SUPPORT DE COURS SUR LES FONDAMENTAUX DE LA SECURITE INFORMATIQUE

TABLE DES MATIERES

TABLE DES MATIERES ................................................................................................................... 0

INTRODUCTION ..............................................................................................................................1

OBJECTIFS DU COURS .................................................................................................................. 3

PREMIER CHAPITRE – PRINCIPES DE LASECURITE INFORMATIQUE ................................... 4

I. DEFINITION & CONTEXTE D’ETUDES ................ Erreur ! Signet non défini.

II. DEMARCHE POUR SECURISER UN SYSTEME D’INFORMATION .............. 8

II.1. ANALYSE DE LA SITUATION ................................................................................................. 8

II.2 ETUDES OU ANALYSE DES RISQUES LIES A LA SECURITE INFORMATIQUE ............. 10

II.2.1. TYPOLOGIE DES RISQUES INFORMATIQUES ............................................................... 12

A. RISQUES HUMAINS ................................................................................................................. 13

B. RISQUES MATERIELS ............................................................................................................... 14

II.2.2. GESTION DES RISQUES INFORMATIQUES ................................................................... 15

A. ETUDIER LES RISQUES POTENTIELS .................................................................................... 15

B. IMPOSER DES RÈGLES DE SÉCURITÉ ADÉQUATES ........................................................... 17

C. FORMATION DES UTILISATEURS ......................................................................................... 18

II.3. ETABLISSEMENT ET ELEMENTS D’UNE POLITIQUE DE .............................................. 19

SECURITE INFORMATIQUE......................................................................................................... 19

II.4. PRINCIPAUX DEFAUTS DE SECURITE INFORMATIQUE ................................................. 22

 1

********************
INTRODUCTION
**********************

De nos jours, Le monde connaît des avancées très significatives dans le

domaine informatique ; les besoins en matière de sécurité sont un peu plus
impérieux, et la prédisposition n’est forcément pas à la baisse. Depuis quelques
années déjà, on participe à un changement constant des techniques, qu’il s’agisse
des techniques visant à sécuriser l’échange des données ou des techniques de
mises au point pour contourner les systèmes sécurisés. D'où, la sécurité des données
tend à s’améliorer. Et comme prône ce proverbe chinois : « l’art de la guerre est
basé sur la tromperie », de même par analogie, la sécurité informatique doit
représenter une stratégie qui éradique cette tromperie.

Il est sans ignorer que, le matériel informatique est quasiment partout. En effet,
d’une part le matériel est accessibles à un prix très abordable, et d’autre part, les
logiciels tendent à se simplifier et permettent une prise en main rapide. En plus, les
entreprises, informatisées, nécessitent un réseau sécurisé pour le transfert des
données aussi bien entre les machines de ladite entreprise qu'avec des machines
externes. Cela étant, la sécurité de façon générale est présente à plusieurs niveaux,
qu’il s’agisse des différentes portées de l’information. La sécurité est à prendre
dans sa totale dimension comme l’illustre la figure ci-après :

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 2

Niveaux de la sécurité informatique

La sécurité informatique s'intéresse à la protection contre les risques liés à

l'informatique ; elle doit prendre en compte :

▪ Les éléments à protéger : matériels, données, utilisateurs ;

▪ Leur vulnérabilité ;
▪ Leur sensibilité : quantité de travail impliqué, confidentialité…
▪ Les menaces qui pèsent sur eux
▪ Les moyens d'y faire face (préventifs et curatifs) : complexité de mise en
œuvre,
Coût…

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 3

OBJECTIFS DU COURS

L’objectif général de ce cours ou cursus en sécurité est d’offrir aux

étudiants ayant participés à cet enseignement, des méthodes et techniques de
conception et des réalisations de protections des systèmes informatiques afin de les
permettre d’intégrer les différentes notions et concepts de la sécurité dans la mise
en place des systèmes informatiques dont ils sont (seront) appelés à implémenter
dans leurs activités quotidiennes.

