Cours 1 : Introduction Flashcards
Quels sont les 3 piliers de la securite informatique?
Disponibilite, integrite, confidentialite.
Quelle est la methodologie de la securite informatique?
1. Identifier la menace Qui ou quoi ? Comment (vulnérabilités) ? 2. Évaluer les risques Probabilité Impact 3. Considérer les mesures de protection par rapport au risque Efficacité (risque résiduel) Coût Difficulté d'utilisation 4. Mettre en place et opérer les mesures protections Modification et/ou installation Changer les politiques Éduquer les utilisateurs 5. Retourner à 1…
Il y a une etape preliminaire a cela qui est l’identification des ressources.
Quelles sont les definitions qualitatives et quantitatives du risque?
Définition qualitative
La prise en compte d’une exposition à un danger, un préjudice ou
autre événement dommageable, inhérent à une situation ou une
activité
Définition quantitative
= probabilité * impact = espérance de perte
Par quels moyens peut-on gerer le risque?
- Réduction
- Transfert
- Acceptation
- Arrêt de l’activité
Qu’est-ce qu’un bien?
Objet/personne ayant de la valeur
Qu’est-ce qu’un acteur ou agent de menace?
Objet/personne/entité qui met un bien à risque
Qu’est-ce qu’un scenario?
Séquence d’évènement menant à la perte partielle ou totale de la valeur d’un bien
Qu’est-ce qu’une menace?
= (Scenario, acteur) OU « Une méthode (COMMENT) par laquelle un acteur particulier (QUI) entreprend une action (QUOI) fait subir un dommage à un bien (ET ALORS) »
Quels sont les 5 elements qui composent le risque?
Vulnérabilité Faille qui offre l’opportunité de porter dommage à un bien Scénario Exploitation d’une vulnérabilité par un acteur pour causer un impact Probabilité Que la menace soit réalisé (dans une période de temps donné) Impact Perte ou dommage à un bien Contre-mesure Objet (ou processus) qui réduit le risque associé à une menace sur un bien
Quand est-ce qu’il y a un risque?
Il y a un risque si un scénario a une chance de se réaliser
Même s’il y a une vulnérabilité,
• Pas d’acteur Pas de risque
Même s’il y a un acteur,
• Pas de vulnérabilité pas de scénario pas de risque
Il y a un risque s’il y a un enjeu réel relié au bien
Même s’il y a une vulnérabilité (scénario) et un acteur
• Pas d’impact pas de risque
Quel type de menace y a-t-il?
Accidentelles (acteur inconscient ou absence d’acteur)
• Catastrophes naturelles (“acts of God”)
feu, inondation, …
• Actes humains involontaires :
mauvaise entrée de données, erreur de frappe, de configuration, …
• Performance imprévue des systèmes :
Erreur de conception dans le logiciels ou matériel
Erreur de fonctionnement dans le matériel
Délibérées (acteur conscient)
• Vol de systèmes
• Attaque de dénis de service
• Vol d’informations (atteinte à la confidentialité)
• Modification non-autorisée des systèmes
• …
Quels sont les acteurs?
Catastrophes naturelles Compagnie de marketing Pirate/Hackers • "Script kiddies" • "White hat" • Professionels Compétiteurs États étrangers Crime organisé Groupe terroriste Ceux à qui vous faites confiance…
Comment evaluer le risque?
Impact • sous notre contrôle • « facile » à évaluer Probabilité • Risques naturels Valeurs connues (statistiques, actuariat, historique de catastrophes, etc.) • Risques délibérés Acteur conscient et intelligent Pas événement aléatoire
Definir de ce qu’est constitue les risques deliberes.
Capacité Savoir/connaissances ou accès au savoir Outils Ressources humaines Argent Opportunité Espace : avoir accès physique Connectivité : existence d'un lien physique et logique Temps : être "là" au bon moment Motivation "À qui profite le crime ?" (Qui) Que gagne l'attaquant ? (Quoi) Combien gagne t-il ? (Combien) probabilité = capacité * opportunité * motivation
Quels sont les moyens de protection?
Encryptage des données
Contrôles au niveau des logiciels
• Programmés
• Partie du système d’exploitation
• Contrôle du développement des logiciels
Contrôles du matériel
• Contrôle de l’accès au matériel: identification et authentification
• Contrôles physiques: serrures, caméras de sécurité, gardiens, etc…
Procédures
• Qui est autorisé à faire quoi?
• Changement périodiques des mots de passe
• Prise de copies de sécurité
• Formation et administration