Nouveau Accueil Réseaux informatiques Sécurité des systèmes informatiques (SSI)

Sécurité des systèmes informatiques (SSI)

Soutenance mémoire 0

Télécharger le fichier pdf d’un mémoire de fin d’études

Qu’est-ce que la sécurité d’un système ? [10, 24]

La sécurité d’un système d’information n’est plus un sujet tabou. Les statistiques des attaques et des menaces font qu’aujourd’hui, les responsables en sont conscients des risques pesant sur un système d’information même si les moyens ne suivent pas toujours pour assurer d’une manière efficace la sécurité.
Pour répondre d’une manière objective à cette question, il est judicieux de définir d’abord les termes ‘système informatique’ et ‘système d’information’ afin de mieux cerner la différence entre ces deux expressions qui font souvent l’objet de confusion.

Système informatique

Un système informatique est un ensemble de dispositifs (matériels et logiciels) associés, sur lesquels repose un système d’information. Il est constitué généralement des serveurs, des routeurs, pare-feu, commutateurs, imprimantes, médias (câbles, air, etc.), points d’accès, stations de travail, systèmes d’exploitation, applications, bases de données, etc.

Système d’information

Mise en place d’un système de monitoring hautement disponible dans un environnement multi-sites
Un système d’information est un ensemble de moyens (humains, matériels, logiciels, etc.) organisés permettant d’élaborer, de traiter, de stocker et/ou de diffuser de l’information grâce aux processus ou services. Un système d’information est généralement délimité par un périmètre pouvant comprendre des sites, des locaux, des acteurs (partenaires, clients, employés, etc.), des équipements, des processus, des services, des applications et des bases de données.
Par-dessus tout, La sécurité d’un système (informatique ou d’information) est un ensemble de moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir sa sécurité. En général, la sécurité d’un système d’information englobe celle du système informatique sur lequel il s’appuie.
Faire de la sécurité sur un réseau consiste donc à s’assurer que celui qui modifie ou consulte des données du système en a l’autorisation et qu’il peut le faire correctement car le service est disponible.

Evaluation de la sécurité d’un système d’information [1]

Mise en place d’un système de monitoring hautement disponible dans un environnement multi-sites
La sécurité d’un système informatique peut s’évaluer sur la base d’un certain nombre de critères de sécurité. On distingue généralement trois principaux critères de sécurité :
 Disponibilité : Elle consiste à garantir l’accès à un service ou à une ressource.
 Intégrité : Elle consiste à s’assurer que les données n’ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).
 Confidentialité : Elle consiste à rendre l’information inintelligible à d’autres personnes que les seuls acteurs concernés.
En plus de ces trois critères, on peut ajouter les critères suivants:
 Authentification : Elle consiste à assurer l’identité d’un utilisateur, c’est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu’il croit être.
 Non répudiation : Elle consiste à garantie qu’aucun des correspondants ne pourra nier la transaction.
L’évaluation de la sécurité d’un système informatique est un processus très complexe basé en général sur une méthodologie (standard ou non). Cette évaluation passe par une analyse de risques. L’analyse des risques pesant sur un système informatique elle-même s’appuie sur un ensemble de métriques définies au préalable.
Par exemple pour le critère « disponibilité », le choix des métriques d’évaluation peut être : Très haute, Haute, Moyenne, Basse.
L’analyse des risques fait partie du processus global de gestion de risques dans un système d’information.

Pourquoi sécurisé un système informatique ? [1, 3, 6, 7, 18, 40]

Les enjeux

Les enjeux économiques

La concurrence fait que des entreprises s’investissent de plus en plus dans la sécurisation de leurs systèmes d’information et dans la qualité de service fournit aux clients. Les organismes ou entreprises à but lucratif ont presque toujours la même finalité : c’est de réaliser des bénéfices sur l’ensemble de leurs activités. Cette réalisation est rendue possible grâce à son système d’information considéré comme moteur de développement de l’entreprise. D’où la nécessité de garantir la sécurité de ce dernier.