De manière spécifique, ce cours de généralité sur la sécurité vise à :

▪ Fournir les concepts relatifs à la sécurité informatique en se focalisant sur les

risques et les défauts de sécurité existants ainsi que l’établissement d’une
bonne stratégie de la politique de sécurité ;

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 4

PREMIER CHAPITRE – PRINCIPES DE LASECURITE

INFORMATIQUE

I. EXIGENCES FONDAMENTALES

La sécurité informatique c’est l’ensemble des moyens mis en œuvre pour

réduire la vulnérabilité d’un système contre les menaces accidentelles ou
intentionnelles. L’objectif de la sécurité informatique est d’assurer que les
ressources matérielles et/ou logicielles d’un parc informatique sont uniquement
utilisées dans le cadre prévu et par des personnes autorisées.

Il convient d'identifier les exigences fondamentales en sécurité informatique,

qui caractérisent ce à quoi s'attendent les utilisateurs de systèmes informatiques au
regard de la sécurité :

▪ La confidentialité - Seules les personnes habilitées doivent avoir accès aux

données. Toute interception ne doit pas être en mesure d'aboutir, les données
doivent être cryptées, seuls les acteurs de la transaction possèdent la clé de
compréhension.

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 5

▪ L'intégrité - Il faut garantir à chaque instant que les données qui circulent sont
bien celles que l'on croit, qu'il n'y a pas eu d'altération (volontaire ou non) au
cours de la communication. L'intégrité des données doit valider l'intégralité
des données, leur précision, l'authenticité et la validité.

▪ La disponibilité - Il faut s'assurer du bon fonctionnement du système, de

l'accès à un service et aux ressources à n'importe quel moment. La
disponibilité d'un équipement se mesure en divisant la durée durant laquelle
cet équipement est opérationnel par la durée durant laquelle il aurait dû être
opérationnel.

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 6

▪ La non-répudiation - Une transaction ne peut être niée par aucun des

correspondants. La non-répudiation de l'origine et de la réception des
données prouve que les données ont bien été reçues. Cela se fait par le biais

de certificats numériques grâce à une clé privée.

▪ L’authentification - Elle limite l'accès aux personnes autorisées. Il faut

s'assurer de l'identité d'un utilisateur avant l'échange de données.

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 7

▪ Le respect de la vie privée (informatique et liberté).

Bref, on mesure la sécurité d'un système entier à la sécurité du maillon le plus

faible. Ainsi, si tout un système est sécurisé techniquement mais que le facteur
humain, souvent mis en cause, est défaillant, c'est toute la sécurité du système qui
est remise en cause.

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 8

II. DEMARCHE POUR SECURISER UN SYSTEME

D’INFORMATION

II.1. ANALYSE DE LA SITUATION

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 9

La définition périmètre de sécurité représente la zone dans laquelle on va agir et

faire intervenir la sécurité.

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 10

II.2 ETUDES OU ANALYSE DES RISQUES LIES A LA SECURITE

INFORMATIQUE

Les coûts d'un problème informatique peuvent être élevés et ceux de la

sécurité le sont aussi. Il est nécessaire de réaliser une analyse de risque en prenant
soin d'identifier les problèmes potentiels avec les solutions avec les coûts associés.
L'ensemble des solutions retenues doit être organisé sous forme d'une politique de
sécurité cohérente, fonction du niveau de tolérance au risque. On obtient ainsi la liste
de ce qui doit être protégé. Il faut cependant prendre conscience que les principaux
risques restent : câble arraché, coupure secteur, crash disque, mauvais profil
utilisateur … Voici quelques éléments pouvant servir de base à une étude de risque :

❖ Quelle est la valeur des équipements, des logiciels et surtout des informations
?
❖ Quel est le coût et le délai de remplacement ?
❖ Faire une analyse de vulnérabilité des informations contenues sur les
ordinateurs en réseau (programmes d'analyse des paquets, logs…).

❖ Quel serait l’impact sur la clientèle d'une information publique concernant

des intrusions sur les ordinateurs de la société ?

En fait, avec le développement de l'utilisation d'internet, nombre d'entreprises

ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, elles
sont plus au niveau de l'architecture trois tiers ou n-tiers. Il devient donc nécessaire
de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle
d'accès et les droits des utilisateurs du système. En revanche, la sécurité est un
compromis entre coûts, risques et contraintes. On comprendra mieux le poids d’un
risque en se fiant à la formule suivante :

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 11

▪ Risque - C'est la probabilité qu’une menace exploite une vulnérabilité.

