Cours 1 : Introduction Flashcards

1
Q

Quels sont les 3 piliers de la securite informatique?

A

Disponibilite, integrite, confidentialite.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Quelle est la methodologie de la securite informatique?

A
1. Identifier la menace
 Qui ou quoi ?
 Comment (vulnérabilités) ?
2. Évaluer les risques
 Probabilité
 Impact
3. Considérer les mesures de
protection par rapport au risque
 Efficacité (risque résiduel)
 Coût
 Difficulté d'utilisation
4. Mettre en place et opérer les
mesures protections
 Modification et/ou installation
 Changer les politiques
 Éduquer les utilisateurs
5. Retourner à 1…

Il y a une etape preliminaire a cela qui est l’identification des ressources.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Quelles sont les definitions qualitatives et quantitatives du risque?

A

 Définition qualitative
 La prise en compte d’une exposition à un danger, un préjudice ou
autre événement dommageable, inhérent à une situation ou une
activité
 Définition quantitative
= probabilité * impact = espérance de perte

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Par quels moyens peut-on gerer le risque?

A
  • Réduction
  • Transfert
  • Acceptation
  • Arrêt de l’activité
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Qu’est-ce qu’un bien?

A

 Objet/personne ayant de la valeur

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Qu’est-ce qu’un acteur ou agent de menace?

A

 Objet/personne/entité qui met un bien à risque

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Qu’est-ce qu’un scenario?

A

 Séquence d’évènement menant à la perte partielle ou totale de la valeur d’un bien

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Qu’est-ce qu’une menace?

A
= (Scenario, acteur) OU « Une méthode (COMMENT)
par laquelle un acteur particulier (QUI)
entreprend une action (QUOI)
fait subir un dommage à un bien
(ET ALORS) »
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Quels sont les 5 elements qui composent le risque?

A
 Vulnérabilité
 Faille qui offre l’opportunité de
porter dommage à un bien
 Scénario
 Exploitation d’une vulnérabilité
par un acteur pour causer un
impact
 Probabilité
 Que la menace soit réalisé
(dans une période de temps donné)
 Impact
 Perte ou dommage à un bien
 Contre-mesure
 Objet (ou processus) qui réduit le
risque associé à une menace sur un
bien
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Quand est-ce qu’il y a un risque?

A

Il y a un risque si un scénario a une chance de se réaliser
 Même s’il y a une vulnérabilité,
• Pas d’acteur  Pas de risque
 Même s’il y a un acteur,
• Pas de vulnérabilité  pas de scénario  pas de risque
Il y a un risque s’il y a un enjeu réel relié au bien
 Même s’il y a une vulnérabilité (scénario) et un acteur
• Pas d’impact  pas de risque

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Quel type de menace y a-t-il?

A

 Accidentelles (acteur inconscient ou absence d’acteur)
• Catastrophes naturelles (“acts of God”)
 feu, inondation, …
• Actes humains involontaires :
 mauvaise entrée de données, erreur de frappe, de configuration, …
• Performance imprévue des systèmes :
 Erreur de conception dans le logiciels ou matériel
 Erreur de fonctionnement dans le matériel
 Délibérées (acteur conscient)
• Vol de systèmes
• Attaque de dénis de service
• Vol d’informations (atteinte à la confidentialité)
• Modification non-autorisée des systèmes
• …

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Quels sont les acteurs?

A
 Catastrophes naturelles
 Compagnie de marketing
 Pirate/Hackers
• "Script kiddies"
• "White hat"
• Professionels
 Compétiteurs
 États étrangers
 Crime organisé
 Groupe terroriste
 Ceux à qui vous faites
confiance…
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Comment evaluer le risque?

A
 Impact
• sous notre contrôle
• « facile » à évaluer
 Probabilité
• Risques naturels
 Valeurs connues (statistiques, actuariat, historique de catastrophes,
etc.)
• Risques délibérés
 Acteur conscient et intelligent
 Pas événement aléatoire
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Definir de ce qu’est constitue les risques deliberes.

A
Capacité
 Savoir/connaissances ou accès au savoir
 Outils
 Ressources humaines
 Argent
Opportunité
 Espace : avoir accès physique
 Connectivité : existence d'un lien physique et logique
 Temps : être "là" au bon moment
Motivation
 "À qui profite le crime ?" (Qui)
 Que gagne l'attaquant ? (Quoi)
 Combien gagne t-il ? (Combien)
probabilité = capacité * opportunité * motivation
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Quels sont les moyens de protection?

A

 Encryptage des données
 Contrôles au niveau des logiciels
• Programmés
• Partie du système d’exploitation
• Contrôle du développement des logiciels
 Contrôles du matériel
• Contrôle de l’accès au matériel: identification et authentification
• Contrôles physiques: serrures, caméras de sécurité, gardiens, etc…
 Procédures
• Qui est autorisé à faire quoi?
• Changement périodiques des mots de passe
• Prise de copies de sécurité
• Formation et administration

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Comment evalue-t-on le choix des contre mesures?

A

-Réduction du risque
 Motivation et impact ne changent pas
 Ré-évaluation de capacité et opportunité => risque résiduel
 réduction = risque initial (sans contre-mesures) –
risque résiduel (après application efficace)
- Coût total
 Coût d’installation (achat, installation, configuration)
 Coût d’opération (licences, personnel supplémentaire)
 Impact sur la performance des systèmes
 Convivialité du système
 Impact sur la processus d’affaires
 Introduction de nouveaux risques …

17
Q

Quels sont les deux principes fondamentaux de l’evaluation et choix?

A
  • Principe du point le plus faible
     Une personne cherchant à pénétrer un système utilisera tous les
    moyens possibles de pénétration, mais pas nécessairement le plus
    évident ou celui bénéficiant de la défense la plus solide.
  • Principe de la protection adéquate (Gestion du risque)
     La durée de la protection doit correspondre à la période pendant
    laquelle l’importance et la valeur sont présentes, et pas plus .
     Le niveau et le coût de la protection doivent correspondre à
    l’importance et à la valeur de ce qu’on veut protéger:
    Choisir la contre-mesure avec le meilleur rapport
    “qualité” (réduction de risque) vs. “prix” (coût total)
18
Q

Quels sont les concepts et principes d’operation?

A

 Efficacité des contrôles
- Conscientisation du personnel
 Utilisation réelle des contrôles disponibles
 Recouvrement des contrôles
 Vérification administrative
- Principe de l’efficacité
 Pour que les contrôles soient effectifs, ils doivent être utilisés
 Pour qu’ils soient utilisés, ils doivent être perçus comme étant
faciles d’usage, et appropriés aux situations particulières.

19
Q

Comment fait-on l’analyse du risque?

A
  • Évaluer l’impact :
     Classification des actifs
     Échelle semi-objective
     Chiffre les impacts sur les « objectifs d’affaires »
  • Le gestionnaire responsable du processus (propriétaire du
    système ou « stakeholder » en anglais) est la source de la
    classification puisqu’il est l’utilisateur du système
     Ex. : le directeur de la paie est le propriétaire du système
    informatique qui génère la paie
     Ex. : le directeur TI est le propriétaire du système informatique
    qui gère le VPN