Les enjeux politiques [1, 7]

La plupart des entreprises ou organisations se réfèrent aux documents officiels de sécurité élaborés et recommandés par l’État. Ces documents contiennent généralement des directives qui doivent être appliquées par toute structure engagée dans un processus de sécurisation du système d’information. Dans le cadre du chiffrement des données par exemple, chaque État définit des cadres et mesures d’utilisation des algorithmes de chiffrement et les recommande aux entreprises exerçant sur son territoire. Le non-respect de ces mesures et recommandations peut avoir des conséquences grave sur l’entreprise. A ce niveau, l’enjeu est plus politique parce que chaque État souhaite être capable de décrypter toutes les informations circulant dans son espace.

Les enjeux juridiques

Dans tout système d’information, on retrouve de l’information multiforme (numérique, papier, etc.). Le traitement de celle-ci doit se faire dans un cadre bien définit et dans le strict respect des lois en vigueur. En matière de juridiction, le non-respect des lois et exigences relatives à la manipulation des informations dans un système d’information peut avoir des conséquences graves sur l’entreprise.

Les vulnérabilités

Tous les systèmes informatiques sont vulnérables. Peu importe le niveau de vulnérabilité de ceux-ci. Une vulnérabilité est une faille ou une faiblesse pouvant être exploitée par une personne mal intentionnée pour nuire. Les vulnérabilités des systèmes peuvent être classés en catégorie (humaine, technologique, organisationnelle, mise en œuvre).

Les vulnérabilités humaines

L’être humain de par sa nature est vulnérable. La plupart des vulnérabilités humaines proviennent des erreurs (négligence, manque de compétences, surexploitation, etc.), car ne dit-on pas souvent que l’erreur est humaine ? Un système d’information étant composé des humains, il convient d’assurer leur sécurité si l’on veut garantir un maximum de sécurité dans le SI.
Un exemple courant de vulnérabilité chez l’humain, c’est la surexploitation. Généralement, on a tendance à faire travailler un employé au-delà de la limite de ses capacités normales. Ce qui peut l’amener à commettre des erreurs pouvant avoir des conséquences désastreuses pour l’entreprise. Par exemple le fait d’oublier une carte d’accès Secure ID dans un taxi au retour de travail, ou alors de lire un document confidentiel de l’entreprise dans un train lors d’un voyage, sans s’assurer qu’on n’est pas filé.

Les vulnérabilités technologiques

Avec la progression exponentielle des outils informatiques, les vulnérabilités technologiques sont découvertes tous les jours. Ces vulnérabilités sont à la base dues à une négligence humaine lors de la conception et la réalisation. Pour être informé régulièrement des vulnérabilités technologiques découvertes, il suffit de s’inscrire sur une liste ou des listes de diffusion mises en place par les CERT (Computer Emergency Readiness ou Response Team).

Les vulnérabilités organisationnelles

Les vulnérabilités d’ordre organisationnel sont dues à l’absence des documents cadres et formels, des procédures (de travail, de validation) suffisamment détaillées pour faire face aux problèmes de sécurité du système. Quand bien même ces documents et procédures existent, leur vérification et mises à jour ne sont pas toujours bien assurées.
Un exemple de vulnérabilité organisationnelle peut être le manque de définition des responsabilités dans un système d’information.

Les vulnérabilités mise en œuvre

Les vulnérabilités au niveau mise en œuvre peuvent être dues à la non prise en compte des certains aspects lors de la réalisation d’un projet. Par exemple la non prise en compte des procédures de maintenance dans un projet d’acquisition et de mise en en production d’un serveur de données.

Les menaces [1, 6, 7, 12, 13, 14, 15]

Les systèmes informatiques sont confrontés aux menaces. Une menace est un événement pouvant se produire à tout moment et que l’on craint. Selon leurs origines, les menaces peuvent être classifiées en deux catégories:
 Menaces d’origine naturelle (incendie, inondation, séismes, etc.)
 Menaces d’origine humaine (fuite, malveillance, espionnage, vol, etc.). Elles peuvent, en s’appuyant sur la puissance de l’informatique, causer des dommages d’une ampleur inédite.
La plupart des grandes entreprises ou organisations sont la cible de plusieurs d’attaques quotidiennes. Certaines attaques peuvent être bloquées automatiquement par des dispositifs (matériels et/ou logiciels) de sécurité, alors que d’autres attaques utilisant des procédés nouveaux auxquels ces dispositifs ne savent pas répondre, représentent un réel danger.

