Études Flashcards

1
Q

La cybersécurité est basée sur trois (3) piliers de sécurité qui doivent être pris en considération lors d’analyse de sécurité. Nommez ces trois piliers et donnez une description de chacun

A

Confidentialité: protection des informations confidentielles
Intégrité: avoir des informations exactes et complètes pour empêcher les modifications (accident ou délibéré)
Disponibilité: faire sûr que les informations sont disponible pour ne pas nuire aux affaires, prévention de destruction informationnels (accident ou délibéré)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Nommez trois (3) méthodes (Moyens) efficaces de prévention de l’espionnage industriel

A
  1. Moyens Technologiques (Encryption des informations recettes, limitation des accès, etc.)
  2. Moyens Politiques (NDA, Inventaire des propriétés intellectuelles, etc.)
  3. Moyens Physiques (Caméras, Systèmes d’alarme, etc.)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Un cadre d’une politique de sécurité est constitué de quatre (4) types de documents. Nommez ces documents et donnez une description de chacun

A
  1. Politique: ensemble de décision que l’entreprise prend pour sécuriser les systèmes et l’information (high level, pas technique)
  2. Pratiques ou Directives: directives et exigences pour épauler la politique de sécurité
  3. Standards: normes et références de standards publiées par des sociétés reconnues et spécialisées
  4. Procédures: documents techniques qui explique clairement comment appliquer les standards et pratiques, ex. longueur password
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Quels sont les quatre (4) objectifs d’une politique de sécurité ?

A
  1. Protéger les informations et opérations contre la fraude, les attaques informatiques, les fuites d’informations et les atteintes à la vie privée.
  2. Assurer la conformité aux normes et exigences légales.
  3. Réduire les risques inhérents en risques résiduels.
  4. Établir des standards de sécurité sans nuire aux objectifs de l’entreprise.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

La révision de la politique de sécurité doit se faire à quelle fréquence ?

A

À chaque année

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Nommez les quatre (4) critères à considérer lors de l’établissement de la classification des informations

A

valeur: Données financières, informations bancaires.

sensibilité: Propriétés intellectuelles, plans d’acquisition, restructuration.

obligations légales: Renseignements personnels, informations de crédit.

criticité: Données essentielles au fonctionnement des systèmes de production.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Quelles sont les conditions si des données de production se retrouvent dans des environnements de développement, de test ou de formation ?

A

les mêmes contrôles de sécurité de l’environnement de production doivent être appliqués.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Nommez les six (6) segments réseautique que l’on retrouve dans les entreprises

A
  1. Segment Internet (Internet Gateway): Zone d’accès externe à l’internet.
  2. Segment DMZ (¨Demilitarized Zone¨): Zone qui relie le réseau interne
    de l’entreprise (intranet) à l’internet. L’hébergement des services Web
    externes, tels les sites de l’entreprise, les serveurs de transfert des
    données et les serveurs d’accès distants, font partie du segment DMZ.
  3. Segment entreprise: Segment intranet non visible à l’Internet où se
    situent les utilisateurs, les postes de travail, les imprimantes et les
    téléphones IP. Les unités d’affaire de l’entreprise peuvent avoir leurs
    propres segments réseautiques séparés par des pare-feu. Ex.: Finances,
    RH, légales, etc.
  4. Segment restreint: Zone avec restriction d’accès où se trouvent les
    bases de données, les dossiers des employés, des fichiers réseau,
    système de paye, système de facturation, et tous les serveurs contenant
    des informations classifiées confidentielles.
  5. Segment de gestion de sécurité: Systèmes d’authentification (Active
    Directory, systèmes de journalisation, systèmes de monitorage)
  6. Segment de productionusine: Zone réservée aux systèmes de
    production des usines et aux contrôles manufacturiers (SCADA, PLC, etc).
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

À quoi sert un balayage de découverte (Ping Scan)?

A

identifier les hôtes solitairesRogue¨) pour déterminer si ces équipements doivent être débranchés du réseau ou s’ils déclencheront des enquêtes de sécurité.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Pourquoi les protocoles de télécommunication FTP et Telnet sont considérés non-sécuritaires ?

A

clear text

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Nommez trois (3) enjeux de sécurité avec les services infonuagiques

A
  1. Confidentialité et protection de la vie privée
  2. Contrôle des accès et gestion des privilèges
  3. Disponibilité et gestion de continuité
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Gestion des identités et des accès

Définition : Identification

A

Processus qui permet de connaître l’identité d’une entité ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (username, Qui vous êtes).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Gestion des identités et des accès

Définition : Authentification

A

vérifier l’identité d’un utilisateur pour donner accès à des informations. Il s’agit principalement des mots de passe (password, Ce que vous savez).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Gestion des identités et des accès

Définition : Authentification Simple

A

L’authentification utilise un seul facteur (l’utilisateur indique son mot de passe).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Gestion des identités et des accès

Définition : Authentification Forte

A

L’authentification repose sur deux éléments ou deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton, biométrie, carte intelligente, etc.).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Gestion des identités et des accès

Définition : Authentificiation Unique

A

Méthode permettant aux utilisateurs de procéder qu’à une seule authentification pour accéder à plusieurs systèmes ou applications informatiques. (SSO ¨Single Sign On¨)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Gestion des identités et des accès

Définition : Accès

A

passages pour accéder à des informations, des applications, des systèmes, des services, des sites web et des segments réseautiques nécessaires à l’exécution des tâches des utilisateurs.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Gestion des identités et des accès

Définition : Privilèges

A

droits qui permettent aux utilisateurs d’effectuer des actions dans des systèmes informatiques. Une liste non exhaustive de privilège serait : read, write, execute, copier, imprimer, supprimer.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Gestion des identités et des accès

Définition : Mot de passe

A

série de caractère utilisé comme moyen d’authentification dans le but de prouver l’identité d’un utilisateur ou d’une ressource.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Quelles sont les 8 étapes de cycle des accès

A
  1. Initier la demande
  2. Approbations
  3. Approvisionnement
  4. Permissions
  5. Modifications
  6. Monitoring
  7. Désactivation
  8. Suppresion
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Quels sont les 3 types de comptes

A
  1. régulier
  2. administrateur
  3. fonctionnel
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Définition : Compte régulier

A

comptes qui sont assignés individuellement et sont utilisés par tous les utilisateurs dans l’exécution quotidienne de leurs tâches (réseau interne et courriels de l’entreprise)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Définition : Compte administrateur

A

comptes qui ont des privilèges élevés et peuvent effectuer des changements dans les environnements et dans les systèmes informatiques.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Définition : Compte fonctionnel

