Leçon I Description et pratique de la sécurité informatique
A. Principes de la sécurité informatique
Objectifs : A la fin de cette leçon, l’apprenant sera capable de mobiliser les ressources pour pouvoir:
• Définir : sécurité informatique
• Décrire les principes de confidentialité, d’intégrité, et de disponibilité de l’information;
• Donner les avantage liés à la sécurité informatique;
Situation problème
Votre oncle reçoit un SMS l’informant qu’une importante somme d’argent vient d’être déposée dans son compte bancaire et l’expéditeur lui demande de se connecter par le biais de son téléphone portable à son compte bancaire pour la consultation de son solde, très ému, votre oncle exécute ses recommandations. Quelque secondes plus tard, sa banque l’informe que son compte a été vidé. C’est alors que vous vous rendez compte que vous venez de vous faire arnaquer.
a) Comment appelle-t-on ce genre de délits commis à travers les réseaux informatique?
b) Comment cela est-t-il possible à votre avis?
I. Définitions
Le système d'information est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l'information grâce à un ordinateur.
La sécurité des systèmes d’information ou plus simplement sécurité informatique, est :
L’’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place d’outils visant à empêcher l'utilisation non-autorisée, le mauvais usage, la modification ou le détournement du système d'information.
C’est aussi l’ensemble des moyens techniques, organisationnels et humains nécessaires pour préserver et garantir la sécurité du système d’information de l’entreprise
Le système d'information représente le patrimoine essentiel d’une organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La cybercriminalité est l’ensemble des activités illégales effectuées par l'intermédiaire d'Internet.
Le cybercrime est une infraction pénale susceptible de se commettre sur un système informatique généralement connecté à un réseau.
Il s’agit donc d’une nouvelle forme de criminalité et de délinquance qui se distingue des formes traditionnelles en ce qu’elle se situe dans un espace virtuel, le « cyberespace »
II. Le principe de la sécurité informatique.
La sécurité des systèmes d'information (SSI) est une discipline de première importance car le système d'information (SI) est pour toute entreprise un élément absolument vital. Les menaces contre le système d'information peuvent etre :
• L’atteinte à la disponibilité des systèmes et des données,
• La destruction de données,
• La corruption ou falsification de données,
• Le vol ou espionnage de données,
• L’usage illicite d'un système ou d'un réseau,
• etc.
Pour éviter toutes ces délits, on doit :
• Mettre sur pied une politique de sécurité informatique
• Effectuer une analyse des risques
• Établir une politique de sécurité
• Mettre en œuvre des techniques de sécurisation
Ceci permettant d’assurer la disponibilité, l’intégrité, la confidentialité et la pérennité de l’information dans les systèmes d’information. Les techniques de sécurisation incluent notamment:
• L’évaluation des vulnérabilités et les Tests de pénétration (Pen-Test) ;
• La sécurisation des données:
• La sécurité du réseau: Pare-feu, IDS ;
• La surveillance des informations de sécurité ;
• L’éducation des utilisateurs ;
La sécurité des systèmes d'information vise les objectifs suivants regroupés sous l’appellation de principes fondamentaux de la sécurité informatique (C..I.D.) :
1) Confidentialité (C),
2) Intégrité (I)
3) Disponibilité (D)
1) La confidentialité
La confidentialité est le fait de s’assurer qu’une information est accessible uniquement par les entités qui ont le droit d’accéder à celle-ci. Seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2) L’Intégrité
L'intégrité, c’est le fait garantir que les données sont bien celles que l'on croit être; consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).
Les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calculs de checksum ou de hachage.
3) Disponibilité :
La disponibilité est le fait de s’assurer que l’information soit toujours disponible peu importe le moment choisit.
L’accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues.
A ces trois principes s’ajoutent l’Authenticité et la Non-répudiation.
L'authentification
L’authentification est, pour un système informatique, un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système...) afin d'autoriser l'accès de cette entité à des ressources du système (systèmes, réseaux, applications…) conformément au paramétrage du contrôle d'accès.
