c cours sécurité et cryptographie -...

C Cours Sécurité et cryptographieSécurité et cryptographie

Mohamed Houcine Elhdhili & Khaled Sammoud

Med elhdhili@yahoo [email protected]@gmail.com

Remarque: ce document doit être complété par les notes de cours

Cours sécurité et cryptographieHdhili M.H 1

Objectifs

Objectifs du cours:

Acquérir des connaissances fondamentales sur les aspects de la sécurité des systèmes d’informationde la sécurité des systèmes d information

Apprendre comment analyser les risquesApprendre comment analyser les risques

Apprendre comment choisir et déployer les mécanismes Apprendre comment choisir et déployer les mécanismes appropriées pour lutter contre les attaques.

Acquérir des connaissances sur les méthodes cryptographique intervenant dans la plupart des

Cours sécurité et cryptographieHdhili M. H

yp g p q p pmécanismes de sécurité

2

Plan

Partie 1: Introduction à la sécuritéNiveaux de sécurisationNiveaux de sécurisationAspects de la sécurité

Services attaques et mécanismesServices, attaques et mécanismesRisquesPolitique de sécuritéPolitique de sécuritéAudit de la sécurité

Partie 2: Attaques / menaces / vulnérabilitésPartie 2: Attaques / menaces / vulnérabilitésDéfinitions, ClassificationsV l é bilité l i i llVulnérabilités logiciellesVulnérabilités des protocoles et des servicesL i i l l ill


Logiciels malveillants3

Plan

Partie 3: Gestion des risquesDéfinitionsDéfinitionsIdentifications des risquesÉvaluation du risqueÉvaluation du risque

Partie 4: Mécanismes de sécuritéMécanismes cryptographiquesContrôle d’accès

Firewall et ACL, VPN, VLAN, SSH, authentification Outils: IDS, IPS, scanners de vulnérabilitésSécurité dans les couches protocolaires


SSL/TLS / SET, IPSEC4

Plan

Partie 5: introduction à la cryptographiePartie 6: t tè Partie 6: crypto-systèmes

Symétriques A é iAsymétriquesHybrides

Partie 7: AuthentificationSchéma de signatures Fonctions de hashage

Partie 8: Authentification interactivePartie 9: Protocoles et infrastructures de gestion de clés


clés5

Chapitre 1

introduction à la sécurité

Cours sécurité et cryptographieHdhili M.H 6

Définitions

Sécurité:Ensemble des techniques qui assurent que les données et Ensemble des techniques qui assurent que les données et les ressources (matérielles ou logicielles) soient utilisées uniquement dans le cadre où il est prévu qu'elles le q p qsoient.Sécurité des systèmes d’informations y

Système d’information:Système d information:Ensemble d’activités consistant à gérer les informations:

acquérir stocker transformer diffuser exploiteracquérir, stocker, transformer, diffuser, exploiter…Fonctionne souvent grâce à un système informatiqueSécurité du système d’information = sécurité du système


Sécurité du système d information sécurité du système informatique

7

Périmètre de la sécurité (1/3)

Réseaux

PersonnelBases de

Réseaux

SÉCURITÉ

Personnel

Locaux

données

Web DE QUI ?DE QUOI ?

Locaux

M té i l

Web

Systèmes MatérielSystèmes d’exploitations

Applications

Cours sécurité et cryptographieHdhili M. H 8

Périmètre de la sécurité (1/3)Périmètre organisationnel et fonctionnel:

Organisation de la sécuritégRépartition des responsabilitésSensibilisations des utilisateursContrôle Contrôle

Politique et guides de sécuritéProcédure de sécurité

Sécurité physique SÉCURITÉ

Personnel

Lutte anti-incendie, dégâts d’eauContrôle d’accès physiqueS d t hi d d t

SÉCURITÉDE QUI ?

DE QUOI ?Locaux

Sauvegarde et archivage des documentsSécurité du matériel: climatisation… Matériel


Périmètre de la sécurité (2/2)Sécurité logique:

des données, ,des applications, des systèmes d'exploitation.

B d Réseaux

Des communications réseaux

SÉCURITÉ

Bases de données

SÉCURITÉDE QUI ?

DE QUOI ?Web

Systèmes d’exploitations

A li tiCours sécurité et cryptographieHdhili M. H 10

Applications

Sécurité: nécessité

Besoin d’une stratégie de sécurité pour:

Réseaux

UtilisateursContrats

STRATÉGIEL i i lLé i l ti DE

SÉCURITÉ

LogicielLégislation

MatérielInformaticiens

Cours sécurité et cryptographieHdhili M. H 11Applications

Aspects de la sécurité

Méthodes employées pour Méthodes employées pour casser les services de la sécurité en détournant les mécanismes

(2) ATTAQUES

(1) SERVICES (3)MÉCANISMES(1) SERVICES (3)MÉCANISMES

Fonctionnalités requises Moyens utilisés pour Fonctionnalités requises pour assurer un environnement sécurisé en faisant appel aux

Moyens utilisés pour assurer les services de la sécurité en luttant contre les attaques


en faisant appel aux mécanismes

contre les attaques

Aspects de la sécurité: servicesAuthentification

Assurance de l'identité d'un objet de tout type qui peut être une personne (id tifi ti ) li ti(identification), un serveur ou une application.

