CHAP. II : GENERALITES

2.1. DEFINITION DES MOTS CLES

- Interconnexion : On parle de l'interconnexion en informatique lorsque deux ou plusieurs machines communiquent par le biais d'un quelconque support de transmission (par exemple le câble, la fibre optique, l'onde radio...).

C'est aussi un lieu où deux ou plusieurs réseaux peuvent s'échanger des messages.

- Internet : Est un acronyme de l'anglo-Américain « international network » signifiant l'interconnexion des réseaux.

- Réseau : En informatique est une interconnexion de deux ou plusieurs machines en guise de partage de ressources (logicielle : base de données, dossiers,... ; matérielles : fax, imprimante,...).

- Privé : C'est une propriété strictement personnelle, qui n'est pas ouvert au public.

En informatique, un réseau est dit privé lorsque seuls les ordinateurs du réseau local peuvent communiquer.

- Virtuel : désigne un objet, une situation ou un phénomène qui ne prouve pas réellement son existence pourtant qui existe.

C'est ainsi que, en informatique, un réseau est dit virtuel lorsqu'il relie deux hôtes distants sans que rien ne se sache chez les tiers.

- Réseau privé virtuel : abrégé RPV au Quebec et VPN ailleurs, de l'anglais « Virtual Private Network », est un système permettant de créer un lien sécurisé direct entre ordinateurs distants.

Autrement dit, c'est l'interconnexion de réseaux locaux via une technique de tunnélisation^*.

*Tunnélisation(Tunneling) : mot importé de l'anglais «Tunnel : canal » signifiant un procédé informatique qui crée une voie permettant une connexion chiffrée entre des sites.

7

- L'implémentation et l'interconnexion des réseaux privés virtuels : c'est un mécanisme de mise place d'un système de sécurité entre des sites distants afin de leur permettre de communiquer de manière confidentielle.

8

2.2. REVUE DE LA LITTERATURE

2.2.1. Concepts sur la sécurité des réseaux

La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des réseaux d'entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à Internet. La transmission d'informations sensibles et le désir d'assurer la confidentialité de celles-ci est devenue un point primordial dans la mise en place de réseaux informatiques.⁷

La sécurité informatique est l'ensemble des moyens mis en oeuvre pour réduire la vulnérabilité d'un système contre les menaces accidentelles ou intentionnelles. Il convient d'identifier les exigences fondamentales en sécurité informatique en assurant que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

Nous distinguons trois types de sécurité :

- Sécurité physique et environnementale - Sécurité logique et applicative

- Sécurité du système d'information

1. Sécurité physique et environnementale

Il concerne tous les aspects liés à la maitrise des systèmes et de l'environnement dans lesquels ils se situent. Cette sécurité repose sur la protection des sources énergétiques et de la climatisation (alimentation électrique, refroidissement, etc.), la protection de l'environnement (pour faire face aux risques d'incendie, d'inondation, etc.), des mesures de gestion et de contrôle des accès physiques aux locaux équipements et infrastructures (avec entre autres la traçabilité des entrées et une gestion rigoureuse des clés d'accès aux locaux).⁸

7 Alfred MAMPUYA, Mémoire : « Projet de conception d'un intranet au sein d'une entreprise publique », L2, ULK, 2007-2008

⁸ Éric BAHATI SHABANI, mémoire : « Mise en place d'un réseau VPN au sein d'une entreprise : cas de la BRALIMA Sarl, L2, Réseaux informatiques, USC-Kinshasa, 2011-2012

9

2. La sécurité logique et applicative

La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel contribuant au bon fonctionnement des programmes et des services offerts.

Elle s'appuie généralement sur une mise en oeuvre adéquate de la cryptographie, de procédures de contrôle d'accès logique, d'authentification, de détection de logiciels malveillants, de détection d'intrusions et d'incidents, mais aussi sur des procédures de sauvegarde et de restitution des informations sensibles sur des supports fiables spécialement protégés et conservés dans des lieux sécurisés.

3. La sécurité du système d'information

L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise.

Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à limiter les dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre. La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre

La sécurité de données garantit les mécanismes de défenses tels que :

- La confidentialité (aucun accès illicite): maintien du secret de l'information et accès aux seules entités autorisées;

- L'intégrité (aucune falsification): maintien intégral et sans altération des données et programmes;

- L'exactitude (aucune erreur);

- La disponibilité (aucun retard): maintien de l'accessibilité en continu sans interruption ni dégradation;

- la non-répudiation (aucune contestation).

