Cours 7 Flashcards
Quels sont les 3 concepts de la triade CIA?
- Disponibilité
- Confidentialité
- Intégrité
Qu’est-ce que la disponibilité dans le triade CIA?
Définition : Veiller que les utilisateurs puissent accéder aux informations pour lesquelles ils disposent d’une autorisation lorsqu’ils en ont besoin.
Exclut que les mesures et les politiques de sécurité de l’information entravent l’accès autorisé aux données.
Dépend souvent de vérifications simples, comme s’assurer de la robustesse du matériel et des logiciels pour éviter que les sites d’une organisation ne tombent en panne.
Qu’est-ce que la confidentialité dans le triade CIA? Quelles mesures peuvent être mises en place?
Confidentialité Définition : Limiter l’accès aux informations aux seules personnes autorisées → basé sur les rôles
Mesures :
* Contrôles d’accès (mots de passe robustes, authentification à deux facteurs)
* Chiffrement des données (HTTPS, cryptage des fichiers)
* Gestion des permissions (droits d’accès par rôle)
Qu’est-ce que l’intégrité dans le triade CIA? Quelles mesures peuvent être mises en place?
Définition : Assurer que les données ne sont pas altérées de manière non autorisée. (de manière volontaire ou involontaire)
Mesures :
* Contrôles d’intégrité (empreintes numériques, hashage)
* Journaux d’audit et de suivi des modifications.
Qu’est-ce que le programme de sécurité de l’information au sein d’un organisme?
Le programme de sécurité de l’information repose sur une approche proactive visant à protéger les actifs informationnels. Il s’articule autour de l’évaluation des risques, de l’identification des vulnérabilités et des menaces, ainsi que de la planification de la réponse aux incidents afin de minimiser les impacts potentiels.
L’évaluation des risques doit considérer deux aspects. Lesquels?
L’incidence des risques sur la capacité de l’organisme à gérer adéquatement les documents numériques
L’information contenue dans les documents qui peut être elle-même porteuse de risque
Quelles sont les 8 étapes de l’évaluation des risques?
1) Identification du risque : Décrire le risque, ses impacts potentiels et ses conséquences.
2) Analyse des causes : Déterminer les activités ou événements pouvant être à l’origine du risque.
3) Évaluation de la probabilité : Estimer la fréquence à laquelle le risque pourrait se produire.
4) Analyse de la vulnérabilité : Évaluer la capacité de l’organisme à gérer et à maîtriser le risque.
5) Priorisation des risques : Classer les risques en fonction de leur importance et de la nécessité d’une intervention rapide.
6) Évaluation de la criticité : Déterminer la gravité du risque sur les activités de l’organisme et son caractère immédiat ou à plus long terme.
7) Identification des mesures de contrôle : Recenser les dispositifs en place pour limiter l’impact du risque.
8) Mise en place d’actions préventives : Définir et appliquer des stratégies pour réduire la probabilité d’occurrence ou atténuer les conséquences du risque
En quoi consiste les risques technologiques?
concernent les supports d’enregistrement (obsolescence technologique et dégradation des supports), les formats de document (obsolescence technologique du format de document lui-même) et également tous les systèmes utilisés à des fins de conservation et de gestion des documents numériques.
En quoi consiste les risques organisationnels?
nuire à la capacité de l’organisme à mener ses activités. Par exemple, des pertes de documents numériques, un personnel ne possédant pas les compétences nécessaires pour mener ses activités, des risques budgétaires ou juridiques. Ne pas verrouiller son ordinateur, ne pas verrouiller un classeur, etc.
En quoi consiste les risques environnementaux?
environnement où sont conservés les documents : les risques naturels, la sécurité, les lieux de stockage. Par exemple, il s’agit des risques liés à un événement naturel qui peuvent affecter le bâtiment où sont conservés les documents numériques tels un incendie ou une intrusion dans les locaux.
