Acteur/scénario

Question 1

La sécurité informatique consiste à la protection de

Answer 1

des systèmes. de l’information et des services

Question 2

2 types de mances

Answer 2

accidentelles et délibérées

Question 3

La sécurité informatique peut atteindre 3 concepts

Answer 3

confidentialité, l’integrité et la disponibilité

Question 4

Qu’est-ce que la confidentialité?

Answer 4

qui peut voir quoi, intérêts public/privées vs. vie privée

Question 5

Qu’est-ce que l’intégrité?

Answer 5

l’exactitude, la précision, la modification autorisée seulement, la cohérence

Question 6

Qu’est-ce que la disponibilité?

Answer 6

la présences sous forme utilisable, la capacité à rencontrer les besoins et les spécification, les contraintes de temps, performances et la qualité

Question 7

Quelle est la méthodologie de la sécurité informatique?

Answer 7

0) identifier les biens
1) identifier la menace (qui, quoi et comment
2) évaluer les risques ( probabilité, impact)
3) considérer les mesures de protection par rapport au risque (efficacité(risque résiduel), coùt, Difficulté d’utilisation)
4) Mettre en place et opérer les mesures protections(Modification et/ou installation, Changer les politiques, Éduquer les utilisateur) retourner à 0

Question 8

Définition quantitative

Answer 8

probabilité * impact = espérance de perte

Question 9

Comment gérer le risque?

Answer 9

Réduction, transfert, acceptation ou arrêt de l’activité

Question 10

qu’est-ce qu’un scénario?

Answer 10

Séquence d’évènement menant à la perte partielle ou totale de la valeur d’un bien

Question 11

Q’est-ce qu’une menace?

Answer 11

= (scenario, acteur) OU une méthode par laquelle un acteur particulier entreprend une action et fait subir un domamge à un bien

Question 12

Vulnérabilité =

Answer 12

Faille, offre l’opportunité de porter dommage à un bien

Question 13

Contre-mesure =

Answer 13

Objet (ou processus) qui réduit le risque associé à une menace sur un bien

Question 14

s’il y a une vulnérabilité, est-ce qu’il y a nécessairement un risque?

Answer 14

non. Pas d’acteur, pas de risque

Question 15

s’il y a un acteur, est-ce qu’il y a nécessairement un risque?

Answer 15

non, pas de vulnérabilité, pas de scénario, pas de risque

Question 16

S’il y a un acteur ET une vulnérabilité, est-ce qu’il y a nécessairement un risque?

Answer 16

non, pas d’impact, pas de risque

Question 17

Qu’est-ce qu’une menace accidentelle?

Answer 17

acteur inconscient ou absence d'acteur.
Catastrophe naturelle (act of god), actes humain involontaires, performances imprévue des systèmes

Question 18

Qu’est-ce qu’une menace délibéré?

Answer 18

acteur conscient, vol de système, attaque de dénis de service, vol d’informations ( atteinte à la confidentialité) modification non-aurotisée des systèmes, botnets

Question 19

Comment est-ce qu’on calcul le risque informatique ( avec probabilité et impact)?

Answer 19

E = P x I (espérence de perte = probabilité d’incident * impact d’un incident)

Question 20

Qu’est-ce qu’un impact?

Answer 20

sous notre contrôle, “facile” à évaluer

Question 21

Qu’est-ce la probabilité d’un incident pour un risque naturel?

Answer 21

Valeurs connues( statistiques, actuariat, historiques de catastrophes)

Question 22

Qu’est-ce la probabilité d’un incident pour un risque délibéré?

Answer 22

Capacité, Opportunité et Motivation

Question 23

Qu’est-ce la capacité d’un acteur délibéré?

Answer 23

Savoir/connaissances ou accès au savoir, outils, ressources humaines, argent.

Question 24

Qu’est-ce l’opportunité d’un acteur délibéré?

Answer 24

Espace(avoir accès physique), connectivité( lien physique et logique), temps (être la au bon moment)

Question 25

Qu’est-ce la motivation d’un acteur délibéré?

Answer 25

qui profite du crime, que(quoi) gagne l’attaquant, combien gagne l’attaquant

Question 26

Comment calcul-t-on la probabilité pour le risque en rapport à un acteur délibéré?

Answer 26

Probabilité = capacité * opportunité * motivation

Question 27

Quels sont les type de motyens de protection?

Answer 27

Encryptages de données, Contrôles au niveau des logiciels(programmés, partie du os, etc), contrôles du matériel(identification, authentification, serrures, etc), procédures

Question 28

Caractéristiques de la réduction de risque

Answer 28

Motivation, impact ne changent pas. Ré-évaluation de capacité et opportunité ==> risque résiduel. Réduction = risque initial(sans contre mesures) - risque résiduel (après application efficace)

Question 29

Quel est le principe du point le plus faible?

Answer 29

Une personne cherchant à pénétrer un système utilisera tous les moyens possibles de pénétration, mais pas nécessairement le plus évident ou celui bénéficiant de la défence la plus solide.

Question 30

Quel est le principe de la protection adéquate (gestion du risque)

Answer 30

2 choses :

• La durée de la protection doit correspondre à la période pendant laquelle l’importance et la valeur sont présentes, et pas plus.
• Le niveau et le coùt de la protection doivent correspondre à l’importance et à la valeur de ce qu’on veut protéger

Question 31

Comment choisir la contre-mesure?

Answer 31

Meilleur rapport qualité(réduction de risque) vs prix “cout total”

Question 32

Comment calculer le coûtt total d’une contre mesure?

Answer 32

• Coût d’installation
• Coût d’opération
• impact sur la performance des systèmes
• convivialité du système
• Impact sur la processus d’affaires
• Introduction du nouveaux risques

Question 33

Qu’est-ce que l’efficacité des contrôles?

Answer 33

• Conscientisation du personnel
• Utilisation réelle des contrôles disponibles
• recouvrement des contrôles
• Vérification administrative

Question 34

Qu’est-ce que le principe de l’efficacité?

Answer 34

• Pour que les contrôles soient effectifs, ils doivent être utilisés
• Pour qu’ils soient utilisés, ils doivent être perçus comme étant facile d’usage, et appropriés aux situations particulières

Question 35

Qui est la source de la classification?

Answer 35

Le gestionnaire responsable du processus

Question 36

3 caractéristiques d’évaluation d’impact

Answer 36

Classiciation des actifs, échelle semi-objective et chiffre les impacts sur les “objectif d’affaires”

Question 37

Qui sont les mieux placé pour évaluer l’opportunité et la capacité d’un agent de menace?

Answer 37

Les experts en systèmes et les experts en sécurité.

Question 38

Qui sont les mieux placé pour évaluer l’impact et la motivation d’un attaquant pour un système?

Answer 38

Les propriétaires de systèmes sont les mieux placés

Question 39

Comment calculer la probabilité d’une analyse de risque?

Answer 39

On peut autant prendre la moyenne que la médiane, la moyenne pondérée, valeur maximum etc. Être consistent pour comparer scénario.

Question 40

Quel est le cybercrime le plus payant?

Answer 40

Fraude publicitaire

Question 41

Quel’s sont les deux types d’analyse de risque?

Answer 41

Actor based and Scenario based

Question 42

Quels sont les 3 types de cybercrimes?

Answer 42

Cybercrime de masse (pas une personne en particulier, probabilité comme risque naturel)
Cybercrime ciblé (espionnage, sabotage)

Question 43

Que veux dire TO(OT)?

Answer 43

Operationnal technologie

Question 44

Donnez un type de OT

Answer 44

CPS(Cyber Physical System, hydro québec, self driving car)