Sécurité informatique

La sécurité informatique est l'ensemble des moyens techniques, organisationnels, juridiques et humains mis en œuvre pour assurer la protection des systèmes d'information. Ses enjeux peuvent être résumés par le triptyque Confidentialité, Intégrité, Disponibilité (CID), souvent appelé "triangle de la sécurité".

• Confidentialité : S'assurer que seules les personnes autorisées peuvent accéder à l'information. Imaginez un secret d'entreprise ou vos données bancaires ; leur confidentialité garantit qu'elles ne seront pas lues par des tiers non autorisés.
  • Exemple : Chiffrer un email pour que seul le destinataire puisse le lire.
• Intégrité : Garantir que l'information n'a pas été modifiée, altérée ou détruite de manière non autorisée. Les données doivent rester exactes et complètes.
  • Exemple : Vérifier la somme de contrôle d'un fichier téléchargé pour s'assurer qu'il n'a pas été corrompu.
• Disponibilité : Assurer que les systèmes et les données sont accessibles et utilisables par les personnes autorisées quand elles en ont besoin. Un système indisponible est aussi problématique qu'un système piraté.
  • Exemple : Un site web bancaire doit être disponible 24h/24 pour ses clients.

Ces trois piliers sont constamment menacés par des vulnérabilités (faiblesses dans un système) exploitées par des menaces (événements potentiels causant un dommage).

Derrière chaque attaque informatique, il y a un ou plusieurs acteurs avec des motivations diverses. Il est crucial de les connaître pour mieux anticiper et se défendre.

• Hackers éthiques (White Hat) : Ce sont des experts en sécurité qui testent les systèmes pour en identifier les vulnérabilités, souvent avec l'autorisation du propriétaire. Leur but est d'améliorer la sécurité.
  • Motivation : Amélioration de la sécurité, recherche, rémunération légale.
• Cybercriminels (Black Hat) : Ils agissent illégalement pour des gains financiers, le vol de données, l'extorsion ou la nuisance. C'est le groupe le plus connu du grand public.
  • Motivation : Argent (ransomwares, vol de données bancaires), notoriété, vengeance.
• Hacktivistes : Ils utilisent le hacking pour promouvoir une cause politique, sociale ou idéologique. Leurs actions peuvent inclure le déni de service ou le défaçage de sites web.
  • Motivation : Politique, idéologique, dénonciation.
• Espionnage industriel / États-nations : Des groupes financés par des entreprises concurrentes ou des gouvernements pour voler des secrets commerciaux, des technologies ou des informations sensibles. C'est une menace sophistiquée et souvent persistante.
  • Motivation : Avantage économique, militaire, politique.
• Employés malveillants (Insiders) : Des personnes ayant un accès légitime au système, qui abusent de leurs privilèges pour voler des données, nuire à l'entreprise ou se venger.
  • Motivation : Vengeance, gain financier, insatisfaction.

Pour construire des systèmes robustes, plusieurs principes doivent être appliqués dès la conception et tout au long de la vie d'un système.

• Défense en profondeur : Ne pas se fier à une seule barrière de sécurité, mais mettre en place plusieurs couches de protection. Si une couche est compromise, les autres prennent le relais.
  • Exemple : Un pare-feu, puis un antivirus, puis l'authentification multi-facteurs.
• Moindre privilège : Chaque utilisateur ou programme ne doit disposer que des droits et permissions strictement nécessaires pour accomplir sa tâche. Pas plus.
  • Exemple : Un utilisateur ne doit pas avoir des droits d'administrateur s'il n'en a pas besoin.
• Sécurité par conception (Security by Design) : Intégrer la sécurité dès les premières étapes de la conception d'un système ou d'une application, plutôt que de l'ajouter après coup. C'est plus efficace et moins coûteux.
  • Exemple : Penser au chiffrement des données dès la création d'une base de données.
• Mise à jour régulière : Appliquer systématiquement les correctifs de sécurité (patchs) aux systèmes d'exploitation, logiciels et applications. Les mises à jour corrigent les vulnérabilités découvertes.
  • Exemple : Mettre à jour son navigateur web ou son système d'exploitation dès qu'une nouvelle version est disponible.
• Confiance zéro (Zero Trust) : Ne faire confiance à aucun utilisateur ou appareil par défaut, qu'il soit interne ou externe au réseau. Chaque tentative d'accès doit être vérifiée et authentifiée.
  • Exemple : Même un employé au sein du réseau d'entreprise doit s'authentifier pour chaque ressource sensible.

