O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Sécurité informatique

Book Description

Présentation

Que recouvre le terme de sécurité informatique pour l'entreprise ? Existe-t-il des normes et bonnes pratiques universelles ? Comment mettre en oeuvre une politique de sécurité et mettre au point des chartes de conduite pour minimiser le risque humain ?

Une bible pratique et systématique pour le responsable informatique

Écrit par un responsable de la sécurité des systèmes d'information devenu DSI, et par un expert des réseaux et des systèmes, ce livre limpide expose les risques inhérents à tout système informatique - et les moyens de s'en protéger. S'adressant aux administrateurs et responsables informatiques comme à leurs interlocuteurs, il offre au professionnel consciencieux un exposé clair des modes opératoires des programmes nocifs et des outils censés les contrer, ainsi qu'une méthode rigoureuse pour concevoir une véritable politique de sécurité.

Outre un modèle de politique de sécurité et de charte d'utilisation que le lecteur pourra adapter à son environnement, cette troisième édition, mise à jour avec les dernières évolutions en matière de menaces et de sécurité, propose notamment un éclairage sur la dimension géostratégique de la sécurité liée à l'Internet (WikiLeaks, attaques contre la Géorgie et l'Estonie, coupure de l'Internet en Egypte ou en Tunisie, etc.).

À qui s'adresse cet ouvrage ?
  • Aux administrateurs de systèmes et de réseaux, mais aussi aux DSI et aux responsables de projets;
  • À tous ceux qui doivent concevoir ou simplement comprendre une politique de sécurité informatique.
Au sommaire
  • Principes de sécurité du système d'information
    • Premières notions de sécurité
    • Les différents volets de la protection du SI
    • Malveillance informatique
  • Science de la sécurité du système d'information
    • La clé de voûte : le chiffrement
    • Sécurité du système d'exploitation et des programmes
    • Sécurité du réseau
    • Identités, annuaires, habilitations
  • Politiques de sécurité du système d'information
    • Une charte des utilisateurs
    • Une charte de l'administrateur système et réseau
    • Une politique de sécurité des systèmes d'information
  • Avenir de la sécurité du système d'information
    • Nouveaux protocoles, nouvelles menaces
    • Tendances des pratiques de sécurisation des SI
    • Sécurité informatique : dimension géostratégique