Les risques [40]

Face aux différentes vulnérabilités susceptibles d’être exploitées pour attaquer les systèmes d’information et aux menaces multiformes existantes, il est clair que tout système d’information peut être impacté par des risques. Un risque est un événement susceptible de se produire. Selon la nature physique, on peut classer les risques en plusieurs catégories dont voici quelques-unes : Accident, perte de services, vols, fuites d’information.

Risque ‘accident’

Cette catégorie regroupe tous les sinistres comme les incendies, dégâts des eaux, explosions, catastrophes naturelles, etc. Certains de ces risques ne peuvent être raisonnablement pris en compte (par exemple, un effondrement causé par la présence d’une ancienne carrière souterraine), d’autres peuvent être prévenus ou combattus (par exemple, un incendie), l’informatique n’étant alors qu’un des aspects du problème. Enfin, des mesures simples permettent de limiter les conséquences de certains accidents (par exemple, si la salle informatique est située au premier étage, on évitera la perte du matériel en cas d’inondation, même si celle-ci ne peut être combattue).

Risque ‘perte de services’

On range dans cette catégorie les coupures de courant, de télécommunications, les ruptures de stocks de fournitures essentielles, etc. Il existe des moyens permettant de palier à ces problèmes, notamment la redondance, les techniques statistiques et les alarmes. Quelques exemples concrets:
 Onduleur et éventuellement groupe électrogène
 Liaison satellite doublant la ligne spécialisée
 Choix de fournitures disponibles auprès de multiples sources (et pas seulement de multiples fournisseurs d’une seule source)
 Programmation d’interventions ou de remplacements préventifs
Ces mesures ont évidemment un coût, mais lorsqu’il s’agit d’un service vital, ce coût est de très loin préférable aux conséquences d’une perte de service. Remarquez que les pannes matérielles peuvent entrer dans cette catégorie : c’est évident pour les serveurs, mais les imprimantes d’une société d’affacturage peuvent également mériter certains égards.
Par contre une panne affectant un poste de travail banalisé n’a aucune importance : le remplacement d’un PC ne pose aucun problème et la panne n’affecte pas sérieusement la productivité de l’entreprise.

Risque ‘vol’

Ces problèmes sont la plupart du temps marginaux, sauf dans les grandes entreprises, l’administration et les établissements d’enseignement où les vols ou dégradations sont généralement commis par les personnes fréquentant habituellement les lieux (personnel, étudiants). Ces problèmes sont loin d’être propres à l’informatique et les solutions existantes sont simples :
 Installation d’alarmes et de dispositifs de télésurveillance
 Fixation du matériel au mobilier et verrouillage des boîtiers
 Utilisation de cartes internes pour les clés électroniques
 Utilisation de matériel spécifique anti-vandalisme
d-4-Risque ‘fuite d’informations’
La fuite d’information est un phénomène difficile à éradiquer. Mais on peut en fonction des moyens dont on dispose, le rendre difficile à réaliser.

Comment se protéger contre les attaques ? [1, 3, 6, 7, 17, 18]

Définition d’une attaque

Une « attaque » est une activité malveillante qui consiste à exploiter une faille d’un système informatique (serveurs, routeurs, système d’exploitation, logiciel, etc.) à des fins non connues par les responsables du système et généralement préjudiciables pour le système d’information en général. Les attaques sont souvent menées suite aux motivations diverses :
• Perturbation du bon fonctionnement d’un système ou d’un service
• Vol des informations sensibles (données bancaires par exemple)
• Utilisation des ressources du système à d’autres fins, etc.

Types d’attaque

Mise en place d’un système de monitoring hautement disponible dans un environnement multi-sites
Parmi les types d’attaques, nous pouvons citer : les attaques par intrusion, les attaques par déni de service, les attaques par interception (homme du milieu), les attaques par dictionnaire et par force brute, les attaques par ingénierie sociale.