Un malware (contraction de malicious software) est un programme informatique conçu pour nuire à un système informatique ou à son utilisateur.

• Virus : Programme qui s'attache à un autre programme (hôte) et se propage en s'exécutant. Il nécessite une action de l'utilisateur (ouvrir un fichier infecté) pour se propager.
  • Exemple : Un virus se cachant dans un document Word et s'activant à l'ouverture.
• Vers (Worms) : Logiciel malveillant autonome qui se réplique et se propage via un réseau sans intervention humaine.
  • Exemple : Le ver Stuxnet qui a ciblé des installations nucléaires.
• Chevaux de Troie (Trojans) : Programme qui semble légitime mais cache un code malveillant. Il ne se réplique pas mais ouvre une porte dérobée (backdoor) pour l'attaquant.
  • Exemple : Un faux utilitaire système qui, une fois installé, permet à un pirate d'accéder à votre ordinateur.
• Ransomwares : Logiciel qui chiffre les données de la victime et exige une rançon (souvent en cryptomonnaie) pour les déchiffrer.
  • Exemple : L'attaque WannaCry qui a touché de nombreuses organisations mondiales.
• Spywares (Logiciels espions) : Collectent des informations sur l'utilisateur sans son consentement (historique de navigation, frappes clavier).
• Adwares (Logiciels publicitaires) : Affichent des publicités intempestives, souvent avec des pop-ups.

L'ingénierie sociale est une technique qui consiste à manipuler psychologiquement les individus pour leur faire divulguer des informations confidentielles ou réaliser des actions non souhaitées. L'humain est souvent le maillon faible de la sécurité.

• Phishing (hameçonnage) : Tentative d'obtenir des informations sensibles (identifiants, mots de passe, numéros de carte bancaire) en se faisant passer pour une entité de confiance (banque, administration, service en ligne) via un email, un SMS ou un site web frauduleux.
  • Exemple : Un email vous demandant de "vérifier" votre compte bancaire en cliquant sur un lien frauduleux.
• Spear Phishing : Une attaque de phishing ciblée sur une personne ou un groupe spécifique, souvent après avoir collecté des informations sur la victime pour rendre l'attaque plus crédible.
  • Exemple : Un email frauduleux qui semble provenir de votre PDG et vous demande de transférer de l'argent.
• Usurpation d'identité : Le fait de prendre l'identité d'une autre personne pour réaliser des actions frauduleuses ou obtenir des avantages.
  • Exemple : Créer un faux profil sur un réseau social avec les informations d'une autre personne.
• Pièges psychologiques : Utilisation de la curiosité, de l'urgence, de la peur ou de l'autorité pour inciter la victime à agir.
  • Exemple : Un message pop-up affirmant que votre ordinateur est infecté et vous invitant à télécharger un faux antivirus.

Ces attaques ciblent l'infrastructure réseau ou les systèmes d'exploitation pour les rendre inopérants, voler des données ou prendre le contrôle.

• Déni de service (DoS) et Déni de service distribué (DDoS) : Attaques visant à rendre un service (site web, serveur) indisponible en le submergeant de requêtes, souvent depuis de multiples sources (botnet pour DDoS).
  • Exemple : Un site e-commerce rendu inaccessible pendant le Black Friday, causant des pertes financières massives.
• Attaques par force brute : Tentative de deviner un mot de passe ou une clé de chiffrement en essayant toutes les combinaisons possibles.
  • Exemple : Un programme qui essaie des milliers de mots de passe par seconde sur un compte utilisateur.
• Injection SQL : Technique qui consiste à insérer du code SQL malveillant dans un champ de saisie d'une application web pour manipuler la base de données sous-jacente.
  • Exemple : Taper ‘ OR ‘1’='1 dans un champ de connexion pour contourner l'authentification.
• Cross-Site Scripting (XSS) : Attaque qui injecte des scripts malveillants (souvent JavaScript) dans des pages web consultées par d'autres utilisateurs. Les scripts peuvent voler des cookies, défaçer le site ou rediriger les utilisateurs.
  • Exemple : Un attaquant poste un commentaire sur un forum contenant un script qui vole les sessions des autres utilisateurs.

Les faiblesses peuvent résider dans le code ou la configuration des systèmes.

• Bugs de programmation : Erreurs dans le code source d'un logiciel qui peuvent être exploitées par des attaquants (dépassement de tampon, format string bugs).
  • Exemple : Une application qui ne gère pas correctement les entrées utilisateur, permettant à un attaquant d'exécuter du code malveillant.
• Failles de configuration : Paramètres de sécurité par défaut faibles ou mal configurés sur un système ou un réseau.
  • Exemple : Un serveur web laissé avec les identifiants par défaut du fabricant.
• Mots de passe faibles : Mots de passe faciles à deviner ou à cracker (ex: "123456", "password"). C'est une vulnérabilité humaine très courante.
• Matériel obsolète : Équipements qui ne reçoivent plus de mises à jour de sécurité et présentent des failles connues.
  • Exemple : Un routeur Wi-Fi ancien dont les failles de sécurité ne sont plus corrigées.

Ces deux concepts sont fondamentaux pour contrôler l'accès aux ressources.

• Authentification : Vérifier l'identité d'un utilisateur. C'est le fait de prouver qui l'on est.
  • Exemple : Saisir un mot de passe pour se connecter à un compte.
• Mots de passe robustes : Des mots de passe longs, complexes (mélange de majuscules, minuscules, chiffres, symboles) et uniques pour chaque service. Idéalement, ils devraient être gérés via un gestionnaire de mots de passe.
  • Règle générale : Minimum 12 caractères, idéalement plus.
• Authentification multi-facteurs (MFA) : Exiger au moins deux types de preuves d'identité différentes pour s'authentifier.
  • Trois facteurs possibles :
    1. Ce que vous savez (mot de passe, code PIN)
    2. Ce que vous avez (smartphone, token physique)
    3. Ce que vous êtes (empreinte digitale, reconnaissance faciale - biométrie)
  • Exemple : Se connecter avec un mot de passe (savoir) ET un code reçu par SMS sur son téléphone (avoir).
• Biométrie : Utilisation de caractéristiques physiques ou comportementales uniques pour l'authentification (empreintes digitales, reconnaissance faciale, vocale, iris).
  • Avantages : Pratique, difficile à oublier. Inconvénients : Ne peut pas être changé si compromise.
• Gestion des droits d'accès (Autorisation) : Une fois authentifié, déterminer quelles ressources un utilisateur est autorisé à accéder et quelles actions il peut effectuer.
  • Exemple : Un employé peut lire un document mais pas le modifier, un autre peut le modifier.

La cryptographie est la science qui permet de sécuriser les communications et les données. Le chiffrement est l'application de la cryptographie pour rendre l'information illisible sans la clé de déchiffrement.

• Chiffrement symétrique : Utilise une seule clé secrète pour le chiffrement et le déchiffrement. La clé doit être partagée de manière sécurisée entre les interlocuteurs. C'est rapide et efficace pour de grandes quantités de données.
  • Algorithmes : AES (Advanced Encryption Standard).
  • Principe : $C = E_k(M)$ et $M = D_k(C)$ où $M$ est le message, $C$ le chiffré, $E$ la fonction de chiffrement, $D$ la fonction de déchiffrement et $k$ la clé.
• Chiffrement asymétrique (ou à clé publique) : Utilise une paire de clés : une clé publique (partagée avec tous) pour chiffrer et une clé privée (gardée secrète) pour déchiffrer.
  • Algorithmes : RSA, ECC (Elliptic Curve Cryptography).
  • Avantages : Pas besoin de partager la clé privée. Permet l'authentification et les signatures numériques.
  • Principe : $C = E_{k_{pub}}(M)$ et $M = D_{k_{priv}}(C)$.
• Fonctions de hachage : Algorithme qui transforme une donnée de taille arbitraire en une chaîne de caractères de taille fixe (empreinte numérique ou hash). C'est une fonction à sens unique : on ne peut pas retrouver la donnée originale à partir du hash.
  • Propriétés :
    • Irréversibilité : Impossible de retrouver le message original.
    • Unicité (quasi) : Deux messages différents doivent produire des hash différents.
    • Déterministe : Le même message produit toujours le même hash.
  • Utilisations : Vérification de l'intégrité des fichiers, stockage sécurisé des mots de passe (on stocke le hash du mot de passe, pas le mot de passe lui-même).
  • Algorithmes : SHA-256, SHA-3.
• Certificats numériques : Documents électroniques qui lient une clé publique à une identité (personne, organisation, serveur web). Ils sont émis et signés par une autorité de certification (CA) de confiance.
  • Utilisation : Sécurisation des sites web (HTTPS), authentification, signature électronique.

Protéger les données et les communications qui transitent sur un réseau.

• Pare-feu (Firewall) : Dispositif (matériel ou logiciel) qui filtre le trafic réseau entrant et sortant selon des règles prédéfinies. Il agit comme une barrière entre un réseau interne et un réseau externe (Internet).
  • Fonctionnement : Bloque les connexions non autorisées, autorise les connexions légitimes.
• Systèmes de détection d'intrusion (IDS) et de prévention d'intrusion (IPS) :
  • IDS : Surveille le trafic réseau pour détecter les activités suspectes ou les tentatives d'intrusion et alerte l'administrateur.
  • IPS : Va plus loin en bloquant activement les intrusions détectées.
• Réseaux privés virtuels (VPN) : Crée un "tunnel" chiffré et sécurisé sur un réseau public (Internet). Permet aux utilisateurs distants d'accéder au réseau de l'entreprise de manière sécurisée ou de masquer leur adresse IP.
  • Utilisation : Accès sécurisé à distance, protection de la vie privée.
• Protocoles sécurisés :
  • HTTPS (Hypertext Transfer Protocol Secure) : Version sécurisée du HTTP, utilise SSL/TLS pour chiffrer les communications entre le navigateur et le serveur web. C'est essentiel pour la confidentialité et l'intégrité des données échangées sur les sites web.
  • SSH (Secure Shell) : Protocole qui permet d'établir une connexion sécurisée à distance à un serveur, souvent pour exécuter des commandes ou transférer des fichiers.
  • SFTP (SSH File Transfer Protocol) : Transfert de fichiers sécurisé via SSH.

La meilleure défense contre la perte de données est une bonne stratégie de sauvegarde.

