Troisième édition du livre “Sécurité Informatique – Cours et Exercices Corrigés”

La troisième édition du livre “Sécurité Informatique – Cours et Exercices Corrigés” a été livrée à notre éditeur Vuibert et devrait être disponible cet automne! Cet ouvrage, co-rédigé avec mes collègues Gildas Avoine, Philippe Oechslin et un nouvel arrivant, Sylvain Pasini, est une refonte et une mise à jour complète. Comme «teaser», voici en avant-première l’avant-propos et la table des matières de cette nouvelle édition.

Avant-Propos

Depuis la première édition de cet ouvrage, parue en 2004, force est de constater que le paysage de la sécurité informatique a fortement changé. Avec lui, nous avions fait évoluer notre ouvrage en publiant une version en anglais en 2007, puis une seconde édition en français en 2010. Nous nous réjouissions alors de la prise de conscience des décideurs face aux menaces informatiques grandissantes. Cette prise de conscience s’est traduite ces dernières années par une augmentation très significative du nombre de formations universitaires et professionnelles en sécurité informatique et par une médiatisation sans précédent du domaine. Le monde de la sécurité informatique est devenu un écosystème complexe où de nombreux métiers et intérêts se côtoient. La sécurité informatique est également devenue une discipline à part entière qui évolue à un rythme soutenu pour intégrer les nouvelles menaces mais aussi les nouvelles méthodes et stratégies de défense.

Forts de ce constat, nous avons souhaité faire évoluer notre ouvrage pour intégrer de nouveaux sujets importants et réviser les fondamentaux au regard des connaissances actuelles. Avec l’appui d’un quatrième auteur, nous avons restructuré l’ouvrage et élargi son champ thématique en intégrant des chapitres sur les vulnérabilités et sur le développement logiciel. Les autres chapitres ont également largement bénéficié de ce travail de fond, avec l’apparition notamment de IKEv2, WEP, WPA, IPv6, SSL VPN, etc. Alors que la seconde édition de notre ouvrage ne contenait que des rappels de cours et des exercices corrigés, cette troisième édition est un support à part entière pour un cours en sécurité informatique. Notre ligne de conduite pour cette troisième édition reste toutefois inchangée : offrir un manuel pédagogique rigoureux, se concentrant sur les connaissances fondamentales et pérennes et faisant fi des effets de mode éphémères. L’ouvrage vise les enseignants et les étudiants en 2ème ou 3ème cycle d’université ou d’école d’ingénieurs, mais également en 1er cycle, par exemple en IUT ou HES, pour autant que les étudiants aient acquis les connaissances fondamentales de l’informatique, notamment dans le domaine des réseaux.

Afin d’intégrer la matière nouvelle, cette troisième édition est constituée de onze chapitres dont les deux premiers posent le socle des connaissances. Il n’est pas nécessaire de poursuivre avec une lecture linéaire car les chapitres suivants présentent des connaissances indépendantes, même si certains exercices synthétisent des connaissances présentées dans plusieurs chapitres.

Ainsi, après avoir exposé des aspects historiques de la sécurité informatique, le chapitre 1 propose une introduction à la gestion de la sécurité et présente des concepts fondamentaux auxquels il est fait référence dans les chapitres suivants. Le chapitre 2 contient quant à lui les notions fondamentales de la cryptographie, telles que le chiffrement symétrique et asymétrique, les fonctions de hachage, les mécanismes de signatures numériques et les protocoles d’authentification. Ces notions sont abordées de telle façon que les besoins en connaissances mathématiques soient réduits à la portion congrue.

Les principales vulnérabilités des réseaux informatiques sont décrites dans le chapitre 3, où les attaques les plus importantes sont détaillées. Le chapitre 4 vise au contraire à expliquer les mécanismes de défense que l’on peut mettre en oeuvre pour renforcer la sécurité d’un réseau : des systèmes tels que les pare-feux, les proxys ou les systèmes de détection d’intrusion y sont discutés.

Dans le chapitre 5 sont traités les principaux protocoles de communication sécurisés, tels que le protocoles SSL/TLS, SSH, WEP/WPA, Kerberos ainsi que les réseaux privés virtuels reposant sur IPsec ou SSL/TLS.

