Chapitre 8

Question 1

Mentionnez les causes de perturbation des SI.

Answer 1

Les causes de perturbation sont multiples : une panne de matériel informatique, une installation mal faite, une configuration inadéquate, une erreur de programmation, un changement non autorisé ou un acte criminel. Elles peuvent aussi être provoquées par des pannes de courant ou des catastrophes naturelles.

Question 2

Les appareils mobiles peuvent-ils présenter des risques pour les SI d’une entreprise?

Answer 2

Oui. Comme les mobiles sont transportés partout, ils peuvent être perdus ou volés, donc les informations contenues dans ces appareils aussi (chiffre d’affaires, noms des clients, numéros de téléphone et adresses de courriel). Des intrus peuvent également accéder facilement aux réseaux utilisés par les mobiles ou portables.

Question 3

Pourquoi Internet est-il plus vulnérable que les réseaux internes?

Answer 3

Le réseau Internet est plus vulnérable que les autres, car il est virtuellement ouvert à tous. Un SI utilisant Internet devient alors vulnérable aux interventions externes. Les ordinateurs qui sont constamment connectés à Internet par modems câbles ou par lignes d’abonnés numériques (DSL, digital subscriber line) sont plus sujets aux intrusions que les autres par le fait qu’ils utilisent une adresse Internet permanente qui permet de les repérer facilement.

Question 4

Quels sont les risques encourus par l’utilisation du courrier électronique dans une entreprise?

Answer 4

L’un de ces risques est d’accroître le potentiel de téléchargement de logiciels malveillants. Certaines pièces jointes aux messages peuvent transporter des virus et des chevaux de Troie portant atteinte au SI. Un autre risque est de rendre possibles les fuites de secrets commerciaux, de données financières ou de renseignements confidentiels sur des clients par le transfert de ces données d’un employé à un destinataire non autorisé.

Question 5

Le service téléphonique VoIP (voix sur IP) sur Internet offre de nombreux avantages, mais comportent aussi des dangers pour une entreprise. Expliquez.

Answer 5

De façon générale, les communications vocales VoIP sont non cryptées. Toute personne reliée à un réseau peut donc les écouter, y compris les pirates qui peuvent intercepter des renseignements personnels ou des numéros de carte de crédit. Il est donc préférable d’utiliser un service qui transite sur un réseau privé sécurisé, car basé sur Internet, ce service est plus vulnérable que les réseaux téléphoniques commutés.

Question 6

Quelle faiblesse de sécurité est associée à la messagerie instantanée (clavardage et messagerie texte)?

Answer 6

Les applications de messagerie instantanée grand public ne comportent aucune couche de sécurité pour les messages textuels. Des intrus peuvent ainsi intercepter et lire les messages pendant leur transmission sur Internet.

Question 7

À quel danger fait-on face lors du partage de fichiers sur des réseaux poste-à-poste (P2P) comme ceux qui servent au partage illégal de musique?

Answer 7

Le danger est qu’il y ait transmission de logiciels malveillants ou accès à des intrus aux renseignements de l’entreprise, lors du partage des fichiers.

Question 8

Comment les pirates informatiques se servent-ils des Wi-Fi (Wireless Fidelity) pour voler des données?

Answer 8

Les pirates informatiques utilisent un ordinateur avec une carte « sans fil », une antenne et un logiciel de piratage pour détecter les réseaux non protégés et y accéder. (Pour plus d’information, voir la figure 8-2, p. 239.) Par exemple, le piratage Wi-Fi (war driving) consiste à passer devant un parc ou un immeuble en voiture pour tenter de capter le trafic de réseaux sans fil.

Question 9

Qu’est-ce qu’on entend par programme malveillant?

Answer 9

Un programme malveillant est un programme qui menace les ordinateurs, comme les virus informatiques, les vers informatiques et les chevaux de Troie. Ils provoquent des pannes ou des blocages de logiciels dans certains cas et permettent, dans d’autres cas, d’espionner le contenu d’ordinateurs personnels.

Question 10

Expliquez ce qu’est un délit informatique de mystification.

Answer 10

La mystification est une technique employée pour dissimuler son identité en tant que pirate. Elle consiste, premièrement, à utiliser de fausses adresses de courrier électronique et, deuxièmement, à rediriger un lien Web vers une adresse différente de celle de départ. Le site d’arrivée contrefait se fait alors passer pour la véritable destination.

Question 11

Qu’est-ce qu’un renifleur?

Answer 11

Un renifleur est un programme d’écoute électronique qui surveille l’information transitant sur un réseau.

Question 12

En quoi consistent les attaques par déni de service?

Answer 12

Les attaques par déni de service consistent à inonder un serveur de dizaines de milliers de fausses communications et de demandes de services afin de provoquer une panne. Le nombre de requêtes devient si important que le réseau est débordé et ne peut plus s’occuper des demandes légitimes. Lorsque l’attaque est effectuée par plusieurs ordinateurs, on parle d’attaque par déni de service distribué.

Question 13

Qu’est-ce qu’un réseau de zombies?