A

Les comptes fonctionnels identifient des systèmes, applications ou services ou un groupe d’utilisateurs (pas un utilisateur en particulier) et ont des accès limités pour des tâches spécifiques ou de manière automatisée.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Quelles sont les 5 règles des comptes réguliers
1. **Interdiction sans mot de passe**: Les comptes sans mot de passe sont interdits. 2. **Pas de partage**: Les comptes ne doivent pas être partagés. 3. **Propre compte**: Chaque utilisateur doit avoir son propre compte pour éviter les contestations. 4. **Unique**: Chaque compte doit être unique et suivre les normes de l'entreprise. 5. **Statut actif**: Les propriétaires de comptes doivent être actifs dans le répertoire de l'entreprise.
26
Quelles sont les 4 règles des comptes administrateurs
1. **Utilisation spécifique**: Utiliser uniquement pour des *tâches nécessitant* des privilèges élevés (configurations, modifications). 2. **Privilèges temporaires**: Attribuer les privilèges administratifs *seulement au besoin* et *les retirer après achèvement des tâches*. 3. **Journalisation**: *Enregistrer toutes les transactions* des comptes administratifs dans les *journaux des systèmes*. 4. **Pas de tâches régulières**: *Ne pas utiliser* pour des tâches quotidiennes comme les emails.
27
Nommez 3 types de comptes fonctionnels
1. **Courriel**: représente un groupe d’utilisateurs ou un service ex.: finances@plasti-tech.com. 2. **Système**: Compte machine ou compte pour processus informatisé (¨Script¨) pour authentifier des équipements (serveurs, stations, M to M, etc.). 3. **Partagé**: Compte d’utilisateur qui sera partagé entre plusieurs utilisateurs.
28
Vrai ou faux : Les comptes fonctionnels peuvent identifier un utilisateur dans les systèmes de journalisation d'une entreprise.
Faux. - Un compte fonctionnel ne peut identifier un utilisateur en particulier dans les systèmes de journalisation de l’entreprise.
29
Nommez le plus gros problème dans l'industrie par rapport aux mots de passe
L'utilisation du même mot de passe sur différents systèmes
30
Nommez les 4 facteurs affectant la robustesse des mots de passe.
1. La **longueur**: La *quantité* de caractères utilisés dans la composition du mot de passe. 2. **Combinaison** de **caractères alphanumériques**: Des lettres de l’alphabet (A à Z) en *minuscules et en majuscules* et des *caractères numériques comprenant les chiffres 0 à 9*. 3. Caractères **spéciaux**: Ex.: @, /, %, &, $ 4. Expressions **uniques**: *introuvables* dans les dictionnaires des langues parlées des utilisateurs.
31
Pourquoi de nombreuses entreprises répartissent-elles des services TI à des fournisseurs de services spécialisés (4 raisons) ?
1. *Requiers moins de **ressources spécialisées*** en TI (main d’oeuvre). 2. ***Accès rapide** aux infrastructures TI* (Cloud). 3. *Diminution des **travaux de soutien*** (maintenance des systèmes, application des correctifs, gestion des mises à jour, etc.) 4. *Diminution des **coûts** d’infrastructure TI* ($ pour équipement).
32
Quels sont les 4 désavantages à répartir des services TI à des fournisseurs de service spécialisé?
1. **Pertes de connaissances techniques** au sein de l’entreprise. 2. **Dépendance aux fournisseurs** de service. 3. **Perte d’autonomie** (particulièrement dans le développement). 4. **Augmentation des coûts** d’opération TI.
33
Quels sont les 2 modèles de répartition pour les services TI qui sont donnés à sous-contrat à des fournisseurs de service spécialisé?
1. Hébergement **externe**; chez le fournisseur 2. Hébergement **interne**; chez le client.
34
Quels sont les 3 niveaux de criticité et quelle est la durée maximale de panne tolérable qui les défini?
1. **Critique**: Maximum 8 heures a. Impact financier élevé, Arrêt d’une ou de plusieurs usines b. Effet ressenti par plus de 50% des utilisateurs 2. **Important**: Maximum 2 jours a. Ralentissement de production des employés ou d’une usine b. Effet ressenti par 20% à 50% des utilisateurs 3. **Régulier**: Maximum 5 jours a. Faible impact, peu importe le nombre d’utilisateurs touchés
35
Quels sont les 4 types d'architectures (protection) des CTRL industriels?
1. **Monolithique**: Segment isolé d’une usine unique, sans connexion internet 2. **Partagée entreprise**: Toujours sans connexion internet, mais le réseau est relié entre les usines 3. **Partagée entreprise hybride**: Réseau inter relié entre les usines, avec connexion avec un fournisseur cloud via Internet (infonuagique) 4. **Infonuagique** (IaaS, "Infrastructure as a Service"): Le réseau de production est relié à un fournisseur Cloud (Internet)
36
Quelles sont les principales vulnérabilités des contrôles industriels sur réseaux TCP/IP ? (10 items)
* La cybersécurité versus les systèmes de contrôle industriels * Les systèmes de contrôle sans capacité de processeur OS. * Accès non-autorisé aux systèmes de contrôle * Infections virales * Renifleur réseautique (Network sniffing) * Attaques de Rançongiciel (Ransomware) * Systèmes d’exploitation expirés * Élargissement réseautique sans diligence de sécurité. * Vulnérabilités physiques des composantes ICS * Employés malveillants
37
Quelles sont les différentes stratégies et recommandations de protection des ICS (8 items)?
* Analyse et études de cas * Débuter par l’inventaire des composantes. * Établissement des périmètres réseautiques * La gestion des identités et des accès * Encryption (chiffrement) des informations * Surveillance SOC/SIEM * Application des correctifs ( ̈Patches ̈) de sécurité * Stratégie de replacement des équipements
38
Quelles sont les 2 grandes utilités des services SOC/SIEM ?
1. Centralisation des journaux 2. Surveillance SIEM (Security information and event management)
39
Quel est le délai de l'application d'un correctif (patch) sur un système critique ?
15 Jours
40
Quel est le délai de l'application d'un correctif (patch) sur un système régulier?
3 Mois
41
À quoi sert la journalisation des systèmes? (5 points)
1. Contrôler le volume d’utilisation des ressources informatiques et détecter les anomalies pour assurer une qualité de service et faire évoluer les équipements en fonction des besoins. 2. Vérifier les règles en matière de sécurité et détecter toute défaillance ou anomalie volontaire ou accidentelle, passive ou active, d’origine matérielle ou humaine. 3. Détecter les utilisations des systèmes informatiques contraires au Code d’éthique et de conduite de l’entreprise. 4. Fournir des éléments de preuves nécessaires pour mener des enquêtes en cas d’incidents (« Forensic »). 5. Porter assistance au processus de diagnostic lors de procédures de remédiation des systèmes informatiques.
42
Les journaux des systèmes informatiques sont classifiés dans quelle catégorie de documents et pourquoi?
Confidentiels, en raison de la sensibilité et l'intégrité des informations.
43
Qu'est-ce qui est journalisé pour l'item suivant : Serveurs et postes de travail
- l’identification des utilisateurs - les dates et les heures des accès - les résultats d’authentifications (succès ou échec) - les commandes passées
44
Qu'est-ce qui est journalisé pour l'item suivant : Services de courriel et messagerie
- les informations de l’expéditeur (adresse) - les adresses des destinataires - les dates et les heures des messages - les différents serveurs de transmission des messages - le traitement « accepté ou rejeté » des messages - la taille du message - les résultats du traitement des courriels non sollicités (SPAM) - les résultats des logiciels antiviraux
45
Qu'est-ce qui est journalisé pour l'item suivant : Serveurs Web
- les noms DNS ou les adresses IP des utilisateurs (demandeurs) - les URL des pages consultées - les informations fournies par le client - le type de la requête - la date et l’heure des requêtes - le volume des données transmises - les différents paramètres passés
46
Qu'est-ce qui est journalisé pour l'item suivant : Les équipements réseautiques
- les noms DNS ou adresses IP des sources et des destinations - les dates et les heures des connexions - les numéros de port et les protocoles utilisés des sources et les destinations - les dates et les heures des transactions - le nombre de paquets et le nombre d’octets transférés - les messages d’alerte
47
Qu'est-ce qui est journalisé pour l'item suivant : Les applications
- les identités des utilisateurs - les dates et les heures des accès et des transactions - les commandes passées - les transactions effectuées - les volumes des données transférées
48
Que signifie l'acronyme "SCADA" et quelle est sa définition ?
Supervisory Control and Data Acquisition est une architecture de contrôle industriel qui utilise des ordinateurs et de la réseautique pour gérer et contrôler des systèmes et des périphériques tels des PLC (¨Programmable Logic Controller¨), des automates et autres composantes.
