cr300 Flashcards
Trois (3) pilliers de sécurité et définitions
Confidentialité: protection des informations confidentielles
Intégrité: avoir des informations exactes et complètes pour empêcher les modifications (accident ou délibéré)
Disponibilité: faire sûr que les informations sont disponible pour ne pas nuire aux affaires, prévention de destruction informationnels (accident ou délibéré)
Trois (3) méthodes efficaces de prévention de l’espionnage industriel
- Moyens Technologiques (Encryption des informations recettes, limitation des accès, etc.)
- Moyens Politiques (NDA, Inventaire des propriétés intellectuelles, etc.)
- Moyens Physiques (Caméras, Systèmes d’alarme, etc.)
Quatre (4) types de documents pour politique de sécurité et définitions
- Politique: ensemble de décision que l’entreprise prend pour sécuriser les systèmes et l’information (high level, pas technique)
- Pratiques ou Directives: directives et exigences pour épauler la politique de sécurité
- Standards: normes et références de standards publiées par des sociétés reconnues et spécialisées
- Procédures: documents techniques qui explique clairement comment appliquer les standards et pratiques, ex. longueur password
Quatre (4) objectifs d’une politique de sécurité
- Protéger les informations et opérations contre la fraude, les attaques informatiques, les fuites d’informations et les atteintes à la vie privée.
- Assurer la conformité aux normes et exigences légales.
- Réduire les risques inhérents en risques résiduels.
- Établir des standards de sécurité sans nuire aux objectifs de l’entreprise.
La révision de la politique de sécurité doit se faire à quelle fréquence?
Annuelle
Quelle norme est spécifiquement pour la protection des informations de cartes de crédit?
PCI-DSS
Où retrouve-t-on les détails de complexité et les délais d’expiration des mots de passe?
Dans les standards de sécurité
Trois (3) niveaux de classification des informations et définititions
publique: informations générales facilement disponible pour tout le monde
interne: informations qu’on ne veut pas partager avec le monde extérieur, mais utile dans l’entreprise
confidentiel: informations qu’on garde pour nous même, sauf en cas de nécessité
Quatre (4) critères à considérer lors de l’établissement de la classification des informations
- valeur
- criticité
- sensibilité
- obligations légales
Quelles sont les conditions si des données de production se retrouvent dans des environnements de développement, de test ou de formation?
les mêmes standards et contrôle de sécurité de production doivent être utilisés
À quoi sert un pare-feu (Firewall)?
protège le traffic interne et filtre les données inbound et outbound d’un réseau privé
Nommez les six (6) segments réseautique que l’on retrouve dans les entreprises
- internet gateway
- DMZ
- entreprise
- restreint
- gestion de sécurité
- production
Trois (3) types de comptes utilisés dans la gestion des identités et définititions
régulier: tâches quotidiennes simple (courriels etc)
admin: permet de faire des gros changement aux systèmes (pirivilège élevé) cible juteuse pour les hackers
fonctionnel: acces et privilege limité pour systemes, scripts, ordinateurs, processus et groupe d’utlisateur
La quelle des procédures est basée sur le concept de privilège minimum?
Autorisation
Pourquoi la nomination des comptes ne doit pas identifier les privilèges ou les rôles administratifs?
ne pas donner des infos aux hackers, donc ils ne peuvent pas cibler des comptes important
Qu’est-ce qu’un compte dormant?
un compte qui devient inactif après une période (90 jours) où il n’a pas été utilisé (pas de login du owner)