SEC-L - Sécurité des réseaux (Cours + labo)

Appartient à l'UE Sécurité

Personnes enseignantes

Description générale du cours

L’information, matière première de notre société de consommation moderne, est soumise à de multiples menaces. La survie des entreprises dépend de leur juste évaluation des risques potentiels inhérents, ainsi que de leurs politiques et stratégies mises en place pour couvrir ces risques. Comment les concepts et principes de sécurité de l’information sont-ils pris en compte dans les systèmes informatiques distribués et communicants ? Au-delà de la cryptographie et des solutions de backup et recovery désormais classiques, quelles sont les architectures et modèles de sécurité des réseaux existants ou en voie de développement ? Quelques enjeux : réseaux de paiement électronique (e-commerce) , réseaux d’information (médicale ou judiciaire), réseaux mobiles et sans-fil (m-commerce), etc.

Matières de base utilisées

Cours de 1ère et 2ème:

  • Introduction aux réseaux et aux télécommunications
  • Signal et transmission
  • Protocoles et modèles de réseaux
  • Applications Internet
  • Gestion et administration des réseaux
  • Les technologies sans fil

Objectifs

Comprendre les besoins en sécurité dans les réseaux et les solutions implémentées dans les produits du marché. Etre capable de choisir et de déployer des solutions de sécurité qui s’intègrent dans la politique de sécurité de l’entreprise et dans les architectures hardware et logicielles de l’outil existant.

Plan du cours

1. Concepts et principes de sécurité

  • Concept de risque : menaces, sinistre, pertes directes et indirectes
  • Typologie des risques et typologie des menaces
  • Approche globale de la sécurité : analyse de risque et protection
  • Audit de risque et audit de sécurité
  • La sécurité : un domaine transversé (systèmes d’information, administration de systèmes et de réseaux, sécurité physique, personnel, technologies…)

2. Risques liés aux réseaux

  • Typologie des réseaux et architectures logicielles (OSI, Internet, ATM, Mobiles)
  • Typologie des applications (centralisé, client-serveur, distribué)
  • Services de sécurité : authentification, contrôle d’accès, confidentialité, intégrité, non-répudiation

3. Réglementations nationales et internationales

  • Lois : information, droits d’auteurs, cryptographie, enjeux légaux,

4. Méthodes et scénarios d’intrusion

5. Cryptographie

  • Introduction à la cryptographie
  • Cryptographie classique
  • Cryptographie à clé publiques
  • Intégrité et signature électronique
  • Gestion des clés - Infrastructure PKI - Certification X.509
  • Authentification

6. Schémas et protocoles cryptographiques

  • OSI, TCP/IP, IPv6 (IPSec)

7. Sécurité Internet/Intranet

  • Paiement électronique et e_commerce
  • Sécurité des accès à Internet : besoins d’accès à Internet
  • Vulnérabilités de Internet/Intranet : sécurité des navigateurs Internet/Intranet, protocoles bien connus, …
  • Principes des différentes solutions : filtrage IP, routeur / Firewall, NAT, DMZ, VPN, …
  • Firewalls : apports, fonctionnalités
  • VPN
  • Contrôle anti-virus
  • Gestion des usagers
  • Exemples d’architectures de sécurité

8. Sécurité physique

9. Architectures de sécurité

  • Problématique de la sécurité système : single logon, gestion des droits d’accès, audit, sécurité homogène et efficace
  • Les architectures 3A : Authentification, Autorisation, Audit.
  • Normes, projets, produits : Kerberos, X509, Radius, Tacacs, …

10. Modèles de sécurité

  • UNIX, Windows NT/2000

11. Approche des audits de sécurité

  • Le cycle de la sécurité
  • La politique de sécurité
  • L’audit de sécurité

Bibliographie

  • syllabus
  • Eric Maiwald, L’intro. Sécurité des réseaux , CampusPress 2001Travaux d’étudiants années antérieures : Cfr. eDistri PMA et Synthèse de B. Pistone (ESI 2005)
  • Alexandre Fernandez-Toro, Management de la sécurité de l’information - Implémentation ISO 27001, 2ème édition, Eyrolles 2003, 2006
  • Didier Godart, Sécurité Informatique - Risques, stratégies et solutions, 2ème édition, EdiPro 2005
  • Cédric Llorens, Laurent Levier, Denis Valois, Tableaux de bord de la sécurité réseau, 2ème édition, Eyrolles 2003, 2006
  • Vincent Remazeilles, La sécurité des réseaux avec CISCO, ENI 2009

