cours introdution informatique Flashcards
Quelles informations sont considérées comme personnelles ou sensibles ?
- Nom
- Adresse postale ou adresse e-mail
- Numéro de téléphone
- Numéro de sécurité sociale
- Informations financières
- Couleur de peau ou origine ethnique
- Opinions politiques
- Croyances religieuses ou philosophiques
- Appartenance à un syndicat
- Informations liées à la santé
- Orientation sexuelle
Confidentialité
La protection des informations contre la divulgation non autorisée.
Intégrité:
La protection des informations contre toute modification non autorisée.
Disponibilité
La garantie que les informations soient accessibles et utilisables par les personnes autorisées.
Authentification
Le processus de vérification de l’identité d’un utilisateur ou d’un système.
Pour prouver que l’utilisateur est bien celui qu’il pretend etre .
Autorisation
Le processus d’accorder ou de refuser l’accès à des informations ou des systèmes.
Audit:
L’évaluation des pratiques de sécurité informatique et des vulnérabilités pour détecter les failles et les améliorations nécessaires.
Pare-feu
Un dispositif de sécurité qui filtre le trafic réseau entrant et sortant pour empêcher les attaques.
Anti-virus:
Un programme conçu pour détecter et éliminer les logiciels malveillants.
Cryptographie
La science de la communication sécurisée en utilisant des codes secrets.
Ingénierie sociale
L’art de manipuler les gens pour obtenir des informations confidentielles.
Vulnérabilité
Une faiblesse dans un système qui peut être exploitée par une attaque.
Attaque par déni de service (DDoS)
Une attaque qui vise à rendre un système indisponible en le submergeant de trafic.
Hameçonnage (phishing)
Une technique de cybercriminalité utilisée pour tromper les utilisateurs et les amener à divulguer des informations sensibles.
Rançongiciel (ransomware):
Un type de logiciel malveillant qui bloque l’accès à un système ou à des fichiers jusqu’à ce qu’une rançon soit payée.
Gestion des identités et des accès (IAM):
La gestion des droits d’accès aux systèmes et aux données pour les utilisateurs autorisés.
Quels sont les critères à prendre en compte pour attribuer des niveaux de classification aux informations d’une entreprise?
La valeur: Données financières, informations bancaires.
* La sensibilité: Propriétés intellectuelles, plans d’acquisition, restructuration.
* Les obligations légales: Renseignements personnels, informations de crédit.
* La criticité: Données essentielles au fonctionnement des systèmes de
production.
Quelle est la différence entre un propriétaire et un gardien de l’information?
Un propriétaire d’information est une personne ou une entreprise qui possède un bien informationnel et détient les droits sur l’information qu’elle possède. Le propriétaire doit classer l’information et appliquer les contrôles recommandés. En revanche, un gardien de l’information est une personne ou une entreprise qui possède ou a la responsabilité de renseignements dont il n’est pas propriétaire, mais qui doit appliquer les contrôles de sécurité selon la classification de l’information et ne peut divulguer ou modifier les renseignements sans l’autorisation du propriétaire.
Quoi les motivations des hackers ?
Gains financiers
Espionnage
Pour le plaisir
Idéologique (politique, religieux)
Intention malicieuse (vengeance, chantage)
Quoi le Risque inhérent:
Les risques existants en l’absence de contrôles de sécurité.
expliquer quoi un risque residuel pour un enfant
Pour expliquer cette phrase à un enfant, vous pourriez dire : “Parfois, nous mettons des choses en place pour être en sécurité, comme porter un casque pour faire du vélo. Mais même si nous portons un casque, il y a encore un petit risque de se blesser. De la même manière, même si nous avons mis en place des mesures de sécurité, il peut y avoir encore un petit risque que quelque chose se passe.”
L’attribution des niveaux de classification doit se faire selon les critères suivants:
- La valeur: Données financières, informations bancaires.
- La sensibilité: Propriétés intellectuelles, plans d’acquisition, restructuration.
- Les obligations légales: Renseignements personnels, informations de crédit.
- La criticité: Données essentielles au fonctionnement des systèmes de
production.
Exemples d’obligations et exigences des lois:
Les entreprises doivent obligatoirement mettre des contrôles de sécurité pour
protéger les renseignements personnels de leurs employés et de leurs clients.
* Les entreprises doivent informer les individus lorsque leurs informations
personnelles ont été compromises pouvant causer des préjudices.
* Les entreprises doivent informer leurs employés lorsque leurs informations
personnelles sont hébergées à l’extérieure de leurs pays (applicable au Canada et
E-U).
* La non-conformité à certaines lois peut entrainer des accusations au criminel (ex:
SOX aux CFOs) et des amendes très salées (ex: GDPR= 4% du revenu global de
l’entreprise).
Trois (3) méthodes de prévention Espionnage industriel
Moyens technologiques:
* Chiffrement des informations recettes (cours # 9)
* Limiter les accès (Gestion des identités - cours # 7)
* Segmentations réseautiques (cours # 6)
* Blocage des signaux radio (WiFi et cellulaire)
* DLP (Data Lost Prevention)
2. Moyens politiques:
* Inventaire des propriétés intellectuelles
* Entente de non-divulgation (NDA)
* Accompagnement des visiteurs
* Interdiction d’appareils photo et cellulaires (ex: dans les usines)
3. Moyens physiques:
* Séparation physique des équipements.
* Caméras
* Systèmes d’alarme
* Fouilles du personnel (exceptionnel)