Sécurité des systèmes et des réseaux

Definition

La sécurité des systèmes et des réseaux est la discipline qui vise à protéger la confidentialité, l'intégrité et la disponibilité des systèmes informatiques et des réseaux qui les connectent, en combinant la cryptographie, le contrôle d'accès et les pratiques d'ingénierie sécurisée.

Scope

Ce domaine couvre la défense pratique des infrastructures déployées : sécurisation des communications réseau, authentification des utilisateurs et des machines, contrôle d'accès, distribution de la confiance via l'infrastructure à clé publique, et construction de canaux sécurisés tels que TLS. Il aborde la manière dont les primitives cryptographiques sont assemblées en protocoles réels et comment les principes de sécurité (moindre privilège, défense en profondeur) guident la conception des systèmes. Il exclut la conception des primitives cryptographiques sous-jacentes et l'analyse des vulnérabilités logicielles, qui sont traitées dans des domaines connexes.

Sub-topics

• Authentification et contrôle d'accès
• Sécurité des réseaux
• Infrastructure à clé publique
• TLS et canaux sécurisés

Core questions

• Comment les données sont-elles protégées lorsqu'elles traversent des réseaux non fiables ?
• Comment les utilisateurs et les machines sont-ils authentifiés de manière fiable, et comment leur accès est-il contrôlé ?
• Comment la confiance dans les clés publiques est-elle établie et gérée à grande échelle ?
• Quels principes de sécurité guident la conception de systèmes fiables ?
• Comment la confidentialité, l'intégrité et la disponibilité sont-elles équilibrées par rapport à l'utilisabilité et à la performance ?

Key concepts

• confidentialité, intégrité, disponibilité
• moindre privilège
• défense en profondeur
• authentification et autorisation
• contrôle d'accès
• infrastructure à clé publique
• canaux sécurisés (TLS)
• modélisation des menaces
• périmètre réseau et segmentation

Key theories

Principes de conception de Saltzer et Schroeder

Les principes classiques de conception de systèmes sécurisés — moindre privilège, valeurs par défaut sûres (fail-safe defaults), économie de mécanisme, médiation complète, conception ouverte, séparation des privilèges — demeurent le fondement de l'ingénierie de la sécurité.

La triade CIA et la défense en profondeur

Les objectifs de sécurité sont définis comme la confidentialité, l'intégrité et la disponibilité ; les systèmes robustes superposent de multiples contrôles indépendants (défense en profondeur) afin que la défaillance d'un mécanisme ne compromette pas l'ensemble.

Clinical relevance

La sécurité des systèmes et des réseaux est ce qui assure l'utilisabilité d'internet : TLS protège le trafic web et API, les VPN et IPsec sécurisent l'accès à distance, les autorités de certification et les PKI permettent aux machines inconnues de se faire confiance, et les systèmes de contrôle d'accès protègent tout, des consoles cloud aux dossiers hospitaliers. Les défaillances dans ce domaine sont à l'origine des violations de données, des incidents de rançongiciels et des compromissions de la chaîne d'approvisionnement qui dominent l'actualité de la sécurité.

Evidence & guidelines

La pratique est façonnée par des cadres et des normes : le NIST Cybersecurity Framework et la série SP 800, ISO/IEC 27001, les bases de connaissances OWASP et MITRE ATT&CK, et les RFC de protocole. Les architectures de confiance zéro (NIST SP 800-207) remplacent de plus en plus les modèles basés uniquement sur le périmètre, et les régimes réglementaires (GDPR, HIPAA, PCI-DSS) imposent des exigences de sécurité à des secteurs spécifiques.

History

La sécurité des réseaux a évolué avec internet lui-même : le ver Morris (1988) a démontré une vulnérabilité systémique, les pare-feu et la détection d'intrusion sont apparus dans les années 1990, et SSL/TLS (à partir de 1995) a sécurisé le web. Les principes de Saltzer et Schroeder de 1975 demeurent les fondements du domaine. À mesure que les périmètres se sont dissous avec le cloud computing et l'informatique mobile, la discipline s'est orientée vers des modèles centrés sur l'identité et la confiance zéro.

Key figures

• Roger Needham
• Ross Anderson
• Jerome Saltzer
• Michael Schroeder
• Whitfield Diffie

Related topics

• Sécurité des logiciels et des applications
• Cryptographie à clé publique
• Protocoles cryptographiques

Seminal works

• anderson2020
• saltzer1975
• stallings2017

Frequently asked questions

Quelle est la différence entre l'authentification et l'autorisation ?

L'authentification établit l'identité d'une partie (vérification de l'identité, par exemple via un mot de passe ou une clé). L'autorisation détermine ce qu'une partie authentifiée est autorisée à faire (ses permissions). Un système doit faire les deux : confirmer l'identité, puis appliquer les droits d'accès.

Une cryptographie forte est-elle suffisante pour sécuriser un système ?

Non. La cryptographie est nécessaire mais pas suffisante. La plupart des violations réelles exploitent des mots de passe faibles, des erreurs de configuration, des logiciels non patchés, le hameçonnage ou une mauvaise gestion des clés plutôt que de briser la cryptographie elle-même, c'est pourquoi l'ingénierie et les opérations sécurisées sont aussi importantes que les algorithmes.

Methods for this concept

• TLS Protocol Analysis
• Intrusion Detection System
• Symmetric Key Cryptanalysis
• RSA Cryptosystem Analysis
• Vulnerability Assessment
• Digital Signature Scheme
• RSA Cryptosystem
• Zero-Knowledge Proof

Related concepts

• Sécurité des réseaux (Réseaux informatiques)
• Sécurité des réseaux
• Authentification et contrôle d'accès
• Sécurité des logiciels et des applications
• Infrastructure à clé publique
• Protocoles cryptographiques