IntégritéG ti ' bj t (d t fi hi t ) it Garantie qu'un objet (document, fichier, message, etc.) ne soit pas modifié par un tiers que son auteur.

ConfidentialitéConfidentialitéAssurance qu’une information ne soit pas comprise par un tiers qui n’en a pas le droit

Non répudiationAssurance que l'émetteur d'un message ne puisse pas nier l'avoir envoyé et que son récepteur ne puisse pas nier l'avoir reçu.

Disponibilitél l f l bl


Assurance que les services ou l'information soient utilisable et accessible par les utilisateurs autorisés

Aspects de la sécurité: attaques

ExternesExécutées par des entités externes au système victime

AttaquesInternes

Exécutées par des entités internes au système victime parce qu’ils sont malicieux

d dou détenu par des attaquants

S tèSystèmeAttaque interne

Attaque externe

P i

interne

AttaquesPassives

A i

Ecoute du système (réseau) pour l’analyser

Injection suppression ou modification de

Cours sécurité et cryptographieHdhili M. H 14Actives Injection, suppression ou modification de

données

Aspects de la sécurité: MécanismesMécanisme de

base Cryptographie

FiltrageMécanismes de la

sécuritéContrôle d’accès

Mécanismes Détection secondaires d’intrusion

Scanners de Scanners de vulnérabilité

Cours sécurité et cryptographieHdhili M. H 15…

RisquesLe risque:Le fait qu’un événement puisse empêcher de

Maintenir une situation donnée etMaintenir un objectif dans des conditions fixées etS ti f i fi lité éSatisfaire une finalité programmée

PPannesAccidents, (incendie, dégâts des fraudes

Risques

geaux,..)

Erreurs: Di l ti Erreurs: utilisation,

exploitation

Attaques

Divulgation d’information


q

Types de risques

3 types principaux

Risques opérationnels Qui concernent le fonctionnement de l’entreprise: la continuité Qui concernent le fonctionnement de l entreprise: la continuité d’activité, le risque vis-à-vis de personnes ou équipes clefs, les risques légaux et contractuels, …

Risques stratégiques Liés par exemple à l’obsolescence des produits et les évolutions des réseaux de distribution.

Risques financièresLiés par exemple aux taux de change et au défaut de payement


Liés par exemple aux taux de change et au défaut de payement.

17

Analyse des risques (chapitre)

Objectifs:

Avoir une meilleure protection des systèmes qui conservent traitent et transmettent les informations conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires.

Prendre de meilleures décisions basées sur des faits tangibles et mesurables.g

Investissement en équipement, personnel, formation, …

Permettre à une organisation d’accomplir sa mission.


Analyse des risques – premier pas

Définir les besoins.Déterminer les actifs à protéger et leurs propriétairesDéterminer les actifs à protéger et leurs propriétaires.

Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés?

Dét i l é t t d iDéterminer les menacesre présentant des risques.Quels sont les attaqueurs? Quels sont leurs moyens? Quelles sont leurs motivations?

Déterminer les objectifs à atteindre.Quelles sont les propriétés des actifs à protéger?

Proposer un solution.Déterminer les contre-mesures à mettre en place.

Évaluer les risques résiduels.Déterminer quelles sont les vulnérabilités toujours présentes.


Déterminer leurs impacts sur les objectifs initiaux.19

Analyse des risques – schématiquement


Politique de sécurité

ObjectifsSécurisation adaptée aux besoins de l’entreprise (après l’analyse des Sécurisation adaptée aux besoins de l entreprise (après l analyse des risques)Compromis sécurité - fonctionnalité.Permet d’analyser un audit de sécurité

Composantesppolitique de confidentialitépolitique d’accèsp qpolitique d’authentificationPolitique de responsabilitéPolitique de maintenancepolitique de rapport de violations


…21

Politique de sécuritéEtapes d’élaboration:

Identifier les risques et leurs conséquencesIdentifier les risques et leurs conséquences.Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés.Surveillance et veille technologique sur les vulnérabilités découvertes.Actions à entreprendre et personnes à contacter en cas de détection d'un problème.

Et d i lEtapes de mise en place:Mise en œuvreA dit t t t d'i t iAudit et tests d'intrusionDétection d'incidentsRéactions


RéactionsRestauration 22

Audit de la sécurité (chapitre)

Audit:Mission d’examen et de vérification de la conformité (aux Mission d examen et de vérification de la conformité (aux règles) d’une opération, d’une activitéou de la situation générale d’une entrepriseg p

Objectifs:V i i l li i d é i é éVoir si la politique de sécurité est respectée

Découvrir les risquesq

Effectuer des tests techniques de vulnérabilité

Proposer des recommandations

Proposer un plan d’action


Proposer un plan d action 23

Quelques méthodes de sécurité

EBIOS (Expressions des Besoins et Identification des Objectifs de EBIOS (Expressions des Besoins et Identification des Objectifs de Sécurité)http://www.ssi.gouv.fr/fr/confiance/ebios.html

MEHARI (MEthode Harmonisée d'Analyse de Risques)http://www.clusif.asso.fr/fr/production/mehari

La norme ISO 17799http://www.clusif.asso.fr/fr/production/ouvrages/pdf/Presentati

ISO17799 2005 df


on-ISO17799-2005.pdf

24

c cours sécurité et cryptographie -...

Documents