49
Qu'est-ce qui définit une architecture Monolithique (Stand alone) ?
Segment réseautique de production pour usine unique ou par usine indépendant des autres usines et du réseau interne de l’entreprise sans aucune connexion à l’internet. • Les PLCs, les SCADAs, etc. sont gérés à l’usine. • Pas IoT • Pas AI • Aucun support à distance (tout se fait à l’usine)
50
Qu'est-ce qui définit une architecture partagée entreprise ?
Segment réseautique de production relié avec les autres usines par le réseau interne de l’entreprise sans connexion à l’internet. • Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à partir du réseau interne de l’entreprise. • Possibilité d’AI qui est limitée aux données de l’entreprise. • Le support à distance à partir du réseau interne de l’entreprise est disponible.
51
Qu'est-ce qui définit une architecture partagée entreprise hybride ?
Segment réseautique de production relié avec les autres usines par le réseau interne de l’entreprise avec connexion à un fournisseur de service infonuagique via l’internet: • Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à partir du réseau interne de l’entreprise. • AI provient d’un fournisseur de service spécialisé. • Possibilité de support à distance à partir du réseau interne de l’entreprise et de l’internet.
52
Qu'est-ce qui définit une Architecture infonuagique IaaS (¨Infrastructure as a Service¨) ?
Segment réseautique de production relié à un fournisseur spécialisé infonuagique (¨Cloud¨) via l’internet: • Les PLCs, les SCADAs, etc. sont gérés par un fournisseur infonuagique spécialisé à partir de l’internet. • AI provient du fournisseur de service • Support provient 100% du fournisseur
53
Quelles sont les 7 points d'une analyse et étude de cas ?
1. Comprendre le domaine du manufacturier (c’est quoi qu’ils font ?) 2. Comprendre les objectifs de l’entreprise en matière de production 3. Comprendre les enjeux en matière de santé, de sécurité, d’environnement, financier, conformité, etc. 4. Envisager les pires scénarios où une catastrophe pourrait se produire. 5. Analyser les systèmes de gestion ICS en place 6. Envisager des protections logiques et physiques 7. Émettre des recommandations
54
Qu'est-ce que l'inventaire des composantes (CTRL Industriels) doit spécifier, entre autres ?
- Les composantes intelligentes munis d’OS - Les équipements sans processeur - Leurs fonctions - Protocole de télécommunication - Niveau de criticité (Critique, Important et Régulier) - Équipement de relève ? - Les types d’ICS émetteurs (¨Out Bound¨) - Les types d’ICS récepteurs (¨Inbound¨) - Les types d’ICS émetteur et récepteurs (¨Inboud/Outbound¨) - Les types d’ICS contrôlés par console (PLC/SCADA) - Diagramme des segments réseautiques (¨subnet¨)
55
Nommez des exemples de contrôle des périmètres réseautiques.
- Vérification de la provenance d’une adresse IP spécifique lors de l’émission d’une commande sensible (ouverture/fermeture de valve, command d’arrêt d’un système, commande de déroutage des fluides - Forcer une réauthentification à double facteur lors de réception d’une commande sensible - Bloquer des commandes de contrôle à des heures ou des périodes spécifiques - Plusieurs autres scénarios de protection à être analyser selon le type de manufacture industrielle - Systèmes de protection NIDS/NIPS (¨Network Intrusion Detection & Prevention¨) - Présence de pare-feux entre chaque segment réseautique
56
Quelles sont les 5 différentes stratégies et recommandations de protection des ICS ?
1. La gestion des identités et des accès 2. Encryption (chiffrement) des informations 3. Surveillance SOC/SIEM 4. Application des correctifs (¨Patches¨) de sécurité des équipements qui supportent les applications ICS. 5. Stratégie de replacement des équipements
57
Nommez 5 évènements que les services SOC/SIEM peuvent détecter en terme de sécurité.
* Détection de bris d’équipement * Tentative d’intrusion réseautique * Intrusion de système * Élévation de privilèges non planifiée * Vols d’information (si DLP activé)
58
Nommez quelques exemples de cas de surveillance (use cases) des services SOC/SIEM.
* Arrêt/démarrage de serveurs critiques * Arrêt/démarrage de services critiques * Suppression de journaux (logs) de système * Compte créé et supprimé en 24 heures * Brute force attack sur un compte * Comptes barrés à maintes reprises * Activation de compte administratif * Ajout d’un compte à un groupe de privilège élevé * Tentative d’accès d’un compte d’un employé terminé * Tous les changements de configuration/politique de sécurité de AD * Violation de règles de pare-feu applicatif * Échec de mise à jour de signatures virales * Attaques virales (virus/malveillant) * Détection d’utilisation de protocoles proscrits (FTP, Telnet, etc.) * Alertes IDS réseautiques
59
Pourquoi l'horodatage (NTP) est-elle importante ?
Afin d’assurer l’intégrité des informations et des évènements, il est important que les systèmes informatiques obtiennent la date et l’heure à partir de sources officielles et communes. Un synchronisme du protocole NTP (¨Network Time Protocol¨) est nécessaire pour tous les équipements branchés sur des réseaux internes.
60
Quelles sont les 9 étapes à suivre lors de la configuration des systèmes ?
1. L’installation du système d’exploitation 2. Faire les mises à jour du système d’exploitation et appliquer les correctifs (¨Patches¨) selon les recommandations du vendeur. 3. Les paramètres de sécurité doivent être configurés selon les recommandations de la gouvernance. 4. Voir à l’installation des applications et des logiciels selon la fonction primaire de l’équipement. 5. Mettre à jour les logiciels et les applications selon les plus récentes versions et les recommandations du vendeur. 6. Les comptes qui ne sont pas utilisés doivent être désactivés. 7. Renommer les comptes administratifs par défauts et changer leurs mots de passe. Les noms de comptes ne peuvent divulguer les privilèges ou les rôles administratifs (admin, back up, etc.) 8. Activation de la journalisation du système. 9. Désactiver les services et les protocoles non sécuritaires (consulter la table des protocoles proscrits dans du cours # 6).
61
Nommez les 9 principales règles de sécurité pour les logiciels anti-malveillants.
• Les suites de logiciels de sécurité doivent être en mesure de détecter, d’éradiquer, de supprimer et de protéger les équipements contre tous les types de logiciels malveillants connus tels les virus, les vers informatiques, les chevaux de Troie, les logiciels espions, les « Root Kit », etc. • Les mises à jour des fichiers de menace (signatures virales) doivent être automatiques et installées sur chaque poste de travail et chaque serveur. • Les mises à jour des logiciels antivirus et les nouvelles signatures doivent être téléchargées et installées sur les équipements dès qu’elles sont disponibles. • Des analyses rapides de détection virales doivent être configurées pour qu’elles soient exécutées quotidiennement sur les postes de travail et les équipements portatifs. • Seuls les administrateurs TI de l’entreprise sont autorisés à changer les configurations, activer ou désactiver les logiciels antivirus sur les postes de travail et les équipements portables. Les permissions des utilisateurs se limitent à lancer des balayages (« Scans ») sur demande. • Des analyses complètes de détection virales doivent être configurées pour qu’elles soient exécutées hebdomadairement sur les postes de travail et les équipements portatifs. • Afin d’éviter des propagations, les équipements infectés ou suspectés d’être infectés de virus doivent si possible être débranchés du réseau interne de l’entreprise dans les plus brefs délais. • Les systèmes de courriel doivent bloquer et empêcher la transmission des messages ayant des fichiers exécutables comme pièces jointes telles des .EXE, .BAT, .CMD, etc. Consultez la liste des extensions bloquées d’Outlook de Microsoft. • Des balayages de détection virale doivent être déclenchés automatiquement lors de détection de médias portatifs tels les clés USB, « Flash Drive », et disques externes avant de les utiliser.
62
Quels sont les 3 types de sauvegarde et ce qui les définit ?
Complète: Cette méthode permet de copier toutes les données indépendamment des modifications depuis la précédente sauvegarde. Différentielle: Cette méthode permet de conserver toutes les modifications depuis la sauvegarde complète. Incrémentale: Cette méthode permet de conserver toutes les modifications depuis la précédente sauvegarde. Ce qui signifie que la préservation des données est effectuée depuis les sauvegardes incrémentales précédentes.
63
Quelle est la règle du 3-2-1 quand on parle de sauvegarde des informations ?