En quoi consiste les risques liés à l’accessibilité des documents?
concernent les métadonnées et les systèmes de protection permettant d’identifier et de sécuriser l’accès aux informations. Ils englobent aussi les responsabilités liées à l’accès aux documents numériques, garantissant que seules les personnes autorisées y aient accès. Ces risques incluent les enjeux de cybersécurité, qui nécessitent une stratégie globale pour protéger l’organisation.
Dans l’OAIS, qu’est-ce qu’une information de représentation?
L’information de représentation doit permettre de pouvoir restituer le contenu et de le comprendre.
L’information de représentation à conserver tient compte de la « base de connaissance » de la communauté d’utilisateurs cible.
On est capable de les comprendre et d’avoir une base de connaissance pour les utilisateurs.
Pourquoi ? Parce que la notion d’information de représentation est implicite lorsqu’on parle d’objet d’information.
Vrai ou faux? Dans l’OAIS, la combinaison de toutes les informations contribue à la démonstration d’authenticité des données archivées.
Vrai
Qu’est-ce qu’un format de fichier? De quoi découle-t-il?
Un fichier informatique est un ensemble de données constitué d’une séquence de bits, soit une séquence de 0 et de 1. La convention utilisée pour stocker les données dans un fichier détermine le format de celui-ci.
Le format de fichier se réfère à la structure définie des données contenues numérique.
Il détermine les règles dont les informations sont encodées, organisées et stockées dans un fichier informatique.
Qu’est-ce qu’un format ouvert?
Format interopérable : indépendant d’un logiciel particulier ou d’un système d’exploitation pour créer, modifier, lire, etc. un document enregistré dans ce format.
Sa description et ses spécifications techniques sont publiques : accessible à tous. Aucune disposition légale ne s’oppose à sa libre utilisation
Peut être aussi normalisé : lorsqu’adopté par un organisme de normalisation comme ISO ou W3C.
Quels sont les 4 éléments qui sont garantis par l’utilisation d’un format ouvert?
- l’accessibilité et la pérennité des données : l’auteur a la garantie qu’il sera toujours libre de lire et modifier ses données.
- une transparence parfaite au niveau du contenu des données échangées : l’auteur a la garantie de ne pas diffuser des informations confidentielles.
- le fichier puisse être lu par n’importe quel logiciel écrit à cet effet et donc rend
- possible l’échange et l’utilisation du fichier et des données qu’il contient au-delà d’un simple usage local
Mis à part les garanties offert par un format ouvert, quels sont les 4 autres avantage e l’utilisation de ce type de format?
- Limite la diffusion de virus : expéditeur et destinataire ont la garantie de ne pas se contaminer réciproquement. Pas la même porte d’entrée pour tous, donc plus difficile de propager des éléments malicieux.
- Promeut l’interopérabilité. Les utilisateurs peuvent communiquer sans difficulté avec des logiciels différents capables d’utiliser les mêmes formats.
- Empêche les monopoles et encourage l’innovation de la part des développeurs en axant la concurrence sur la qualité des programmes eux-mêmes plutôt que sur leur capacité de lire le format de données dominant.
- Nécessite des coûts moindres pour l’implantation, la mise à jour et la maintenance
Qu’est-ce qu’un format libre?
o Format dit libre lorsqu’il est un format ouvert + sa licence est libre
o Son utilisation peut se faire sans redevance
Donne 3 avantages des formats libres.
Reconnaît le droit d’auteur
Offre la possibilité d’utiliser l’œuvre, pour tous les usages
Offre la possibilité d’étudier l’œuvre
Offre la possibilité de redistribuer des copies de l’œuvre
Offre la possibilité de modifier l’œuvre et de publier ses modifications.
Donne des exemples de formats libres.
TXT, HTML, PNG, ODF, CSV
Qu’est-ce qu’un format fermé?
Spécifications tenues secrètes et/ou limitées dans leur utilisation par le cadre légal
Généralement des formats propriétaires. N’est parfois pas accessible à travers d’autres logiciels EX : on n’ouvre pas un PSD sur paint.
