Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Sécurité informatique

Sécurité des systèmes d`information

publicité 
Sécurité des systèmes d'information
Un article de Wikipédia, l'encyclopédie libre.
Aller à : Navigation, Rechercher
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques,
organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et
garantir la sécurité de l'information et du système d'information.
Sommaire
[masquer]







1 Présentation
2 Évaluation des risques
o 2.1 Méthodes d'évaluation
o 2.2 Informations sensibles
o 2.3 Critères d'évaluation
o 2.4 Menaces
o 2.5 Objectifs
3 Moyens de sécurisation d'un système
o 3.1 Conception globale
o 3.2 Défense en profondeur
o 3.3 Politique de sécurité
o 3.4 Responsable de la sécurité du système d'information
o 3.5 Modèles formels de sécurité
o 3.6 Plan de continuité d'activité
o 3.7 Moyens techniques
o 3.8 Exemples d'applications de protection de la sécurité
4 Normes et méthodes
5 Acteurs
o 5.1 Organismes officiels
o 5.2 Technologies commerciales
o 5.3 Associations
o 5.4 Groupes de hackers
o 5.5 Personnalités
6 Événements autour du thème
7 Annexes
o 7.1 Voir aussi
o 7.2 Publications
o 7.3 Liens externes
Présentation [modifier]
Le terme « système informatique » désigne ici tout système dont le fonctionnement fait appel,
d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou
présenter de l'information. Les systèmes d'information s'appuient en règle générale sur des
systèmes informatiques pour leur mise en œuvre. Ils comprennent les données de
télécommunications (voix analogique, voix sur IP…) et dans certains cas, les données sur
papier.
De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire
l'information (on parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne
doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien
par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du
système »). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité
des traitements, les partages de données et l'interactivité ont augmenté de façon considérable
— mais c'est également le cas des pannes — indisponibilités, incidents, erreurs, négligences
et malveillances en particulier avec l'ouverture sur internet.
Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages
financiers. Par exemple, bien qu'il soit relativement difficile de les estimer, des sommes de
l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par
des programmes malveillants comme le ver Code Red. D'autres dommages substantiels,
comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus précisément.
Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie
privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses
coordonnées postales ou bancaires), et peuvent pour cette raison être sanctionnés lorsqu'une
négligence de l'hébergeur est établie : si, par exemple, celui-ci n'a pas appliqué un correctif
dans des délais raisonnables.
Indirectement aussi, certaines menaces peuvent nuire à l'image même du propriétaire du
système d'information. Des techniques répandues de « defacing » (une refonte d'un site web)
permettent à une personne mal intentionnée de mettre en évidence des failles de sécurité sur
un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de
fausses informations sur son propriétaire (on parle alors de désinformation).
Le cas le plus répandu, et sans aucun doute les précurseurs en matière de sécurité de
l'information, reste la sécurisation de l'information stratégique et plus particulièrement
militaire. Le TCSEC, ouvrage de référence en la matière, est issu du Department of Defense
(DoD) des États-Unis. Le principe de sécurité multiniveau trouve ses origines dans les
recherches de résolution des problèmes de sécurité de l'information militaire. Aujourd'hui,
plusieurs mécanismes sont étudiés ; citons les leurres reposant sur l'argument que interdire
explicitement l'accès à une donnée consiste à fournir une information sur cette dernière… ce
qui sous-tend à l'hypothèse réaliste que la sécurité à 100% n'est pas atteinte.
Évaluation des risques [modifier]
Tenter de sécuriser un système d'information revient à essayer de se protéger contre les
risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des
informations qu'il traite.
Méthodes d'évaluation [modifier]
Différentes méthodes d'évaluation des risques sur le système d'information existent. Voici les
cinq principales méthodes d'évaluation disponibles sur le marché :