trois (3) copies des informations qui seront sauvegardées sur deux (2) médias différents avec une (1) copie située à l'extérieur du centre des données.
64
Quel est le délai d'application pour une Mise à jour Critique sur un système Critique ?
15 jours
65
Quel est le délai d'application pour une Mise à jour Critique sur un système Important ?
1 mois
66
Quel est le délai d'application pour une Mise à jour Critique sur un système Régulier?
1 mois
67
Quel est le délai d'application pour une Mise à jour Importante sur un système Critique ?
1 mois
68
Quel est le délai d'application pour une Mise à jour Importante sur un système Important ?
2 mois
69
Quel est le délai d'application pour une Mise à jour Importante sur un système Régulier ?
3 mois
70
Quel est le délai d'application pour une Mise à jour Moyenne sur un système Critique ?
3 mois
71
Quel est le délai d'application pour une Mise à jour Moyenne sur un système Important ?
3 mois
72
Quel est le délai d'application pour une Mise à jour Moyenne sur un système Régulier?
3 mois
73
Les critères d'attribution des niveaux de sévérité des mises à jour sont basé sur quoi? (3 points)
1. Les recommandations des fournisseurs; 2. L’applicabilité dans l’entreprise; 3. L’exposition à la vulnérabilité (menace).
74
Comment vérifie-t-on l'état de la sécurité et de la conformité des infrastructures réseautiques et des systèmes informatiques ?
Par des balayages de vulnérabilité et des tests d'intrusion. Il s’agit de détecter des failles dans les configurations des systèmes informatiques pour ensuite les remédier et rendre les environnements plus robustes contre les intrusions.
75
Qu'est-ce qu'un Balayage (Scan) de vulnérabilité ?
vérifications de sécurité en effectuant des balayages des ports de connexions sur une machine spécifique (serveur ou poste de travail) ou un réseau tout entier. vérifier l’état des mises à jour des correctifs et des packs de service. Ces balayages peuvent être automatisés et sont non intrusifs. (Exemples d’utilitaires: Nessus, Tripwire, Wireshark, Aircrack, etc.)
76
Qu'est-ce qu'un Test d’intrusion (¨Penetration Test¨ ou ¨Ethical Hacking¨) ?
Il s’agit d’une simulation d’intrusion autorisée pour identifier les faiblesses et les vulnérabilités d’un système informatique ou d’une application web que des pirates informatiques pourraient exploiter. Ces tests sont intrusifs et doivent être effectués en laboratoire ou en environnement de test. Il est fortement déconseillé d’effectuer ces tests dans des environnements de production.
77
Quels sont les niveaux de sévérité des vulnérabilités et leur score CVSS respectifs ?
- Entre 0 et 3.9 : Sévérité Faible - Entre 4 et 6.9 : Sévérité Moyenne - Entre 7 et 10 : Sévérité Élevée
78
Que signifie l'acronyme CVSS ?
Common Vulnerability Scoring System
79
Dans quelles conditions les balayages de vulnérabilité et des tests d’intrusion doivent-ils être exécutés ? (5 points)
1. Avant la mise en production de nouveaux équipements (serveurs, routeurs, pare-feu). 2. Avant le déploiement de nouvelles images (configurations) d’ordinateurs de table et portatifs. 3. Lors de changements significatifs aux systèmes informatiques. 4. Lorsque des procédures de nettoyage ont été complétées sur un système informatique qui a été victime d’une attaque virale ou d’injection de logiciel malveillant. 5. Selon une table de fréquence basée sur les niveaux de criticité des systèmes et d’échantillonnages.
80
Quelles sont les 5 étapes à suivre lors des balayages de vulnérabilité ?
1. Appliquer les mises à jours et les correctifs (patches) aux environnements et aux équipements des segments réseautiques qui feront l’objet d’un balayage de vulnérabilité. 2. Effectuer les balayages de vulnérabilité selon la gestion de changement de l’entreprise. 3. Appliquez les recommandations de remédiation énumérées dans le rapport de balayage de vulnérabilité. 4. Effectuer un balayage de vulnérabilité pour confirmer les efforts de remédiation. 5. Répétez le processus selon la table des fréquences des balayages (prochaine page).
81
Quelle est la Fréquence et échantillonnage des balayages de vulnérabilité pour les différents niveaux de criticité des systèmes et applications? (Critiques, Importants, Réguliers)
- Critiques : Tous les 3 mois, échantillonnage (Adresses IP): 100% - Importants : Tous les 3 mois, échantillonnage : 50% - Réguliers : Tous les 6 mois, échantillonnage : 25%
82
Nommez des exemples de vulnérabilités connues pour les applications informatiques
• Erreurs de codage affectant l’intégrité des informations. • Objet ou fonction non sécuritaire pouvant être exploité. • Procédure outrepassant les authentifications et les privilèges (accès direct à la BD, téléchargement sans authentification). • Mauvaise gestion des réinitialisations des variables contenant des informations confidentielles pouvant être écrites dans des fichiers ¨Swap Temp¨ sur disque.
83
Quelles est le Top 10 des vulnérabilités classées par OWASP
1. Injection 2. Bris d'authentification 3. Exposition du data sensible 4. Entité externe XML (Extensible Markup Language) 5. Bris de gestion des accès 6. Mauvaises configurations de sécurité 7. Cross Site Scripting (XSS) 8. Désérialisation insécure 9. Utilisation d'éléments vulnérables 10. Journalisation (logs) inadéquate 2021 : 1. Contrôles d'accès défaillants 2. Défaillances Cryptographiques 3. Injection 4. Conception non sécurisée 5. Mauvaise configuration de sécurité 6. Composants vulnérables / obsolètes 7. Identification et authentification de mauvaise qualité 8. Manque d'intégrité des données et du logiciel 9. Carence des systèmes de contrôle et de journalisation 10. Falsification de requête côté serveur
84
Quelle est la liste de ce que doivent avoir les équipes de développement ? (8 points)
1. Méthodologie de développement connue (ex.: OWASP). 2. Cédule de révision des codes sources (hebdomadaire). 3. Ségrégation des tâches à l’intérieur du groupe (développeurs, DBA, sys admin, tester, etc.) 4. Procédures de gestion des versions des codes sources. 5. Les codes sources doivent être clairement documentés. 6. Documentation relative aux bases de données (dictionnaire de data). 7. Environnement de test (ou Dev), avec des plans de test documenté. 8. Procédure de gestion de changement documentée et tenue à jour.
85
À quoi doivent porter une attention particulière les équipes de développement ?
Aux étudiants stagiaires. Les codes sources sont considérés comme propriété intellectuelle.
86
Vrai ou faux : Des tests peuvent être conduits dans des environnements de production.
Faux.
87
Vrai ou faux: Le data utilisé dans les environnements de test doit être le même que dans les environnements de production pour correctement tester l'affichage des données.
Faux : Les environnements de test sont souvent ciblés par les pirates informatiques. Car souvent les contrôles de sécurité ne sont pas appliqués comme dans les environnements de production. Pour cette raison, le data utilisé dans les environnements de test doit être déclassifié.
88
Quels sont les 4 domaines des équipes de cybersécurité en entreprise ?
1. Gestion et gouvernance 2. Architecture (infrastructure) 3. Opérations de sécurité. 4. Analystes de sécurité
89
Quelles sont les responsabilités de l'équipe de cybersécurité dans le domaine "Gestion et gouvernance" ?
- Administration de l’équipe de cybersécurité - Gestion des budgets ($) - Priorisation des gestions de risque - Maintient du cadre de la politique de cybersécurité - Responsable des contrôles de sécurité - Formation et sensibilisation - Gestion des exceptions à la politique et acceptations de risque
90
Quelles sont les responsabilités de l'équipe de cybersécurité dans le domaine "Architecte (infrastructure)" ?
- Établissement des standards de sécurité de l’entreprise. - Services d’authentification - Services de réinitialisation des mots de passe (SSPR) - Sécurité des centre de données et services de sauvegarde - Gestion des journaux des systèmes informatiques (Logs). - Responsable des standards des images (configurations) des postes de travail et des serveurs. - Sécurité des télécommunications (network map)
91
Quelles sont les responsabilités de l'équipe de cybersécurité dans le domaine "Opérations de sécurité" ?
- Contrôle des accès (comptes d’utilisateurs) - Gestion des privilèges - Gestion des rôles d’accès - Gestion des identités - Balayages de vulnérabilité - Tests d’intrusion - Surveillance réseautiques et des journaux informatiques (logs) - Gestion des incidents de sécurité - Gestion des contrôles de sécurité (anti-virus, anti-malware, etc.) - Gestion des certificats de sécurité
92
Quelles sont les responsabilités de l'équipe de cybersécurité dans le domaine "Analystes de sécurité" ?
