La SSI

Technologies de l’information

28 septembre 2007 17:38

Les systèmes d’information utilisent un nombre sans cesse croissant de nouvelles technologies de communication. Chacune de ces technologies apporte son lot de menaces par rapport à la sécurité de ces systèmes. Pour contrer ces menaces plusieurs briques fondamentales sont employées.

La première de ces briques est l’utilisation de la cryptographie. Les techniques mathématiques de cette science permettent en effet de protéger l’information au cours de son transport. Le second axe d’approche consiste à protéger l’environnement de traitement de l’information, à la fois physiquement, notamment contre les signaux compromettants, mais aussi logiquement.

Au niveau du traitement logique de l’information, plusieurs éléments fondamentaux entrent en ligne de compte pour assurer la sécurité des systèmes d’information.

Protocoles et formats de données

Tous les échanges d’information s’effectuent selon des protocoles et des formats de données définis. Or l’utilisation d’un protocole donné a un impact sur la sécurité du système qui l’utilise. Les étapes de synchronisation, notamment en matière de cryptographie, sont cruciales pour assurer la sécurité. L’utilisation de protocoles non sûrs peut en effet permettre, par exemple, des attaques par le milieu.

De même, les formats de données utilisés peuvent introduire des vulnérabilités notamment s’ils présentent des ambiguïtés d’interprétation possibles.

La définition formelle des protocoles et des formats de données est donc un élément à rechercher absolument dans une optique de sécurité et de sûreté de fonctionnement.

Applications

Un très grand nombre de fonctions de sécurité d’un système d’information sont réalisées de manière logicielle. Il est évidemment nécessaire de s’assurer que les spécifications de ces fonctions permettent de répondre efficacement aux objectifs de sécurité attendus, mais il est également nécessaire de s’assurer que l’implantation logicielle de ces fonctions soit conforme aux spécifications. Sur ce dernier point, l’utilisation de méthodes formelles au cours du développement apporte une importante garantie de conformité et par là même une réduction très importante des bogues, sources récurrentes de vulnérabilités des logiciels.

Infrastructures de gestion de clés

La cryptographie nécessite dans la plupart de ses applications l’emploi de clés. Une bonne gestion de ces clés est une condition sine qua non de la sécurité. Selon les techniques cryptographiques employées, les infrastructures de gestion de clés à utiliser peuvent différer. Toutefois, il est possible de dégager des principes universels en ce domaine, comme par exemple l’usage unique d’une clé.

Systèmes d’exploitation

La plupart des équipements électroniques des systèmes d’information font désormais intervenir des systèmes d’exploitation. En effet, cette démarche vise à mutualiser la gestion du matériel et un certain nombre de fonctionnalités comme le partage de la mémoire et du temps de calcul entre différents processus s’exécutant conjointement sur ce matériel. Ce faisant, le système d’exploitation devient un élément incontournable de la sécurité car c’est lui qui, avant les applications, gère les informations reçues et transmises.

Micro-électronique

Tous les équipements d’un système d’information emploient des composants électroniques dont les fonctionnalités participent directement ou indirectement à la sécurité. Il peut s’agir évidemment de composants cryptographiques, mais aussi par exemple de microprocesseurs, de coprocesseurs réseaux ou de simples mémoires. Situés au cœur des équipements, ils réalisent en pratique les fonctions de sécurité attendues de leur part par les couches logiques (système d’exploitation, protocoles, applications) et doivent donc garantir leur bonne exécution. Ils apportent également des protections physiques supplémentaires pour améliorer ou réaliser certaines fonctions de sécurité (par exemple la confidentialité des clés d’une carte à puce).