Attaque par intrusion

Ce type d’attaque vise à s’infiltrer physiquement ou logiquement dans un système informatique en vue de récupérer des informations exploitables à d’autres fins. Par exemple, installer un écouteur (sniffer) sur un réseau informatique constitue une attaque de type intrusion sur le réseau.

Attaque de l’homme du milieu (Man-In-The-Middle)

Ce type d’attaque vise à intercepter les communications entre deux parties (personne, ordinateur) sans que ni l’une, ni l’autre ne puisse s’en apercevoir. Il s’agit ici d’une attaque par interception. Le schéma ci-après illustre ce type d’attaque entre un ordinateur client et un ordinateur serveur.

Attaque par hameçonnage (phishing)

Le phishing est une technique dans laquelle des bandes organisées de cybercriminels se font passer pour des organismes financiers ou grandes sociétés en envoyant des emails ou des pages web frauduleux pour récupérer des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds. Le phénomène existe depuis 1996 et a connu une accélération significative début 2003.

Attaque par dictionnaire et par force brute (mot de passe)

Attaque par dictionnaire

L’attaque par dictionnaire vise à retrouver un mot de passe à partir d’un dictionnaire élaboré au préalable. Elle consiste à tester une série de mots de passe potentiels, les uns à la suite des autres, en espérant que le mot de passe utilisé pour le chiffrement soit contenu dans le dictionnaire.

Attaque par force brute

L’attaque par force brute a le même objectif que l’attaque par dictionnaire, sauf que la technique change. Elle consiste à tester une à une, toutes les combinaisons possibles. Cette attaque est difficile d’aboutir lorsque le mot de passe contient plus de caractères variés (majuscules, minuscules, chiffres, caractère spéciaux).

Attaque par ingénierie sociale

Ce type d’attaque très fréquente également, vise à récupérer des informations sensibles des utilisateurs en s’appuyant sur leur naïveté. Elle exploite l’abus de confiance faite par les utilisateurs du système d’information.
Par exemple un hacker qui se fait passer pour un technicien du support en appelant une secrétaire pour lui demander le mot de passe d’ouverture de session sur son poste. Il s’agit là d’une usurpation d’identité.

Les outils d’attaque

Pour mener à bien les attaques sur les systèmes informatiques, les pirates utilisent des outils informatiques bien connus du domaine. Ces outils sont également utilisés par les administrateurs et spécialistes de la sécurité pour tester la robustesse de leurs systèmes d’information, généralement dans le cadre d’un audit de sécurité. Parmi ces outils, nous pouvons citer :
• Les programmes malveillants (virus, ver, cheval de troie, logiciel espion [spyware])
• Les scanners et sniffers
• Les backdors (portes dérobées)
• Les spams (courriers indésirables)

Les programmes malveillants [11, 12, 13, 14, 15, 40]

Virus

Un virus informatique est un programme malveillant conçu pour se propager à d’autres ordinateurs en s’insérant dans des programmes légitimes appelés « hôtes». Il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre à travers tout moyen d’échange de données numériques comme les réseaux informatiques et les CD/DVD, les clefs USB, etc.

Ver

Un ver informatique est un programme malveillant qui se reproduit sur plusieurs ordinateurs en utilisant un réseau informatique comme Internet. Contrairement à un virus informatique, un ver n’a pas besoin d’un programme pour se reproduire. Il exploite les différentes ressources de l’ordinateur qui l’héberge pour assurer sa reproduction.
Comme exemple de ver, nous avons le ver « I LOVE YOU » découvert pour la première fois le 4 mai 2000, le ver « MORRIS » découvert en 1988. Ce ver a été à l’origine de la création du CERT (Computer Emergency Response Team).

Cheval de Troie

Un cheval de Troie est un programme d’apparence légitime conçu pour exécuter de façon cachée des actions à l’insu de l’utilisateur. En général, un cheval de Troie tente d’utiliser les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée qui permet à un attaquant de prendre, à distance, le contrôle de l’ordinateur.

