Introduction et concepts de base Flashcards
Identifier les concepts de base de la sécurité informatique ; Délimiter les domaines de connaissance par rapport aux différents aspects de la sécurité informatique
Quels sont les domaines principaux de la sécurité informatique?
- la gestion de la sécurité
- la securité des systèmes
- la technologie
- la verification et le contrôle,
Définir la gestion de la securité informatique
il s’agit de la gouvernance de la sécurité informatique, c’est l’ensembles des procedures administratives (cadre de gestion en general, cad politique, reglementations, directives de la securité ) et les processus qui permettent de mettre en oeuvre et de valider la securité dans une organisation
Quel sont les composantes de la gestion de la securité informatique?
- L’ensemble des processus administratifs
- Définition des rôles et des responsabilités
- Cadre de gestions de la sécurité
- Embauche, consultation (documents de references)
- Impartition
- Conformité légale
Quelles connaissances avoir pour la Gestion de la securité informatique?
Normes ISO 27000
pas besoin d’etre pointu sur la technologie pratique
mais avoir une bonne experience dans:
- Analyse de risque
- Politiques, procédures, processus de sécurité
- Plan de continuité
- Gestion d’identité
Définir la technologie en securité informatique
Ensemble des outils technologiques et les
processus qui en permettent de mettre en place des mesures de sécurité l’acquisition, la
configuration, l’utilisation, la gestion et la
maintenance
Exemple d’outils materiels qui permettent de mettre la technologie en oeuvre
Pare-feu, système de détection d’intrusion, copie de sauvegarde, antivirus,RAID, anti-espiogiciels,
répertoires LDAP, serrures magnétiques
Quel est le lien entre technologie et gestion de la securité?
La technologie permet de mettre en place les regles definis dans la gestion de la securité
Quelques certifications en technologie de la securité informatique
ITIL, SANS, Microsoft, Novell, RSA, Critères
Communs, .
Définir un système
L’ensemble des processus et des outils
technologiques qui permettent l’identification des
besoins, le développement et l’évolution des
systèmes
Exemple de systemes dans une organisation
Système de commerce électronique
Système de comptabilité
Système de communication
etc.
Quelques normes pour definir la securité des systèmes
- ISO/IEC 27034
- OWASP
- SSE-CMM (à l’intérieur du CMMi)
Que doit maitriser un specialiste en securité applicative?
- Cycle de vie d’un système
- Méthodologie de développement sécuritaire
- Norme de développement sécuritaire
- Modèle de conception sécuritaire, etc.
Definir la Vérification et contrôle
L’ensemble des processus de vérification et de
contrôle s’appliquant aux trois autres domaines
d’intervention de la sécurité informationnelle
Quelques normes de Vérification et contrôle
norme Cobit
Certification Cisa
Que comporte la verification et le controle ?
une bonne connaissance de la gourvernance , connaittre:
- Processus et mesures d’audit, de vérification et de
- certification
- Comités de vérification, etc.
Définir la sécurité informationnelle
C’est la protection des ressources informationnelles
d’une organisation, face à des risques identifiés,
qui résulte d’un ensemble de mesures de
sécurité prises pour assurer la confidentialité,
l’intégrité et la disponibilité de l’information
traitée.
Exemple de ressources informationnelles
- ressources humaines,
matérielles, financières et technologiques( dans
la mesure où elles apportent des éléments
d’information. Par exemple, un fichier, un
système informatique ou une personne peuvent
être considérés comme des ressources.)
Définir actif informationnel
Inventaire présentant, à un moment déterminé,
le portrait de l’ensemble des ressources
informationnelles d’une entreprise ou d’une
organisation, à l’exception des ressources
humaines.
Les différents contextes qui compte en securité informatique
- Contexte juridique( exple respect de la vie privée, code de la route, etc)
- contexte d’affaire (lié au metier de l’entreprise)
- contexte technologique (lié a l’ectif informationnel exple ordinateur sur windows uniquement dans l’organisation)
Quels sont les pilliers de la mise en place de la securité informatiques par ordre de priorité?
- les personnes
- les processus
- la technologie
Pourquoi les personnes sont importantes dans la mise en place de la securité ?
o Appliquent les mesures de sécurité
o Peuvent contourner la sécurité
o Doivent être sensibilisées à leurs responsabilités
et au pourquoi de la sécurité
Pourquoi les processus sont importantes dans la mise en place de la securité ?
