sécurité_informatique

Un article de Wikipedia.y-project.com.

Le terme « système d'information » désigne ici tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information.

De tels systèmes se prêtent à des intrusions de types divers susceptible de ou détruire l'information, ou de la révéler à d'autres que ceux qui ont à en connaître. Ces intrusions peuvent être simples. Utilisant des technologies et de méthodes très répandues, elles sont à la portée de services spécialisés dans la recherche du renseignement comme à celle de particuliers à l'affût d'informations pouvant servir leurs intérêts, entre autres les organisations criminelles, terroristes ou susceptibles de compromettre l'ordre public.

La Sécurité des systèmes d?information (SSI) est l?ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires pour conserver ou rétablir la disponibilité, l'intégrité et la confidentialité des informations ou du système.

Sommaire 1 Enjeux, risques et objectifs de la SSI 1.1 Enjeux 1.2 Classification des risques 1.3 Liste des risques 1.4 Objectifs 1.5 Activités liées 2 Moyens de la SSI 2.1 Moyens théoriques 2.1.1 Normes et Méthodes 2.1.2 Certifications de sécurité 2.2 Moyens pratiques 2.2.1 La sécurité par la conception globale 2.2.2 Mise en place d'une politique de sécurité 2.2.3 Mise en place d'un Plan de continuité d'activité 2.2.4 Techniques de sécurisation d'un système 3 Acteurs de la SSI 3.1 Organismes officiels 3.2 Sociétés commerciales 3.3 Associations 3.4 Groupes de hackers 3.5 Personnalités 4 Controverses autour de la SSI 5 Annexes 5.1 Liens internes 5.2 Publications 5.2.1 Livres 5.2.2 Principaux magazines 5.3 Liens externes 5.3.1 Sites officiels 5.3.2 Autres sites d'information

[] Enjeux, risques et objectifs de la SSI

[] Enjeux

De graves dommages financiers peuvent être causés par des bris de sécurité informatique, bien qu'en faire une estimation est difficile. Des sommes de l'ordre de milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le ver Code Red. D'autres dommages subtanciels, comme ceux reliés au vol de numéros de cartes de crédit, ont été déterminés plus précisément.

Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie privée et la confidentialité, et sont pour cette raison sanctionnés lorsqu'une négligence de l'hébergeur peut être établie (non-application d'un correctif dans des délais raisonnables, par exemple).

[] Classification des risques

La sécurité informatique vise à se protéger contre les risques liés à l'informatique, pouvant être fonction de plusieurs éléments :

• les menaces qui pèsent sur les actifs à protéger ;
• les vulnérabilités de ces actifs ;
• la sensibilité de ceux-ci.

Si l'un des éléments est nul, le risque n'existe pas. C'est pourquoi, l'équation est généralement représentée par :

Risque = Menaces * Vulnérabilités * Sensibilité

La sensibilité est la conjonction de différents facteurs :

• Disponibilité.
• Intégrité,
• Confidentialité,
• Imputabilité

Les principales menaces effectives auxquelles on peut être confronté sont :

• l'utilisateur : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur (par insouciance ou malveillance)
• les programmes malveillants : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données
• l'intrusion : une personne parvient à accéder à des données ou à des programmes auxquels elle n'est pas censée avoir accès
• un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.

[] Liste des risques

Voir l'article : Risques en sécurité informatique

[] Objectifs

Expression de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur son environnement de développement ou sur son environnement opérationnel.

[] Activités liées

[] Moyens de la SSI

[] Moyens théoriques

[] Normes et Méthodes

Outils méthodologiques pour la sécurité des systèmes d'information :

• EBIOS, PSSI, TDBSSI, PC², DSIS

Autres outils méthodologiques :

• Mehari, Marion, Melisa, INCAS, CRAMM, ISO/IEC 17799:2000 (ou BS7799-1), FEROS

Critères et méthodologies d'évaluation :

• Critères ITSEC :
  • ITSEC : Critères d'évaluation de la sécurité des systèmes informatiques
  • ITSEM : Manuel d'évaluation de la sécurité des technologies de l'information
  • JIL : ITSEC Joint Interpretation Library
• ISO/CEI 27001 (ou BS7799-2).

• Critères communs :
  • CC : Common Criteria for Information Technology Security Evaluation
  • CEM : Common Methodology for Information Technology Security Evaluation

• Norme internationale ISO/IEC 15408 :
  • ISO/IEC 15408-1:1999(E) : Part 1 : Introduction and general model
  • ISO/IEC 15408-2:1999(E) : Part 2 : Security functional requirements
  • ISO/IEC 15408-2:1999(E) : Part 3 : Security assurance requirements

[] Certifications de sécurité

• CISA, CCSP, CISSP, GIAC, Security+.