La sécurité de la messagerie électronique, ainsi que les normes PGP et S/MIME sont traitées dans le chapitre 6, tandis que le chapitre 7 décrit en détail le concept de code malveillant.

Dans le chapitre 8, nous avons choisi de traiter en détail la problématique des mots de passe, en mettant un certain poids sur le thème des attaques. Puisque nous ne connaissions pas d’ouvrage rédigé en français traitant des compromis temps-mémoire, souvent utilisés pour casser des mots de passe, et comme c’est un sujet de recherche qui a occupé certains d’entre nous durant de nombreuses années, nous avons délibérément décidé de traiter en profondeur ce thème spécifique.

Les chapitres 9 et 10 traitent de sécurité logicielle ; le premier repose sur la liste des 25 types de vulnérabilités les plus communes publiée par le «SANS Institute», tandis que le second attaque de manière plus spécifique le domaine des applications Web. Finalement, le chapitre 11 expose certains principes de développement sécurisé, comme l’application d’un processus de type SDL, par exemple. Une liste d’acronymes, un index aussi complet que possible ainsi qu’une bibliographie complètent cet ouvrage.
G. Avoine, P. Junod, Ph. Oechslin et S. Pasini

Table des Matières

  1. Généralités
    1. Aspects historiques
    2. Concepts de base
    3. Principes fondamentaux
    4. Gestion de la sécurité
    5. Lecture complémentaires
    6. Exercices
    7. Corrigés
  2. Notions de base en cryptographie
    1. Propriétés fondamentales
    2. Chiffrement  à clef secrète
    3. Fonctions de hachage et codes d’authentification de message
    4. Chiffrement et signature à clef publique
    5. Longueur minimale d’une clef
    6. Certificats numériques
    7. Protocoles d’authentification et d’échange de clef
    8. Lectures complémentaires
    9. Exercices
    10. Corrigés
  3. Vulnérabilités des réseaux
    1. Bases des protocoles réseaux
    2. Écoute réseau
    3. Vol de session
    4. Usurpation d’identité
    5. Détournement de connexion
    6. Découverte réseau
    7. Dénis de service
    8. Lectures complémentaires
    9. Exercices
    10. Corrigés
  4. Infrastructures réseau
    1. Pare-feux
    2. Détection d’intrusion
    3. Proxys
    4. Architecture réseau
    5. Lectures complémentaires
    6. Exercices
    7. Corrigés
  5. Communications sécurisées
    1. VPN
    2. IPsec
    3. IKE
    4. SSL/TLS
    5. SSL VPN
    6. SSH
    7. WEP/WPA
    8. Kerberos
    9. Lectures complémentaires
    10. Exercices
    11. Corrigés
  6. Sécurité de la messagerie électronique
    1. Protocoles de messagerie
    2. Vulnérabilités de la messagerie électronique
    3. Courrier électronique indésirable
    4. Protection des messages pendant leur transport
    5. Protection des messages de bout-en-bout
    6. Lectures complémentaires
    7. Exercices
    8. Corrigés
  7. Codes malveillants
    1. Description et classification
    2. Protections
    3. Lectures complémentaires
    4. Exercices
    5. Corrigés
  8. Mots de passe
    1. Authentification Linux
    2. Authentification Windows
    3. Cassage de mots de passe
    4. Compromis temps-mémoire
    5. Choix d’un bon mot de passe
    6. Lectures complémentaires
    7. Exercices
    8. Corrigés
  9. Vulnérabilités logicielles
    1. Généralités
    2. Vulnérabilités les plus fréquentes
    3. Lectures complémentaires
    4. Exercices
    5. Corrigés
  10. Vulnérabilités Web
    1. Introduction aux technologies Web
    2. L’écosystème des attaques Web
    3. Code mobile
    4. Outils de base
    5. Lectures complémentaires
    6. Exercices
    7. Corrigés
  11. Développement sécurisé
    1. Processus de développement sécurisé
    2. Audits et scanners de code
    3. Informatique de confiance
    4. Lectures complémentaires
    5. Exercices
    6. Corrigés
  12. Index
  13. Bibliographie

Pascal

2 Comments

  1. salut ,s’il vous plait comment obtenir votre livre de sécurité informatique .

    merci

Leave a Reply

Your email address will not be published. Required fields are marked *