- Analyses de sécurité des nouveaux projets de déploiement de technologie et des services existants. - Conseillers experts en cybersécurité (SME) - Analyses des exceptions à la politique et des acceptations de risque. - Analyses de conformité (pas des audits) - Contrôles compensatoires
93
Nommez quelques certifications reconnues du personnel en cybersécurité.
* CISSP (Certified Information Systems Security Professional) * CISM (Certified Information Security Manager) * CISA (Certified Information Security Auditor) * CEH (Certified Ethical Hacker) * Certificat en cybersécurité (30 crédits)
94
Quelle est la dernière ligne défensive des stratégies de cybersécurité et de la protection des informations?
L'encryption.
95
Quelles sont les 3 niveaux que se fait l'encryption ?
* Informations statiques (¨Data at Rest¨) * Informations en transit (¨Data in Transit¨) * Double chiffrement (¨Double Encryption¨)
96
Expliquez ce qu'est l'item suivant: Informations statiques (¨Data at Rest¨)
Informations qui sont conservées et sauvegardées dans des bases de données, des serveurs de fichier, des systèmes de collaboration, des médias de sauvegarde, des systèmes de gestion des journaux (« Logs »), des disques durs d’ordinateur de table et d’ordinateur portatif, des clés USB, des disques CD et DVD.
97
Expliquez ce qu'est l'item suivant: Informations en transit (¨Data in Transit¨)
Transmission ou téléchargement des informations sur réseau TCP/IP public (internet), réseau privé, transmission par signaux WiFi et transmission par réseau cellulaire.
98
Expliquez ce qu'est l'item suivant: • Double chiffrement (¨Double Encryption¨)
Pour les systèmes hautement sécuritaires, un double-chiffrement (double-encryption) est possible. Il s’agit de chiffrer les informations avec un algorithme et chiffrer les transmissions avec un algorithme différent. Ce processus génère deux (2) clés de chiffrement différentes. Donc la transmission et le data sont chiffrés.
99
Quels sont les 3 types de chiffrement ?
1. Chiffrement symétrique 2. Chiffrement Asymétrique 3. Le Hachage
100
Qu'est-ce que le chiffrement symétrique ?
Le chiffrement symétrique est une méthode d’encryption dont la même clé est utilisée pour le chiffrement et le déchiffrement.
101
Qu'est-ce que le chiffrement asymétrique ?
Le chiffrement asymétrique utilise deux clés différentes soit une « clé publique » servant au chiffrement et une « clé privée » servant au déchiffrement. Le chiffrement asymétrique offre la possibilité de signature électronique (signature numérique) pour fin d’authentification, d’intégrité et de non-répudiation. Notez qu’il est mathématiquement impossible de déduire une clé privée à partir de sa clé publique.
102
Qu'est-ce que le hachage ?
Le hachage est une méthode de transformation d’une ligne de caractère à une ligne numérique qui est non réversible d’où vient le terme « One Way Hash ». Cette méthode est très sécuritaire pour protéger des informations telles des codes d’utilisateur et des mots de passe. Le hachage n’est pas recommandé pour la protection des documents.
103
Donnez des exemples qui exigent du chiffrement.
- Renseignements personnels - Informations financières - Dossiers médicaux - Informations d'affaires confidentielles
104
Donnez un exemple de chiffrement symétrique.
AES (Advanced Encrypted Standard) avec une longueur de clé 256bits
105
Donnez un exemple de chiffrement asymétrique.
RSA (Rivest Shamir Adleman) avec une longueur de clé 2014bits et PGP (Pretty Good Privacy)
106
Donnez un exemple de hachage.
SHA (Secure Hash Algorythm) versions SHA2 et SHA3
107
Donnez des exemples de chiffrement des télécommunications.
TLS (Transport Layer Security)V1.2 et v1.3, SSH (Secure Shell), SFTP ( Secure File Transfer Protocol), FTPS (File Transfer Protocol Secure), POP3 over TLS (Post Office Protocol over TLS)
108
Donnez des exemples de chiffrement des ondes WiFi.
WPA2 (WiFi Protected Access) WPA+AES WPA+TKIP
109
Quel est le but de la pratique de la rétention des informations?
Prescrire des spécifications de rétention basées sur les lois en vigueur, les exigences d’affaires et le respect de la vie privée.
110
Quels sont les 8 domaines des prescriptions de rétention pour la majorité des industries ?
1. Administration et gestion 2. Finances et comptabilité 3. Ressources immobilières et mobilières 4. Ressources humaines 5. Service à la clientèle 6. Informatique et technologie 7. Services médicaux 8. Légal
111
Nommez des exemples de prescriptions de rétention pour : Ressources Humaines (RH)
Dossiers du personnel Dossiers des stagiaires Offres d’emplois Descriptions de tâche T4, TP4 et relevés 1 Talons de paye Feuilles de temps Activités de formation et de perfectionnement Dossiers d’évaluation de la performance Réclamations d’assurances Dossiers produit par L'employé
112
Nommez des exemples de prescriptions de rétention pour : Service à la clientèle
Dossiers clients Publicité Contrats Ventes (statistiques) Service après vente Plaintes Étude de marché
113
Nommez des exemples de prescriptions de rétention pour : Informatique et technologies
Journaux (logs) Courriels supprimés Agendas électroniques Rapports de vérification de conformité (audit)
114
Nommez des exemples de prescriptions de rétention pour : Finance et comptabilité (Rétention par défaut= 7 années)
Comptes débiteurs et factures Relevés de comptes États des recettes déboursés Avis de paiement Journaux et écritures comptables Impôts et taxes Rapports retenues à la source Petite caisse États financiers Honoraires Prévisions budgétaires
115
Le recyclage des supports | imprimés est possible pour les actifs informationnels qui ont quelle(s) classification(s) ?
« Internes» et « Publics » La destruction des supports imprimés, tel le déchiquetage, est requise pour les actifs informationnels qui sont classifiés « Confidentiels ».
116
Comment supprime-t-on sécuritairement les supports électroniques ?
La suppression de l’information selon une méthode qui consiste à « écraser » le contenu original des supports en réécrivant par-dessus (¨Cluster Over writing¨) est considérée comme acceptable pour les supports électroniques réutilisables sans reformatage.
117
Quelles sont les 4 méthodes efficaces de destruction des supports électroniques ?
1. Désintégration 2. Incinération 3. Déchiquetage 4. Fonte
118
Combien de fois un formatage simple à haut niveau (tel le formatage rapide) doit-il est répété pour s'assurer que toutes les informations ont été retirées des clusters des disques?
5 fois.
119
Pourquoi les bureaux d’assistance sont la cible préférée de l’ingénierie sociale ? (4 raisons)
1. En raison de la culture des agents de 1ière ligne dont leur vocation est de porter assistance et aider les utilisateurs (se sont des aidants naturels). 2. Les agents de 1ière ligne sont entrainés à donner le meilleur service le plus rapidement possible. 3. Les agents de 1ière ligne ont accès à des informations sensibles tels les bottins d’entreprise, renseignements sur le personnel, informations corporatives, etc. 4. Les criminels qui pratiquent l’ingénierie sociale le savent et utilisent ces vulnérabilités d’une façon surprenante.
120
Comment les ingénieurs sociaux font ? (4 méthodes)
1. L'autorité 2. Désir d'intégration social 3. Désir d'aider 4. Persuasion
121
À quoi se limite-elle la portée de la sécurité physique de la politique de cybersécurité ?
Aux équipements informatiques principalement dans les centres de données ou les salles d’équipements informatiques.
122
Quelles sont les différences entre les salles d’équipement et les centres de données ?
Salle d’équipement informatique: Est une salle ou une pièce dédiée à l’hébergement des équipements informatiques et des équipements de télécommunication normalement pour une seule entreprise. La dimension de la salle ainsi que la quantité d’équipement peuvent varier. Centre de données: Un centre de données (Data Center) est un lieu d’hébergement des équipements informatiques regroupant des systèmes d’information pour un ou plusieurs clients. La presque totalité de l’espace de l’édifice est dédiée à l’hébergement des équipements informatiques.
123
Quelles sont les 7 menaces relatives aux centres de données ?
1. Température ambiante 2. Taux d'humidité ambiante 3. Fuite de liquide 4. Accès non autorisé 5. Fumée et incendie 6. Électrostatique 7. Évènement majeur
124
Quelles sont les 7 règles et conditions pour l'établissement des centres de données ?
