Chap8 - La sécurité de l’information Flashcards

1
Q

Lister et décrire les menaces les plus courantes

contre les systèmes d’information contemporains. (chap.8 à étudier, question d’examen final)

A

• Accessibilité des réseaux
• Problèmes matériels (pannes, erreurs de configuration,
dommages résultant d’un usage impropre ou d’un crime)
• Problèmes logiciels (erreurs de programmation, d’installations,
modifications non autorisées)
• les catastrophes
• Utilisation de réseaux / ordinateurs en dehors du contrôle de l’entreprise
• Perte et vol d’appareils portables

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

• Définissez les logiciels malveillants et faites la distinction entre un virus, un ver et un cheval de Troie.

A

Logiciels malveillants sont des logiciels espions qui dérobent de l’information confidentielle ou de cartes de crédit à des fins malveillantes (Piratage de banque)
Virus (logés dans les programmes)
Vers (se propage sur le réseau)
Cheval de Troie (téléchargé, en apparence sécuritaire, nécessite que l’utilisateur accepte exécute) Occasionne du spam, attaque proxy et DoS)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

• Définir un pirate informatique et expliquer comment les pirates informatiques créent des problèmes de sécurité et endommagent les systèmes.

A

Les pirates peuvent déclencher des attaques par déni de service (DoS) ou pénétrer dans les réseaux d’entreprise, provoquant de graves perturbations du système. Les intrus peuvent facilement pénétrer dans les réseaux Wi-Fi en utilisant des programmes de détection (sniffer) pour obtenir une adresse permettant d’accéder aux ressources du réseau. Les virus informatiques et les vers peuvent désactiver les systèmes et les sites Web.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

• Définir le crime informatique. Fournir deux exemples de crimes dans lesquels les ordinateurs sont des cibles et deux exemples dans lesquels des ordinateurs sont
utilisé comme instrument du crime.

A

-Toute violation criminelle de la loi impliquant la connaissance des technologies informatiques pour leur accomplissement, recherche ou poursuite

  • Accéder à un système information sans autorisation
  • Violer la confidentialité de données informatiques protégées
  • Copie non autorisée de documents avec droit d’auteur
  • Usage d’email ou de messagerie pour proférer des menaces ou du harcèlement
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

• Définir le vol d’identité et le phishing et expliquer pourquoi le vol d’identité est un si gros problème aujourd’hui.

A
  • Crime où l’imposteur obtient des l’information personnelles clé pour imiter quelqu’un d’autre.
  • Le phishing imite des sites ou des courriels légitime pour tromper les gens.
  • Le commerce électronique est une vaste source d’information personnelle et les criminels peuvent utiliser cette information à des fins frauduleuse
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

• Décrivez les problèmes de sécurité et de fiabilité du système créés par les employés.

A

Les employés ont accès à de l’information privilégiée et peuvent, à défaut de sécurités adéquates, parcourir les systèmes sans laisser de traces.

La négligence des employés est la première cause de vulnérabilité. L’ingénierie sociale permet aussi de berner des employés.

Les usagers peuvent être une source d’erreurs importantes ainsi que les programmeurs qui peuvent générer des erreurs et des bugs dans l’exercice de leurs fonctions.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

• Expliquez comment les défauts logiciels affectent la fiabilité et la sécurité du système.

A
  • Il est impossible de produit un programme d’envergure sans défauts.
  • Impact négatif sur la performance
  • Ouvrent aussi la porte du réseau à des intrus.
  • La vulnérabilité Jour-Zéro est inconnu des créateurs
  • C’est à l’usager de suivre, tester et appliquer les patchs
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

*** 8-2 Quelle est la valeur commerciale de la sécurité et

contrôle?

A

L’absence de sécurité et de contrôle fiables peut entraîner une perte de ventes et de productivité pour les entreprises qui utilisent des systèmes informatiques pour leurs fonctions principales.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

*** Expliquez comment la sécurité et le contrôle créent de la valeur pour les entreprises.

A

Actifs informationnels, tels que les dossiers confidentiels des employés, les secrets commerciaux ou les plans d’entreprise perdent une grande partie de leur valeur s’ils sont révélés à des tiers ou s’ils exposent la société à la responsabilité légale.

• Une défaillance des systèmes informatiques peut entraîner une perte importante ou totale de la fonction commerciale.
• Les entreprises sont plus vulnérables que jamais
- Données personnelles et financières confidentielles
- Secrets commerciaux, nouveaux produits, stratégies
• Une faille de sécurité peut affecter la valeur de la part de marché d’une entreprise presque immédiatement
• Une sécurité et des contrôles inadéquats entraînent également des questions de responsabilité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

*** Décrire la relation entre la sécurité et le contrôle et les récentes exigences réglementaires du gouvernement américain et de la criminalistique informatique.

A

Les lois, telles que la HIPAA, la loi Sarbanes-Oxley et la loi Gramm-Leach-Bliley, exigent des entreprises qu’elles appliquent une gestion rigoureuse des enregistrements électroniques et se conforment à des normes strictes en matière de sécurité, de confidentialité et de contrôle. Les actions en justice nécessitant des preuves électroniques et des expertises informatiques obligent également les entreprises à accorder une plus grande attention à la sécurité et à la gestion des enregistrements électroniques.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

* Définissez les contrôles généraux et décrivez chaque type de contrôle général. (super important**)

A

Régir la conception, la sécurité et l’utilisation des programmes informatiques et la sécurité des fichiers de données en général dans l’ensemble de l’organisation

  • Contrôles logiciels
  • Contrôles matériels
  • Contrôles de fonctionnement de l’ordinateur
  • Contrôles de sécurité des données
  • Contrôles de développement du système
  • Contrôles administratifs,
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

*** Définir les contrôles d’application et décrire chaque type de contrôle d’application.

A

Contrôles de l’application

  • Contrôles uniques à chaque application informatisée
  • Contrôles d’entrée, de traitement, de sortie
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

***Décrire la fonction de l’évaluation des risques; et expliquer comment cela se fait pour les systèmes d’information.

A

Détermine le niveau de risque pour l’entreprise si une activité ou des processus ne pas correctement contrôlé
• Types de menace
• Probabilité d’occurrence pendant l’année
• Pertes potentielles, valeur de la menace
• Perte annuelle attendue

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

*** Définissez et décrivez les éléments suivants: stratégie de sécurité, stratégie d’utilisation acceptable et gestion des identités.

A
  • Politique de sécurité: Déclaration concernant le classement des risques d’information / identifie les objectifs acceptables de sécurité et les moyens pour atteindre ces objectifs.
  • Politique d’usage: Définie les usages acceptable et inacceptable pour tous les usagers et les conséquences des inconduites.
  • Gestion d’identité: Gestion de la validation des usagers et contrôle des accès
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

*** Expliquez comment l’audit des systèmes d’information favorise la sécurité et le contrôle.

A

Audit des systèmes d’information
- examine l’environnement global de sécurité de l’entreprise ainsi que les contrôles régissant les systèmes d’information individuels
Audits de sécurité
- Examine les technologies, procédures, documentation, formation et personnel
- Peut même simuler un désastre pour tester les réponses

L’audit liste et classe les faiblesses de contrôles et fourni la probabilité de l’occurrence

Évalue l’impact financier et organisationnel de chaque menace

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

8-4 Nommez et décrivez trois méthodes d’authentification.

A
  • Mots de passe, les jetons, les cartes à puce
  • Authentification biométrique
  • Authentification à deux facteurs
17
Q

• Décrire les rôles des pare-feu, des systèmes de détection d’intrusion et des logiciels antivirus dans la promotion de la sécurité.

A
  • Les pare-feu empêchent les utilisateurs non autorisés d’accéder à un réseau privé connecté à Internet.
  • Les systèmes de détection d’intrusion surveillent les réseaux privés pour détecter tout trafic réseau suspect et tenter d’accéder aux systèmes de l’entreprise
  • Un logiciel antivirus vérifie les systèmes informatiques des infections par des virus et des vers et élimine souvent les logiciels malveillants;
  • Un logiciel antispyware combat les logiciels espions intrusifs et nuisibles.
18
Q

• Expliquez comment le cryptage protège les informations.

A

Le cryptage, le codage et le brouillage des messages, est une technologie largement utilisée pour sécuriser les transmissions électroniques sur des réseaux non protégés.

19
Q

*** Décrire le rôle du cryptage et des certificats numériques dans une infrastructure à clé publique.

A

Les certificats numériques associés au cryptage à clé publique offrent une protection supplémentaire des transactions électroniques en authentifiant l’identité de l’utilisateur.

20
Q

*** Faites la distinction entre la planification de la reprise après sinistre et la planification de la continuité des activités.

A

Reprise après sinistre : Élabore des plans de restauration des services interrompus

Continuité des activités : Se concentre sur la restauration des opérations commerciales après une catastrophe

Les deux types de plans requièrent l’identification des
systèmes critiques
- Analyse d’impact sur l’entreprise pour déterminer l’impact d’une panne
- La direction doit déterminer les systèmes prioritaires

21
Q

• Identifier et décrire les problèmes de sécurité posés par le cloud computing.

A
  • La dispersion des centres de données rends plus difficile la détection des accès non-autorisés.
  • Le partage des systèmes avec d’autres compagnies impose un cryptage de données et un haut niveau de sécurité
  • Les réseaux cloud sont plus vulnérables aux cyberattaques (DoS) ce qui peut nuire à la disponibilité des services.
22
Q

• Décrire les mesures pour améliorer les logiciels

qualité et fiabilité.

A

L’utilisation de métriques logicielles et de tests logiciels rigoureux contribuent à améliorer la qualité et la fiabilité des logiciels.