Logiciel espion (spyware, mouchard ou espiogiciel)

Un logiciel espion est un programme malveillant qui s’installe dans un ordinateur dans le but de collecter et transférer des informations sur l’environnement dans lequel il s’est installé, très souvent sans que l’utilisateur en ait connaissance. Un logiciel espion est généralement composé de trois mécanismes distincts: Infection, collecte et transmission.

Rootkit

Un rootkit (« jeu de démarrage » en français) est un programme malveillant dont la principale fonctionnalité est de dissimuler la présence de son activité et celle des autres programmes néfastes aux yeux de l’utilisateur du système et des logiciels de sécurité (antivirus, pare-feu, IDS). Certains rootkit peuvent en plus de cette fonctionnalité principale, installer des backdors (porte dérobée). Les rootkits ont deux caractéristiques principales :
• Ils modifient profondément le fonctionnement du système d’exploitation
• Ils se rendent invisibles (difficile à les détecter)

Les sniffers

Un sniffer est un outil matériel ou logiciel, permettant de lire les données qui circulent dans un réseau. Si les données sont non chiffrées, on peut obtenir des informations sensibles comme les mots de passe. Ce genre d’outil peut également aider à résoudre des problèmes réseaux en visualisant ce qui passe à travers l’interface réseau.

Les backdors (portes dérobées)

Une porte dérobée n’est pas un programme, mais une fonctionnalité d’un programme permettant de donner un accès secret au système. Ce genre de fonctionnalité est souvent ajouté à un logiciel par l’éditeur, afin de lui permettre de surveiller l’activité du logiciel, ou de prendre le contrôle en cas de sollicitation. Généralement, les pirates informatiques une fois entrés dans le système, créent une porte dérobée afin de pourvoir y avoir accès à n’importe quel moment.

Sur le plan organisationnel [1, 3]

Application des grands principes de la sécurité informatique a-Amélioration continue de la sécurité (PDCA) : La roue de Deming

La roue de Deming est une illustration de la méthode qualité PDCA (Plan Do Check Act), son nom vient du statisticien américain William Edwards Deming (1900-1993). La méthode comporte quatre étapes, chacune entraînant l’autre, et vise à établir un cercle vertueux. Sa mise en place doit permettre d’améliorer sans cesse la qualité d’un produit, d’une oeuvre, d’un service…
Plan : ce que l’on va faire
Do : production
Check : mesure, vérification
Act : décision améliorative, corrective.

Mise en place d’une gestion des risques

En matière de sécurité des systèmes d’information, la gestion des risques est un processus visant à :
• Apprécier les risques qui pèsent sur les actifs de l’entreprise, ses valeurs et parfois son personnel
• Traiter les risques appréciés.
Un risque se défini comme un événement potentiel prévisible ou non.

Application des grands principes de défense

Les grands principes de défense d’un système d’information peuvent être classés en quatre grandes catégories : Prévention, Protection, Détection et Réaction.

Principe de prévention

Le principe de prévention consiste à mettre en place des moyens ou dispositifs en vue de prévoir des éventuelles attaques qui pourraient avoir lieu sur le système.
Par exemple, le fait de cloisonner un réseau en domaine de sécurité afin d’éviter qu’une attaque sur une partie du réseau n’affecte les autres parties du réseau, fait partie des principes de prévention.

Principe de protection

Le principe de protection consiste à mettre en place des moyens ou dispositifs permettant de protéger un bien ou un ensemble de biens (essentiel ou support) du système d’information.
Par exemple, installer un pare-feu à l’entrée du réseau local d’une entreprise pour assurer le filtrage des paquets entrant et/ou sortant, fait partie des principes de protection contre les attaques.

Principe de détection

Le principe de détection consiste à mettre en place des dispositifs matériels et/ou logiciels permettant identifier les intrusions dans un système ou dans une application. Sur le plan logiciel, ce principe s’appuie sur des outils tels que des bases de données, des algorithmes pour détecter les attaques. Généralement, la procédure de détection est couplée à la procédure d’alerte, ce qui est tout à fait logique, car une détection sans alerte n’apporte pas de valeur ajoutée.
Par exemple, le fait de mettre en place une caméra vidéo couplée à un déclencheur automatique d’alarme dans un bâtiment en vue de détecter les intrusions physiques, fait partie des principes de détection.