Answer 13

Un réseau de zombies est un groupe d’ordinateurs contaminés par un programme malveillant destiné à lancer une attaque par déni de service à un système donné. Ces ordinateurs sont programmés de l’extérieur et à l’insu de leurs propriétaires pour réaliser l’attaque. Cette attaque est ainsi dirigée par un ordinateur maître qui contrôle tous ses ordinateurs « esclaves » ou zombies.

Question 14

Lors d’un vol d’identité, quels renseignements sont usurpés et à quelles fins sont-ils utilisés?

Answer 14

Les renseignements volés sont souvent les numéros d’assurance sociale, de permis de conduire ou de carte de crédit. Les pirates utilisent ces données dans le but d’obtenir du crédit, des marchandises ou des services au nom de la victime, ou encore pour se procurer de faux justificatifs d’identité.

Question 15

Qu’est-ce que l’hameçonnage?

Answer 15

L’hameçonnage est une forme de mystification de plus en plus répandue qui consiste à créer de faux sites Web ou à envoyer des courriels semblables à ceux d’entreprises légitimes pour demander aux utilisateurs de fournir des renseignements confidentiels. Les pirates peuvent ainsi obtenir des données personnelles et des mots de passe.

Question 16

Que veut dire l’expression « fraude au clic »?

Answer 16

La fraude au clic est une activité qui consiste à effectuer délibérément, par une personne ou un programme informatique, un nombre infini de clics sur des publicités d’un concurrent pour l’obliger à payer des commissions au site qui les diffuse et ainsi dilapider rapidement son budget publicitaire. La publicité dont le paiement dépend du nombre de clics est menacée à cause des fraudeurs.

Question 17

Qu’est-ce que l’ingénierie sociale?

Answer 17

L’ingénierie sociale est du piratage psychologique de la part d’un intrus qui amène frauduleusement un employé à lui révéler ses mots de passe. L’intrus se fait passer pour un membre légitime de l’organisation à la recherche de renseignements.

Question 18

Donnez des situations où un employé pourrait compromettre la sécurité d’un SI.

Answer 18

Un employé pourrait compromettre la sécurité d’un SI par les actions suivantes : entrer de fausses données, ne pas respecter la procédure prescrite pour le traitement des données, commettre une erreur lors de la conception d’un logiciel, accéder à des informations privilégiées sans autorisation, etc.

Question 19

Pourquoi les entreprises hésitent-elles à investir des sommes d’argent dans la sécurité?

Answer 19

Parce que la sécurité n’a pas d’effet direct sur le produit des ventes.

Question 20

Pourquoi une entreprise devrait-elle investir dans la sécurité?

Answer 20

Les raisons pour investir dans la sécurité sont multiples :

protéger des informations confidentielles, des secrets commerciaux ou autres stratégies de commercialisation qui, apprises par un tiers, ferait perdre de la valeur à l’entreprise;
éviter des poursuites pour divulgation ou vol de données de la part de clients, employés ou partenaires;
augmenter la productivité des employés et éviter des coûts occasionnés par du temps consacré à régler des problèmes ou des pannes de système.

Question 21

Au Québec comme ailleurs, il existe des législations sur la protection des renseignements personnels. Quel est le bien-fondé de ces lois?

Answer 21

Comme les SI stockent plusieurs informations sur une personne telles que son emploi, son éducation, sa santé, sa sécurité ou sa situation financière, il est essentiel d’imposer quelque forme de protection à ces données qui, tombées entre les mains d’un tiers, pourrait porter atteinte à sa vie privée ou à son intégrité physique.

Question 22

À quoi correspond une expertise judiciaire en informatique?

Answer 22

Une expertise judiciaire en informatique consiste à faire la collecte, l’examen, l’authentification, la conservation et l’analyse de données conservées dans un média de stockage ou extraites de celui-ci, afin qu’elles puissent servir de preuves devant un tribunal. Procéder à ce type d’expertise est largement facilité par une politique de conservation des données.

Question 23

Qu’est-ce que l’analyse de risque?

Answer 23

L’analyse de risque est l’évaluation du coût maximal qu’un événement non désiré peut entraîner, combiné à l’estimation du nombre de fois qu’il peut survenir. Cette évaluation permet de voir s’il est rentable d’investir dans un système de contrôle pour se protéger contre ce problème précis.

Question 24

Comment mesure-t-on un risque?

Answer 24

Pour mesurer un risque, on détermine la valeur d’un actif, ses points de vulnérabilité, la fréquence probable d’un problème qui lui est associé et les dommages potentiels que ce problème peut entraîner.

Question 25

Donnez un exemple de mesure de risque.

Answer 25

La mesure de risque de la divulgation des renseignements personnels de clients doit comporter les évaluations suivantes :

voir si les renseignements sont chiffrés; sinon, l’entreprise devient vulnérable;
étudier la probabilité et la fréquence de se les faire voler;
déterminer l’ampleur des dommages possibles : s’il y a vol de données, l’image de l’organisation sera ternie et il y aura risque de poursuite par les personnes touchées.

Question 26

De quoi se compose une politique de sécurité?