Description générale du cours

L’information, matière première de notre société de consommation moderne, est soumise à de multiples menaces. La survie des entreprises dépend de leur juste évaluation des risques potentiels inhérents, ainsi que de leurs politiques et stratégies mises en place pour couvrir ces risques. Comment les concepts et principes de sécurité de l’information sont-ils pris en compte dans les systèmes informatiques distribués et communicants ? Au-delà de la cryptographie et des solutions de backup et recovery désormais classiques, quelles sont les architectures et modèles de sécurité des réseaux existants ou en voie de développement ? Quelques enjeux : réseaux de paiement électronique (e-commerce) , réseaux d’information (médicale ou judiciaire), réseaux mobiles et sans-fil (m-commerce), etc.

Matières de base utilisées

Cours de 1ère et 2ème:

  • Introduction aux réseaux et aux télécommunications
  • Signal et transmission
  • Protocoles et modèles de réseaux
  • Applications Internet
  • Gestion et administration des réseaux
  • Les technologies sans fil

Objectifs

Comprendre les besoins en sécurité dans les réseaux et les solutions implémentées dans les produits du marché. Etre capable de choisir et de déployer des solutions de sécurité qui s’intègrent dans la politique de sécurité de l’entreprise et dans les architectures hardware et logicielles de l’outil existant.

Plan du cours

1. Concepts et principes de sécurité

  • Concept de risque : menaces, sinistre, pertes directes et indirectes
  • Typologie des risques et typologie des menaces
  • Approche globale de la sécurité : analyse de risque et protection
  • Audit de risque et audit de sécurité
  • La sécurité : un domaine transversé (systèmes d’information, administration de systèmes et de réseaux, sécurité physique, personnel, technologies…)

2. Risques liés aux réseaux

  • Typologie des réseaux et architectures logicielles (OSI, Internet, ATM, Mobiles)
  • Typologie des applications (centralisé, client-serveur, distribué)
  • Services de sécurité : authentification, contrôle d’accès, confidentialité, intégrité, non-répudiation

3. Réglementations nationales et internationales

  • Lois : information, droits d’auteurs, cryptographie, enjeux légaux,

4. Méthodes et scénarios d’intrusion

5. Cryptographie

  • Introduction à la cryptographie
  • Cryptographie classique
  • Cryptographie à clé publiques
  • Intégrité et signature électronique
  • Gestion des clés - Infrastructure PKI - Certification X.509
  • Authentification

6. Schémas et protocoles cryptographiques

  • OSI, TCP/IP, IPv6 (IPSec)

7. Sécurité Internet/Intranet

  • Paiement électronique et e_commerce
  • Sécurité des accès à Internet : besoins d’accès à Internet
  • Vulnérabilités de Internet/Intranet : sécurité des navigateurs Internet/Intranet, protocoles bien connus, …
  • Principes des différentes solutions : filtrage IP, routeur / Firewall, NAT, DMZ, VPN, …
  • Firewalls : apports, fonctionnalités
  • VPN
  • Contrôle anti-virus
  • Gestion des usagers
  • Exemples d’architectures de sécurité

8. Sécurité physique

9. Architectures de sécurité

  • Problématique de la sécurité système : single logon, gestion des droits d’accès, audit, sécurité homogène et efficace
  • Les architectures 3A : Authentification, Autorisation, Audit.
  • Normes, projets, produits : Kerberos, X509, Radius, Tacacs, …

10. Modèles de sécurité

  • UNIX, Windows NT/2000

11. Approche des audits de sécurité

  • Le cycle de la sécurité
  • La politique de sécurité
  • L’audit de sécurité

Bibliographie

  • Syllabus
  • Eric Maiwald, L’intro. Sécurité des réseaux , CampusPress 2001Travaux d’étudiants années antérieures : Cfr. eDistri PMA et Synthèse de B. Pistone (ESI 2005)
  • Alexandre Fernandez-Toro, Management de la sécurité de l’information - Implémentation ISO 27001, 2ème édition, Eyrolles 2003, 2006
  • Didier Godart, Sécurité Informatique - Risques, stratégies et solutions, 2ème édition, EdiPro 2005
  • Cédric Llorens, Laurent Levier, Denis Valois, Tableaux de bord de la sécurité réseau, 2ème édition, Eyrolles 2003, 2006
  • Vincent Remazeilles, La sécurité des réseaux avec CISCO, ENI 2009