Cours 5 - La sécurité, la confidentialité et l'éthique de l'information

Question 1

Éthique

Answer 1

Principes (bien et mal) et normes qui encadrent le comportement de chacun (comme des agents moraux libres) envers autrui

Question 2

Questions éthique en TI découlent de…

Answer 2

• Développement et utilisation des TI et des SI

- Création, collecte, duplication, diffusion et traitement de l’information elle-même

Question 3

Tendances technologiques qui soulèvent des problèmes d’éthique

Answer 3

• Puissance croissante des ordinateurs et dépendance des SI
• Coût de stockage des données baisse rapidement
• Analyse des données se raffine
• Réseautage et internet progressent
• Anonymat dans certains cas

Question 4

Confidentialité de l’information

Answer 4

Droit des individus, des groupes et des organisation de déterminer eux-mêmes à quel moment ou dans quelle mesure l’information à leur sujet est communiquée à autrui

Question 5

Informations personnelles

Answer 5

Données ou renseignements nettement identifiables au sujet d’une personne unique

Question 6

Protection des données

Answer 6

• Plus fortes en Europe et au Canada

- Moins fortes au États-Unis

Question 7

10 principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Answer 7

• Responsabilité
• Détermination des fins de la collecte des renseignements
• Consentement
• Limitation de la collecte
• Limitation de l’utilisation, de la communication et de la conservation
• Exactitude
• Mesures de sécurité
• Transparence
• Accès aux renseignements personnels
• Possibilité de porter plainte à l’égard du non-respect des principes

Question 8

L’analyse éthique (5 étapes)

Answer 8

1. Déterminer et décrire clairement les faits
2. Définir le conflit/dilemme et déterminer les valeurs fondamentales en jeu
3. Identifier les parties prenantes
4. Trouver les solutions raisonnablement envisageables
5. Déterminer les conséquences éventuelles des différentes solutions

Question 9

Principes de base en éthique (4)

Answer 9

• Règle d’or : ne pas faire aux autres ce qu’on ne voudrait pas se faire faire
• Impératif catégorique de Kant : Si une action n’est pas juste pour quiconque, elle n’est juste pour personne
• Principe de l’utilitarisme : Choisir l’action la plus bénéfique pour l’ensemble des parties concernées
• Principes du risque minimum : Il faut choisir l’action dont les conséquences en cas d’échec sont les moins nocives et coûteuses pour l’ensemble des parties concernées.

Question 10

Politique de gestion de l’information

Answer 10

Politiques [électroniques] sont les politiques et procédures qui traitent de la gestion de l’information et de l’utilisation des ordinateurs et d’Internet dans le milieu des affaires.

Question 11

Technologies courantes de surveillance d’internet

Answer 11

• Logiciel d’enregistrement de frappe
• Témoin (cookie)
• Logiciel publicitaire (adware)
• Logiciel espion (spyware, sneakware, stealthware)
• Journal de serveur (web log)
• Parcours de navigation (clickstream)

Question 12

Sécurité de l’information

Answer 12

Politiques, procédures et mesures techniques visant à prévenir tout accès ou modification non autorisée aux données, ainsi que les vols et les dommages

Question 13

Causes de problèmes de sécurité

Answer 13

• Systèmes (obsolescence, pannes, sécurité, erreurs de prog)
• Processus (conformité des opérations, erreurs de saisie, maîtrise des processus clés, sous-traitance)
• Événements externes (risques souverains ou politiques, catastrophes naturelles, activités criminelles, évolution de la réglementation)
• Personnes (fraude des employés, intégrité, absences, mouvements sociaux, compétences)

Question 14

Pourquoi la sécurité

Answer 14

• Disponibilité (s’assurer que l’information soit accessible en temps voulu et de la manière requise par les personnes autorisées)
• Intégrité (s’assurer que l’information ne soit pas modifiée ou détruite sans autorisation)
• Confidentialité (limiter la divulgation de l’information aux seules personnes autorisées)

Question 15

Vulnérabilité des systèmes

Answer 15

• Utilisateurs
• Lignes de communication
• Serveurs d’entreprise
• Systèmes d’entreprise + Bases de données

Question 16

Indisponibilité

Answer 16

Se produit lorsqu’une partie ou la totalité d’un SI n’est pas accessible par les utilisateurs autorisés
Causes : cyberattaques, défaillance d’un logiciel ou d’équipement, panne d’électricité, accidents, tempêtes, incendies.

Question 17

Coût du temps d’indisponibilité

Answer 17

• Rendement financier
• Revenus
• Autres dépenses
• Réputation ternie

Question 18

Reprise après un sinistre

Answer 18

• Copie de sauvegarde et reprise
• Reprise après un sinistre
• Planification de la continuité des activités
• Objectif n’est pas de planifier pour toutes les éventualités, mais d’évaluer les risques et de cibler les données et les systèmes les plus importants

Question 19

Sécurité des données

Answer 19

Protection des actifs informationnels d’une mauvaise utilisation accidentelle ou intentionnelle
*Comme les données sont intangibles, il est difficile de déterminer si elles sont sécurisées, volées ou transférées

Question 20

Première ligne de défense

Answer 20

Les personnes
Un initié : Utilisateur légitime qui emploie de façon indue, volontairement ou accidentellement, son accès à l’environnement et qui cause un incident nuisant à une entreprise

Question 21

Fonctions d’un plan de sécurité

Answer 21

• Cerner et évaluer les risques
• Définition des rôles et répartition des responsabilités
• Décrire les moyens de cerner et évaluer les risques
• Consigner les politiques et procédures
• Décrire les mécanismes de mise en oeuvre et d’évaluation du plan

Question 22

Étapes de formulation d’un plan de sécurité

Answer 22

1. Élaborer la politique de sécurité de l’information
2. Communiquer la politique de sécurité de l’information
3. Cerner les ressources d’information et les risques qui y sont liés
4. Vérifier et réévaluer les risques
5. Obtenir l’appui des parties prenantes

Question 23

Deuxième ligne de défense

Answer 23

La technologie

Question 24

Contribution de la technologie à la sécurité

Answer 24

• Authentification et autorisation
• Prévention et résistance
• Détection et réponse

Question 25

Authentification (3 types)

Answer 25

• Méthode de confirmation de l’identité d’un utilisateur
  3 types : 1. une information que l’utilisateur connaît 2. un objet spécifique que l’utilisateur détient 3. Une marque distinctive que possède l’utilisateur

Question 26

Autorisation

Answer 26

• processus permettant à une personne de faire ou posséder quelque chose
• Différents niveaux d’accès

Question 27

Prévention et résistance

Answer 27

• Système de détection d’intrusion
• Filtrage de contenu (logiciels qui filtrent les courriels et empêchent la transmission des virus ou les informations confidentielles)
• Cryptage (logiciels qui décodent des messages)
• Pare-feu (périphérique et logiciel qui protège un réseau privé grâce à l’analyse de l’information qui entre dans le réseau et qui en sort)

Question 28

Valeur d’affaires de la sécurité

Answer 28

• Une sécurité et un contrôle inadéquats peuvent créer de sérieux problèmes juridiques
• Les entreprises doivent protéger leurs actifs informationnels et aussi ceux des clients, employés et partenaires
• Des mesures de sécurité et de contrôle plus efficaces augmentent la productivité et réduisent les coûts d’exploitation

Question 29

Détection et réponse

Answer 29

• Organisation doivent consacrer des ressources pour la détection et la correction des problèmes liés à la sécurité
• L’ennemi de l’organisation est le temps (Trouver et régler les problèmes dans les plus brefs délais)
• Logiciels antivirus
• Systèmes dupliqués, systèmes de basculement (fail-over systems)
• Plans de continuité des activités