1. L’édifice qui héberge le centre de données doit être commercialement viable et doit être équipé de ressources électriques suffisantes (ampérage et voltage). 2. Les centres de données doivent être localisés à des endroits sécuritaires où les risques d’accidents sont maintenus au minimum. Entre autres les centres de données ne devraient pas être localisés à des endroits où les risques de collision et d’accidents sont élevés. Ex. : édifice localisé dans le bas d’une pente prononcée, édifice à proximité d’une sortie d’autoroute. 3. Les salles d’équipement doivent avoir une seule vocation unique soit l’hébergement des équipements informatiques, celles-ci ne peuvent être utilisées à d’autres fins. 4. Les salles d’équipement des centres de données ne peuvent être munis de fenestration et des portes donnant accès à l’extérieure du bâtiment. 5. Les centres de données doivent être munis d’espace prévue pour le câblage des équipements et des ordinateurs via un double plancher ou des rails à câblage plafonniers. 6. Les portes donnant accès aux centres de données doivent être pleines, sécuritaires et sans fenestration. Les pentures des portes ne peuvent être accessibles à l’extérieure de la salle du centre de données. 7. Les portes donnant accès aux salles d’ordinateur doivent être fermées et maintenues verrouillées en tout temps. Elles doivent être reliées à un système d’alarme au cas d’ouverture non autorisée.
125
Quelles sont les 3 règles de prévention des incendies pour les centres de données ?
* Les centres de données doivent être munis de détecteurs de fumée, de détecteurs de chaleur et de détecteurs de flamme. Les quantités de détecteurs doivent être selon les recommandations des manufacturiers qui sont basées sur les espaces à protéger. Les détecteurs doivent être remplacés selon les recommandations des manufacturiers qui ne devraient pas dépasser dix (10) années (la même règle s’applique à la maison). * Les centres de données doivent être équipés d’extincteurs de classe D pouvant combattre des incendies de métaux. Les règles suivantes s’appliquent : - Deux (2) extincteurs sont requis par 150 mètres carrés. - Les extincteurs doivent être portables et ne devraient pas dépasser un poids de 6 kilos. - Les extincteurs doivent être placés à des endroits visibles et leurs localisations doivent être clairement identifiées. - Les extincteurs à base d’eau et de gaz CO2 sont interdits dans les centres de données. * La présence de matériel inflammable ainsi que l’utilisation de solvant inflammable sont strictement interdites.
126
Quelles sont les 4 règles de prévention des inondations pour les centres de données ?
• Les tuyaux de plomberie contenant des liquides doivent être déroutés afin de contourner les espaces des centres de données. • Les salles d’équipements informatiques ne doivent pas être branchées sur le système de gicleur de l’édifice. • Les centres de données doivent être localisés à des endroits stratégiques où les risques d’inondation ou des dégâts d’eau sont maintenus au minimum. Les centres de données ne devraient pas être localisés à des étages inférieurs au rez-de-chaussée où les risques d’inondation s’avèrent élevés dans le cas d’un déclenchement d’un système de gicleur. • Des salles d’eau contenant des toilettes et/ou des douches ne peuvent être localisées au-dessus des centres de données.
127
Quelles sont les 6 règles et conditions pour les contrôle des accès dans les centres de données ?
• Seul le personnel ayant des rôles d’assistance technique ou ayant des justifications d’affaire valable peut avoir accès aux centres de données. • Une liste du personnel autorisé doit être maintenue à jour et doit être révisée tous les trimestres (trois mois). • Toutes les portes donnant accès aux centres de données doivent être munies d’un système d’accès par cartes magnétiques et contrôlées par le groupe de gestion des accès. Les serrures à boutons poussoirs et les cadenas sont considérés non sécuritaires. • Des caméras dédiées doivent être pointées sur chaque porte donnant accès aux salles d’équipements informatiques. Ces caméras doivent fonctionner et enregistrer les allées et venues aux centres de données 7/24 ou être déclenchées par des détecteurs de mouvement. • Tous les contractuels et/ou les visiteurs incluant les vérificateurs ou les auditeurs doivent être accompagnés en tout temps par le personnel autorisé de l’entreprise. • Les périmètres des salles des centres de données munies de plafond suspendu ou de faux plafond doivent être sécurisés afin d’empêcher des infiltrations par les plafonds.
128
Quelles sont les mesures nécessaire de contrôle de température ambiante dans les centres de données ?
• Les centres de données doivent être équipés de système de chauffage et de climatisation adéquats pouvant maintenir la température de l’air ambiante à un niveau constant. • La température des salles d’ordinateur ne peut être inférieure à 18⁰C (64⁰F) et ne peut dépasser 25⁰C (77⁰F). • Les centres de données doivent être munis de thermomètres reliés à des alarmes.
129
Quelles sont les mesures nécessaire de contrôle de taux d'humidité ambiant dans les centres de données ?
• Le taux d’humidité dans les centres de données doit être maintenu stable entre 40% et 55% d’humidité. Les taux d’humidité peuvent être contrôlés par des déshumidificateurs ou par du chauffage. • Les centres de données doivent être munis de baromètre indiquant les taux d’humidité ou de capteur d’humidité.
130
Quelles sont les mesures nécessaire de contrôle de l'électricité et électrostatique dans les centres de données ?
• Afin d’assurer une alimentation électrique stabilisée, filtrée et continue, les centres de données doivent être équipés d’onduleur et de source électrique alternative (génératrice). • Les racks dans les centres de données doivent être branchés sur des mises à terre. • Les prises de courant qui alimentent les équipements informatiques doivent être munies de dispositif de protection automatique au cas de surcharges électriques. • Les recouvrements des planchers des centres de données doivent être antistatiques. Les recouvrements de tapis sont interdits.
131
Quelles sont les règles de sécurité des équipements informatiques dans les centres de données ?
• Les cabinets et les racks contenant les équipements informatiques doivent être disposés d’une façon propice et logique dans le centre de données. Il est préférable de regrouper les équipements ayant des fonctions similaires ou les mêmes systèmes d’exploitation. • Les cabinets et les racks doivent être solidement fixés au plancher réduisant les risques de basculement pouvant causer des chutes d’équipement. • Les espaces de ventilation entre les composantes doivent être respectés selon les recommandations des manufacturiers. Normalement elles se situent à environ 4cm. • Dans les cabinets et les racks, un espace de 30cm est requis entre le plancher de la salle et les premières rangées d’équipement. • Le câblage reliant les périphériques et les équipements informatiques doit être proprement attaché et fixé aux cabinets et aux racks. Les excès de câblage doivent être enroulés et attachés. • Afin de réduire les risques d’accidents et de bris d’équipement, les portes des cabinets doivent être fermées en tout temps lorsque les équipements ne sont pas en maintenance. • Certains équipements aspirent l’air frais par les portes avant et rejettent l’air chaud par les portes arrière. Les portes des cabinets et les prises d’air des équipements ne doivent pas être obstruées. • Les claviers des consoles des serveurs doivent être repliés, barrés ou retirés lorsqu’ils ne sont pas en utilisation. • Les centres de données doivent être maintenus propres et rangés en tout temps. Libres de tout obstacle pouvant provoquer un incident résultant à un bris d’équipement ou un accident pouvant causer des blessures.
132
Quelles sont les précautions à prendre concernant la sécurité du personnel dans les centres de données ?
• Le port d’équipement de sécurité tel des lunettes protectrices, des gants, des protecteurs auditifs (pour exposition sonore > 90dB), des chaussures de sécurité peut être nécessaire en fonction des travaux à exécuter. • Les techniciens qui doivent effectuer des travaux en hauteur dans le centre de données doivent utiliser des escabeaux sécuritaires isolés qui ne transmettent pas de courant électrique et électrostatique. • Les individus qui doivent travailler seuls dans des centres de données en dehors des heures normales de travail doivent suivre une procédure pour signaler leur présence toutes les deux (2) heures (Tracking). • Les techniciens qui doivent ouvrir les boitiers des équipements informatiques pour effectuer des travaux doivent suivre les recommandations des manufacturiers en ce qui a trait aux mises à terre et aux suppressions des courants électriques.
133
Quelles sont règles pour les sites de relève dans les centres de données ?
• Des liens privés de télécommunications à haute performance doivent relier les sites. • Des sauvegardes de type miroir doivent être effectuées automatiquement entre les systèmes critiques. • Un plan de recouvrement doit être établi décrivant les procédures et les étapes à suivre au cas d’un désastre ou un évènement majeur qui exigerait le site de relève. • Des essais de type DRP (¨Disaster Recovery Process¨) doivent être effectués annuellement.