Table of Contents

  1. Couverture
  2. Titre
  3. Licence
  4. Table
  5. Préfaces
  6. Avant-propos
    1. Mode d’emploi du livre
    2. Remerciements
  7. Première partie - Principes de sécurité du système d’information
    1. 1 - Premières notions de sécurité
      1. Menaces, risques et vulnérabilités
      2. Aspects techniques de la sécurité informatique
        1. Définir risques et objets à protéger
          1. Fixer un périmètre de sécurité et élaborer une politique de sécurité
          2. Périmètres et frontières
          3. Ressources publiques, ressources privées
        2. Identifier et authentifier
        3. Empêcher les intrusions
        4. Concevoir la défense en profondeur
      3. Aspects organisationnels de la sécurité
        1. Abandonner les utilisateurs inexpérimentés aux requins?
        2. Externalisation radicale et accès Web
        3. Sauvegarder données et documents
        4. Vérifier les dispositifs de sécurité
      4. La nécessaire veille auprès des CERT
        1. Organisation des CERT
        2. Faut-il publier les failles de sécurité?
      5. Le management de la sécurité
        1. Les systèmes de management
        2. Le système de management de la sécurité de l’information
          1. Élaboration et mise en place du SMSI
          2. Suivi et application du SMSI
          3. Récapitulation des normes ISO pour la SSI
          4. Tâches de direction et d’encadrement
        3. Un modèle de maturité?
        4. Critères communs
        5. Faut-il adhérer aux normes de sécurité de l’information?
        6. Un projet de certification de sécurité Open Source : OSSTMM
      6. Législation financière et système d’information
        1. Prolifération des systèmes de contrôle et d’audit
        2. Sauvés par la régulation?
        3. Brève critique de la sécurité financière
      7. La sécurité procédurale n’est pas la solution
        1. Richard Feynman à propos de la conduite de projet
    2. 2 - Les différents volets de la protection du SI
      1. L’indispensable sécurité physique
      2. Protéger le principal : le système d’exploitation
        1. Droits d’accès
        2. Vérification des droits, imposition des protections
      3. Gérer l’authentification
        1. Séparation des privilèges
        2. Identification et authentification
        3. Le bon vieux mot de passe
        4. Listes de contrôle d’accès
          1. ACL Posix
          2. Historique des ACL
        5. Le chiffrement asymétrique
          1. Chiffrement et déchiffrement
          2. Signature et vérification
      4. Comprendre les failles et les attaques sur les logiciels
        1. L’attaque par interposition (Man in the middle)
        2. Vulnérabilité des cryptosystèmes
    3. 3 - Malveillance informatique
      1. Types de logiciels malveillants
        1. Virus
        2. Virus réticulaire (botnet)
          1. Un beau virus réticulaire: Conficker
        3. Ver
        4. Cheval de Troie
        5. Porte dérobée
        6. Bombe logique
        7. Logiciel espion
      2. Courrier électronique non sollicité (spam)
      3. Attaques sur le Web et sur les données
        1. Injection SQL
        2. Cross-site scripting
        3. Palimpsestes électroniques
        4. Matériels de rebut
      4. Lutte contre les malveillances informatiques
        1. Antivirus
        2. Les techniques de détection
        3. Des virus blindés pour déjouer la détection
      5. Quelques statistiques
  8. Deuxième partie - Science de la sécurité informatique
    1. 4 - La clé de voûte : le chiffrement
      1. Chiffrement symétrique à clé secrète
        1. Naissance de la cryptographie informatique : Alan Turing
        2. Data Encryption Standard (DES)
      2. Diffie et Hellman résolvent l’échange de clés
        1. Le problème de l’échange de clés
        2. Fondements mathématiques de l’algorithme Diffie-Hellman
        3. Mise en œuvre de l’algorithme Diffie-Hellman
      3. Le chiffrement asymétrique à clé publique
      4. Évaluer la robustesse d’un cryptosystème
        1. Robustesse du chiffrement symétrique
        2. Robustesse du chiffrement asymétrique
        3. Responsabilité de l’utilisateur de cryptosystème
    2. 5 - Sécurité du système d’exploitation et des programmes
      1. Un modèle de protection : Multics
        1. Les dispositifs de protection de Multics
      2. Protection des systèmes contemporains
      3. Débordements de tampon
        1. Attaques par débordement sur la pile
        2. Débordement de tampon : exposé du cas général
        3. Débordement de tampon et langage C
      4. Sécurité par analyse du code
        1. Analyses statiques et méthodes formelles
        2. Méthode B
        3. Perl en mode souillé
      5. Séparation des privilèges dans le système
      6. Architectures tripartites
    3. 6 - Sécurité du réseau
      1. Modèle en couches pour les réseaux
        1. Application du modèle à un système de communication
        2. Modèle ISO des réseaux informatiques
        3. Une réalisation: TCP/IP
      2. Les réseaux privés virtuels (VPN)
        1. Principes du réseau privé virtuel
        2. IPSec