Souvent, un document enregistré dans un tel format n’est pas parfaitement lisible (lu correctement et complètement) qu’avec un logiciel en particulier
Vrai ou faux? Les formats fermés sont idéaux pour la préservation.
Faux.
Vrai ou Faux? Les formats fermés peuvent devenir un format dit standard du fait de sa popularité
Vrai. EX: DOC, JPEG
Qu’est-ce qu’un format propriétaire?
Élaboré par une entreprise, dans un but essentiellement commercial. En totalité ou en partie légalement protégés par des brevets. Imposition possible d’une redevance aux utilisateurs
Évolution des spécifications et de l’avenir du format décidés par la propriétaire
Modifications possibles sans communication avec les utilisateurs
Vrai ou faux? Un format propriétaire peut aussi être fermé ou ouvert.
Vrai.
ouvert (comme le format PDF d’Adobe par exemple, qui est un format standardisé) s’il est publié.
fermé (comme le format DOC de Microsoft par exemple)
Vrai ou faux? Un format propriétaire ouvert partage le même niveau d’ouverture qu’un format dit ouvert tout simplement.
Faux.
Quels sont les 2 catégories distinctes de documents numériques?
- Numérisation : certains contrôles sur le choix du format
- Né numérique : peu de contrôle sur le choix du format SAUF quand il y a des procédures mises en place
On agit en amont pour déterminer comment l’information est stockée et peut changer la donne. La conversation de format pourra êtes faite, mais parfois bcp plus efficace si c’est fait dès la création d’un document.
Vrai ou faux ? Les évolutions techniques sont tellement rapides qu’aucun format n’est pérenne.
Vrai. En revanche, certains formats, de par leurs caractéristiques, seront plus simples à gérer à long terme que d’autres.
Quels sont les critères permettant d’évaluer la pérennité à long terme d’un format ? 4
- l’accessibilité et l’exhaustivité de la documentation : un format doit être doté d’une documentation complète et accessible
- la fréquence d’utilisation : un format très utilisé et populaire a plus de chances d’être utilisé longtemps
- le degré d’ouverture : un format ouvert est lisible par plusieurs logiciels alors qu’un format propriétaire est souvent lié à un seul logiciel
- la reconnaissance du format : lorsqu’un format est reconnu par une norme, il est adopté plus largement et sa documentation est plus accessible.
Quels sont les 4 parties qui constituent un fichier?
- La signature : identifie le format du fichier. Elle occupe un nombre précis d’octets.
- L’en-tête : Contient les informations sur le fichier, comme la version ou d’autres métadonnées avec une taille définie
- Les données : Représentent le contenu principal du fichier. Leur longueur est variable.
- La fin du fichier : Marque la fin du fichier avec un nombre d’octets défini.
Vrai ou faux? Il n’est pas possible de stocker un document électronique dans la forme documentaire dans laquelle il peut être utilisé comme document d’archives
Vrai.
Vrai ou faux? Il y a toujours une différence entre la représentation numérique du document stocké et la forme dans laquelle il est présenté pour utilisation
Vrai
Quelle est la distinction entre un document d’archives numérique stocké et un document d’archives numérique représenté?
un document d’archives numérique stocké– défini comme un objet numérique, placé dans un système de stockage sur un support numérique, qui est géré comme un document d’archives, et qui contient des informations sur les propriétés de l’objet […]
un document d’archives numérique représenté– défini comme un document d’archives numérique qui est visualisé ou restitué à partir d’un document numérique stocké […] dans une forme adaptée à une présentation à une personne (c’est-à- dire, sous une forme lisible par l’être humain) ou à un système informatique (c’est-à-dire, en langage machine).
Stocké : toute l’information est là et présenté (métadonnées, hexadécimale, par ex.)
Représenté : version lisible par l’humain
Qu’est-ce qu’un objet numérique?
Ce qu’on reçoit officiellement dans l’OAIS, c’est ce qu’on veut préserver sur le long terme. Le document représenté est ce qu’on va restituer pour partager au public cible.