134
Quels sont les 3 buts et objectifs d'une analyse de sécurité ?
1. Évaluer les niveaux de risque des services ou des systèmes informatiques internes et infonuagiques basés sur les potentialités et les impacts. 2. Réduire et maintenir les niveaux de risque des actifs informationnels de l’entreprise à un niveau acceptable en recommandant des contrôles et des méthodes pour assurer la confidentialité, l’intégrité et la disponibilité des informations et des systèmes informatiques. 3. Assurer et maintenir la conformité aux normes légales, aux exigences de certifications applicables et à la politique de sécurité de l’entreprise.
135
Dans quelles (4) circonstances une analyse de sécurité est-elle nécessaire ?
1. Lors de déploiement des nouvelles technologies. 2. Lors de la conception des logiciels. 3. Les systèmes qui traitent des informations classifiées confidentielles. 4. Les systèmes qui ont été victimes de nombreux incidents de sécurité.
136
Qui devrait participer à une analyse de sécurité ?
Toutes les personnes impliquées dans les processus décisionnel, de maintenance, de développement, de gestion et de support d’un service ou d’un système informatique: • Gestionnaire de projet • Représentant de l’unité d’affaires (utilisateur ou ¨Sponser¨) • Propriétaire ou gardien de l’actif informationnel • Administrateur du système • Tous les autres intervenants (développeur, fournisseur de service, hébergeur, etc).
137
Qu'est-ce que sont les risques inhérents ?
Il s’agit des risques indissociables de l’origine de leurs menaces. En sécurité de l’information on considère les risques inhérents comme les dangers qui peuvent subvenir sans la protection des contrôles et des méthodes de sécurité.
138
Qu'est-ce que sont les risques résiduels ?
Il s’agit des risques qui subsistent après l’application des contrôles et des méthodes de sécurité.
139
Quels sont les rôles et responsabilités d'un analyste de sécurité ?
• Analyser et établir les niveaux de risque (élevé, moyen et faible) ainsi que les potentiels que ces risques se matérialisent. • Au besoin coordonner les balayages de vulnérabilité ou des tests d’intrusion. • Produire le rapport d’analyse de sécurité en émettant des recommandations de sécurité par l’établissement de contrôle ou des procédures opérationnelles. • Présenter le rapport d’analyse de sécurité aux participants et valider les observations avant l’émission de la version finale du rapport. • Informez les participants des prochaines étapes selon les niveaux de risque. • Conseillez les participants sur les moyens ou les méthodes de remédiation acceptables. • Produire le rapport final de l’analyse de sécurité selon les directives de la Gouvernance.
140
Quels sont les rôles et responsabilités de la gouvernance ?
• Prioriser les calendriers d’analyses de sécurité. • Réception des rapports d’analyse de sécurité. • Enregistrer les recommandations dans le registre des recommandations de sécurité. • Négocier avec les commanditaires ou les propriétaires des actifs informationnels les prochaines étapes à suivre selon les niveaux de risque. • Informer la sécurité TI des décisions prises. • Faire les suivis des exceptions à la politique. • Au besoin ; voir au processus d’acceptation de risque ou escalader au comité de direction de l’entreprise.
141
Quels sont les rôles et responsabilités du commanditaire ou propriétaire de l’actif informationnel
• Faciliter la logistique des sessions d’analyse de sécurité et assure la coordination avec les différents intervenants et participants (ressources TI, fournisseurs de service, gestionnaire de projet, etc.). • Faire les suivis sur les requêtes d’information et de validation provenant de l’analyste de sécurité. • Recevoir et valider le rapport d’analyse de sécurité lors de la réception. • Mettre en place les contrôles et les recommandations de sécurité. Faire les suivis des exceptions à la politique. • Au besoin ; voir au processus d’acceptation de risque ou escalader au comité de direction de l’entreprise.
142
Quels sont les 3 niveaux de risques ?
• Risque Faible: Représente peu de risque à la confidentialité, à l’intégrité et à la disponibilité des systèmes et de l’information. Le service ou le projet peut donc passer à la prochaine étape ou en mode de production sans autres mesures. • Risque Moyen: Représente des inquiétudes à la confidentialité, à l’intégrité et à la disponibilité des systèmes et de l’information. Le service ou le projet peut donc passer à la prochaine étape ou en mode de production avec un plan de remédiation qui réduira le niveau de risque à faible dans les 3 à 6 mois suivants la prochaine étape. • Risque Élevé: Représente un danger imminent à la confidentialité, à l’intégrité et à la disponibilité des systèmes et de l’information. Le service ou le projet ne peut passer à la prochaine étape ou en mode de production sans avoir complété un plan de remédiation qui réduira le niveau de risque à moyen ou à faible.
143
Donnez des exemples de situations qui pourraient influencer les niveaux de risque en entreprise.
• Contrôle de sécurité manquant qui pourrait compromettre la confidentialité, l’intégrité et la disponibilité des actifs informationnels confidentiels (ex.: Pas d’encryption, paramètres de sécurité inexistants, etc.). • Défaillance dans la gestion des accès, des privilèges et des ségrégations des tâches. • État de non-conformité à la politique de sécurité de l’entreprise et des normes obligatoires (Ex.: Utilisation de protocoles proscrits Telnet, FTP). • Incapacité de produire les preuves exigées durant l’analyse de sécurité.
144
Quelles sont les 8 étapes de gestion des incidents de sécurité ?
1. Préparation 2. Création de l'équipe de gestion des incidents 3. Détection et évaluation 4. Procédure d'escalade 5. Procédure de confinement 6. Éradication 7. Retour à la normale 8. Suivis et rapports
145
Définition de la Cybersécurité
La cybersécurité est un ensemble de lois, de politiques, d’outils, de dispositifs de sécurité, des bonnes pratiques, des méthodes de gestion de risque, de formation et de sensibilisation pour protéger les personnes, les actifs informationnels/opérationnels et le matériel informatique contre les attaques, les intrusions, les fuites d’informations, les fraudes et les atteintes à la vie privée.
146
Deux (2) catégories de cybercriminalité *:
1. Infractions où la technologie est la cible – actes criminels qui ciblent des ordinateurs et d'autres technologies de l'information, comme ceux qui concernent l'utilisation non autorisée d'ordinateurs ou les méfaits concernant des données. 2. Infractions où la technologie est l'instrument – actes criminels commis à l'aide d'Internet ou de technologies de l'information, comme la fraude, le vol d'identité, la violation de propriété intellectuelle, le blanchiment d'argent, le trafic de drogues, la traite de personnes, les activités du crime organisé, l'exploitation sexuelle des enfants ou la cyberintimidation.
147
Exemples d’obligations et exigences des lois:
• Les entreprises doivent obligatoirement mettre des contrôles de sécurité pour protéger les renseignements personnels de leurs employés et de leurs clients. • Les entreprises doivent informer les individus lorsque leurs informations personnelles ont été compromises pouvant causer des préjudices. • Les entreprises doivent informer leurs employés lorsque leurs informations personnelles sont hébergées à l’extérieure de leurs pays (applicable au Canada et E-U). • La non-conformité à certaines lois peut entrainer des accusations au criminel (ex: SOX aux CFOs) et des amendes très salées (ex: RGPD/GDPR= 4% du revenu global de l’entreprise). • La loi RGPD et la loi 64 au Québec exigent des registres de consentement lors de la collecte de renseignements personnels.
148
Nommez Quelques menaces connues et leur description
DDOS TROJAN SNIFFING SPOOFING RANSOMWARE SPYWARE WORMS PHISHING
149
``` Espionnage industriel (Suite): Trois (3) méthodes de prévention: ```
1. Moyens technologiques: * Chiffrement des informations recettes (cours # 9) * Limiter les accès (Gestion des identités - cours # 7) * Segmentations réseautiques (cours # 6) * Blocage des signaux radio (WiFi et cellulaire) * DLP (Data Lost Prevention) 2. Moyens Politiques: * Inventaire des propriétés intellectuelles * Entente de non-divulgation (NDA) * Accompagnement des visiteurs * Interdiction d’appareils photo et cellulaires (ex: dans les usines) 3. Moyens Physiques: * Séparation physique des équipements. * Caméras * Systèmes d’alarme * Fouilles du personnel (exceptionnel)
150
Règle générale, il y a trois (3) niveaux de sévérité de risque dans les entreprises soit :
