Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique

Powerpoint

publicité 
INF4420: Sécurité Informatique
Introduction : Concepts de base et motivation
José M. Fernandez
M-3109
340-4711 poste 5433
INF4420
Sécurité Informatique
Contenu du cours






Introduction et motivation – 1 sem.
Cryptographie – 3 sem.
Sécurité des systèmes d'exploitation et du logiciel – 3 sem.
Sécurité des applications client-serveur et Web – 1 sem.
Sécurité des réseaux – 3 sem.
Gestion de la sécurité informatique et
Aspects légaux, normes et standardisation – 1 sem.
 Contrôle périodique et période de révision – 1 sem.
2
INF4420
Sécurité Informatique
Qu'est-ce que la sécurité informatique ?
 La sécurité informatique
consiste à la protection
 des systèmes,
 de l'information et
 des services
Confidentialité
 contre les menaces
 accidentelles ou
 délibérées
Intégrité
BD
 atteignant leur
 confidentialité
 intégrité
 disponibilité
Disponibilité
3
INF4420
Sécurité Informatique
Objectifs de la sécurité informatique
 Confidentialité
Confidentialité
 qui peut "voir" quoi?
 Intérêts publics/privées vs. vie privée
 Intégrité




exactitude
précision
modifications autorisées seulement
cohérent
Intégrité
Disponibilité
 Disponibilité
 présence sous forme utilisable
 capacité à rencontrer
• les besoins et spécifications
• les contraintes de



temps
performance
qualité
4
INF4420
Sécurité Informatique
1.
Identifier la menace


2.
Efficacité (risque résiduel)
Coût
Difficulté d'utilisation
Mettre en place et opérer les
mesures protections



5.
Probabilité
Impact
Considérer les mesures de
protection par rapport au risque



4.
Qui ou quoi ?
Comment (vulnérabilités) ?
Évaluer les risques


3.
Méthodologie de la sécurité informatique
Modification et/ou installation
Changer les politiques
Éduquer les utilisateurs
Retourner à 1…
5
INF4420
Sécurité Informatique
La menace en sécurité informatique
 Quel type de menace?
 Accidentelles
• Catastrophes naturelles ("acts of God")
feu, inondation, …
• Actes humains involontaires :
 mauvaise entrée de données, erreur de frappe, de configuration, …
• Performance imprévue des systèmes :
 Erreur de conception dans le logiciels ou matériel
 Erreur de fonctionnement dans le matériel

 Délibérées
•
•
•
•
•
Vol de systèmes
Attaque de dénis de service
Vol d'informations (atteinte à la confidentialité)
Modification non-autorisée des systèmes
…
6
INF4420
Sécurité Informatique
La menace en sécurité informatique
 Qui ou quel origine ?
 Catastrophes naturelles
 Compagnie de marketing
 Hackers
• "Script kiddies"
• "White hat"
• à gage …





Compétiteurs
États étrangers
Crime organisé
Groupe terroriste
Ceux à qui vous faites
confiance…
7
INF4420
Sécurité Informatique
Probabilité des risque délibérés
 Capacité




Savoir/connaissances ou accès au savoir
Outils
Ressources humaines
Argent
 Opportunité
 Espace : avoir accès physique
 Connectivité : existence d'un lien physique et logique
 Temps : être "là" au bon moment
 Motivation
 "À qui profite le crime ?" (Qui)
 Que gagne l'attaquant ? (Quoi)
 Combien gagne t-il ? (Combien)
probabilité = capacité x opportunité x motivation
8
INF4420
Sécurité Informatique
Moyens de protection - types
 (ou contrôles ou contre-mesures)
 Encryptage des données
 Contrôles au niveau des logiciels
• Programmés
• Partie du système d'exploitation
• Contrôle du développement des logiciels
 Contrôles du matériel
• Contrôle de l'accès au matériel: identification et authentification
• Contrôles physiques: serrures, caméras de sécurité, gardiens, etc…
 Procédures
• Qui est autorisé à faire quoi?
• Changement périodiques des mots de passe
• Prise de copies de sécurité
• Formation et administration
Nous allons les revoir en détails dans le reste du cours…
9
INF4420
Sécurité Informatique
Évaluation et choix de contre-mesures
 Réduction du risque
 Motivation et impact ne changent pas
 Ré-évaluation de capacité et opportunité => risque résiduel
 réduction = risque initial (sans contre-mesures) –
risque résiduel (après application efficace)
 Coût total