La non-répudiation et l'imputation : aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur.
III. Avantages de la sécurité informatique
L’évolution de l’utilisation d’internet, oblige beaucoup d’organisations à mettre en place un système d’information très développé pour être viable. Desservir ainsi leurs employés de toutes les informations et outils technologiques nécessaires répond à ce besoin de viabilité et de pérennité qui passe au travers d’une communication régulière et accrue avec leurs partenaires, fournisseurs et clients.
Afin d’avoir une protection exhaustive de l’entreprise, il ne suffit pas seulement d’installer un système de sécurité mais mettre en place celui qui répond le plus efficacement possible aux besoins de sécurité de l’entreprise. Il est donc important de bien le choisir. Un système de sécurité doit avant tout:
• Assurer la protection externe et interne du système d’information ;
• Garantir en tout temps la confidentialité des communications ;
• S’aligner à la culture de l’entreprise ;
• Contrôler l’accès à la ressource informatique avec certitude ;
• Garantir le retour sur investissement ;
• Flexible et souple : invariable quelques soit l’état de l’entreprise.
Implanter un système de sécurité fiable et efficace permet aux entreprises d’assurer en quelque sorte leur progression dans le temps et de diffuser une image positive, notamment pour
les entreprises faisant du commerce via internet et/ou qui privilégient un extranet avec leurs collaborateurs. En effet, cela permet de bâtir un registre de solide de clientèle fidèle et nombreuse. Les principales raisons étant l’image de sécurité, fiabilité et stabilité qui met la clientèle et les collaborateurs en confiance lorsqu’ils font affaire avec l’entreprise.
Leçon II Description et pratique de la sécurité informatique
B. Protection de l’espace de travail
Situation de vie
Dans votre lycée, se trouve un ordinateur qui sert à saisir les épreuves d’examens et aide les élèves à imprimer des exposés. Alors le Proviseur redoutant que certains d’entre vous accéder aux épreuves et décide de limiter l’accès à cet appareil aux élèves. Pour cela, le proviseur fait appel à vous.
• Que faire pour éviter que les élèves aient accès aux épreuves séquentielles?
• Combien de comptes pourriez-vous créer?
• Quel sera la particularité de ces différents comptes d’utilisateurs?
I. Le compte d’utilisateur
Un compte d'utilisateur est l'ensemble des ressources informatiques attribuées à un utilisateur ou à un appareil (ordinateur, périphérique...).
Un compte d'utilisateur ne peut être exploité qu'en s'enregistrant auprès d'un système à l'aide de son identifiant (généralement un nom d'utilisateur ou user name en anglais) et de son authentifiant tel qu'un mot de passe (password). Cette procédure se dit « s'enregistrer » et il arrive que dans ce domaine on utilise parfois abusivement le terme anglais login pour désigner le compte proprement dit.
Il existe deux types de comptes d'utilisateur :
• Les comptes d’utilisateur standard
• Les comptes par défaut. (Administrateur, Invité)
a) Les comptes d’utilisateur standard
Les comptes d'utilisateur permettent d'ouvrir une session sur le réseau et, avec les permissions appropriées, d'accéder aux ressources du réseau. Ces comptes contiennent des informations sur l'utilisateur, notamment son nom et son mot de passe.
b) Invité
Le compte prédéfini Invité permet aux utilisateurs occasionnels d'ouvrir une session et d'accéder à l'ordinateur local. Par exemple, un employé ayant besoin d'accéder à l'ordinateur pendant une courte période peut utiliser le compte Invité. Par défaut, le compte Invité est désactivé.
Le compte Invité est principalement destiné aux personnes qui utilisent l’ordinateur de manière temporaire. Les pouvoirs dévolus à l’utilisateur de ce compte sont très être réduits. Ainsi, les utilisateurs d’un compte Invité ne peuvent pas installer de logiciels ou de composants matériels, voire avoir accès aux fichiers, dossiers et ou informations du compte Administrateur, modifier des paramètres ou créer un mot de passe.
c) Administrateur
Le compte prédéfini Administrateur sert à gérer la configuration globale des ordinateurs et des domaines. L'administrateur peut effectuer toutes les tâches, telles que la gestion ou la modification des comptes d'utilisateur et de groupe, la gestion des stratégies de sécurité, la création d'imprimantes et l'affectation de permissions et de droits d'accès des comptes d'utilisateur aux ressources.