la méthode Ebios (Expression des besoins et identification des objectifs de sécurité),
développée par la DCSSI ;
la méthode Feros (Fiche d'expression rationnelle des objectifs de sécurité des systèmes
d'information), développée par la DCSSI ;
la méthode Méhari (Méthode harmonisée d'analyse des risques), développée par le
CLUSIF ;
la méthode Marion (Méthode d'analyse de risques informatiques optimisée par
niveau), développée par le CLUSIF ;
la méthode Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes
d'information).
La société MITRE, qui travaille pour le Département de la Défense des États-Unis, a aussi
développé en 1998 une méthode d'évaluation des menaces et des vulnérabilités appliquée à
l'industrie aérospatiale, et pouvant être généralisée aux infrastructures critiques : NIMS (NAS
Infrastructure Management System, NAS signifiant National Aerospace).
Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent
varier. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros.
Paradoxalement, dans les entreprises, la définition d'indicateurs "sécurité du SI" mesurables,
pertinents et permettant de définir ensuite des objectifs dans le temps, raisonnables à atteindre,
s'avère délicate. S'il s'agit d'indicateurs de performances,on peut désigner comme indicateurs
les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus
complexes à définir et à apprécier, à preuve ceux sur les "alertes virales".
Informations sensibles [modifier]
Voir l’article Sécurité des données.
Avant de tenter de se protéger, il convient de déterminer quelles sont les informations
sensibles de l'entreprise, qui peuvent être des données, ou plus généralement des actifs
représentés par des données. Chaque élément pourra avoir une sensibilité différente.
Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un
patrimoine informationnel à protéger.
Il faut évaluer les menaces et déterminer les vulnérabilité pour ces éléments sensibles.
Critères d'évaluation [modifier]
La vulnérabilité peut s'évaluer suivant plusieurs critères :


Disponibilité : l'élément a-t-il besoin d'une disponibilité importante pour ne pas nuire
au système d'information ?
Intégrité : l'élément a-t-il besoin d'une intégrité importante pour ne pas nuire au
fonctionnement du système d'information ?



Confidentialité : l'élément a-t-il besoin d'une confidentialité importante pour ne pas
nuire au système d'information ?
Imputabilité (ou « Preuve ») : l'élément a-t-il besoin d'une gestion de la preuve
importante pour ne pas nuire à l'organisation ?
Contrôle d'accès : l'élément a-t-il besoin d'un contrôle d'accès important pour ne pas
nuire au système d'information ?
Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent
être évalués en fonction des menaces qui pèsent sur les éléments à protéger. Il faut pour cela
évaluer :


l'impact de chaque menace sur chaque élément,
la probabilité d'occurrence de ces impacts (ou la potentialité)
Dans la méthode Mehari, le produit de l'impact et de la potentialité est appelé « gravité ».
Menaces [modifier]
Voir l’article Risques en sécurité informatique.
Les principales menaces effectives auxquelles un système d’information peut être confronté
sont :




Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un
système d'information est l'utilisateur, généralement insouciant ;
Une personne malveillante : une personne parvient à s'introduire sur le système,
légitimement ou non, et à accéder ensuite à des données ou à des programmes
auxquels elle n'est pas censée avoir accès ;
Un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du
système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte
à des intrusions ou modifiant les données ; des données personnelles peuvent être
collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ou
commerciales ;
Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une
malveillance entraînant une perte de matériel et/ou de données.
Objectifs [modifier]
Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces
objectifs sont l'expression de l'intention de contrer des risques identifiés et/ou de satisfaire à
des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur
son environnement de développement ou sur son environnement opérationnel. Ces objectifs
pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le système
d'information.
Moyens de sécurisation d'un système [modifier]
Conception globale [modifier]
La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou
moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.
Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :








la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas
« prise de conscience » (les Anglais disent awareness) ;
la sécurité de l'information ;
la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de
cohérence des données en univers réparti ;
la sécurité des réseaux ;
la sécurité des systèmes d'exploitation ;
la sécurité des télécommunications ;
la sécurité des applications (débordement de tampon), cela passe par exemple par la
programmation sécurisée ;
la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la
« stratégie de reprise »).
Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information,
car tous les systèmes utilisent des données, et les données communes sont souvent très
hétérogènes (format, structure, occurrences, …).
Défense en profondeur [modifier]
Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le principe de défense
en profondeur revient à sécuriser chaque sous-ensemble du système, et s'oppose à la vision
d'une sécurisation du système uniquement en périphérie…
Politique de sécurité [modifier]
Voir l’article Politique de sécurité informatique.
La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès
aux données et ressources d'un système, en mettant en place des mécanismes
d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des
dites ressources possèdent uniquement les droits qui leurs ont été octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les
utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils
puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est
nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :



élaborer des règles et des procédures, installer des outils techniques dans les différents
services de l'organisation (autour de l'informatique) ;
définir les actions à entreprendre et les personnes à contacter en cas de détection d'une
intrusion ;
sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes
d'informations.
La politique de sécurité est donc l'ensemble des orientations suivies par une entité en terme de
sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation
concernée, car elle concerne tous les utilisateurs du système.
Responsable de la sécurité du système d'information [modifier]
Cela étant, en France, ce sont principalement les grandes sociétés, entreprises du secteur
public et administrations qui ont désigné et emploient, à plein temps ou non, des
"responsables de la sécurité des systèmes d'information". Les tâches de la fonction dépendent
du volontarisme politique ; les cadres ou techniciens concernés ont en général une bonne
expérience informatique alliée à des qualités de pédagogie, conviction, etc. Peu à peu, le
management de la sécurité informatique s'organise en domaines ou sous-domaines des
services informatiques ou d'état-major ; ils sont dotés de moyens financiers et humains et
intègrent les contrats de plan ou de programmes de l'entreprise.
Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des
utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (Responsable de
la sécurité des systèmes d'information), si ce poste existe au sein de l'organisation. Le rôle de
l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les
droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus,
étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter
les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les
stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication
aux utilisateurs des problèmes et recommandations en terme de sécurité.
Modèles formels de sécurité [modifier]
Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau E4 de TCSEC
au minimum), nous définissons formellement le concept de sécurité dans un modèle dont les
objectifs sont les suivants :




exprimer les besoins de sécurités intégrées dans un contexte informatique,
fournir des moyens pour justifier que le modèle est cohérent,
fournir des moyens permettant de convaincre que les besoins sont satisfaits,
fournir des méthodes permettant de concevoir et d'implanter le système.
Il existe plusieurs modèles formels de sécurité :

Le modèle de Bell et La Padula (gestion d'accès par mandat, confidentialité, statique)
modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques.
Les concepteurs de ce modèle ont démontré un théorème appelé Basic Security
Theorem (BST). De ce modèle furent dérivés d'autres modèles : celui de Biba (gestion
d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat,
confidentialité et intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat,
confidentialité, statique).

Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique)
modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles
de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle
des accès indirects à l'information : ils mettent en évidence le problème des canaux
cachés.

Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant
et le modèle SPM.
Plan de continuité d'activité [modifier]
Voir l’article Plan de continuité d'activité.
Plus aucune entreprise ne peut se passer de l’outil informatique, d’où la nécessité d’un plan de
continuité de l’informatique, appelé aussi "plan de reprise d'activité". Ce plan a pour but de
redémarrer l'activité informatique après une catastrophe et ce, de la manière la plus efficace
possible (perte minimale de données, de temps et de matériel), pour un coût raisonnable.
Moyens techniques [modifier]





Contrôle des accès aux systèmes informatiques
Surveillance du réseau : supervision, sniffer, système de détection d'intrusion
Sécurité applicative : séparation des privilèges, audit de code, rétro-ingénierie
Emploi de technologies ad-hoc : pare-feu, anti-logiciels malveillants (antivirus,
antipourriel (SPAM), antiespiogiciel (spyware), antitrojan)
Voir aussi : cryptographie, authentification forte, liste de contrôle d'accès,
stéganographie, infrastructure à clés publiques …
Exemples d'applications de protection de la sécurité [modifier]
Certain principes de sécurité sont considérés comme du bon sens à appliquer.
Voici une liste non exhaustives de ces recommandations, qui peuvent être ou non appliquées
suivant le système d'information et la politique mise en œuvre :