La sécurité est un ensemble de processus et
non un produit
les politiques doivent etre solides et régulièrement révisées
Une mauvaise solution de sécurité est presque
aussi mauvaise que pas de sécurité du tout
Les attaques ne seront pas nécessairement
technologiques
La construction d’une infrastructure de sécurité
exige une analyse et une planification, le
développement de politiques, de procédures et
un peu de technologie
Les coûts de la sécurité doivent être inférieurs
à la valeur de ce qu’on veut protéger
Il faut introduire des préoccupations de
sécurité dans les méthodologies de
développement
Pourquoi la technologie est importante dans la mise en place de la securité ?
Offre un ensemble d’outils pouvant être mis en
place, pour compléter, vérifier ou automatiser
certaines mesures de sécurité exigées par la
politique de sécurité.
Quels sont les criteres de securité informatique
- la confidentialité
- l’integrité
- la disponibilité
Définir la confidentialité
La confidentialité est « cette propriété d’une
information de ne pas être accessible ou
divulguée à des personnes, des entités ou des
processus non autorisés.
Définir l’intégrité
Propriété d’exactitude et de complétude
L’intégrité des données implique quatre
éléments : l’intégralité, la précision,
l’exactitude/authenticité et la validité.
Définir la disponibilité
Propriété d’un système informatique capable
d’assurer ses fonctions sans interruption, délai
ou dégradation, au moment même où la
sollicitation en est faite.
Définir la tracabilité
Capacité d’un système à attribuer un
événement à l’entité qui en est responsable et à
en permettre l’analyse ultérieure.
Quels sont les grands principes de sécurité
- Définir clairement les responsabilités
- Sensibiliser aux enjeux de sécurité
- Proportionnalité des mesures de sécurité
- Coordination et intégration
- Réévaluer périodiquement
Comment définir clairement les responsabilités ?
• Sans responsabilité, personne n’est concerné
• La première responsabilité revient à la haute direction
• Établir une politique de sécurité
• Nommer des responsable pour leur application
• Tous les employés doivent connaître les politiques qui
les concernent
• Faire signer l’acceptation
Comment sensibiliser aux enjeux de sécurité?
Tout le monde doit comprendre et adhérer aux mesures de securité mis en place,
Comment faire de la proportionnalité des mesures de sécurité?
- quantifier la valeur des ressources à protéger
* Coût des mesures
* Argent (matériel, logiciel, salaires, etc.) - Perte de productivité
- Toujours en fonction du risque
Comment faire de la Coordination et intégration?
• Les mesures de sécurité ne doivent pas être mise en
place de façon indépendante (elles doivent s’Appuyer sur la politique interne et le cadre juridique de l’organisation)
• Besoin de cohérence
• Mesures en fonction des risques
• Intégrer les politiques, les procédures et les mesures de sécurité
Comment reevaluer periodiquement la securité?
• La sécurité est un processus
• Le contexte change
• Objectifs de l’organisation (peuvent evoluer, varier)
• Technologie (elle evolue)
• Lois et règlements (elles changent )
Il recommandé de le faire annuellement
Définir la sécurité appliquée
La sécurité appliquée est la mise en place operationnelle de la securité au sein de l’organisation
principes de sécurité appliquée
- Sécuriser le maillon faible (proteger les ressources les plus vulnérables en premier)
- Compartimenter (separer au maximum pour faire la defense en profondeur)
- Défense en profondeur (pouvoir isoler au maximum au ressources critiques)
- Principe du moindre privilège(donner strictement les privileges necessaires)
- KISS: Keep it simple…(garder les choses simples )
- Utiliser un modèle de sécurité « positif »(tout ce qui n’Est pas explicitement permis est empeché)
- Éviter la sécurité par l’obscurité
- Minimiser les éléments auxquels on doit faire confiance
Quels sont les types d’attaques?
Le déni de service (DoS)
Intrusions
Vols d’information
la Ranson
Définir le déni de service
Il s’agit de saturer ou d’empecher l’acces a un service donné (exple: le Morris Worm)
Quels sont les types d’attaquants?
Hacker Cracker Script Kiddie Usurpateur Interne Espion
Définir Cracker
c’est un criminel informatique qui exploite les failles
dans une procédure d’accès pour casser un
système informatique, qui viole l’intégrité de
ce système en dérobant, altérant ou détruisant
de l’information, ou qui copie frauduleusement
des logiciels
Définir Un Script Kiddie
Un attaquant qui utilise des outils développés
par d’autres
Définir Un usrsupateur
Il se fait passer pour une personne, a de bonnes connaissances de l’environnement de l’entreprise pour exploiter les failles humaines de celle-ci
Définir un interne
employé ou contractuel qui abuse de son autorité ou de la confiance qu’on lui porte
Définir un espion
C’est un attatquant qui travaille pour le compte de quelqu’un d’autre