Autrement dit, c’est une possibilité qu’un fait dommageable se produise.

▪ Vulnérabilité - C'est une faiblesse inhérente à un système (software ou

hardware). Appelée parfois faille ou brèche, elle représente le niveau
d'exposition face à la menace dans un contexte particulier.

▪ Menace - c'est le danger (interne ou externe) tel qu’un hacker, un virus, etc.

▪ Contre-mesure - c'est un moyen permettant de réduire le risque dans une

organisation.
Conséquences de la formule :

▪ Le risque est d’autant plus réduit que les contre-mesures sont nombreuses
;

▪ Le risque est plus important si les vulnérabilités sont nombreuses.

L’utilisation de l’outil informatique est susceptible de nous exposer aq

plusieurs types des risques. Il importe donc de pouvoir mesurer ces risques en
fonction de la probabilité ou de la fréquence de leurs survenances et aussi en
mesurant leurs effets possibles. Ces effets peuvent avoir des conséquences
négligeables ou catastrophiques :

▪ Le traitement informatique en cours échoue : il suffit de le relancer,

éventuellement par une autre méthode si on craint que la cause ne
réapparaisse ;

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 12

▪ L’incident est bloquant et on doit procéder à une réparation ou une

correction avant de poursuivre le travail entrepris.

Il est cependant à noter que ces mêmes incidents peuvent avoir des
conséquences beaucoup plus fâcheuses :

▪ Données irrémédiablement perdues ou altérées, ce qui les rend inexploitables

par la suite ;

▪ Données ou traitements durablement indisponibles, pouvant entrainer

l’arrêt d’une production ou d’un service ;

▪ Divulgation d’informations confidentielles ou erronées pouvant profiter à

des sociétés concurrentes ou nuire à l’image de marque de l’entreprise ;

▪ Déclenchement d’actions pouvant provoquer des accidents physiques ou

induire des humains.

II.2.1. TYPOLOGIE DES RISQUES INFORMATIQUES

En sécurité informatique, il existe deux grands types des risques à savoir : les
risques humains et les risques matériels.

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 13

A. RISQUES HUMAINS

Ce sont les plus importants, même s’ils sont le plus souvent ignorés ou
minimisés. Ils concernent les utilisateurs mais également les informaticiens eux-
mêmes. On peut citer :

❖ La maladresse – commettre des erreurs ou exécuter de traitement non

souhaité, ou effacer involontairement des données ou des programmes ; etc.

❖ L’inconscience et l’ignorance – introduire des programmes malveillants

sans le savoir (par exemple lors de la réception du courrier). Des nombreux
utilisateurs d’outils informatiques sont encore inconscients ou ignorants des
risques qu’ils font courir aux systèmes qu’ils utilisent. Réaliser des
manipulations inconsidérées (autant avec des logiciels qu’avec du matériel)
;

❖ La malveillance – ces dernières années, il est impossible d’ignorer les

différents problèmes de virus et des vers. Certains utilisateurs peuvent
volontairement mettre en péril le système d’informations, en y introduisant
en connaissance de cause de virus ou en introduisant volontairement des
mauvaises informations dans une base des données. On parle même de la «
cybercriminalité » ;

❖ L’ingénierie sociale – une méthode pour obtenir d’une personne des

• Informations confidentielles, que l’on n’est pas
normalement autorisé à obtenir, en vue de les exploiter à
d’autres fins. Elle consiste à :

o Se faire passer pour quelqu’un que l’on n’est pas (en général un
administrateur réseau) ;

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 14

o Demander des informations personnelles (nom de connexion, mot de

passe, données confidentielles, etc.) en intervenant un quelconque
prétexte (problème dans le réseau, modification de celui-ci, etc.) ;
❖ Elle peut se faire soit au moyen d’une simple communication téléphonique ;
soit par mail, soit en se déplaçant directement sur place.
❖ L’espionnage – surtout industriel, emploie les mêmes moyens, ainsi que bien
d’autres, pour obtenir des informations sur des activités concurrentes,
procédés de fabrication, projets en cours, futurs produits, politique de prix,
clients et prospects, etc.

B. RISQUES MATERIELS

Ils sont liés aux défauts et pannes inévitables que connaissent tous les systèmes
matériels et logiciels. Ces incidents sont plus ou moins fréquents selon les soins
apportés lors de la fabrication et de l’application des procédures de tests effectués
avant que les ordinateurs et les programmes ne soient mis en service. Certaines de
ces pannes ont des causes indirectes, voire très indirectes, donc difficiles à prévoir.
On peut citer :

▪ Les incidents liés au matériel – la plupart des composants électroniques

modernes produits en grandes séries, peuvent comporter des défauts de
fabrication. Ils finissent un jour ou l’autre par tomber en panne. Certains de
ces pannes sont assez difficiles à déceler car intermittentes ou rares. Parfois,
elles relèvent d’une erreur de conception.

▪ Les incidents liés au logiciel – ce sont les plus fréquents. Les systèmes
d’exploitation et les programmes sont de plus en plus complexes car ils font
de plus en plus de choses. Ils nécessitent l’effort conjoint de dizaines, de
centaines, voire de milliers de développeurs. Ces derniers peuvent faire des
erreurs de manière individuelle ou collective que les meilleures méthodes de
travail et les meilleurs outils de contrôle ou de test ne peuvent pas éliminer en
totalité.

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 15

▪ Les incidents liés à l’environnement – les machines électroniques les réseaux

de communication sont sensibles aux variations de températures ou de
l’humidité ainsi qu’aux champs électromagnétiques. Dès lors, il est possible
qu’un ordinateur tombe en panne de manière définitive ou intermittente à
cause des conditions climatiques inhabituelles ou par l’influence
d’installations électriques notamment industrielles.

II.2.2. GESTION DES RISQUES INFORMATIQUES

La gestion des risques informatiques est un ensemble d’opérations de gérer

et de diriger les différentes incidences liées à la manipulation de l’outil informatique.
La gestion des risques consiste en trois actions majeures :

Etudier les risques potentiels (identifier/mettre au jour ces risques)

; Imposer des règles de sécurité adéquates pour réduire ces
risques ; Formation des utilisateurs.

A. ETUDIER LES RISQUES POTENTIELS

Cette phase consiste à faire un examen intégral de la méthodologie de l'étude des

risques informatique en vigueur. Cela se matérialise aux moyens :

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 16

▪ Définition de l’environnement - Définition des acteurs et leurs intérêts ;

Importance de la sécurité dans la stratégie de l’entreprise ; Type de données
impliquées ; Visibilité extérieure de la sécurité (importance pour la clientèle, le
public).

▪ Etude des menaces - Identifier la nature de la menace : accidentelles (désastre,

bugs…) ou intentionnelles (attaques, vols…) ; S'enquérir des sources de la
menace : personnel non autorisé, intrus, logiciel ; Localiser la menace :
procédures manuelles, informatique (software, réseau, stockage, hardware),
infrastructure (concrète et abstraite).

▪ Etude des vulnérabilités - Etudes des faiblesses engendrées par l’exécution

d‟une menace.

▪ Etude des risques - Probabilité d’occurrence de ces menaces conduisant à

une vulnérabilité.

▪ Estimation du risque et du plan stratégique - Risque (Coût des pertes à court,

moyen et long terme engendrées, Coût de la mise en place de la
contremesure tant au niveau logique que logistique, Comparer la perte
potentielle au coût de la contre-mesure) ; Plan stratégique (Planning de
l’implémentation avec prise en compte des besoins futurs en termes de
sécurité ou non, Planning du suivi de l’implémentation).

▪ Mise en place du plan de sécurité - Les mécanismes de sécurité mis en place

peuvent gêner les utilisateurs et les consignes et règles y définies peuvent

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 17

devenir de plus en plus compliquées au fur et à mesure que le réseau s'étend.

Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas
empêcher les utilisateurs de développer les usages qui leur sont nécessaires,
et de faire en sorte qu'ils puissent utiliser le système d'information en toute
confiance. Raison pour laquelle il est nécessaire de définir dans un premier
temps une politique de sécurité dont la mise en œuvre s'effectue en quatre
phases :

Identifier les besoins en termes de sécurité, les risques informatiques

pesant sur l'entreprise et leurs éventuelles conséquences ;

Elaborer des règles et des procédures à mettre en œuvre dans les

différents services de l'organisation pour les risques identifiés ;

Surveiller et détecter les vulnérabilités du système d'information et se tenir

informé des failles sur les applications et matériels utilisés ;

Définir les actions à entreprendre et les personnes à contacter en cas de

détection d'une menace.