[] Moyens pratiques

[] La sécurité par la conception globale

La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :

• la sensibilisation des utilisateurs aux problèmes de sécurité ou dans un domaine plus sérieux, on parlera alors de conscientisation
• la sécurité logique, c'est-à-dire la sécurité au niveau des données
• la sécurité des réseaux
• la sécurité des systèmes
• la sécurité des télécommunications
• la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée
• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »)

[] Mise en place d'une politique de sécurité

La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs desdites ressources possèdent uniquement les droits qui leurs ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :

• élaborer des règles et des procédures à mettre en ?uvre dans les différents services de l'organisation ;
• définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
• sensibiliser les utilisateurs aux problèmes liées à la sécurité des systèmes d'informations.

La politique de sécurité est donc l'ensemble des orientations suivies par une entité en terme de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (Responsable de la Sécurité des Systèmes d'Information), si ce poste existe au sein de l'organisation. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en ?uvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en terme de sécurité.

[] Mise en place d'un Plan de continuité d'activité

Plus aucune entreprise ne peut se passer de l?outil informatique, d?où la nécessité absolue d?un plan de continuité de l?informatique. Ce plan a pour but la reprise des activités après une catastrophe et ce, de la manière la plus efficace possible tout en garantissant la survie de l?entreprise.

Voir l'article Plan de continuité d'activité pour plus d'informations.

[] Techniques de sécurisation d'un système

• Contrôle des accès aux systèmes informatiques
• Surveillance du réseau : supervision, sniffer, système de détection d'intrusion
• Sécurité applicative : séparation des privilèges, audit de code, rétro-ingénierie
• Emploi de technologies ad-hoc: pare-feu, antivirus, anti-spams, anti-spyware, anti-trojan
• Voir aussi: Cryptographie, Authentification forte, liste de controle d'accès, stéganographie, infrastructure à clés publiques ?

[] Acteurs de la SSI

[] Organismes officiels

En SSI, il existe des organismes officiels chargés d'assurer des services de prévention des risques et d'assistance aux traitements d'incidents. Ces CERT (Computer Emergency Response Team) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous.

Voir l'article Computer Emergency Response Team pour plus d'informations.

[] Sociétés commerciales

• Éditeurs d'anti-virus
• Éditeurs de pare-feux
• Éditeurs de systèmes d'exploitation basés sur la sécurité : OpenBSD, SELinux
• SSII : Sociétés de Services en Ingénierie Informatique, spécialisées en sécurité
• MSSP : Managed Security Services Provider

[] Associations

• CLUSIF (Club de la Sécurité des Systèmes d'Information Français)
• OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux)
• Mal-Au-Net (Association française dont l'objet est d'aider les internautes francophones ayant des soucis ou des questions concernant les virus ou la sécurité informatique de leur ordinateur.)

[] Groupes de hackers

Il est à noter que les hackers, spécialisés en intrusions ou tentatives d'intrusions, ne sont pas tous des pirates, comme certains se plaisent à le dire. Aussi, les lamers, script kiddies, defaceurs, et Curious Joe, ne sont pas des hackers, mais simplement des personnes qui prétendent l'être. Les hackers sont des passionnés d'informatique, experts des systèmes et des réseaux, capables de développer leurs propres outils, et leur motivation n'est pas forcement délictueuse.

Voir l'article Pirate informatique pour plus d'informations.

[] Personnalités

• Alan Mathison Turing, mathématicien britannique ayant déchiffré le code secret de la machine Enigma, utilisée par les Nazis
• Kevin Mitnick, hacker (spécialiste en spoofing et en ingéniérie sociale), aujourd'hui consultant en sécurité informatique
• Tsutomu Shimomura, expert en sécurité informatique, ayant collaboré avec le FBI pour identifier Kevin Mitnick
• Dan Geer, consultant en sécurité informatique
• Bruce Schneier, expert en sécurité informatique, cryptographe, et écrivain
• Edward Felten, professeur et chercheur en sécurité informatique
• Ronald Rivest, Adi Shamir et Len Adleman, créateurs de RSA, un protocole de chiffrement à clé publique
• Andy Mueller-Maguhn, un hacker allemand, porte-parole du Chaos Computer Club, ancien membre élu de l'ICANN
• Serdar Argic, pseudonyme de l'auteur d'un des plus grands incidents de pourriel sur Usenet
• Phil Zimmerman, créateur du Pretty Good Privacy, logiciel de communication électronique sécurisée utilisant le chiffrement asymétrique
• Hervé Schauer, un des pionniers de la sécurité informatique en France (1987), fondateur de HSC (Hervé Schauer Consultants)
• Brad Spengler, auteur de Grsecurity et mainteneur de PaX
• Jean-Bernard Condat, ancien hacker au service de la DST
• Michael Lynn, un spécialiste en sécurité informatique (routeurs Cisco)