Answer 26

Une politique de sécurité se compose d’énoncés qui expriment la vision de la haute direction en matière de sécurité de l’information. Voici des exemples d’énoncés :

Les renseignements personnels doivent être protégés.
Les équipements physiques doivent être protégés.
Les accès aux salles d’ordinateurs doivent être contrôlés.
Un plan de relève doit être prévu en cas de panne de système.

Question 27

Qu’est-ce qu’une politique d’utilisation acceptable?

Answer 27

Une politique d’utilisation acceptable indique quelles sont les utilisations permises du matériel d’information, comme les ordinateurs de bureau ou portables, les appareils sans fil, les téléphones et Internet. En voici quelques exemples :

L’utilisation du courrier électronique pour des fins personnelles est défendue sur les heures de bureau.
L’utilisation du courrier électronique pour des fins personnelles est permise sur l’heure du dîner.
La sortie d’un portable à l’extérieur de l’organisation est permise, mais doit être autorisée.

Question 28

Qu’est-ce qu’une politique d’autorisation?

Answer 28

Une politique d’autorisation détermine les types d’accès aux ressources informationnelles qui doivent être confiés aux différents utilisateurs de l’organisation. Voici quelques exemples d’énoncés :

La haute direction peut accéder aux données financières en mode consultation seulement.
Le personnel des ressources humaines peut accéder aux données des employés en modes consultation et édition.
Le personnel du service d’expédition peut accéder aux données des commandes des clients en mode consultation seulement.

Question 29

Qu’est-ce que la planification de la continuité des affaires?

Answer 29

Cette planification s’attache aux moyens par lesquels l’entreprise peut reprendre le cours de ses opérations après un sinistre. Elle détermine les processus les plus cruciaux et les mesures à prendre pour préserver les fonctions vitales de l’entreprise en cas de panne des systèmes. Se doter d’un serveur « miroir » peut être un moyen efficace pour continuer les affaires après un sinistre : l’entreprise enregistre simultanément ses données sur des serveurs situés dans deux régions éloignées l’une de l’autre.

Question 30

Quelles décisions doivent être prises avant d’élaborer la planification de la continuité des affaires?

Answer 30

Les décisions préalables à la planification de la continuité sont :

la détermination des systèmes les plus importants;
l’estimation de l’effet d’une panne de systèmes sur les affaires (analyse d’impact);
l’évaluation de la durée maximale de survie de l’entreprise en cas de panne de ses systèmes;
la détermination des secteurs devant être restaurés en premier.

Question 31

En quoi consiste la vérification des SI?

Answer 31

La vérification des SI consiste à examiner la sécurité d’ensemble de l’entreprise ainsi que les contrôles qui s’appliquent à chaque SI.

Question 32

Qu’est-ce qu’un contrôle d’accès?

Answer 32

Un contrôle d’accès comprend toutes les politiques et procédures qu’une entreprise utilise pour empêcher toute personne non autorisée d’accéder à ses systèmes, à l’interne comme à l’externe. Tout système protégé est muni d’un module d’authentification qui permet de vérifier si l’usager est bien la personne qu’il prétend être en lui demandant son mot de passe.

Question 33

Qu’est-ce qu’un pare-feu?

Answer 33

Un pare-feu est une combinaison de matériel informatique et de logiciels qui contrôlent le trafic qui entre ou sort d’un réseau

Question 34

Où place-t-on généralement les pare-feux?

Answer 34

Les pare-feux sont placés entre les réseaux internes et privés d’une organisation et les réseaux externes non sécurisés, comme Internet. On peut également les utiliser pour protéger une partie d’une entreprise vis-à-vis du reste du réseau.

Question 35

À quoi sert un système de détection d’intrusion?

Answer 35

Un système de détection d’intrusion sert, en plus des pare-feux, à examiner le trafic entrant dans un réseau afin de repérer d’éventuelles attaques en cours. Ce système peut détecter des comportements anormaux, comme l’utilisation de mots de passe erronés à plusieurs reprises. Il dissuade les intrus en déclenchant une alarme lors d’un événement suspect.

Question 36

Quelle est l’utilité du cryptage?

Answer 36

Comme il encode des données de façon à ne pouvoir être lues que par l’expéditeur et le destinataire prévu, le cryptage est utile pour protéger les informations que les entreprises stockent, transfèrent physiquement ou envoient par Internet.

Question 37

La qualité des systèmes doit être assurée par l’essai des logiciels et leur soumission à des mesures de performance. À quoi correspondent ces mesures?

Answer 37

Les mesures de performance sont des évaluations objectives d’un système traduites en valeurs chiffrées. En voici des exemples :

le nombre de transactions traitées dans une unité de temps donné
le temps de réponse en ligne
le nombre de chèques imprimés à l’heure
le nombre de bogues trouvés par 100 lignes de code d’un programme

Question 38

Quelles sont les étapes d’une bonne vérification de logiciel?

Answer 38

Les étapes de vérification sont les suivantes :

vérifier la spécification du programme (le document de conception)
réviser le code de façon structurée
tester le code en l’exécutant sur l’ordinateur
localiser les erreurs s’il y a lieu
corriger les erreurs s’il y a lieu