▪ Audit de sécurité - L'audit de sécurité consiste à s'appuyer sur un tiers de

confiance (de préférence une société spécialisée en sécurité informatique) afin
de valider les moyens de protection mis en œuvre, au regard de la politique
de sécurité. En fait, l'objectif de l'audit est ainsi de vérifier que chaque règle
de la politique de sécurité est correctement appliquée et que l'ensemble des
dispositions prises forme un tout cohére.

B. IMPOSER DES RÈGLES DE SÉCURITÉ ADÉQUATES

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 18

Ceci consiste en la définition de procédures internes à l’entreprise basées sur :

▪ Des règles administratives - Suivre des standards de sécurité (normes ISO) ;

Suivre les lois.

▪ Des règles physiques - Gardes, caméras, alarmes, verrous et Accès aux locaux
sécurisés par biométrie.

▪ Des règles techniques - Déterminer des niveaux de classification des données

; Définir des niveaux d’accès à ces données ; Utiliser la cryptographie pour
le traitement et le stockage de l’information ; Mettre en place un firewall
matériel et/ou logiciel, ...

C. FORMATION DES UTILISATEURS

Il est de plus en plus admis que la sécurité est essentielle. Les coûts engendrés
par les pertes de données dues aux attaques réseaux et autres malwares diminuent
sensiblement d’années en années 1 . Il est beaucoup plus simple de corrompre
l’utilisateur et ce qui l’entoure que l’algorithme de chiffrement utilisé comme par
exemple :

▪ L’utilisateur ne connait pas les risques engendrés par la conservation de la

liste des mots de passe utilisés à coté de l’ordinateur ;

▪ Il est souvent plus simple de s’introduire dans l’ordinateur de l’utilisateur

afin de retrouver le texte en clair (hacking, vol, . . .) ;

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 19

▪ Il est possible de l’espionner, le pousser à la délation, pratiquer le

shouldersurfing ou tout autre technique dite de “social engineering”, ...

Il ne s’agira donc pas ici d’expliquer aux employés comment fonctionnent

les algorithmes qu’ils utiliseront, mais plutôt comment et dans quelles conditions ils
devront les utiliser en définissant des règles qui ne devront pas être transgressées. Il
y a également plusieurs manières de réagir à un risque, des plus « sûres » aux plus
inconscientes :

▪ Transférer les risques à une compagnie d’assurances ;

▪ Réduire les risques en implémentant des contre-mesures qui peuvent être :

Dissuasives : empêcher une attaque ;

Préventives : faire échouer une attaque ;
Correctrices : réduire les dommages causés par une attaque ;
Ignorer/Négliger les risques ;
Accepter les risques si les contre-mesures sont trop onéreuses

Certes, il y a toujours un risque, aussi infime soit-il. Il faudra donc peser le

pour et le contre lors de la mise en place éventuelle d’une contre-mesure.
Toutefois, en 2007, on remarque une remontée de la somme totale des pertes, due
à la fraude financière.

II.3. ETABLISSEMENT ET ELEMENTS D’UNE POLITIQUE DE

SECURITE INFORMATIQUE

L’élément de politique de sécurité est l'ensemble des orientations suivies par

une organisation en termes de sécurité. Elle est élaborée au niveau de système de
Cours de généralités sur la sécurité informatique By Brali NGUEMA
 20

pilotage (Direction), car elle concerne tous les utilisateurs du système. La sécurité
informatique de l'entreprise repose sur une bonne connaissance des règles par les
employés, grâce à des actions de formation et de sensibilisation auprès des
utilisateurs, mais elle doit aussi aller au-delà de cela tout en couvrant les champs ci-
après :

▪ Mise en place des correctifs ;

▪ Définition de la police de sécurité ;
▪ Objectifs, Portée, Responsables ;
▪ Une stratégie de sauvegarde correctement planifiée ;
▪ Description de la sécurité (de l’infrastructure physique, des données
informatiques, des applications, du réseau) ;
▪ Plan en cas de sinistre (Un plan de reprise après incident) ;
Sensibilisation du personnel aux nouvelles procédures
Sanctions en cas de manquements.