Vrai ou faux? On ne peut pas prendre pour acquis que les doc stocké et représenté est exactement la même chose
Vrai
Quels sont les 2 aspects de l’intégrité des documents?
- Aspects juridiques
- Aspects informatiques
En quoi consiste l’aspect juridique de l’intégrité?
Loi concernant le cadre juridique des technologies de l’information: « L’intégrité du document est assurée, lorsqu’il est possible de vérifier que l’information n’en est pas altérée et qu’elle est maintenue dans son intégralité, et que le support qui porte cette information lui procure la stabilité et la pérennité voulues. »- article 6
b. « Des documents sur des supports différents ont la même valeur juridique s’ils comportent la même information, si l’intégrité de chacun d’eux est assurée et s’ils respectent tous deux les règles de droit qui les régissent. L’un peut remplacer l’autre et ils peuvent être utilisés simultanément ou en alternance. De plus, ces documents peuvent être utilisés aux mêmes fins. »- article 9
En bref: Si on peut prouver l’intégrité, l’original papier et la numérisation ont la même valeur et sont considérés comme le même document.
En quoi consiste les aspects informatiques de l’intégrité?
Méthodes pour assurer l’intégrité d’un document à l’aide de ressources informatiques.
1. Contrôle d’accès
2. Signature electronique
3. Cryptage
4. Empreinte numérique
Qu’est-ce qu’une empreinte numérique (hashing)?
Calcul de l’empreinte (somme de contrôle) du document et vérification de la valeur de l’empreinte au fil du temps ou lors d’un transfert. Suppose une journalisation des calculs d’empreintes et une sécurisation du journal.
Est une chaîne de chiffres et de lettres qui représente le contenu d’un fichier. Sa longueur dépend de l’algorithme et est fixe. Générée à l’aide d’un utilitaire et d’un algorithme de somme de contrôle. Les plus courants sont les algorithmes MD5 et SHA256. Peut être recalculé à n’importe quel moment
Souvent stockée dans un fichier séparé avec le fichier original et/ou conservée dans une base de données
Vrai ou faux? Un seul algorithme existe pour calculer l’empreinte numérique d’un document.
Faux. Les plus utilisés sont MD5 et SHA256
Vrai ou faux? Si on n’utilise pas le même algorithme, ce n’est pas le même code qui sortira pour un même document
Vrai
Quels sont les 2 objectifs de l’utilisation de l’empreinte numérique?
Utile pour détecter des modifications accidentelles des données
N’assure pas une protection contre les modifications intentionnelles
Vrai ou faux? L’empreinte ne sera pas touchée par un changement de titre. Le titre agit à titre d’étiquette visuelle pour les utilisateurs et n’a pas de lien avec le contenu ou les métadonnées.
Vrai
Un document authentique est un document pour lequel on peut prouver: 2
Qu’il est ce qu’il prétend être
Qu’il est exempt de falsification ou de modification inappropriée
Vrai ou faux? L’authenticité est notamment basé sur la confiance qu’on a dans le document.
Vrai. Très émotif : basé sur la confiance. On veut faire confiance à nos documents et on veut que nos utilisateurs pensent aussi que les documents qu’on toute les caractéristiques adéquates d’une archive.
L’authenticité d’un document implique de prouver son __________ et son ___________ dans le temps.
Identité, intégrité
Dans l’authenticité, à quoi faire référence l’identité d’un document?
L’identité fait référence au caractère distinctif, c’est-à-dire aux attributs qui rendent un document unique et distinct des autres.
L’identité fait référence à sa provenance, son auteur, son destinataire, sa date, etc.
Dans l’authenticité, à quoi faire référence l’intégrité d’un document?