• Stratégies de sauvegarde :
  • Complète : Sauvegarde de toutes les données.
  • Incrémentielle : Sauvegarde uniquement les données modifiées depuis la dernière sauvegarde (complète ou incrémentielle).
  • Différentielle : Sauvegarde les données modifiées depuis la dernière sauvegarde complète.
  • Règle 3-2-1 : Au moins 3 copies des données, sur 2 types de supports différents, avec 1 copie hors site.
• Plan de reprise d'activité (PRA) : Ensemble de procédures visant à restaurer les systèmes d'information et les données après un incident majeur (catastrophe naturelle, cyberattaque). Il minimise les temps d'arrêt et la perte de données.
  • Objectifs : RTO (Recovery Time Objective) - temps maximum acceptable d'interruption ; RPO (Recovery Point Objective) - perte de données maximale acceptable.
• Tests de restauration : Vérifier régulièrement que les sauvegardes sont fonctionnelles et que les données peuvent être restaurées correctement. Une sauvegarde non testée est une sauvegarde douteuse.
• Redondance des données : Duplication des données sur plusieurs supports ou emplacements pour assurer leur disponibilité en cas de défaillance d'un composant.
  • Exemple : RAID (Redundant Array of Independent Disks), réplication de bases de données.

Chaque utilisateur a un rôle clé à jouer dans la sécurité.

• Gestion des mots de passe : Utiliser des mots de passe uniques et robustes pour chaque service. Utiliser un gestionnaire de mots de passe est fortement recommandé. Ne jamais réutiliser le même mot de passe.
• Prudence en ligne : Se méfier des emails, SMS ou messages suspects. Vérifier l'expéditeur et les liens avant de cliquer. Ne pas télécharger de pièces jointes provenant de sources inconnues.
• Mises à jour logicielles : Garder son système d'exploitation, ses applications et son navigateur web à jour pour bénéficier des derniers correctifs de sécurité. Activer les mises à jour automatiques si possible.
• Sauvegardes personnelles : Effectuer régulièrement des sauvegardes de ses données importantes (photos, documents) sur un support externe ou un service cloud sécurisé.
• Utilisation du Wi-Fi public : Éviter d'effectuer des transactions sensibles (bancaires, achats) sur des réseaux Wi-Fi publics non sécurisés. Utiliser un VPN dans ces cas.

Au niveau d'une organisation, la sécurité est une démarche structurée.

• Politique de sécurité des systèmes d'information (PSSI) : Document qui définit les règles, les procédures et les responsabilités en matière de sécurité au sein d'une organisation. Elle établit le cadre de la sécurité.
• Audit de sécurité : Évaluation régulière des systèmes et des processus pour identifier les vulnérabilités, les failles de configuration et les non-conformités par rapport à la PSSI. Peut inclure des tests d'intrusion (pentesting).
• Gestion des incidents : Procédures définies pour détecter, analyser, contenir, éradiquer et récupérer après un incident de sécurité. L'objectif est de minimiser l'impact et de restaurer les opérations rapidement.
• Sensibilisation du personnel : Former régulièrement les employés aux risques de sécurité et aux bonnes pratiques. L'erreur humaine est une cause majeure d'incidents.

La sécurité informatique est encadrée par des lois et soulève des questions éthiques.

• RGPD (Règlement Général sur la Protection des Données - GDPR) : Règlement européen qui encadre le traitement des données à caractère personnel. Il impose des obligations strictes aux organisations concernant la collecte, le stockage et l'utilisation des données des citoyens européens.
  • Principes clés : Consentement, droit à l'oubli, minimisation des données, sécurité des données.
• Loi informatique et libertés : Loi française complétant le RGPD, elle protège les individus contre l'utilisation abusive de leurs données personnelles.
• Cybercriminalité : Ensemble des infractions pénales commises sur ou par l'intermédiaire de réseaux informatiques. La loi prévoit des sanctions pour ces actes (intrusion, vol de données, déni de service, etc.).
• Responsabilité numérique : Chaque acteur du numérique (développeur, utilisateur, entreprise) a une responsabilité dans la sécurité et l'usage éthique des technologies. Cela inclut la protection de la vie privée, le respect de la propriété intellectuelle et la lutte contre la désinformation. L'éthique du hacker éthique est de ne jamais nuire et de toujours agir dans l'intérêt de la sécurité.