        3. Autres réseaux privés virtuels
      3. Comparer les procédés de sécurité
      4. Partager des fichiers à distance
      5. Sécuriser un site en réseau
        1. Segmentation
        2. Filtrage
        3. Pare-feu
          1. Protection d’un poste Linux isolé avec Netfilter
        4. Listes de contrôle d’accès pour le réseau
        5. Les pare-feu personnels pour ordinateurs sous Windows
          1. Le pare-feu du système d’exploitation Windows XP
          2. Un pare-feu personnel dérivé de la technologie Sygate
      6. Le système de noms de domaines (DNS)
        1. Fonctionnement du DNS
        2. Un espace abstrait de noms de serveurs et de domaines
        3. Autres niveaux de domaines
        4. Conversations entre serveurs de noms
        5. Sécurité du DNS
          1. Espace public et espace privé
      7. Traduction d’adresses (NAT)
        1. Le principe du standard téléphonique d’hôtel
        2. Adresses non routables
        3. Accéder à l’Internet sans adresse routable
        4. Réalisations
        5. Une solution, quelques problèmes
      8. Promiscuité sur un réseau local
        1. Rappel sur les réseaux locaux
        2. Réseaux locaux virtuels (VLAN)
        3. Sécurité du réseau de campus : VLAN ou VPN ?
      9. Réseaux sans fil et sécurité
        1. Types de réseaux sans fil
        2. Vulnérabilités des réseaux sans fil 802.11
          1. Vulnérabilités 802.11 spécifiques
          2. Protection des points d’accès
          3. Protection des communications par chiffrement
          4. Authentification des accès au réseau
    4. 7 - Identités, annuaires, habilitations
      1. Qu’est-ce que l’identité dans un monde numérique?
        1. Problématique de l’identification
        2. Trois types d’usage des identifiants
        3. Vers un système universel d’identifiants
        4. Distinguer adresses de localisation et d’identification?
        5. La politique des identifiants
        6. Distinguer noms et identifiants dans le DNS ?
      2. Pretty Good Privacy (PGP) et signature
      3. Créer un réseau de confiance
        1. Du trousseau de clés à l’IGC
        2. Annuaire électronique et gestion de clés
      4. Risques liés aux systèmes d’identification
      5. Organiser un système d’identité numérique
        1. Objectif SSO
        2. Expérience de terrain
  9. Troisième partie - Politiques de sécurité du système d’information
    1. 8 - Une charte des utilisateurs
      1. Préambule de la charte
      2. Définitions
      3. Accès aux ressources et aux services
      4. Règles d’utilisation, de sécurité et de bon usage
      5. Confidentialité
      6. Respect de la législation
      7. Préservation de l’intégrité des systèmes informatiques
      8. Usage des services Internet (Web, messagerie, forum...)
        1. Règles de bon usage
        2. Publication sur l’Internet
        3. Responsabilité légale
        4. Dispositifs de filtrage de trafic
      9. Surveillance et contrôle de l’utilisation des ressources
      10. Rappel des principales lois françaises
      11. Application
    2. 9 - Une charte de l’administrateur système et réseau
      1. Complexité en expansion et multiplication des risques
      2. Règles de conduite
        1. Secret professionnel
        2. Mots de passe
      3. Proposition de charte
        1. Définitions
        2. Responsabilités du comité de coordination SSI
          1. Surveillance et audit
          2. Contrôle d’accès
          3. Vérification
        3. Responsabilités de l’administrateur de système et de réseau
          1. Enregistrement des incidents de sécurité
          2. Notification des incidents de sécurité
          3. Journalisation et archivage
          4. Examen des journaux
          5. Dérogations aux règles SSI
          6. Identification des utilisateurs et contrôles d’accès
          7. Audits périodiques
        4. Mise en œuvre et litiges
          1. Rapport des violations des règles SSI
          2. Veille SSI
          3. Attitude à l’égard des violations de la loi
          4. Attitude à l’égard des violations des règles SSI
    3. 10 - Une politique de sécurité des systèmes d’information
      1. Préambule : les enjeux de la PSSI
      2. Contexte et objectifs
        1. Le contexte de l’INSIGU
        2. Périmètres de sécurité
          1. Périmètres des formations de recherche
            1. Périmètre des formations de recherche sur site INSIGU
            2. Périmètre des formations de recherche hors site INSIGU
          2. Périmètre des entités à caractère administratif
        3. Lignes directrices pour la sécurité
          1. Critères de sécurité
          2. Protection de l’infrastructure des systèmes d’information
          3. Protection des données
          4. Protection juridique
        4. Menaces, risques, vulnérabilités
      3. Organisation et mise en œuvre
        1. Organisation de la sécurité des systèmes d’information (SSI)
          1. Responsabilités générales
          2. Comité de coordination de la sécurité des systèmes d’information
          3. Chaîne fonctionnelle SSI
          4. Responsabilités organiques