L’intégrité fait référence au fait qu’un document est intact et complet
L’authenticité se distingue de la fiabilité d’un document. En quoi consiste la différence?
renvoie à l’autorité et la qualité du document d’archives d’être digne de confiance en tant que représentation des faits auxquels il se rapporte ; c’est-à dire qu’on peut lui accorder foi en tant qu’énoncé des faits. Dès lors, la fiabilité est de la seule responsabilité de la personne ou de l’organisation qui crée le document.
est donc une qualité qui est établie lorsqu’un document est produit et qui implique la qualité des données qu’il contient, alors que l’authenticité d’un document est un concept qui est lié à la transmission et à la maintenance du document. Pour avoir une valeur probatoire, un document doit être considéré
Pour avoir une valeur probatoire, un document doit être considéré fiable et authentique.
Qu’est-ce que la gestion de l’obsolescence?
« Phénomène caractérisé par une perte de valeur ou de désirabilité d’un bien, qui amène le consommateur à le remplacer avant la fin de sa durée de vie utile. »
Qu’est-ce que l’obsolescence numérique?
touche le matériel, les logiciels ou les données deviennent obsolètes ou inutilisables en raison de l’évolution des technologies numériques
Qu’est-ce que l’obsolescence logicielle?
touche spécifiquement les logiciels lorsque de nouvelles versions sont publiées ou lorsque le support et les mises à jour sont arrêtés. Certains logiciels peuvent être dépendants de système d’exploitation désuets
Qu’est-ce que l’obsolescence matérielle?
vise les appareils, les supports, les lecteurs, les connecteurs, etc. S’applique lorsque le matériel devient incapable de supporter les nouvelles versions de logiciels ou de répondre aux exigences croissantes de performance. Par exemple, un vieil ordinateur peut ne pas être capable de faire fonctionner les derniers systèmes d’exploitation ou applications
Qu’est-ce que l’obsolescence des formats de fichiers?
est liée l’évolution des formats au fil du temps et à la lisibilité qui n’est plus garantie par les nouvelles versions des logiciels
Qu’est-ce que l’obsolescence programmée?
est une stratégie commerciale où un produit est conçu et produit pour devenir obsolète ou cesser de fonctionner après une certaine période
Quels sont les conséquences de l’obsolescence? 5
- Perte de données
- Défis en matière de sécurité : Les systèmes et logiciels obsolètes qui se sont plus mis à jour sont plus vulnérables aux cyberattaques
- Impact environnemental : Le remplacement fréquent et la production de nouveaux appareils contribuent à l’accumulation de déchets électroniques
- Coûts économiques
- Complexité de la gestion des archives numériques
Vrai ou faux? La préservation est une fonction de l’archivistique qui demande beaucoup de ressources.
Vrai
Quelles seraient des stratégies efficace de gestion de l’obsolescence?
- Redondance des données
- Migration des données (Supports, Formats)
- Émulation
- Virtualisation
Qu’est-ce qu’une veille? En quoi est-elle importante dans la gestion de l’obsolescence?
Une veille permet de ne pas être pris au dépourvu des annonces des fournisseurs de logiciels lorsqu’ils parlent de ne plus soutenir certains logiciels. Permet aussi d’être en mode action, de planifier ce qui pourra être fait. On peut être en prévention ou en réaction. Permet de prévoir nos plans B, C, D, d’agir maintenant ou de savoir comme agir quand nos documents ne risquent de ne plus être accessibles.
Expliquer la stratégie de redondance des données.
La redondance fait référence à la duplication de données pour garantir qu’il y a toujours une sauvegarde disponible en cas de perte de données.
Dupliquer des données: Utile pour la récupération
Stratégie 3-2-1 : s’assurer qu’on a 1 copie intacte non-accessible sur serveur externe, 2 copies dans un système d’entreposage, 3e copie sur le cloud, par exemple
En quoi consiste la migration dans la gestion de l’obsolescence?
« Opération qui consiste à passer d’un environnement à un autre, ou encore de la version d’un logiciel de base à une autre version, en effectuant les adaptations nécessaires pour que l’ensemble du système continue de fonctionner adéquatement. »
Attention à ne pas confondre avec le changement de version (de la version 6.0 à la version 7.0) !
La migration peut aussi être un transfert d’informations numériques au sein de l’Archive (OAIS) pour la pérennisation de cette information.
En quoi consiste la migration de support dans la gestion de l’obsolescence?