Un compte Administrateur est un compte utilisateur qui permet d’effectuer des modifications dont la portée aura une incidence pour les autres utilisateurs. Les administrateurs peuvent modifier des paramètres de sécurité, installer des logiciels et des matériels, et accéder à tous les fichiers de l’ordinateur. Ils sont également habilités à modifier d’autres comptes d’utilisateurs. Le compte Administrateur est donc le compte qui donne les pouvoirs les plus étendus à l’utilisateur. Ce dernier a alors le contrôle le plus complet sur l’ordinateur et ce compte ne doit être utilisé qu’en cas de besoin. Il est généralement caractérisé par un mot de passe.
Un mot de passe est une chaîne de caractères qui sert de code d’accès à un compte utilisateur.
Les mots de passe garantissent que des personnes non autorisées ne puissent accéder à l’ordinateur. Le mot de passe permet de garantir la protection des informations sur votre ordinateur, Pour cette raison, il ne faut jamais communiquer votre mot de passe et ne l’écrivez pas à un endroit accessible à quelqu’un d’autre.
On accède à son compte d’utilisateur à l’aide d’un nom d’utilisateur et d’un mot de passe.
II. Sécuriser son espace de travail
Sécuriser son espace de travail c’est protéger l’espace de travail d’un utilisateur non autorisé.
1) Sécurité de l’espace de travail local
On sécurise l’espace de travail local en :
• En sauvegardant régulièrement ses données sur des supports amovibles ou distants ;
• En limitant l'accès à son espace de travail et ses fichiers ;
• En maîtrisant ses traces ;
• En protégeant son système des logiciels malveillants ;
• En identifiant les situations à risques ;
• En étant capable de restaurer l'intégrité de son système.
2) Sécuriser l’espace de travail distant
On sécurise l’espace de travail distant en :
• En déposant ses fichiers dans un espace privé ;
• En limitant tout risque d'usurpation d'identité (mot de passe complexe ; déconnexion de sa session ; etc.)
3) Protection des fichiers par mot de passe
Les principaux dispositifs permettant de sécuriser un réseau contre les intrusions sont :
• Le mot de passe,
• Le système de pare–feu,
• Le chiffrement,
• Le droit d’accès…
Nous utiliserons ici la méthode de protection des fichiers par mot de passe.
3.a) Comment protéger des fichiers par mot de passe
Sous Windows, nous allons présenter la procédure pour sécuriser un document Word avec un mot de passe.
Lorsque votre document est saisi,
Cliquez sur le bouton fichier \( \mapsto \) enregistrer sous ;
Sélectionnez un emplacement dans lequel enregistrer le fichier (ordinateur, OneDrive ou site web, Mes documents…), puis cliquez sur Parcourir ;
Dans la boîte de dialogue Enregistrer sous \( \mapsto \) cliquez sur Outils\( \mapsto \) Options général.
Dans la boîte de dialogue options d’enregistrement, sous partage de fichier, ajoutez des mots de passe pour votre fichier :
Mot de passe de protection : ce mot de passe est nécessaire pour ouvrir le fichier ;
Mot de passe de réservation d’écriture : tout le monde peut lire le fichier, seules les personnes qui disposent de ce mot de passe peuvent apporter des modifications.
Pour des données sensibles à protéger, il est conseillé d’utiliser un mot de passe fort c'est-à-dire mot de passe constitué d’au moins 14 caractères contenant des lettres, des chiffres et des caractères spéciaux ;
Pour protéger les fichiers, on peut aussi utiliser les logiciels de protection telle que : Protect folder, PDFelement, Folder lock, CryptoForge, SafeHouse… et aussi les logiciels de compression peuvent nous servir à protéger les fichiers par mot de passe.
3.b) Comment protéger de dossier par mot de passe
Windows offre désormais nativement la possibilité de sécuriser un dossier ou un fichier. Pour ce faire, il suffit de créer le dossier à protéger, cliquer avec le bouton droit sur ce dossier et choisir "Propriétés". Dans l'onglet Général, choisir "Avancé".
Une boîte de dialogue "Attributs avancés" s'ouvre alors. Cocher la case "Chiffrer le contenu pour sécuriser les données" et valider.
Les autres utilisateurs du système n'auront alors plus accès aux données de ce dossier et aux fichiers qu'il contient.
Leçon III Description et pratique de la sécurité informatique
C.Protection des données
Que ce soit votre CV, vos photos, votre musique préférée, ou tout autre fichier, toutes ces données peuvent être sujettes à de nombreuses attaques, d’où la notion de protection des données.
La protection des données est le fait de garantir l’intégrité et la confidentialité d’une donné.
Quelques techniques de protection de données
a) La compression de données
La compression de données ou codage de source est l'opération informatique consistant à transformer une suite de bits A en une suite de bits B plus courte pouvant restituer les mêmes informations, ou des informations voisines, en utilisant un algorithme de décompression.
C'est une opération de codage qui raccourcit la taille (de transmission, de stockage) des données au prix d'un travail de compression. L'opération inverse de la précédente est la décompression.
Types de compression
• Compression sans perte
La compression est dite sans perte lorsqu'il n'y a aucune perte de données sur l'information d’origine.
• Compression avec pertes
Il y a perte de données sur l’information d’origine. La perte d'information est irréversible, il est impossible de retrouver les données d'origine après une telle compression.
Exemple de Quelques logiciel de compression
• 7-Zip;
• AR File Open Knife;
• Winzip;
• UnRarX ;
• Unzip Wizard ;
• WinRAR portable.
b) L’usage d’un antivirus
Un virus est un programme malveillant pouvant nuire au fonctionnement logiciel ou matériel de l’ordinateur.
Exemple : virus, ver, cheval de Troie ou logiciel espion…
Un antivirus a trois principales fonctionnalités :
• une protection résidente ou veille, qui analyse tout nouveau fichier entrant ;
• un scanner qui peut analyser un support et y rechercher les logiciels malveillants ;
• un module de mise à jour (automatique) des signatures virales.
Pour être efficace un antivirus doit :
• Être présent sur la machine avant toute source de contamination ;
• Être actif en permanence ;
• Être à jour base antivirale et moteur de détection.
Les antivirus sont des programmes conçus pour contenir l’action des virus.
A cause de la diversité des virus, il est conseillé de mettre régulièrement à jour son antivirus.
La mise à jour d’un logiciel : c’est une opération qui consiste soit à l’acquisition d’une nouvelle version de ce logiciel ; soit à l’acquisition d’un ensemble de données permettant d’augmenter les potentialités du logiciel.
c) Le chiffrement
Le chiffrement est l’opération qui consiste à transformer une donnée qui peut être lue par n’importe qui (donnée dite "claire" ) en une donnée qui ne peut être lue que par son créateur et son destinataire (donnée dite "chiffrée" ou encore cryptogramme).
L’opération qui permet de récupérer la donnée claire à partir de la donnée chiffrée s’appelle le déchiffrement.
La cryptographie est une discipline alors que le chiffrement un procédé (une opération).)
Le chiffrement se fait généralement à l’aide d’une clé de chiffrement, le déchiffrement nécessite quant à lui aussi une clé de déchiffrement.
On distingue deux types de clés :
• Les clés symétriques : il s’agit de clés utilisées en même temps pour le chiffrement et le déchiffrement. On parle alors de chiffrement symétrique ou de chiffrement à clé secrète.
• Les clés asymétriques : ici les clés utilisées pour le chiffrement et le déchiffrement sont différentes. On parle alors de chiffrement asymétrique ou de chiffrement à clé publique.
Exemple de logiciels de chiffrement
GNU PG, Axcrypt , Disk Utility, 7-zip , Gostcrypt