chapter 1 Flashcards
quels sont les élements de la vision stratégique de la sécurité?
Disponibilité - aucun retard;
Intégrité - Aucune falcification/erreur
Confidentialité - Aucune écoute illicite
Pérennité - Aucune destruction
Non-répudiation et imputabilité - Aucune contestation
Authentification - Aucun doute sur l’identité d’une ressource, l’origine ou la destination d’une transaction
Intimité numérique (privacy) - Aucune mise à défaut de la protection de la sphère privée de l’utilisateur; protection des données personnelles
Respect des contraintes légales - Aucun risque juridique
Quels sont les principes de base de la sécurité de l’information?
Principe de vocabulaire - language commun;
Principe de volonté directoriale - info = ressource stratégique; moyens nécessaires
Principe financier - coûts/bénéfices
Principe de la cohérence - outils doivent être cohérents;
Principe de la simplicité et universialité - mesures simples…
Principe de dynamicité - sécu doit tenir compte des changements potentiels des systèmes
Principe de continuum - org. doit continuer à fonctionner même après sinistre
Principe d’évaluation, contrôle, adaptation - …..
Quels sont les objectifs de la securité?
Disponibilité - aucun retard; -Accessibilité + perennité
Intégrité - aucune falcification; exactitude + qualité
Confidentialité - aucune écoute illicite;
(CIA)
Quelles sont les fonctions de la sécurité?
- Authenitification : Aucun doute sur l’identité d’une ressource, l’origine ou la destination d’une transaction
- Non-repudiation: Aucune contestation
- Imputabilité :
Définir la disponibilité.
La période de temps pendant laquelle le service offert par une ressource est opérationnel.
Capacité : volume de travail succeptible d’être pris en charge durant la période de disponibilité.
Accessibilité: ….
Définir confidentialité.
Maintient du secret des informations.
Dans le contexte de l’infromatique : La protection de données contre une divulgation non autoriséee.
Quels sont les besoins de sécurité?
-Définition d’une politique de sécurité
- Motivation et formation du personnel
- mise en place des mesures practives et réactives
Optimisation de l’usage des technologies de l’information et communication et des solutions de sécurité
Définir la sécurité logique et applicative
Logique: réalisation de mécanismes de sécurité par logiciel contribuant au bon fonctionnement des programmes, des services offerts et à la protection des données. (qualité des dév de logiciels, tests de sécu, mise en oeuvre de la crypto, procédures d’accèes logique et authentification)
Applicative: comprend le développement pertinent de solutions logicielles ainsi que leur intégration et exécution harmonieuse dans des environnements opérationnels. (méthodologie de développement, robustesse des applications, des juex de tests, intégration des mnécanismes de sécurité, validation et audit des programmes)
Bien protéger l’information c’est….
- Comprendre son rôle et son importance stratégique
- L’impact des décisions qui la concernent
- Assurer son exactitude et sa pérénnité.
Ce qui implique, classifier les données pour qualifier leur degré de sensibilité et les protéger en conséquences.
Respecter l’intimité numérique (privacy) de l’utilisateur et de ses données personnelles
Quelles sont les dimensions de l’architecture de la sécurité?
- humaine (GRH, dissuasion, surveillance, formation….)
- Technique et Opérationnelle (sécurité matérielle, environnementale, telecom, logique et applicative)
- Juridique (Norme, procédures, contrats…)
- Politique, organisationnelle et économique (stratégie, gouvernance, responsabilité, maîtrise des coûts….)
Quelle est la formule de Risque?
Risque = Probabilité * impact
probabilité = capacité, oppurtunité, motivation
quels sont les deux principes fondamentaux de protection de la vie privée?
Minimisation des données:
- seule l’info nécessaire devrait être collectée/utilisée
- application directe du critière de légitimité défini par la directive protection des données personnelles
Souverainité des données:
- Les données liées à un individu lui appartiennent, il devrait pouvoir contrôler comment elles sont disséminées.
Autres principes:
- consentement explicite
- transparence
- imputabilité
- droit à l’oubli
Définir non-chaînabilité:
impossibilité pour d’autres utilisateurs d’établir un lien entre diff opérations faites par un même utilisateur.
non-observabilité:
impossibilité pour d’autres utilisateurs de déterminer si une opération est en courts.
Donner les principaux objectifs de la sécurité informatique.
Contrôle d’accès : limiter l’accès au système. Seules les personnes autorisées aient accès aux
ressources
• L’authentification : S’assurer (vérifier) de l’identité de l’utilisateur
• L’intégrité : Détecter toute modification des données.
• La confidentialité : assurer que l’information n’est divulguée (dévoilée ou révélée) qu’aux
personnes autorisées.
• La disponibilité : permettant de maintenir le bon fonctionnement du système d’information.
• La non répudiation : permettant de garantir qu’une transaction ne peut être niée ;