Principe de réaction

Le principe de réaction consiste à mettre en place un ensemble de moyens, procédures ou dispositifs (matériels ou logiciels) visant à réagir vis à vis des dysfonctionnements identifiés sur le système. Des procédures de réaction doivent être rédigées de manière non ambiguë, et mises à la disposition non seulement des spécialistes en charge de la sécurité, mais aussi des utilisateurs.
Par exemple, réviser les règles de filtrage au niveau d’un pare-feu suite à une attaque sur le réseau depuis l’extérieur, fait partie des principes de réaction.

Sur le plan technique [7, 8, 9, 13, 14,15]

Application des mécanismes de sécurité

Un mécanisme de sécurité peut-être vu au sens large comme une combinaison d’éléments destinés à fonctionner ensemble pour produire un résultat. Dans le cas d’un système d’information, il s’agit d’un groupe de fonctions ou de moyens ayant un objectif commun.
-Mécanisme d’authentification
Mise en place d’un système de monitoring hautement disponible dans un environnement multi-sites
Ce mécanisme permet de vérifier la véracité des utilisateurs, du réseau et des documents. Il est utilisé dans le cadre du contrôle d’accès (physique ou logique).
-Mécanisme de chiffrement
Ce mécanisme permet de rendre inintelligible des informations à ceux qui n’ont pas l’autorisation. Il est utilisé pour assurer la confidentialité des données et la signature numérique.
-Mécanisme de contrôle d’accès
Ce mécanisme permet d’identifier tous les accès au système. Ces accès peuvent être physiques ou logiques.
-Mécanisme de filtrage
Ce mécanisme permet de filtrer les paquets ou requêtes provenant d’une source (hôte, réseau), ou alors à destination d’un hôte ou d’un réseau. Il est utilisé par des équipements de filtrage tels que les pare-feu, proxy, etc.
-Mécanisme de détection
Ce mécanisme permet de détecter des anomalies dans un réseau, un système ou une application. Par exemple la détection des injections de code SQL dans une application.

Application du mécanisme de cloisonnement et du principe de l’architecture n-tiers

Le cloisonnement fait partie des principes fondamentaux de la sécurité des systèmes d’information. Lorsqu’il est appliqué à un réseau, il consiste à segmenter physiquement ou logiquement le réseau en domaines de sécurité (intranet, Wifi, DMZ, etc..). Les équipements de sécurité tels que les pare- feu, les commutateurs peuvent être utilisés à cet effet. Lorsqu’il est appliqué à une application, on parle plutôt d’architecture applicative n- tiers. Il s’agit d’une architecture en couches. Ainsi, dans une architecture 3-tiers, on distinguera trois couches :
 une couche « présentation » qui est chargée de présenter les résultats traités par la couche application. Exemple : un portail web
 Une couche « application » qui est chargée de traiter des données et de les mettre à la disposition de la couche présentation.
 Une couche « donnée » qui est chargée de stocker des données brutes ou traitées.

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela chatpfe.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

Introduction
Chapitre I : Présentation du Lieu de stage
I-1 : Présentation de NETLOGIK
I-2 : Problématique
I-3 : Objectif de l’étude
Chapitre II : Sécurité des systèmes informatiques (SSI)
Chapitre III : Les Concepts Généraux du monitoring (supervision)
Chapitre IV : Solutions Existantes
Chapitre V : Présentation de la Solution
Chapitre VI : Implémentation
Conclusion
Résumé
Summary
Références

Télécharger le rapport complet

Télécharger aussi :

ARCHITECTURE D’UN RESEAU GSM

nformatisation du traitement des informations et utilisation du réseau Internet

Projet de création d’ une société de développement informatique dénomme «Gas ‘info»

Généralités sur le réseau 4G/LTE

Notions de base sur les réseaux informatiques

Planification du reseau wifi d’entreprise

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *