La Cryptographie
La cryptographie vient des mots en grec ancien Kruptos (cachés) et graphein (écrire) est l’étude des moyens et produits de chiffrement permettant de rendre illisibles des informations afin de garantir l’accès qu’aux personnes autorisées. La cryptographie est à distinguer de la sténographie qui fait passer inaperçu un message à travers un autre message. Ainsi, de façon générique, la cryptographie désigne l’ensemble des techniques permettant de chiffrer des messages, de les rendre inintelligibles. L’opération qui consiste à rendre les données des messages à transmettre inintelligibles à des tiers s’appelle chiffrement et l’opération inverse du chiffrement s’appelle déchiffrement. Pour la réalisation de ces opérations de chiffrement et de déchiffrement, deux facteurs interviennent l’algorithme et la clé.
L’algorithme décrit précisément les étapes à suivre pour chiffrer ou déchiffrer le message selon le cas, la clé qui est un ensemble de caractères, de chiffres, avec une longueur Audit de la plateforme de confiance de la douane sénégalaise et perspective d’évolution spécifiée, destinée à chiffrer ou à déchiffrer est aussi nécessaire ces différentes opérations.
Cependant, à côté de la cryptographie se développe une discipline consistant à éprouver les mécanismes cryptographiques en essayant de rendre intelligibles les messages chiffrés sans la clé de déchiffrement, il s’agit de la cryptanalyse.
Si la même clé est utilisée pour l’opération de chiffrement et celle de déchiffrement alors il s’agit de cryptographie symétrique, sinon c’est-à-dire la clé de chiffrement est différente de celle de chiffrement là on est en face de la cryptographie asymétrique. A présent, intéressons-nous à la cryptographie symétrique puis à celle asymétrique.
Les fonctions de hachage
Une fonction de hachage est une fonction mathématique particulière qui reçoit en entrée une donnée de longueur quelconque et calcule une empreinte de longueur fixe servant à identifier rapidement la donnée initiale. Les principes mathématiques qui sous-tendent les fonctions hachage sont qu’elles sont à sens unique sans trappe. Cela veut dire connaissant la donnée initiale, on peut facilement calculer son empreinte, la réciproque est fausse. En effet, à partir de l’empreinte, on ne doit pas à priori pouvoir retrouver le message initial. Cependant si cela arrivait, ce serait certainement la conséquence d’une faible résistance aux collusions, signe d’une mauvaise fonction de hachage. Deux messages ne devant jamais avoir la même empreinte, toute altération du message d’origine implique une empreinte différente détectable par le destinataire en comparant l’empreinte du message initiale à celle du message reçu. Parmi les fonctions de hachages, on peut retenir : Message Digest, SHA : Secure Hash Algorithm, SHS : Secure hash Standard, MD5, SHA1, SHA2 (SHA-256, SHA-384, SHA-512).
La signature électronique
Une signature numérique est un mécanisme qui appliqué à un document électronique garantit son intégrité et en authentifie l’auteur. Elle permet d’atteindre deux objectifs à savoir : l’identification unique du signataire et preuve d’accord du contenu du document. A l’inverse de la signature manuelle associé physiquement au document signé et identique pour tous les documents venant d’un même signataire, la signature numérique elle, peut être stockée et envoyée indépendamment du document signé, elle est en fonction du document malgré l’usage de la même clé privée et couvre intégralement le document. Avant la signature du document, ce dernier est hachée ce qui permet de garantir l’intégrité du document. On signe avec la privée et on vérifie la signature avec la clé publique. La non–répudiation est implicite en supposant que personne ne peut avoir accès à la clé privée. C’est à ce titre que des dispositifs sécuritaires tels que les carte à puce, les tokens sont mises en œuvre pour protéger au maximum la clé privée ce qui tend à atteindre l’impératif de non-répudiation.
La résistance du dispositif de chiffrement dépend intrinsèquement du chiffrement asymétrique choisi et de la taille des clés utilisées.
Au Sénégal, la signature numérique a acquis au même titre que la signature manuscrite une valeur juridique à travers la loi 2008-08 du 25 janvier 2008 sur les transactions électroniques. Au final, la cryptographie asymétrique permet de combler le vide laissé par la cryptographie symétrique mais il n’en demeure pas moins qu’elle a ses propres limites.
D’abord, les algorithmes asymétriques sont très lents par rapports à ceux symétriques. C’est pour cette raison qu’ils ne sont pas préconisés pour le chiffrement de grande quantité de données. C’est alors à juste titre qu’il faut combiner la cryptographie symétrique et celle asymétrique pour atteindre toutes les primitives de la cryptographie. A titre d’exemple, pour l’opération de chiffrement d’une grande quantité de données, un algorithme de chiffrement symétrique est utilisé, mais pour la transmission de la clé de chiffrement, il faut faire à la cryptographie asymétrique.
La notion d’audit
L’audit est une mission d’évaluation de conformité par rapport à un référentiel. Selon le cadre, le référentiel peut être ordre organisationnel, technique, juridique ou fonctionnel. La mission d’audit est effectuée par une personne ou une équipe compétente dans le domaine concerné.
Pour le cadre de l’audit de la sécurité des systèmes d’information, il s’agira souvent de vérifier que les pratiques sont conformes une politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité.
