Acteur/scénario Flashcards
La sécurité informatique consiste à la protection de
des systèmes. de l’information et des services
2 types de mances
accidentelles et délibérées
La sécurité informatique peut atteindre 3 concepts
confidentialité, l’integrité et la disponibilité
Qu’est-ce que la confidentialité?
qui peut voir quoi, intérêts public/privées vs. vie privée
Qu’est-ce que l’intégrité?
l’exactitude, la précision, la modification autorisée seulement, la cohérence
Qu’est-ce que la disponibilité?
la présences sous forme utilisable, la capacité à rencontrer les besoins et les spécification, les contraintes de temps, performances et la qualité
Quelle est la méthodologie de la sécurité informatique?
0) identifier les biens
1) identifier la menace (qui, quoi et comment
2) évaluer les risques ( probabilité, impact)
3) considérer les mesures de protection par rapport au risque (efficacité(risque résiduel), coùt, Difficulté d’utilisation)
4) Mettre en place et opérer les mesures protections(Modification et/ou installation, Changer les politiques, Éduquer les utilisateur) retourner à 0
Définition quantitative
probabilité * impact = espérance de perte
Comment gérer le risque?
Réduction, transfert, acceptation ou arrêt de l’activité
qu’est-ce qu’un scénario?
Séquence d’évènement menant à la perte partielle ou totale de la valeur d’un bien
Q’est-ce qu’une menace?
= (scenario, acteur) OU une méthode par laquelle un acteur particulier entreprend une action et fait subir un domamge à un bien
Vulnérabilité =
Faille, offre l’opportunité de porter dommage à un bien
Contre-mesure =
Objet (ou processus) qui réduit le risque associé à une menace sur un bien
s’il y a une vulnérabilité, est-ce qu’il y a nécessairement un risque?
non. Pas d’acteur, pas de risque
s’il y a un acteur, est-ce qu’il y a nécessairement un risque?
non, pas de vulnérabilité, pas de scénario, pas de risque
S’il y a un acteur ET une vulnérabilité, est-ce qu’il y a nécessairement un risque?
non, pas d’impact, pas de risque
Qu’est-ce qu’une menace accidentelle?
acteur inconscient ou absence d'acteur. Catastrophe naturelle (act of god), actes humain involontaires, performances imprévue des systèmes
Qu’est-ce qu’une menace délibéré?
acteur conscient, vol de système, attaque de dénis de service, vol d’informations ( atteinte à la confidentialité) modification non-aurotisée des systèmes, botnets
Comment est-ce qu’on calcul le risque informatique ( avec probabilité et impact)?
E = P x I (espérence de perte = probabilité d’incident * impact d’un incident)
Qu’est-ce qu’un impact?
sous notre contrôle, “facile” à évaluer
Qu’est-ce la probabilité d’un incident pour un risque naturel?
Valeurs connues( statistiques, actuariat, historiques de catastrophes)
Qu’est-ce la probabilité d’un incident pour un risque délibéré?
Capacité, Opportunité et Motivation
Qu’est-ce la capacité d’un acteur délibéré?
Savoir/connaissances ou accès au savoir, outils, ressources humaines, argent.
Qu’est-ce l’opportunité d’un acteur délibéré?
Espace(avoir accès physique), connectivité( lien physique et logique), temps (être la au bon moment)
Qu’est-ce la motivation d’un acteur délibéré?
qui profite du crime, que(quoi) gagne l’attaquant, combien gagne l’attaquant
Comment calcul-t-on la probabilité pour le risque en rapport à un acteur délibéré?
Probabilité = capacité * opportunité * motivation
Quels sont les type de motyens de protection?
Encryptages de données, Contrôles au niveau des logiciels(programmés, partie du os, etc), contrôles du matériel(identification, authentification, serrures, etc), procédures
Caractéristiques de la réduction de risque
Motivation, impact ne changent pas. Ré-évaluation de capacité et opportunité ==> risque résiduel. Réduction = risque initial(sans contre mesures) - risque résiduel (après application efficace)
Quel est le principe du point le plus faible?
Une personne cherchant à pénétrer un système utilisera tous les moyens possibles de pénétration, mais pas nécessairement le plus évident ou celui bénéficiant de la défence la plus solide.
Quel est le principe de la protection adéquate (gestion du risque)
2 choses :
- La durée de la protection doit correspondre à la période pendant laquelle l’importance et la valeur sont présentes, et pas plus.
- Le niveau et le coùt de la protection doivent correspondre à l’importance et à la valeur de ce qu’on veut protéger
Comment choisir la contre-mesure?
Meilleur rapport qualité(réduction de risque) vs prix “cout total”
Comment calculer le coûtt total d’une contre mesure?
- Coût d’installation
- Coût d’opération
- impact sur la performance des systèmes
- convivialité du système
- Impact sur la processus d’affaires
- Introduction du nouveaux risques
Qu’est-ce que l’efficacité des contrôles?
- Conscientisation du personnel
- Utilisation réelle des contrôles disponibles
- recouvrement des contrôles
- Vérification administrative
Qu’est-ce que le principe de l’efficacité?
- Pour que les contrôles soient effectifs, ils doivent être utilisés
- Pour qu’ils soient utilisés, ils doivent être perçus comme étant facile d’usage, et appropriés aux situations particulières
Qui est la source de la classification?
Le gestionnaire responsable du processus
3 caractéristiques d’évaluation d’impact
Classiciation des actifs, échelle semi-objective et chiffre les impacts sur les “objectif d’affaires”
Qui sont les mieux placé pour évaluer l’opportunité et la capacité d’un agent de menace?
Les experts en systèmes et les experts en sécurité.
Qui sont les mieux placé pour évaluer l’impact et la motivation d’un attaquant pour un système?
Les propriétaires de systèmes sont les mieux placés
Comment calculer la probabilité d’une analyse de risque?
On peut autant prendre la moyenne que la médiane, la moyenne pondérée, valeur maximum etc. Être consistent pour comparer scénario.
Quel est le cybercrime le plus payant?
Fraude publicitaire
Quel’s sont les deux types d’analyse de risque?
Actor based and Scenario based
Quels sont les 3 types de cybercrimes?
Cybercrime de masse (pas une personne en particulier, probabilité comme risque naturel)
Cybercrime ciblé (espionnage, sabotage)
Que veux dire TO(OT)?
Operationnal technologie
Donnez un type de OT
CPS(Cyber Physical System, hydro québec, self driving car)