10

2.2.1.1. Politique de sécurité

Ainsi, la sécurité informatique devrait être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance.⁹

C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :

- Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ;

- Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de l'organisation pour les risques identifiés ;

- Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ;

- Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace.

? La confidentialité consiste à rendre l'information intelligible à d'autres personnes que les seuls acteurs de la transaction.¹⁰ La confidentialité est la protection des données contre divulgation non autorisée maintien de secret des informations.

? L'Intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).

? L'Authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être.

Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées.

L'authentification doit permettre de vérifier l'identité d'une entité afin de s'assurer entre autres de l'authenticité de celle-ci et qu'elle n'a pas fait l'objet d'une usurpation d'identité.

9 http:// www.cisco.com/web/.../case_study_c36-677449.pdf

¹⁰ Ghernaouti-Hélie Solange, Sécurité informatique et réseaux, 3^ème édition, DUNOD, Page 4

11

Avant de chiffrer des données il est nécessaire de s'assurer que la personne avec laquelle on communique est bien celle qu'elle prétend être. Il a été démontré qu'il existait des algorithmes symétriques et asymétriques pour chiffrer un message. De la même manière, il existe des algorithmes symétriques et asymétriques pour assurer l'authentification.

2.2.1.1.1. Chiffrement ou Cryptographie

Le chiffrement des données (la cryptographie) est l'outil fondamental de la sécurité informatique. En effet, la mise en oeuvre de la cryptographie permet de réaliser des services de confidentialité des données transmisses ou stockées, des services de contrôle d'intégrité des données et d'authentification d'une entité, d'une transaction ou opération.¹¹ Le chiffrement est l'opération par laquelle on chiffre un message, c'est une opération de codage.

Chiffrer ou crypter une information permet de la rendre incompréhensible en l'absence d'un décodeur particulier.

En effet, la cryptographie est une science qui consiste à écrire l'information (quelle que soit sa nature : voix, son, textes, données, image fixe ou animée) pour la rendre inintelligible à ceux ne possédant pas les capacités de la déchiffrer.

La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.

Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :

- La sensibilisation des utilisateurs aux problèmes de sécurité ;

- La sécurité logique, c'est-à-dire la sécurité au niveau des données ; notamment les

données de l'entreprise, les applications ou encore les systèmes d'exploitation ;

- La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc.

¹¹ Msc. SOCRATE Theik, Sécurité informatique, L3, réseaux informatiques, 2014-2015

12

- La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

2.2.1.1.2. Algorithmes symétriques

Les algorithmes à clé symétrique ou secrète sont des algorithmes où la clé de chiffrement peut être calculée à partir de la clé de déchiffrement ou vice versa. Dans la plupart des cas la clé de chiffrement et la clé de déchiffrement sont identiques.¹² Pour de tels algorithmes, l'émetteur et le destinataire doivent se mettre d'accord sur une clé à utiliser avant d'échanger des messages chiffrés.

Figure N° 1: Chiffrement Symétrique

2.2.1.1.3. Algorithmes asymétriques

Les algorithmes asymétriques ou clé publique, sont différents. Ils sont conçus de telle manière que la clé de chiffrement soit différente de la clé de déchiffrement. La clé de déchiffrement ne peut pas être calculée à partir de la clé de déchiffrement.

Figure N° 2: Chiffrement Asymétrique

12 Ghernaouti-Hélie Solange., Sécurité informatique et réseau, Edition DUNOD, Paris, 2011, Page 132

13

Ce sont des algorithmes à clé publique car la clé de chiffrement peut être rendue publique. N'importe qui peut utiliser la clé de chiffrement pour chiffrer un message mais seul celui qui possède la clé de déchiffrement peut déchiffrer le message chiffré.

La clé de chiffrement est appelée clé publique et la clé de déchiffrement est appelée clé privée. Dans les algorithmes à clé secrète, tout reposait sur le secret d'une clé commune qui devait être échangée dans la confidentialité la plus total, alors que la cryptographie à clé publique résout ce problème. L'algorithme asymétrique permet de réaliser plusieurs fonctions de sécurité relatives à la confidentialité, l'intégrité, l'authentification et à la non-répudiation.

D'un point de vue technique, la sécurité recouvre à la fois l'accès aux informations sur les postes de travail, sur les serveurs ainsi que le réseau de transport des données. La technologie utilisée TCP/IP a permis de simplifier la mise en place des réseaux, donc de réduire le coût des télécommunications. En revanche, les fonctions de sécurité ne sont pas traitées par ce protocole**