Risque Faible : Représente peu de risque à la confidentialité, à l’intégrité et à la disponibilité des systèmes et des informations. Risque Moyen : Représente des inquiétudes à l’égard de la confidentialité, de l’intégrité et de la disponibilité des systèmes et des informations. Risque Élevé : Représente un danger imminent à l’égard de la confidentialité, de l’intégrité et de la disponibilité des systèmes et des informations.
151
Le cadre de la politique est structuré en quatre types de documents:
1. La Politique: Un document qui traite différents domaines en matière de sécurité informatique et qui a pour but de véhiculer les décisions prises par l’entreprise dans le respect des normes de conformité légales et spécifiques (ISO, SOX, PCI, etc.). La politique répond à la question ''Que veut-on faire?'' 2. Les Pratiques ou les Directives: Est un ensemble de documents qui donnent des lignes directrices, des exigences et parfois des prescriptions afin de supporter les domaines de la politique de sécurité informatique. Les pratiques contribuent à l’établissement des standards qui doivent être conformes aux normes de conformité légales et spécifiques. La pratique répond à la question ''Comment va-t-on le faire?'' 3. Les Standards: Sont des listes de normes techniques ou des mesures référentielles publiées par des organismes nationaux et internationaux de standardisation (Ex.: ISO, IEC). Les standards répond à la question ''Avec quoi va-t-on le faire?'' 4. Les Procédures: Sont des documents techniques qui détaillent des processus et les méthodes nécessaires pour la mise en place et le maintien des exigences de sécurité prescrits dans les pratiques et les standards de la politique de sécurité informatique.
152
• Trois (3) types de changements applicables au cadre de la politique:
1. Clarification: L’ajout des détails techniques ou explicatifs d’un contrôle ou d’un énoncé existant qui aurait généré des questionnements. 2. Modification: D’un contrôle existant ou d’un énoncé ou une règle. Il s’agit d’un ajustement pour refléter les réalités de l’entreprise ou resserré ou retirer un contrôle. 3. Ajout: D’un nouveau contrôle ou d’une nouvelle règle de conformité.
153
Nommez un exemple de conformité
La norme PCI-DSS
154
La majorité des entreprises qui utilisent les protocoles d’internet TCP/IP (IPv4, IPv6) pour communiquer ont établi des réseaux privés d’entreprise pour les 6 raisons suivantes:
1. Séparer les réseaux publics (internet) du réseau de l’entreprise. 2. Contrôler les accès au réseau de l’entreprise. 3. Contrôler le trafic entrant et sortant (In bound et Out bound) 4. Permettre une ségrégation par segment réseautique 5. Assurer une disponibilité et une performance optimale pour les télécommunications de l’entreprise 6. Sécuriser l’ensemble du réseau (impossible de sécuriser l’internet)
155
Quelques vulnérabilités réseautiques :
Sniffing DDOS ARP/DNS Spoofing
156
Moyens préventifs de protection réseautiques:
• Chiffrement (encryption): Le chiffrement des transmissions filaires et sans-fils ainsi que du data en sauvegarde (data at rest) est une excellente stratégie de protection des informations. Si un pirate s’infiltre dans un réseau, il ne pourra pas lire les données sans les clés des chiffrements. • Segmentation réseautique: La segmentation réseautique peut rendre les données inaccessibles aux pirates informatiques. Segmenter les données sensibles classifiées confidentielles tels les renseignements personnels (RH) ou des finances est une bonne stratégie de protection des informations. Si le réseau des invités est compromis, les pirates n’auront pas accès aux autres segments réseautiques. • Les authentifications: Les authentifications réduisent les risques d’usurpation d’identité ou d’adresses MAC (spoofing). Utilisez des protocoles qui forcent des authentifications sécuritaires (chiffrées) ou des authentifications fortes à doubles facteurs. • Surveillance réseautique (monitoring): Une surveillance réseautique constante est un moyen de prévention d’intrusion et de piratage reconnu. L’utilisation de systèmes de protection tels les NIDS et les NIPS (Network Intrusion Detection/Prevention) sont des moyens efficaces.
157
Exemples d’infrastructure réseautique dans les grandes entreprises:
* Centres de données * Hybride avec infonuagique (¨Cloud¨)
158
Catégories des services infonuagiques:
Software as a Service (SaaS) Est un logiciel de service qui demeure dans le cloud tel une suite de bureautique. Ex.: Office365, Google Apps, Salesforce, etc. Plateforme as a Service (PaaS) Une plateforme logiciel développée dans le cloud tel un serveur d’application web dans le cloud. Ex.: Microsoft Azure, Google App Engine, etc. Infrastructure as a Service (IaaS) Fournisseur d’infrastructure cloud, hébergement des systèmes informatiques, des serveurs, VM, etc. Ex.: IBM, Microsoft, Amazone, Google, etc. Data as a Service (DaaS) Service d’hébergement de data dans le cloud. Ex.: OneDrive, DropBox, iCloud, Google Docs, etc.
159
Processus d’authentification:
• Identification : Processus qui permet de connaître l’identité d’une entité ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (Qui vous êtes). • Authentification : Consiste à vérifier l’identité d’une entité ou d’un utilisateur afin d’autoriser l’accès à des ressources ou à des actifs informationnels. Il s’agit principalement des mots de passe (Ce que vous savez). • Authentification Simple : L’authentification repose sur un seul élément ou un seul facteur (l’utilisateur indique son mot de passe). • Authentification Forte : L’authentification repose sur deux éléments ou deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton, biométrie, carte intelligente, etc.). • Authentification Unique : Méthode permettant aux utilisateurs de procéder qu’à une seule authentification pour accéder à plusieurs systèmes ou applications informatiques. (SSO ¨Single Sign On¨)
160
Deux (2) types d’occurrences de sécurité:
1. Évènement de sécurité: Les évènements de sécurité sont causés par des pannes de systèmes ou par des bris d’équipement. Ces défaillances peuvent être causées par l’usure normale des équipements (ex: le bris d’un disque dur d’un serveur) ou par une cause ou une force externe (ex: l’inondation d’une salle de serveur, un incendie, etc.). Il n’y a pas d’implication humaine dans la cause d’un évènement de sécurité. 2. Incident de sécurité: Les incidents de sécurité sont causés par un humain soit par un geste volontaire ou involontaire ou par une erreur. Les incidents de sécurité peuvent être de nature technique ou éthique. Les incidents de sécurité peuvent devenir viraux et demandent des mesures défensives et des connaissances techniques avancées. Les incidents de nature éthique (vols d’équipement informatique, divulgation volontaire d’information confidentielle) doivent être traités au cas par cas et peuvent exiger la participation des ressources humaines, des services juridiques, du groupe responsable des enquêtes internes de l’entreprise et, dans certaines circonstances, doivent être transmis aux autorités policières.
161
Voici des exemples d’occurrences qui requièrent le déclenchement de gestion d’incident :
• Intrusion de système: Toute intrusion ou tentative d’intrusion (hacking) intentionnelle ou non intentionnelle par un utilisateur non autorisé au réseau interne de l’entreprise. • Perte ou vol d’équipement: Contenant des informations classifiées confidentielles ou usage interne. • Endommagement de site Web: Transformation non autorisée d’un site Web de l’entreprise (gribouillages, fausses informations) • Injection de code malicieux: Toutes infections de code malicieux tels les virus, les vers informatiques, les chevaux de Troie, rançongiciel, etc. • Déni de service (DDoS): Émission de multiples requêtes provenant de sources internes ou externes ayant une incidence sur la performance et la disponibilité des systèmes et du réseau interne de l’entreprise. • Protection d’infrastructure critique: Toute activité non planifiée ou erreur qui a un effet négatif sur les infrastructures critiques qui n’ont pas suivi les procédures de gestion de changement. • Utilisation non autorisée: Toute utilisation non autorisée de système ou de ressources réseautiques qui ont un effet négatif sur la performance et la disponibilité. • Compromission d’information: Toute divulgation non autorisée d’information classifiée confidentielle ou interne. • Bris ou panne d’équipement: Toute panne ou tout bris d’équipement ayant une incidence sur la performance et la disponibilité des systèmes ou du réseau interne de l’entreprise. • Évènement majeur: Menaçant l’intégrité et la disponibilité des systèmes et des actifs informationnels, Ex: incendie, inondation, accident causant des pertes d’équipement.