protéger l’accès à son poste de travail, aux documents et supports d’information (mise
sous clef, câbles antivol sur les ordinateurs, identifiants utilisateur et mots de passe
incessibles, etc.) ;
avec l’aide de l'équipe responsable, procéder au chiffrement des données et des
messages sensibles et en contrôler la diffusion ;
sauvegarder les données (CD, cartouches, serveurs partagés …) ;
utiliser la messagerie professionnelle efficacement et économiquement, ne pas en
abuser personnellement ;
utiliser l’archivage, les dossiers, éviter les fichiers joints volumineux ;
ne pas créer des brèches dans la sécurité des systèmes (utiliser par exemple un coupefeu ou un [Serveur mandataire|serveur mandataire (proxy)] avec internet, ne pas faire
de branchement « sauvage » sur des réseaux ou [Fournisseur d'accès internet|FAI]
privés, désactiver les interfaces Wifi) ;
veiller au respect des obligations légales ;
veiller au respect de la réglementation interne au système d'information de
l'entreprise ;
ne pas communiquer des opinions ou des informations sensibles ou non éthiques
(diffamatoires, illégitimes …) ;

faire remonter les incidents sécurité à l'équipe concernée.
Normes et méthodes [modifier]
Outils méthodologiques pour la sécurité des systèmes d'information :

EBIOS, TDBSSI, PC², DSIS
Critères et méthodologies d'évaluation :





Critères TCSEC : Critères d'évaluation de la sécurité des systèmes informatiques
Critères ITSEC : Critères d'évaluation de la sécurité des systèmes informatiques
ISO/CEI 15408-1:1999(E) : Critères communs (ou Common Criteria for Information
Technology Security Evaluation)
ISO/CEI 17799 (ou BS7799-1), norme sur la sécurité de l'information
ISO/CEI 27001 (ou BS7799-2), norme sur la sécurité de l'information
Acteurs [modifier]
Organismes officiels [modifier]
En SSI, il existe des organismes officiels chargés d'assurer des services de prévention des
risques et d'assistance aux traitements d'incidents. Ces CERT (Computer Emergency
Response Team) sont des centres d'alerte et de réaction aux attaques informatiques, destinés
aux entreprises et/ou aux administrations, mais dont les informations sont généralement
accessibles à tous.
Voir l’article Computer Emergency Response Team.
Technologies commerciales [modifier]


















Éditeurs d'antivirus
Éditeurs de pare-feu
Éditeurs de firewall applicatif Web
Éditeurs de firewall pour les Web Services (SOA, XML, SOAP)
Éditeurs de solutions d'Authentification forte
Éditeurs de solutions de contrôle des périphériques (USB, Wifi, etc.)
Éditeurs de solutions PKI
Éditeurs de solutions Anti Spam
Éditeurs de solutions de chiffrement
Éditeurs de solutions de corrélation des événements de sécurité
Éditeurs de solutions de filtrage d'URL
Éditeurs de solutions de Honeypot
Éditeurs de solutions de VPN SSL
Éditeurs de solutions de Single Sign On (SSO)
Constructeurs d'Appliance de Sécurité pour la détection et prévention d'intrusions
Éditeurs de systèmes d'exploitation basés sur la sécurité : OpenBSD, SELinux
SSII : Sociétés de Services en Ingénierie Informatique, spécialisées en sécurité
MSSP : Managed Security Services Provider
Associations [modifier]



CLUSIF (Club de la Sécurité des Systèmes d'Information Français)
OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux)
CLUSIS (Association Suisse de la sécurité des systèmes d'information)
Groupes de hackers [modifier]
Il est à noter que les hackers, spécialisés en intrusions ou tentatives d'intrusions, ne sont pas
tous des pirates, comme certains se plaisent à le dire. Aussi, les lamers, script kiddies,
defaceurs, et Curious Joe, ne sont pas des hackers, mais simplement des personnes qui
prétendent l'être. Les hackers sont des passionnés d'informatique, experts des systèmes et des
réseaux, capables de développer leurs propres outils, et leur motivation n'est pas forcément
délictueuse.
Ainsi dans l’« affaire Guillermito/ViGUARD », Guillermito cherchait à vérifier les
allégations de sécurité du logiciel ViGUARD.
Voir l’article Pirate informatique.
Personnalités [modifier]

