Suite à l’étude des risques et avant de mettre en place des mécanismes de

protection, il faut préparer une politique à l'égard de la sécurité. C’est elle qui fixe
les principaux paramètres, notamment les niveaux de tolérance et les coûts
acceptables. Voici quelques éléments pouvant aider à définir une politique :

⎆ Quels furent les coûts des incidents informatiques passés ?

⎆ Quel degré de confiance pouvez-vous avoir envers vos utilisateurs internes ?

⎆ Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?

⎆ Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement

forte qu’elle devient contraignante ?

⎆ Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-

ils accessibles de l’externe ?

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 21

⎆ Quelle est la configuration du réseau et y a-t-il des services accessibles de

l’extérieure ?

⎆ Quelles sont les règles juridiques applicables à votre entreprise concernant la

sécurité et la confidentialité des informations (ex : loi « informatique et liberté
», archives comptables…) ?

Il ne faut pas également perdre de vue que la sécurité est comme une chaîne,
guère plus solide que son maillon le plus faible. En plus de la formation et de la
sensibilisation permanente des utilisateurs, la politique de sécurité peut être
découpée en plusieurs parties :
▪ Défaillance matérielle - Tout équipement physique est sujet à défaillance
(usure, vieillissement, défaut…) ; L'achat d'équipements de qualité et standard
accompagnés d'une bonne garantie avec support technique est essentiel
pour minimiser les délais de remise en fonction. Seule une forme de
sauvegarde peut cependant protéger les données.

▪ Défaillance logicielle - Tout programme informatique contient des bugs. La

seule façon de se protéger efficacement contre ceux-ci est de faire des copies
de l'information à risque. Une mise à jour régulière des logiciels et la visite
des sites consacrés à ce type de problèmes peuvent contribuer à en diminuer
la fréquence.

▪ Accidents (pannes, incendies, inondations…) - Une sauvegarde est

indispensable pour protéger efficacement les données contre ces problèmes.
Cette procédure de sauvegarde peut combiner plusieurs moyens
fonctionnant à des échelles de temps différentes : Disques RAID pour
maintenir la disponibilité des serveurs ; Copie de sécurité via le réseau
(quotidienne) ; Copie de sécurité dans un autre bâtiment (hebdomadaire).

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 22

▪ Erreur humaine : Outre les copies de sécurité, seule une formation adéquate
du personnel peut limiter ce problème.

▪ Vol via des dispositifs physique (disques et bandes) : Contrôler l'accès à ces
équipements : ne mettre des unités de disquette, bandes… que sur les
ordinateurs où c’est essentiel. Mettre en place des dispositifs de
surveillances.

▪ Virus provenant de disquettes : Ce risque peut être réduit en limitant le

nombre de lecteur de disquettes en service. L’installation de programmes
antivirus peut s’avérer une protection efficace mais elle est coûteuse,
diminue la productivité, et nécessite de fréquentes mises à jour.

▪ Piratage et virus réseau : Cette problématique est plus complexe et

l’omniprésence des réseaux, notamment l’Internet, lui confère une
importance particulière. Les problèmes de sécurité de cette catégorie sont
particulièrement dommageables et font l’objet de l’étude qui suit.

II.4. PRINCIPAUX DEFAUTS DE SECURITE INFORMATIQUE

Les défauts de sécurité peuvent être considérés comme des modifications

accidentelles ou inconscientes du fonctionnement normal des équipements
informatiques. Les défauts de sécurité d’un système d’information les plus souvent
constatés sont :

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 23

▪ Installation des logiciels et matériels par défaut ;

▪ Mises à jour non effectuées ;

▪ Mots de passe inexistants ou par défaut ;

▪ Services inutiles conservés (Netbios…) ;

▪ Traces inexploitées ;

▪ Pas de séparation des flux opérationnels des flux d’administration des

systèmes ;

▪ Procédures de sécurité obsolètes ;

▪ Eléments et outils de test laissés en place dans les configurations en

production ;

▪ Authentification faible ;

▪ Télémaintenance sans contrôle fort.

Cours de généralités sur la sécurité informatique By Brali NGUEMA

 24

Cours de généralités sur la sécurité informatique By Brali NGUEMA