Il s’agit du processus de transfert de données d’un type de support de stockage à un autre.
Ne modifie pas l’encodage des fichiers et par conséquent ni la structure ou le contenu informationnel.
On fait une copie de CD sur un autre, un doc papier en numérique. On n’altère pas le document.
* Nécessite une planification minutieuse
* Enjeu potentiel sur la validité de l’intégrité des données après le transfert
Quels sont les 3 types de migration de support?
- Le rafraîchissement de support : exemple de CD vers CD
- La duplication : exemple de CD vers DVD
- Le réempaquetage : exemple changer l’organisation des fichiers
En quoi consiste la migration de format dans la gestion de l’obsolescence?
Il s’agit de la conversion de données d’un format de fichier vers un autre.
Modifie l’encodage des fichiers et par conséquent la structure ou le contenu informationnel peuvent être modifiés.
Quelle stratégie doit-on adopter lors de la migration de formats?
- Élaboration d’un processus de migration
- Sélection de ou des outils pour réaliser la migration
- Réalisation de tests de migration
- Après la migration, réalisation d’un contrôle qualité
Quelles sont les 5 propriétés d’un fichier à préserver lors de la migration de formats?
- Contenu (texte, image)
- Contexte (métadonnées, par ex : l’auteur, la date de création, etc.)
- Apparence (mise en place, couleur, police)
- Comportement (interaction, fonctionnalités, les tableaux, les variables, etc.)
- Structure (pagination, sections, pièces jointes) (si on perd des pièces jointes en transférant des courriels, celui-ci n’est plus ce qu’il prétend être)
Qu’est-ce que l’émulation dans la gestion de l’obsolescence?
« Technique consistant à simuler efficacement le fonctionnement d’un ordinateur sur un autre, généralement plus puissant. Cette technique est utilisée pour reprendre sans conversion les programmes écrits pour un ordinateur différent. »
On peut utiliser l’émulation pour répliquer des logiciels
Comment fonctionne l’émulation?
L’ordinateur hôte se déguise pour recevoir un logiciel qui ne lui est pas destiné.
Utilise les ressources de l’hôte au même titre que le système d’exploitation et les autres logiciels.
Le logiciel qui fonctionne dans l’émulateur n’est pas compartimenté.
Donne 3 défis avec l’émulation
- Nécessite une expertise technique pour la mise en place
- Documentation significative de l’environnement d’émulation
- Pérennité de l’environnement d’émulation dans le temps
- Technologiquement complexe
- Compatibilité peut être incomplète
- Respect du droit d’auteur
Qu’est-ce que la virtualisation dans la gestion de l’obsolescence?
« Processus permettant de créer une reproduction logicielle d’un composant matériel ou logiciel d’un système, capable de simuler les fonctionnalités de celui-ci, mais indépendant de l’infrastructure physique sous-jacente. »
La virtualisation est un concept large qui désigne le processus de créer une version virtuelle de quelque chose à partir d’un système physique, comme des serveurs, des systèmes d’exploitation ou du stockage
Quelle est la différence entre l’émulation et la virtualisation?
Émuler : « se déguiser » VS Virtualiser : « partager des ressources d’une « machine hôte » avec des « machines invitées »
Il existe plusieurs façons de faire de la virtualisation. Quelles sont-elles?
Virtualisation de conteneurs : Par exemple avec Docker ou Kubernetes. Les conteneurs partagent le noyau du système hôte, mais isolent les applications dans des environnements légers.
Virtualisation de stockage : Rassemble plusieurs disques physiques pour qu’ils apparaissent comme une seule unité logique.
Virtualisation de réseaux : Par exemple avec SDN- Software Defined Networking, créée des réseaux virtuels au-dessus de l’infrastructure réseau physique
Qu’est-que l’hyperviseur?
Un type spécifique de virtualisation où un logiciel, appelé hyperviseur, simule un matériel pour exécuter plusieurs systèmes d’exploitation sur une même machine physique est une machine virtuelle.