Alan Mathison Turing, mathématicien britannique ayant déchiffré le code secret de la
machine Enigma, utilisée par les Nazis
Kevin Mitnick, hacker (spécialiste en usurpation d'identité et en ingénierie sociale),
aujourd'hui consultant en sécurité informatique
Tsutomu Shimomura, expert en sécurité informatique, ayant collaboré avec le FBI
pour identifier Kevin Mitnick
Dan Geer, consultant en sécurité informatique
Bruce Schneier, expert en sécurité informatique, cryptographe, et écrivain
Edward Felten, professeur et chercheur en sécurité informatique
Ronald Rivest, Adi Shamir et Len Adleman, créateurs de RSA, un protocole de
chiffrement à clé publique
Andy Mueller-Maguhn, un hacker allemand, porte-parole du Chaos Computer Club,
ancien membre élu de l'ICANN
Serdar Argic, pseudonyme de l'auteur d'un des plus grands incidents de pourriel sur
Usenet
Phil Zimmerman, créateur du Pretty Good Privacy, logiciel de communication
électronique sécurisée utilisant le chiffrement asymétrique
Hervé Schauer, un des pionniers de la sécurité informatique en France (1987),
fondateur de HSC (Hervé Schauer Consultants)
Brad Spengler, auteur de Grsecurity et mainteneur de PaX
Jean-Bernard Condat, ancien hacker au service de la direction de la Surveillance du
territoire (DST)
Michael Lynn, un spécialiste en sécurité informatique (routeurs Cisco)
Eric Filiol, expert français en virologie
Philippe Oechslin, expert Suisse en sécurité informatique et inventeur des Table arcen-ciel pour casser les mots de passe
H D Moore, célèbre Hacker contemporain, fondateur du projet Metasploit


David Litchfield, expert anglais en sécurité informatique, spécialisé dans la recherche
de vulnérabilités dans les Système de gestion de base de données
Nicolas RUFF, chercheur en sécurité informatique, animateur du groupe OSSIR
Événements autour du thème [modifier]















Black Hat Briefings (Las Vegas, Amsterdam, Tokyo, Singapour, Washington)
Cartes (Paris)
Chaos Communication Camp (près de Berlin)
Chaos Communication Congress (Berlin)
DEF CON (Las Vegas)
Eurosec (Paris)
Hack.lu (Luxembourg)
Hackers At Large (Pays-Bas)
Hackers on Planet Earth (New York)
Infosecurity Europe (Grande Bretagne)
Les Assises de la sécurité (Monaco)
RSA Conference (San Francisco et Nice)
Symposium sur la sécurité des technologies de l'information et des communications
(Rennes)
ToorCon (San Diego)
What The Hack (Pays-Bas)
Annexes [modifier]
Voir aussi [modifier]
Généralités






Risques en sécurité informatique
Sécurité de l'information
Information classifiée
Intelligence économique
Politique de sécurité du système d'information
Politique de sécurité du réseau informatique
Aspects juridiques



Droit de l'informatique
Gestion des droits numériques
Expertise technico-légale d'ordinateurs individuels i.e. informatique légiste
Organismes





CERT
CERT Coordination Center
DCSSI
CLUSIF
Information Security Forum


(ISC)²
CLUSIS (Association Suisse de la sécurité des systèmes d'information)
Certifications professionnelles


Certified Information Systems Security Professional
Certificat en Sécurité des Systèmes d'Information (CSSI) - Suisse / Genève
Sites de référence




SecurityFocus
Sans Institute
Vulnerabilité.com
SecurInfos
Technologie de sécurité


Authentification forte
Système de détection d'intrusion
Divers







Vulnérabilité (informatique)
Exploit (informatique)
Pare-feu
Honeypot
Captcha
Durcissement
Fuzzing
Publications [modifier]
Livres









Alexandre Gomez Urbina : Hacking Interdit II, ISBN 2742963022
Didier Godart : Sécurité informatique : Risques, Stratégies & Solutions, ISBN
2930287217
Paul A. Karger, Roger R. Schell : Thirty Years Later: Lessons from the Multics
Security Evaluation, IBM white paper.
Clifford Stoll : Le Nid de coucou, Albin Michel, 1989 (Cuckoo's Egg: Tracking a Spy
Through the Maze of Computer Espionage, Pocket Books, ISBN 0743411463)
Hacking Intern, Data Becker
Markus Schumacher : Hacker Contest, Xpert.press
Brian Hatch, James Lee, George Kurtz : Halte aux Hackers Linux, Eyrolles, ISBN
2746402874
D. McCullough - Covert channels and Degrees of Insecurity. In Proc. of the computer
security foundations workshop, Franconia, 1988.
J. Wray - An Analysis of Covert Timing Channels. In IEEE symposium on security
and privacy, Oakland, 1991.














