฉ pour IP : lโIPSec
IPSec est lโextension du protocole IP. Il est spรฉcialement conรงu pour offrir une architecture de sรฉcuritรฉ basรฉe sur la cryptographie, de haute qualitรฉ et compatible avec IPv4 et IPv6. Il offre un ensemble de services de sรฉcuritรฉ tels que :
ยท Le contrรดle dโaccรจs.
ยท Connectionless integrity.
ยท Authentification de lโorigine des donnรฉes.
ยท Protection contre les rejeux (replaying).
ยท Confidentialitรฉ.
Ces services de sรฉcuritรฉ sont offerts au niveau dela couche 3 (couche Internet), pour protรฉger le protocole IP et les protocoles de plus haut niveau. a. Architecture dโIPSec :
Les parties fondamentales de lโIPSec sont : Les protocoles de sรฉcuritรฉs AH, ESP Algorithmes dโauthentification et de chiffrement.
Le gestionnaire de clef (IKE).
Les associations de sรฉcuritรฉ (SA associations security).
Les protocoles de sรฉcuritรฉ AH (Authentication Header) et ESP (Encapsulating Security Payload) sont conรงus pour protรฉger les contenus des paquets IP. Quand ces protocoles de sรฉcuritรฉ sont correctement implรฉmentรฉs et dรฉployรฉs, ils deviennent transparents pour les utilisateurs, les machines hรดtes ou dโautres composants de lโInternet qui ne les utilisent pas pour la protection de leur trafic de communication.
En outre, ces protocoles de sรฉcuritรฉ sont conรงus pour รชtre indรฉpendants des algorithmes de cryptographie et dโauthentification quโils utiliser ont. Cette modularitรฉ permet la sรฉlection de diffรฉrents algorithmes sans affectรฉe leur implรฉmentation. Cependant, un ensemble de configurations standardisรฉes par dรฉfaut de ces algorithmes a รฉtรฉ spรฉcifiรฉ pour une raison dโinteropรฉrabilitรฉ.
De mรชme, diffรฉrents systรจmes de gestion de clefs peuvent รชtre utilisรฉs comme Kerberos, mais le gestionnaire de clefs automatique utilisรฉ par dรฉfaut est lโIKE (Internet Key Exchange). Le principal rรดle de IKE est lโรฉtablissement et la maintenance des associations de sรฉcuritรฉ (Security association SA).
Une association de sรฉcuritรฉ SA est une connexion rรฉseau unidirectionnelle qui applique certains services de sรฉcuritรฉ sur le trafic quโelle circule. Il dรฉfinit lโรฉchange des clรฉs et des paramรจtresed sรฉcuritรฉ. Il rassemble ainsi lโensemble des informations sur le traitement ร appliquer aux paquets IP(les protocoles AH et/ou ESP, mode tunnel ou transport, les algorithmes de sรฉcuritรฉ utilisรฉs par les protocoles, les clรฉs utilisรฉes,…). Lโossature habituelle pour nรฉgocier, modifier ou supprimer une SA est le ISAKMP (Internet Security Association and Key Management Protocol). On remarque que lโรฉchange des clefs peut se faire manuellement, ou avec le protocole dโรฉchange IKE, qui permet aux deux parties (peers) de sโentendre sur les SA ร utiliser.
Dans le SA, seul un protocole de sรฉcuritรฉ (AH ou ESP) est appliquรฉ au trafic. Si les deux protocoles sont nรฉcessaires, on crรฉerait deux SA pour chacun des protocoles. De mรชme, pour une connexion bidirectionnelle, deux SAs diffรฉrentes sont utiles. Ainsi, on peut choisir librement les attributs de sรฉcuritรฉ (algorithmes de chiffrement,..) que lโon dรฉsire implรฉmenter afin de pouvoir offrir diffรฉrents services de sรฉcuritรฉ, diffรฉrentedirection de la connexion.
|
Table des matiรจres
PARTIE I APPROCHE THรORIQUE DE LA SECURITE DES SI
CHAPITRE I INTRODUCTION A LA SECURITE
1.1. Notion de la sรฉcuritรฉ
1.1.1. Introduction โ pourquoi la sรฉcuritรฉ est-elle primordiale ?
1.1.2. Menaces existantes pour le SI
1.1.2.1. Introduction
1.1.2.3. Catรฉgories de menace
1.1.2.4. Attaquants
1.1.3. Les mรฉthodes dโattaques
1.1.3.1. Attaques physiques
1.1.3.2. Attaques logiques
1.1.4. Les services de sรฉcuritรฉ
1.1.4.1. La politique de sรฉcuritรฉ
1.1.4.2. Authentification
1.1.4.3. Confidentialitรฉ
1.1.4.4. Non rรฉpudiation
1.1.4.5. Intรฉgritรฉ des donnรฉes
1.1.4.6. Disponibilitรฉ des informations
1.1.4.7. Non duplication
1.1.4.8. Anonymat (dโentitรฉ ou dโorigine de donnรฉes)
1.1.5. Dangers et attaques menaรงant les services de sรฉcuritรฉ
1.1.6. Mรฉcanisme de sรฉcuritรฉ
1.1.6.1. Mรฉthodes digitales de sรฉcuritรฉ
PARTIE II SECURISATION DU SYSTEME INTEGRE DE LA GESTION DES FINANCES PUBLIQUES CAS DU MEFB
CHAPITRE I METHODOLOGIE
1.1 Expression des Besoins et Identification des Objectifs de Sรฉcuritรฉ
1.1.1. รlaboration de politiques de sรฉcuritรฉ des systรจmes d’information
CHAPITRE II ANALYSES ET RESULTATS
2.1. Analyse des besoins et identifications des objectifs de sรฉcuritรฉ
2.1.1. Etudes du contexte
2.1.1.1. Etudes de lโorganisme
2.1.1.2. Etude du systรจme cible
2.1.1.3. Elaboration de la politique de sรฉcuritรฉ
2.2. Synthรจses et solutions proposรฉes
2.2.1. La sรฉcuritรฉ physique
2.2.2. Le contrรดle dโaccรจs logique
2.2.2.1. La gestion des mots de passe
2.2.3. Sรฉcuritรฉ des rรฉseaux et de la communication
2.2.3.1. Architecture proposรฉe
2.2.3.2. Configuration du rรฉseau privรฉ virtuel VPN
2.2.4. Gestion des contrรดles dโaccรจs
2.2.4.1. Dรฉveloppement de lโannuaire รฉlectronique pour la gestion centralisรฉe des ressources du MEFB
2.2.4.1.6. Configuration de access.conf (annexe)
CONCLUSION
ANNEXE A โ ORGANIGRAMME DU MEFB
ANNEXE B โ PROCEDURE DโEXECUTION DES DEPENSES AU NIVEAU DE L ORDONNATEUR
ANNEXE C – EXECUTION DES DEPENSES AU NIVEAU DES COMPTABLES PUBLICS
ANNEXE D โ EXEMPLE DโALGORITHME UTILISE POUR LA SIGNATURE ELECTRONIQUE
BIBLIOGRAPHIE
Tรฉlรฉcharger le rapport complet