Chap8 - La sécurité de l’information Flashcards
Lister et décrire les menaces les plus courantes
contre les systèmes d’information contemporains. (chap.8 à étudier, question d’examen final)
• Accessibilité des réseaux
• Problèmes matériels (pannes, erreurs de configuration,
dommages résultant d’un usage impropre ou d’un crime)
• Problèmes logiciels (erreurs de programmation, d’installations,
modifications non autorisées)
• les catastrophes
• Utilisation de réseaux / ordinateurs en dehors du contrôle de l’entreprise
• Perte et vol d’appareils portables
• Définissez les logiciels malveillants et faites la distinction entre un virus, un ver et un cheval de Troie.
Logiciels malveillants sont des logiciels espions qui dérobent de l’information confidentielle ou de cartes de crédit à des fins malveillantes (Piratage de banque)
Virus (logés dans les programmes)
Vers (se propage sur le réseau)
Cheval de Troie (téléchargé, en apparence sécuritaire, nécessite que l’utilisateur accepte exécute) Occasionne du spam, attaque proxy et DoS)
• Définir un pirate informatique et expliquer comment les pirates informatiques créent des problèmes de sécurité et endommagent les systèmes.
Les pirates peuvent déclencher des attaques par déni de service (DoS) ou pénétrer dans les réseaux d’entreprise, provoquant de graves perturbations du système. Les intrus peuvent facilement pénétrer dans les réseaux Wi-Fi en utilisant des programmes de détection (sniffer) pour obtenir une adresse permettant d’accéder aux ressources du réseau. Les virus informatiques et les vers peuvent désactiver les systèmes et les sites Web.
• Définir le crime informatique. Fournir deux exemples de crimes dans lesquels les ordinateurs sont des cibles et deux exemples dans lesquels des ordinateurs sont
utilisé comme instrument du crime.
-Toute violation criminelle de la loi impliquant la connaissance des technologies informatiques pour leur accomplissement, recherche ou poursuite
- Accéder à un système information sans autorisation
- Violer la confidentialité de données informatiques protégées
- Copie non autorisée de documents avec droit d’auteur
- Usage d’email ou de messagerie pour proférer des menaces ou du harcèlement
• Définir le vol d’identité et le phishing et expliquer pourquoi le vol d’identité est un si gros problème aujourd’hui.
- Crime où l’imposteur obtient des l’information personnelles clé pour imiter quelqu’un d’autre.
- Le phishing imite des sites ou des courriels légitime pour tromper les gens.
- Le commerce électronique est une vaste source d’information personnelle et les criminels peuvent utiliser cette information à des fins frauduleuse
• Décrivez les problèmes de sécurité et de fiabilité du système créés par les employés.
Les employés ont accès à de l’information privilégiée et peuvent, à défaut de sécurités adéquates, parcourir les systèmes sans laisser de traces.
La négligence des employés est la première cause de vulnérabilité. L’ingénierie sociale permet aussi de berner des employés.
Les usagers peuvent être une source d’erreurs importantes ainsi que les programmeurs qui peuvent générer des erreurs et des bugs dans l’exercice de leurs fonctions.
• Expliquez comment les défauts logiciels affectent la fiabilité et la sécurité du système.
- Il est impossible de produit un programme d’envergure sans défauts.
- Impact négatif sur la performance
- Ouvrent aussi la porte du réseau à des intrus.
- La vulnérabilité Jour-Zéro est inconnu des créateurs
- C’est à l’usager de suivre, tester et appliquer les patchs
*** 8-2 Quelle est la valeur commerciale de la sécurité et
contrôle?
L’absence de sécurité et de contrôle fiables peut entraîner une perte de ventes et de productivité pour les entreprises qui utilisent des systèmes informatiques pour leurs fonctions principales.
*** Expliquez comment la sécurité et le contrôle créent de la valeur pour les entreprises.
Actifs informationnels, tels que les dossiers confidentiels des employés, les secrets commerciaux ou les plans d’entreprise perdent une grande partie de leur valeur s’ils sont révélés à des tiers ou s’ils exposent la société à la responsabilité légale.
• Une défaillance des systèmes informatiques peut entraîner une perte importante ou totale de la fonction commerciale.
• Les entreprises sont plus vulnérables que jamais
- Données personnelles et financières confidentielles
- Secrets commerciaux, nouveaux produits, stratégies
• Une faille de sécurité peut affecter la valeur de la part de marché d’une entreprise presque immédiatement
• Une sécurité et des contrôles inadéquats entraînent également des questions de responsabilité
*** Décrire la relation entre la sécurité et le contrôle et les récentes exigences réglementaires du gouvernement américain et de la criminalistique informatique.
Les lois, telles que la HIPAA, la loi Sarbanes-Oxley et la loi Gramm-Leach-Bliley, exigent des entreprises qu’elles appliquent une gestion rigoureuse des enregistrements électroniques et se conforment à des normes strictes en matière de sécurité, de confidentialité et de contrôle. Les actions en justice nécessitant des preuves électroniques et des expertises informatiques obligent également les entreprises à accorder une plus grande attention à la sécurité et à la gestion des enregistrements électroniques.
* Définissez les contrôles généraux et décrivez chaque type de contrôle général. (super important**)
Régir la conception, la sécurité et l’utilisation des programmes informatiques et la sécurité des fichiers de données en général dans l’ensemble de l’organisation
- Contrôles logiciels
- Contrôles matériels
- Contrôles de fonctionnement de l’ordinateur
- Contrôles de sécurité des données
- Contrôles de développement du système
- Contrôles administratifs,
*** Définir les contrôles d’application et décrire chaque type de contrôle d’application.
Contrôles de l’application
- Contrôles uniques à chaque application informatisée
- Contrôles d’entrée, de traitement, de sortie
***Décrire la fonction de l’évaluation des risques; et expliquer comment cela se fait pour les systèmes d’information.
Détermine le niveau de risque pour l’entreprise si une activité ou des processus ne pas correctement contrôlé
• Types de menace
• Probabilité d’occurrence pendant l’année
• Pertes potentielles, valeur de la menace
• Perte annuelle attendue
*** Définissez et décrivez les éléments suivants: stratégie de sécurité, stratégie d’utilisation acceptable et gestion des identités.
- Politique de sécurité: Déclaration concernant le classement des risques d’information / identifie les objectifs acceptables de sécurité et les moyens pour atteindre ces objectifs.
- Politique d’usage: Définie les usages acceptable et inacceptable pour tous les usagers et les conséquences des inconduites.
- Gestion d’identité: Gestion de la validation des usagers et contrôle des accès
*** Expliquez comment l’audit des systèmes d’information favorise la sécurité et le contrôle.
Audit des systèmes d’information
- examine l’environnement global de sécurité de l’entreprise ainsi que les contrôles régissant les systèmes d’information individuels
Audits de sécurité
- Examine les technologies, procédures, documentation, formation et personnel
- Peut même simuler un désastre pour tester les réponses
L’audit liste et classe les faiblesses de contrôles et fourni la probabilité de l’occurrence
Évalue l’impact financier et organisationnel de chaque menace
