Serveur thématique sur la SSI
Deutsch English Español | Plan | FAQ | Actualités | Autres sites | Documentation | DCSSI | Glossaire
CERTA

Avis, bulletins, recommandations

 
Centre de Formation à la SSI

Renseignements

Catalogue des stages

Calendrier des stages

 
Politique produit

Catalogue des produits qualifiés

 

Signature électronique

Généralités

Textes juridiques applicables

Produits disposant d'un certificat de conformité

Qualification des PSCE

Liens utiles

FAQ

 
Évaluation - Certification

Généralités

Evaluations en cours

Critères et méthodologies d'évaluation

Centres d'évaluation agréés

Produits certifiés

Profils de protection

Maintenance

Accords de reconnaissance mutuelle

Documentation

 

Textes de références

Réglementation de la cryptologie

Systèmes d'information

Initiatives et contexte juridique européen

 
Outils méthodologiques pour la sécurité des systèmes d'information

Méthodes et meilleures pratiques (EBIOS, PSSI, TDBSSI...)

 
Sciences et Techniques

Cryptologie

 

 

Sciences et techniques

Publications

La sécurité des systèmes d'information repose sur plusieurs techniques complémentaires qui concourrent à la sécurité globale des systèmes. La première de ces techniques est la cryptologie qui est seule à même de protéger l'information en confidentialité et en intégrité dans un environnement non maîtrisé comme par exemple, l'internet. Mais même lorsque la cryptographie est théoriquement bonne, il reste encore à l'implanter correctement et à concevoir des architectures de systèmes robustes pour empêcher que l'on puisse la contourner.

L'ensemble de ces technologies de l'information, qui comprennent notamment l'étude des protocoles de communication, des architectures de gestion de clés cryptographiques, des systèmes d'exploitation et d'administration, est crucial pour la sécurité des systèmes d'information. C'est dans le cadre de ces technologies que se retrouvent aujourd'hui la majorité des failles exploitables sur les systèmes ouverts et l'effort de sécurisation correspondant doit donc être conséquent.

Mais même dans un système à l'architecture robuste et à la cryptographie éprouvée, les objectifs de confidentialité, d'intégrité et de disponibilité peuvent être mis à mal par l'exploitation de signaux compromettants qui apparaissent obligatoirement lors du traitement de l'information et dont le niveau d'émission doit être contrôlé pour éviter que ces canaux auxiliaires ne puissent être exploités pour contourner les dispositifs de protection.

Pour bien sécuriser un système d'information, il est donc nécessaire d'intervenir techniquement à plusieurs niveaux. Tout d'abord, il est indispensable de recourir à la cryptographie pour chiffrer, signer, authentifier.

Cependant, cela ne suffit pas. En effet, il faut aussi s'assurer qu'il n'existe pas de failles dans la sécurité informatique du système qui permettrait, par exemple, de voler les clés de chiffrement. Très schématiquement, ces vérifications doivent intervenir à trois niveaux distincts :

  • Au niveau de l'architecture générale du système, pour vérifier que les divers protocoles de communications ne présentent pas de failles de sécurité.
  • Au niveau des éléments logiciels du système, pour vérifier l'absence de failles involontaires.
  • Au niveau des éléments matériels du système, pour s'assurer qu'aucune faiblesse ne permet l'entrée dans le système par un voie détournée (consommation électrique, fonctionnalités liées à la maintenance, ...). Dans certains cas, il faut s'assurer qu'un tiers mal intentionné ne pourra pas modifier le système en vue de l'affaiblir.

Référentiels de conception

Pour faciliter la conception de la sécurité des systèmes d'information et ainsi l'améliorer, les processus de qualification de produits de sécurité s'appuient sur des règles et des recommandations rassemblées dans un certain nombre de documents à caractère technique.

Secrétariat Général de la Défense Nationale Contact 1-07-2009