Glossaire

Mécanisme de sécurité permettant d’assurer l’intégrité et l’authentification de l’origine des données.

Le schéma directeur SSI  exprime la stratégie de l'entreprise en matière de SSI, pour concevoir, construire et mettre en oeuvre des systèmes d'information sécurisés, afin de répondre aux missions et aux objectifs de l'entreprise.

(source : SDSSI)

Le schéma directeur doit exposer la stratégie SSI (Domaine, cible choix, enjeux)et comporter un volet opérationnel avec un plan d'action décrivant les étapes de mise en oeuvre de la SSI. Il doit aussi comporter un volet de contrôle pour permettre de mesurer l'effort d'intégration et de conformité à la norme de la SSI.

Produit commercial de Security Dynamics, largement diffusé dans le monde, se

présentant sous la forme d’une «calculette» au format carte de crédit, permettant de sécuriser un login.

Son principe est de combiner l’heure à un mot de passe pour générer un mot de

passe dynamique valide pendant seulement 60 secondes. Ce dernier est  ensuite vérifié et traîté par un serveur d’accès dédié.

«Signature servant à identifier en temps réel une tentative d’attaque sur un réseau, qui, une fois reconnue par le système de détection  d’intrusion, fonctionne comme un coupe-feu et permet de bloquer les accès non autorisés au serveur.

On peut classer les outils de détection d’intrusion selon deux modes de fonctionnement : l’un se basant sur les signatures d’attaques et l’autre sur

les anomalies du système (analyse heuristique).

Un système de détection d’intrusion ne peut détecter que les attaques dont il possède la signature. De ce fait, il est nécessaire de faire des mises à jour quotidiennes. Ainsi, le système de détection est aussi bon que l’est la base de

signatures. Si les signatures d’attaques sont erronées ou incorrectement conçues, l’ensemble du système est inefficace.

Il est possible, à l’aide d’un assistant de définition de signature d’attaque personnalisée, de construire ses propres signatures d’attaques pour protéger les applications ou les environnements internes et ainsi en réduire la

vulnérabilité.»

Source :Medef

L'article 1316-4 du Code Civil donne la même force probante à une signature, qu'elle ait été réalisée électroniquement ou à l'aide d'un stylo. La signature électronique repose sur des certificats numériques, clés publiques dont le titulaire a fait certifier son identité par un tiers de confiance, l'autorité de certification. Le certificat est utilisé, combiné à une empreinte numérique du document, pour signer celui-ci. L'empeinte garantit l'intégrité, le certificat l'identité du signataire.

La norme la plus courante est X.509. Un certificat suppose donc d'interroger l'autorité qui l'a délivré pour vérifier sa validité. La création et la gestion d'un certificat se réalisent grâce à trois intervenants qui peuvent parfois être confondus.

L' horodatage de la signature complète la valeur juridique du document, il est réalisé par le tiers de confiance.

Service Level Agreement :

Engagements de la part du fournisseur sur la qualité du service fourni.

Ils déterminent le niveau d’indemnisation du client en cas de non atteinte d’un niveau minimum de disponibilité de service.

Pratique consistant à abuser de la confiance d’un ou de plusieurs personnes, dans le but de récupérer des informations confidentielles :

le social engineering ou comment se servir de la faille humaine pour obtenir des codes confidentiels, des informations sensibles, des numéros de modems de télémaintenance, etc.

On se reportera pour plus d'information au livre de Kevin D. Mitnick : L'art de l'intrusion Campus press 312p.

Message intempestif et non sollicité envoyé à une personne ou à un groupe de personnes lors d’une opération de spamming.

«Le spamming consiste en des pratiques de multipostage abusif : Excessive Multi-Posting (EMP), Excessive Cross Posting (ECP); mais peut aussi correspondre à une indexation abusive dans les moteurs de recherche. On

parle alors de spamdexing ou encore d’engine spamming.

L’envoi en nombre de messages électroniques est qualifié de spamming en référence au caractère non sollicité du message. Celui-ci comporte le plus souvent un objet publicitaire qui transforme l’envoi en un message promotionnel non sollicité par son destinataire.

Le second critère de définition du spamming en matière de courrier électronique réside dans le transfert de charges qu’il occasionne au détriment du destinataire (cost-shifting). Cette situation est analogue à celle rencontrée avec l’envoi de fax à des fins commerciales.

Cette pratique a été depuis lors interdite dans de nombreux pays ou bien soumise au consentement préalable (opt-in) des personnes visées comme

l’a notamment imposée la directive européenne 97/66 du 15 décembre 1997 (article12 alinéa 1er et 2). «

logiciel exécuté sur un ordinateur à l’insu de son propriétaire, et conçu dans le but de collecter des données personnelles (adresse IP, URL

consultées, mots de passe, numéros de cartes de crédit,…) et de les renvoyer à son concepteur via internet, sans autorisation préalable dudit utilisateur.

Un spyware (ou espiogiciel, mouchard) est un logiciel espion contenant un programme qui, par Internet, peut recueillir et transmettre les données personnelles d’un internaute à une régie publicitaire, notamment sur ses

intérêts, ses habitudes de téléchargement et de navigation. Tout cela dans un but exclusivement commercial

Ces mouchards présents dans de nombreux logiciels gratuits (freewares) ou en version de démonstration (sharewares) s’installent lors du téléchargement et ne sont pas détectables par l’utilisateur.

Voir AntiSpyware.

Secure Socket Layer (SSL) est un protocole de sécurisation des échanges sur Internet, développé à l'origine par  Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF qui a permis la création de la RFC 2246.

SSL fonctionne suivant un mode client-serveur. Il fournit quatre objectifs de sécurité :

 Le chiffrement est réalisé par à la fois un chiffrement asymétrique (qui va permettre une authentification) comme par exemple l'algorithme RSA et à la fois par un chiffrement symétrique (qui est plus léger qu'un chiffrement asymétrique) et qui va assurer la transmission des informations (comme par exemple le DES). On y adjoint une fonction de hachage comme le MD5 pour s'assurer que les données sont transmises sans être corrompues. 

Sources : Wikipedia 

Single Sign On

Solution d'authentification permettant aux utilisateurs de ne s'authentifier (Identification + Mot de passe +... si authentification forte) qu'une seule fois, généralement à l'ouverture d'une session.

Les systèmes de SSO se chargent de présenter automatiquement par la suite aux applications les arguments (généralement identifiants et mots de passe) attendus par chaque application.

Généralement deux types de solutions sont proposées par les éditeurs pour réaliser cette fonction :

Soit la création d'agents logiciels qui s'installent sur les serveurs d'application, et c'est l'annuaire qui recelera les règles d'accès selon le profil des utilisateurs,

Soit , via l'utilisation d'une passerelle relais sur le réseau gèrant directement les sessions et l'authentification en simulant l'authentification des utilisateurs. Cette approche étant moins intrusive que la première, peut chez certains fournisseurs être "provisionnée" par les utilisateurs à la première utilisation.

Par extension le WEB SSO va permettre aux utilisateurs d'applications interfacées pour les technologies de type Internet / Intranet (client browser ou Web 2.0) de naviguer sur plusieurs services (SOA) auxquels il est habilité en ne s'authentifiant qu'une seule fois.

Le SSO doit permettre la propagation sur le réseau des informations d'authentification.
La propagation nécessite d'établir un niveau de confiance partagé entre les divers services offerts en établissant un protocole de Fédération d'Identité partagé.