P.Bieber, F.Cuppens - A Logical View of Secure Dependencies, Journal of Computer
Security, Vol.1, n°1, pp.99-129, IOS Press, January 1992.
M. Harrison, W. Ruzzo and J. Ullman. Protection in Operating Systems. CACM,
19(8):461-471, 1976
A. Jones, R. Lipton and L. Snyder. A Linear Time Algorithm for Deciding Security. In
Proc. of the 17th Symposium on Foundation of Computer Science, 1976.
M. Bishop and L. Snyder. The Transfer of Information and Authority in a Protection
System. In Proc. of the 7th Symposium on Operating System Principles, 1979.
R. Sandhu. Expressive power of the schematic protection model. In Proc. of the
computer security foundations workshop, Franconia, 1988.
R. Sandhu. The Schematic Protection Model : its Definition and Analysis for Acyclic
Attenuating Schemes. Journal of the Association for Computing Machinery,
35(2):404-432, 1988.
A. Jones. Protection Mechanism Models : Their Userfulness. In Foundations of Secure
Computation, 1978.
A. Lockman and N. Minsky. Unidirectionnal Transport of Rights and Take-Grant
Control. In IEEE Trans. on Software Engineering, 1982.
D. Bell and L. La Padula. Secure Computer Systems : Unified Exposition and Multics
Interpretation. Technical Report ESD-TR-75-306, MTR-2997, MITRE, Bedford,
Mass, 1975.
J. McLean. Reasoning about security models. In IEEE Symposium on Security and
Privacy, Oakland, 1987
K. Biba. Integrity Considerations for Computer Systems. Technical Report ESD-TR76-372, MITRE, Bedford, Mass, 1976.
S. Jajodia and R. Sandhu. Toward a Multilevel Relational Data Model. In Proc. ACMSIGMOD Conference, Denver, CO, May 1991
C. Shannon and E. Weaver. The Mathematical Theory of Communication. University
of Illinois Press, Urbana, IL, 1963.
D. Sutherland. A model Of Information. In Proceedings of the 9th National Computer
Security Conference, 1986.
Documents normatifs


Department Of Defense. Trusted Computer Systems Evaluation Criteria (TCSEC).
Technical report, CSC-STD-001-83, 1983.
European Economic Community. Information Technology Security Evaluation
Criteria (ITSEC). Technical Report, 1990.
Romans


Meurtre.com : traduit de 'The blue nowhere' de Jeffery Deaver
Digital Fortress : de Dan Brown, l'auteur du 'Da Vinci Code'
Principaux magazines





MISC
Phrack (magazine électronique)
Réseaux & Télécoms
Hakin9 (magazine papier)
Hackademy Magazine
Liens externes [modifier]


(fr) Catégorie Informatique/Sécurité de l'annuaire dmoz.
(en) Catégorie Computers/Security de l'annuaire dmoz.
Documents connexes
digiBiDi - La Nuit Du Livre
digiBiDi - La Nuit Du Livre
radio - TV - com en ligne
radio - TV - com en ligne
Directeur des ventes - Syndicat national de l`édition
Directeur des ventes - Syndicat national de l`édition
Annexe 3
Annexe 3
aissati amine
aissati amine
SUBLIME SKINZ, la première régie publicitaire spécialisée dans les
SUBLIME SKINZ, la première régie publicitaire spécialisée dans les
AdLeave : un nouveau format publicitaire qui réconcilie tout le monde
AdLeave : un nouveau format publicitaire qui réconcilie tout le monde
Les éditeurs de presse papier innovent
Les éditeurs de presse papier innovent
Fondée en 2006, R-Advertising se positionne comme l`un des
Fondée en 2006, R-Advertising se positionne comme l`un des
Vous utilisez tous l`ordinateur. Mais savez
Vous utilisez tous l`ordinateur. Mais savez
Fraude_Hackers_Piratage - Faculté de Droit de Nantes
Fraude_Hackers_Piratage - Faculté de Droit de Nantes
Téléchargement
publicité