Semaine 5 : Les moyens pour lutter contre les attaques à la sécurité informatique Flashcards
La gestion des risques, définie par ISO « comme l’ensemble des activités coordonnées visant à diriger et à piloter un organisme vis-à-vis du risque », a des finalités reliées à la gestion des risques pour les SI. Quelle est la bonne finalité?
a) Améliorer la sécurisation des SI.
b) Justifier le budget alloué à la sécurisation du SI.
c) Prouver la crédibilité du SI en effectuant des analyses.
On définit l’équation du risque comme étant :
RISQUE = MENACE * VULNÉRABILITÉ * IMPACT
Si l’on dit que la menace est la source du risque, c’est-à-dire l’agent responsable du risque, et que la vulnérabilité est la caractéristique d’une composante du SI représentant une faille sur le plan de la sécurité et qu’enfin, l’impact représente la conséquence du risque.
Complétez alors l’affirmation suivante : la menace et la vulnérabilité peuvent être qualifiées en termes de ____________ tandis que l’impact peut être qualifié en termes de niveau de ________.
potentialité, sévérité
L’affaire Snowden comme étude de cas », démontre à quel point les révélations dans l’affaire Snowden ont eu une incidence sur les négociations entre les différents États souverains en ce qui a trait à la cybersécurité.
Quels sont dorénavant les types d’accords envisagés?
a) Adoption de normes de comportement responsables par les États en matière de cyberespace.
b) Signature d’un traité international en matière de cybersécurité.
c) Création d’un code de conduite par les États participants tout en laissant la responsabilité du contrôle et de la sécurité à l’Union internationale des télécommunications.
Depuis la série de cyberattaques qui ont eu lieu contre le gouvernement canadien en janvier 2011, qu’a fait le gouvernement pour réglementer le cyberespace (possibilité d’une ou de plusieurs réponses)?
a) En décembre 2001, le gouvernement fédéral a adopté le projet de loi C-36 sur la Loi antiterroriste (LA).
b) En février 2005, le gouvernement fédéral a ouvert le Centre canadien de réponse aux incidents cybernétiques (CCRIC).
c) En octobre 2010, le gouvernement fédéral a adopté la Stratégie de cybersécurité du Canada.
L’expression « cyberterrorisme » peut être qualifiée de deux façons
par son auteur ou par l’acte perpétré.
Vrai ou faux :
Selon Guechtouli et al., les politiques de sécurité de l’information (PSI) sont toujours élaborées à partir d’une analyse des risques.
Faux. En conclusion de leur étude, ces auteurs ont constaté que les PSI sont souvent élaborées pour de mauvaises raisons et selon un processus non éprouvé, ce qui peut avoir des conséquences graves pour une organisation, les menaces la visant et les risques liés étant nombreux.
Vrai ou faux :
L’employeur ne peut consulter un courriel ni s’en servir contre un employé lorsque ce courriel est envoyé ou reçu à titre personnel.
Vrai. L’employeur est tenu de respecter le droit au respect de la vie privée et le secret des correspondances privées dont la violation pourrait lui attirer une sanction pénale.
Vrai ou faux :
La norme de paiement par carte de crédit requise depuis 2006 pour toute organisation qui stocke ou traite des numéros de cartes de crédit est la norme PCI DISS (Payment Card Industry Data Security Standard).
Vrai. Cette norme, implantée au début des années 2000, est considérée comme l’une des plus strictes parmi les normes actuelles utilisées en Amérique du Nord.
Vrai ou faux :
Selon Éric Morency, l’intervenant en sécurité informatique (SI) ne devrait pas faire part de son rôle afin de ne pas divulguer des informations confidentielles.
Faux. Au contraire, l’intervenant devrait rapidement faire part de son rôle et de ses responsabilités aux dirigeants et aux personnes avec qui il collabore afin d’éviter des malentendus quant aux tâches reliées à la SI. Tant pour l’intervenant que pour l’entreprise, la compréhension et la définition des rôles sont indissociables d’une SI efficace.