[] Controverses autour de la SSI

• Les « pirates informatiques »
  • Confusion entre différents termes et activités
  • Acteurs de la sécurité informatique considérés comme des criminels
  • Chercheurs en sécurité informatique pourchassés et condamnés (Guillermito/Viguard)

• Systèmes de protection
  • Système TCPA Palladium
  • Pseudo « standards » et systèmes de liste noire anti-spams (Sender-Id)

• Lobbying de certaines sociétés à but lucratif (éditeurs de logiciel)
  • Loi pour « la confiance dans l'économie numérique » (LEN) : Libertés sur Internet
  • Les « brevets logiciels »

[] Annexes

[] Liens internes

• Droit de l'informatique
• Confidentialité
• Pare-feu
• Criminalité informatique
• Honeypot
• CERT
• SecurityFocus : Site de référence anglophone
• Expertise technico-légale d'ordinateurs individuels i.e. informatique légiste
• Liste de normes ISO

[] Publications

[] Livres

• Ross J. Anderson : Security Engineering: A Guide to Building Dependable Distributed Systems, ISBN 0471389226
• Bruce Schneier : Secrets & Lies: Digital Security in a Networked World, ISBN 0471253111
• Paul A. Karger, Roger R. Schell : Thirty Years Later: Lessons from the Multics Security Evaluation, IBM white paper.
• Clifford Stoll : Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage, Pocket Books, ISBN 0743411463
• Hacking Intern, Data Becker
• Markus Schumacher : Hacker Contest, Xpert.press
• Brian Hatch, James Lee, George Kurtz : Halte aux Hackers Linux, Eyrolles, ISBN 2746402874

[] Principaux magazines

• MISC
• Phrack (magazine électronique)
• Réseaux & Télécoms
• Hackademy Magazine (magazine papier)
• Hakin9 (magazine papier)

[] Liens externes

[] Sites officiels

• (fr) Service du premier ministre français : Serveur thématique sur la sécurité des systèmes d'information - Documentation. Voir :
  • Plan de renforcement de la sécurité des systèmes d'information de l'Etat, PRSSI du 10 mars 2004, pour la période 2004-2007,
  • Politique de référencement intersectorielle de sécurité (PRIS v2), mesure n° 119 du programme ADELE de l'Etat (Administration électronique).
• (fr) Service du premier ministre français : Serveur thématique sur la sécurité des systèmes d'information - Actualités,
• (fr) Certa : Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques,
• (en) CERT Coordination Center.

[] Autres sites d'information

• (fr) FrSIRT : Site dédié aux professionnels de la sécurité informatique
• (fr) Guide informatique : Site contenant un glossaire des termes informatiques en français
• (fr) Vulnerabilite.com : Site d'information et d'actualités liées à la sécurité informatique
• (en) SANS Institute : Source pour la sécurité informatique, entrainement, certification, recherche (anglophone)
• (fr) Définition en français du SANS Institute
• (en) SecuriTeam : Actualité et utilitaires (anglophone)
• (fr) Sécurité.Org : Sécurité informatique, réseau, cryptographie et Linux
• (en)/(fr) Zone-h.org The internet thermometer : Nouvelles et avis de sécurité journaliers, base de données des cybercrimes
• (fr) SecuObs : Observatoire de la sécurité internet
• (fr) corroy.info : Une vue d'ensemble de l'actualité de la sécurité informatique
• (fr) malekal.com : Comment détecter que votre machine a été hackée?

Image:Crystal mycomputer.png Portail de l'informatique ? Accédez aux articles de Wikipédia concernant l?informatique.

Image:Crypto clé.png Portail de la cryptologie ? Accédez aux articles de Wikipédia concernant la cryptologie.

 
Le Texte ci-dessus est disponible sous GNU Free Documentation License.
La source est wikipedia http://fr.wikipedia.org/wiki/sécurité informatique