          5. Organisation opérationnelle
            1. Articulation avec l’organisation fonctionnelle
            2. Correspondants informatiques d’unité
            3. Audits et liaisons
        2. Coordination avec les autres organismes
          1. Principe général
          2. En cas d’incident
          3. Coordination recherche
        3. Principes de mise en œuvre de la PSSI
          1. Organisation, responsabilités
            1. Responsabilités des différents acteurs
          2. Chartes
          3. Accès aux ressources informatiques
          4. Surveillance des systèmes et des réseaux
          5. Formation, sensibilisation
          6. Certificats électroniques
          7. Veille scientifique, technique et juridique
          8. Documentation SSI
        4. Protection des données
          1. Disponibilité, confidentialité et intégrité des données
          2. Protection des données sensibles
          3. Données à caractère personnel
          4. Chiffrement
          5. Réparation, cession, mise au rebut
        5. Sécurité du système d’information
          1. Administration des postes de travail
          2. Sécurisation des postes de travail et des moyens nomades
          3. Contrôle d’accès
          4. Sécurité des applications
          5. Maintenance et télé-action internes
          6. Infogérance et télémaintenance externes
          7. Clauses dans les contrats
          8. Réseau
          9. Maintien du niveau de sécurité
        6. Mesure du niveau effectif de sécurité
          1. Contrôle de gestion
          2. Audits
          3. Journalisation, tableaux de bord
          4. Posture de sécurité
          5. Mises en garde
          6. Gestion d’incidents
          7. Gestion de crise
          8. Plan de continuité
  10. Quatrième partie - Avenir de la sécurité informatique
    1. 11 - Nouveaux protocoles, nouvelles menaces
      1. Le modèle client-serveur
      2. Versatilité des protocoles : encapsulation HTTP
        1. Tous en HTTP !
        2. Vertus de HTTPS
      3. Protocoles pair à pair (peer to peer)
        1. Définition et usage du pair à pair
        2. Problèmes à résoudre par le pair à pair
        3. Le pair à pair et la sécurité
        4. Exemples : KaZaA et Skype
          1. Description de Skype
          2. Skype est-il vraiment pair à pair?
          3. Sécurité de Skype et d’autres protocoles
          4. Filtrer Skype ?
        5. Franchir les pare-feu : vers une norme ?
      4. Téléphonie IP : quelques remarques
        1. Une grande variété de protocoles peu sûrs
        2. Précautions pour la téléphonie IP
      5. BlackBerry
    2. 12 - Tendances des pratiques de sécurisation des SI
      1. Les six idées les plus stupides en sécurité, selon Ranum
        1. Idée stupide no 1 : par défaut, tout est autorisé
        2. Idée stupide no 2 : prétendre dresser la liste des menaces
        3. Idée stupide no 3 : tester par intrusion, puis corriger
        4. Idée stupide no 4 : les pirates sont sympas
        5. Idée stupide no 5 : compter sur l’éducation des utilisateurs
        6. Idée stupide no 6 : l’action vaut mieux que l’inaction
        7. Quelques idioties de seconde classe
      2. Les cinquante prochaines années, selon Alan Cox
      3. Détection d’intrusion, inspection en profondeur
        1. Pare-feu à états
        2. Détection et prévention d’intrusion
        3. Inspection en profondeur
        4. Critique des méthodes de détection
      4. À qui obéit votre ordinateur?
        1. Conflit de civilisation pour les échanges de données numériques
        2. Dispositifs techniques de prohibition des échanges
          1. Gestion des droits numériques (DRM)
          2. Trusted Computing Group (TCG)
          3. Next-generation secure computing base (NGSCB)
        3. Informatique de confiance, ou informatique déloyale?
        4. Mesures de rétorsion contre les échanges de données
          1. Le rapport Kahn-Brugidou
          2. La loi DADVSI
          3. La loi HADOPI
          4. Accords pragmatiques entre parties
          5. Une vision politique constructive : Michel Rocard
        5. Signature électronique et sécurité des échanges
        6. Gestion des droits numériques et politique publique
    3. 13 - Sécurité informatique : dimension géostratégique
      1. Les acteurs et leur terrain
      2. Organisation de l’Internet
      3. Le contexte économique
        1. Du monopole au pluralisme
        2. Internet et téléphonie classique : deux conceptions
      4. L’hégémonie américaine en question
        1. Un point stratégique : les noms de domaine (DNS)
        2. L’opposition stérile des Européens
        3. La réaction de la Chine
        4. Un système de noms de domaine à deux étages
      5. Quelles armes pour la guerre sur Internet?
      6. Estonie et Géorgie
      7. WikiLeaks
      8. Stuxnet
      9. Tunisie, Égypte : Internet pour la liberté
      10. Peut-on éteindre l’Internet?
        1. Par attaque à la racine du DNS?
        2. Par attaque sur le routage?
      11. La cybersécurité en 2011
  11. Conclusion
  12. Bibliographie
  13. Index