Une mission d’audit ne peut ainsi être réalisée que si l’on a défini auparavant un référentiel, c’est-à-dire, un ensemble de règles organisationnelles, procédurales, juridiques et techniques de référence. Dans un audit de sécurité, le référentiel permet, au cours de l’audit, d’évaluer le niveau de sécurité réel d’une cible. Pour le cas d’espèce de ce mémoire, il s’agit étudier la conformité de la plateforme de confiance de la douane par rapport aux règles organisationnelles générales des systèmes d’information, ensuite il s’agira de évaluer son niveau de conformité quant aux aspects juridiques en fonction de la législation en vigueur au Sénégal et pour finir nous comparerons l’architecture, les aspects fonctionnels et techniques aux standards internationaux pertinents.
Les systèmes de management de la sécurité de l’information (SMSI)
Nous avons parlé de la partie SM (système de management) du SMSI. Parlons désormais de la partie SI (sécurité de l’information).
Le principal objectif d’un SMSI est de faire en sorte de préserver la confidentialité, l’intégrité et disponibilité pour les informations les plus sensibles de l’entreprise. La norme ISO 27001 insiste sur ces notions. Ces derniers sont formellement définis dans la norme ISO 13335-1.
Le SMSI est cohérent avec les autres systèmes de management de l’entité, notamment avec les systèmes de management de la qualité, de la sécurité des conditions de travail, et de l’environnement.
Le SMSI inclut donc au minimum : Des éléments documentaires (politique, description des objectifs, cartographie des processus impactés, des activités de sécurité, et des mesures), La description de la méthode d’analyse des risques utilisée, Les processus impliqués dans la mise en œuvre de la sécurité de l’information, Les responsabilités relatives à la sécurité de l’information, Les ressources nécessaires à sa mise en œuvre, Les activités relatives à la sécurité de l’information, Les enregistrements issus des activités relatives à la sécurité de l’information, Les (relevés de) mesures prises sur les processus, Les actions relatives à l’amélioration de la sécurité de l’information.
L’existence d’un SMSI dans l’organisme permet de renforcer la confiance dans le mode de gestion de la sécurité de l’information.
Table des matières
INTRODUCTION GENERALE
Première Partie : le Cadre de référence
I. Présentation du Laboratoire et de la Douane
I.1 Présentation du Laboratoire LACGAA et du Master
I.2 Direction général des douanes
I.3 Direction des Systèmes informatique douaniers(DSID)
II Généralités sur la sécurité des Systèmes d’information
II.1 Définition des Concepts de base
II.1.1 Quelques Rappel sur la cryptologie
II.1.2 La Cryptographie
II.1.2 La Cryptographie symétrique
II.1.3 La Cryptographie asymétrique
II.1.4 Les fonctions de hachage
II.1.5 La signature électronique
II.1.6 La certificat électronique X.509
II.1.7 L’autorité de certification
II.2 Public key infrastructure (PKI)
II.2.1 Fonctionnalités des PKI
II.2.2 Architecture des PKI
II.2.3 Dépendance entre autorités de certification
II.3 Composantes additionnel de PKI
II.3.1 le serveur d’horodatage
II.3.2 le serveur de signature
II.3.3 le serveur Online Certificate Status Protocol
II.4 Outils mis en œuvre autour des PKI et leurs composantes
II.4.1 Public Key Cryptographic Standards (PKCS)
II.4.2 Keystore et TrustStore
II.4.3 Abstract Notation Syntax One (ANS.1)
II.4.4 Simple Certificate Enrollement Protocol(SCEP)
II.4.5 Certificate Management Protocol (CMP)
II.4.6 Matériels cryptographiques
Deuxième Partie : le Cadre méthodologique de l’audit
I. Audit des systèmes d’information
I.1 La notion d’audit
I.2 Les objectifs de l’audit
I.3 Le déroulement de l’audit
I.4 La démarche adoptée pour l’audit
I.4.1 Définition de la charte de l’audit
I.4.2 Préparation de l’audit
I.4.3 Audit organisationnel et physique
I.4.4 Audit juridique et fonctionnel
I.4.5 Audit Technique
I.4.6 Rapports d’audit et recommandations
II Normes et Méthodes d’audit SI
II.1 Définition et généralités
II.1.1 L’Organisation Internationale de Normalisation(ISO)
II.1.2 Les normes
II.1.3 Les méthodes
II.1.4 Rappel historique des normes en matière de sécurité de L’information
II.1.5 La famille des normes ISO 2700x
II.1.6 Les Systèmes de Management
II.1.7 Les systèmes de management de la sécurité de l’information
II.1.8 La norme ISO/CEI 27001 (Le modèle PDCA)
II.1.9 Méthodes d’appréciation des risques
II.1.10 La Méthode EBIOS
II.1.10 La Méthode MEHARI
Troisième Partie : Etude de l’existant et Implémentation
I. Etude de l’existant
I.1 L’architecture de la plateforme
I.2 Description du fonctionnement de la plateforme
II. Implémentation du Proof of concept
II.1 Les composantes indispensables à EJBCA
II.2 Architectures logicielle et fonctionnelle EJBCA
II.2.1 Architectures logicielle
II.2.2 Architectures fonctionnelle
II.3. Choix des technologies
II.4 description de l’environnement du serveur web
CONCLUSION
Webographie
Documentation