Sécurité informatique [INFOB301]

5 crédits
30h+30h
2^e quadrimestre
Langue d'enseignement: Français
Enseignant: Colin Jean-Noël

Acquis d'apprentissage

Le cours introduit différents aspects de la sécurité d'un système d'information:

une approche méthodologique: l'analyse de risques
des éléments de cryptographie, de protocoles d'authentification et les modèles de contrôle d'accès
les éléments et méthodes d'évaluation de la sécurité d'un système d'information et l'élaboration de contre-mesures, en étudiant et en sécurisant le système niveau par niveau

Objectifs

L'objectif du cours est d'abord de conscientiser les étudiants à la nécessité d'intéger la dimension sécurité dans leur approche de l'informatique. Il cherche ensuite à donner une vision globale sur la sécurité du système d'information en s'intéressant à chaque composant de celui-ci et en se posant la question des menaces et contre-mesures applicables à chaque niveau. L'objectif ultime est d'armer l'étudiant pour lui permettre de définir un plan de sécurité basé sur une analyse de risques.

Contenu

Le cours comporte les modules suivants

Gestion du risque
Eléments de cryptographie
Protocoles d'authentification
Modèles de contrôle d'accès et gestion des autorisations
Sécurité des infrastructures
Sécurité du système d'exploitation
Sécurité et développement logiciel

Description des exercices

Durant les TP, l'étudiant est mis en situation d'analyse d'un système afin de découvrir, identifier et exploiter des failles de sécurité. De plus, de manière plus guidée, différents types d'attaques peuvent être réalisées et testées sur base d'un outil existant.

Pré-requis

Les unités d’enseignement d’une des propositions suivantes:

Systèmes d'exploitation [INFOB231]
Fondements mathématiques pour l'informatique (2e partie) [INFOB221]

Méthodes d'enseignement

Le cours est donné sous forme d'exposés, et inclut une partie pratique durant laquelle des défis de sécurité sont proposés aux étudiants. La participation aux TP est obligatoire.

Mode d'évaluation

La note finale inclut l'évaluation des acquis du cours via l'examen, ainsi que l'évaluation des travaux pratiques, pour lesquels la participation est obligatoire.

Les notes sont pondérées dans les proportions suivantes: 60% pour l'examen, 40% pour les travaux. Toutefois, un échec à l'examen entraine automatiquement l'échec pour le cours.

En première session, l'examen est écrit; il comporte des questions rapides couvrant l'ensemble de la matière, et une mise en situation dans laquelle vous avez à réaliser une analyse de risques sur base d'un cas et proposer un plan d'action complet et détaillé. Il s'agit donc d'un exercice similaire ) celui mené ensemble dans le chapitre sur l’analyse de risques. Il s’agit de tester à la fois vos connaissances et vos compétences ainsi que votre capacité de raisonnement.

En seconde session, l'examen est oral; il comporte aussi une mise en situation, ainsi que l'une ou l'autre question complémentaire ciblant un point plus précis de la matière. Un temps de préparation est accordé pour résoudre le cas à analyser. La note des travaux est automatiquement reportée si elle est supérieure à 10. Dans le cas contraire, une question spécifique est ajoutée à l'examen oral.

De manière générale, ce qui est attendu de vous à la fin du cours est d'être capable de mobiliser les outils et approches vus au cours pour répondre à une situation concrète. Vous pouvez donc vous attendre à devoir effectuer une analyse sommaire des risques sur base d’un cas, et de proposer des solutions appropriées, ces solutions relevant potentiellement des différents chapitres du cours.

Attentes détaillées chapitre par chapitre

Méthodologie:
- Connaitre les critères de sécurité, les concepts et le déroulement d’une analyse de risques, les moyens de mesurer le risque et ses composantes, les options de traitement du risques, les lignes de défense (prévention, détection, récupération)
- Pouvoir effectuer une analyse de risques sommaires et proposer un plan d’action concret, approprié, réaliste sur base de l’analyse réalisée. Ce plan d’action doit se décliner selon les différentes lignes de défense
- Pouvoir produire un arbre d’attaque crédible
Cryptographie
- Connaitre les différentes primitives cryptographiques: chiffrement, empreinte numérique, signature numérique et certificat numérique, les objectifs de sécurité liés, les contraintes de mise en oeuvre...
- Pouvoir les orchestrer dans un scénario simple
Authentification
- Connaitre les différentes méthodes d’authentification, leurs forces et faiblesses, et pouvoir motiver le recours à l’une ou l'autre
- Comprendre les différents modes de gestion des données relatives à l’identité numérique et en identifier les composants et leur fonction
Autorisation
- Connaitre les différents modèles de contrôle d’accès, leurs forces et faiblesses, et pouvoir motiver le recours à l’un ou l'autre
- Comprendre l’intérêt d’une approche décentralisée de l’autorisation et en identifier les composants et leur fonction
Sécurité de l'infrastructure
- Connaitre les défis pour la sécurité de l’infrastructure et les pistes de solution
- Pouvoir proposer une solution graduelle à un risque d’indisponibilité, en veillant à articuler les différentes lignes de défense (prévention, détection, récupération) et les types de contre-mesures (techniques, organisationnelles, juridiques)
Sécurité du système
- Connaitre les défis pour la sécurité du logiciel système et les pistes de solution
- Pouvoir proposer une solution complète à ces défis, en veillant à articuler les différentes lignes de défense (prévention, détection, récupération) et les types de contre-mesures (techniques, organisationnelles, juridiques)
Sécurité logicielle
- Connaitre les différentes étapes du cycle de vie du développement logiciel et les mesures applicables à chacune d’entre elles
- Pouvoir compléter un cas d’utilisation (use case) par les comportements malicieux et de remédiation selon l’approche des misuse cases
- Connaitre les grands types de vulnérabilités logicielles et les pistes de remédiation
- Pouvoir identifier et décrire de manière technique et détaillée les vulnérabilités logicielles qui ont été présentées ainsi que les contre-mesures appropriées

Sources, références et supports éventuels

Allen, Julia H., et al. Software Security Engineering: A Guide for Project Managers. Addison-Wesley Professional, 2008.
Anderson, Ross J. Security Engineering: A Guide to Building Dependable Distributed Systems. Wiley, 2008.
Calder, Alan, and Steve Watkins. IT Governance: A Manager's Guide to Data Security and ISO 27001 / ISO 27002. Kogan Page, 2008.
Gollmann, Dieter. Computer Security. Wiley, 2006.
Schneier, Bruce. Applied Cryptography: Protocols, Algorithms, and Source Code in C, Second Edition. Wiley, 1996.

Langue d'enseignement

Français

Lieu de l'activité

NAMUR

Faculté organisatrice

Faculté d'informatique
rue Grandgagnage 21
5000 NAMUR
T. 081725252
F. 081724967
secretariat.info@unamur.be

Cycle

Etudes de 1er cycle

	Bloc	Crédits
Master 120 en ingénieur de gestion, à finalité spécialisée en data science	1	5
Master 120 en ingénieur de gestion, à finalité spécialisée en Analytics & Digital Business	1	5
Master 120 en ingénieur de gestion, à finalité spécialisée en data science	2	5
Master 120 en ingénieur de gestion, à finalité spécialisée en Analytics & Digital Business	2	5
Bachelier en sciences informatiques	3	5