Coût d'installation (achat, installation, configuration)
Coût d'opération (licences, personnel supplémentaire)
Impact sur la performance des systèmes
Convivialité du système
Impact sur la processus d'affaires
Introduction de nouveaux risques …
10
INF4420
Sécurité Informatique
Évaluation et choix - deux principes fondamentaux
 Principe du point le plus faible
 Une personne cherchant à pénétrer un système utilisera tous les
moyens possibles de pénétration, mais pas nécessairement le plus
évident ou celui bénéficiant de la défense la plus solide.
 Principe de la protection adéquate (Gestion du risque)
 La durée de la protection doit correspondre à la période pendant
laquelle l'importance et la valeur sont présentes, et pas plus .
 Le niveau et le coût de la protection doivent correspondre à
l'importance et à la valeur de ce qu'on veut protéger:
Choisir la contre-mesure avec le meilleur rapport
"qualité" (réduction de risque) vs. "prix" (coût total)
11
INF4420
Sécurité Informatique
Concepts et principes d'opération
 Efficacité des contrôles




Conscientisation des personnels
Utilisation réelle des contrôles disponibles
Recouvrement des contrôles
Vérification administrative
 Principe de l'efficacité
 Pour que les contrôles soient effectifs, ils doivent être utilisés
 Pour qu'ils soient utilisés, ils doivent être perçus comme étant
faciles d'usage, et appropriés aux situations particulières.
12
INF4420
Sécurité Informatique
Tableau d'analyse de risque
 (Tableau)
13
INF4420
Sécurité Informatique
Analyse de risque - Acteurs et responsabilités
 Responsable de sécurité informatique
 Capacité et Opportunité
• En analysant



Architecture des systèmes existants
Vulnérabilités connues et possible des systèmes
La nature technique de la menace
 Outils existants
 Technique et méthode d'attaques
 Probabilité des risque accidentels humains
 "Stakeholders"
 Description de la menace (quoi)
 Motivation (qui)
• Compétiteurs, opposants, etc.
 Impact
• "Combien ça coûterait si…"
• Relié à la "valeur du remboursement" en assurances
• Relié au concept d' "exposition au risque" en comptabilité
 Spécialiste en risque ou en sécurité générale
 Probabilité de risque accidentel naturel
14
INF4420
Sécurité Informatique
Études de cas - Analyse de risque
 Contexte général


L’introduction de technologie sans-fil pour les périphériques de
PC (infrarouge, Bluetooth, etc.) a permit l’introduction à bas prix
de clavier sans-fil
L’utilisation de ce type de dispositif à plusieurs avantages
•
•
Commodité d’utilisation
Prix peu élevé
 Objectifs
1. Évaluer les risques inhérents liés à l’utilisation de ce type de
dispositif (aujourd’hui)
2. Évaluer le risque résiduel des différentes contre-mesures
(prochain cours)
15
INF4420
Sécurité Informatique
Étude de cas – Scénarios
 Scénario 1
 Un fermier qui fait pousser du pot dans sa ferme isolée et qui
utilise son ordinateur pour faire sa comptabilité (qui lui doit
combien ou vice-versa, toutes ses commandes, etc.) et pour
communiquer avec ses acheteurs (par courriel)
 Scénario 2
 Une étudiante en résidence qui a un chum très jaloux et qui utilise
son ordinateur pour faire ses travaux, communiquer avec ses
autres amis et payer ses factures
 Scénario 3
 Une secrétaire dans un bureau d'avocats dans une tour à bureau à
Place Ville-Marie qui écrit et/ou édite toute la correspondance et
les documents de sa patronne, une avocate en droit pénal
(possiblement l'avocate du fermier…).
16
Documents connexes
INF4420: Sécurité Informatique Cryptographie I
INF4420: Sécurité Informatique Cryptographie I
Exercice 13
Exercice 13
cours de physique en 4ème - Table matière 1er semestre OPTIQUE
cours de physique en 4ème - Table matière 1er semestre OPTIQUE
cegep-thetford-gestion-commerces-commerce-marketing
cegep-thetford-gestion-commerces-commerce-marketing
Grille de cours
Grille de cours
Grille de cours
Grille de cours
Decliner Le développement durable dans ses trois
Decliner Le développement durable dans ses trois
Enoncé - Probabilités - e1045 Quatre amateurs d`astrologie se
Enoncé - Probabilités - e1045 Quatre amateurs d`astrologie se
SAMYHA AGGOUNE EXPERIENCES COMPÉTENCES CHEF DE PROJET MARKETING – CDI
SAMYHA AGGOUNE EXPERIENCES COMPÉTENCES CHEF DE PROJET MARKETING – CDI
Téléchargement
publicité