Cours 1 : Introduction

Question 1

Quels sont les 3 piliers de la securite informatique?

Answer 1

Disponibilite, integrite, confidentialite.

Question 2

Quelle est la methodologie de la securite informatique?

Answer 2

1. Identifier la menace
 Qui ou quoi ?
 Comment (vulnérabilités) ?
2. Évaluer les risques
 Probabilité
 Impact
3. Considérer les mesures de
protection par rapport au risque
 Efficacité (risque résiduel)
 Coût
 Difficulté d'utilisation
4. Mettre en place et opérer les
mesures protections
 Modification et/ou installation
 Changer les politiques
 Éduquer les utilisateurs
5. Retourner à 1…

Il y a une etape preliminaire a cela qui est l’identification des ressources.

Question 3

Quelles sont les definitions qualitatives et quantitatives du risque?

Answer 3

 Définition qualitative
 La prise en compte d’une exposition à un danger, un préjudice ou
autre événement dommageable, inhérent à une situation ou une
activité
 Définition quantitative
= probabilité * impact = espérance de perte

Question 4

Par quels moyens peut-on gerer le risque?

Answer 4

• Réduction
• Transfert
• Acceptation
• Arrêt de l’activité

Question 5

Qu’est-ce qu’un bien?

Answer 5

 Objet/personne ayant de la valeur

Question 6

Qu’est-ce qu’un acteur ou agent de menace?

Answer 6

 Objet/personne/entité qui met un bien à risque

Question 7

Qu’est-ce qu’un scenario?

Answer 7

 Séquence d’évènement menant à la perte partielle ou totale de la valeur d’un bien

Question 8

Qu’est-ce qu’une menace?

Answer 8

= (Scenario, acteur) OU « Une méthode (COMMENT)
par laquelle un acteur particulier (QUI)
entreprend une action (QUOI)
fait subir un dommage à un bien
(ET ALORS) »

Question 9

Quels sont les 5 elements qui composent le risque?

Answer 9

 Vulnérabilité
 Faille qui offre l’opportunité de
porter dommage à un bien
 Scénario
 Exploitation d’une vulnérabilité
par un acteur pour causer un
impact
 Probabilité
 Que la menace soit réalisé
(dans une période de temps donné)
 Impact
 Perte ou dommage à un bien
 Contre-mesure
 Objet (ou processus) qui réduit le
risque associé à une menace sur un
bien

Question 10

Quand est-ce qu’il y a un risque?

Answer 10

Il y a un risque si un scénario a une chance de se réaliser
 Même s’il y a une vulnérabilité,
• Pas d’acteur  Pas de risque
 Même s’il y a un acteur,
• Pas de vulnérabilité  pas de scénario  pas de risque
Il y a un risque s’il y a un enjeu réel relié au bien
 Même s’il y a une vulnérabilité (scénario) et un acteur
• Pas d’impact  pas de risque

Question 11

Quel type de menace y a-t-il?

Answer 11

 Accidentelles (acteur inconscient ou absence d’acteur)
• Catastrophes naturelles (“acts of God”)
 feu, inondation, …
• Actes humains involontaires :
 mauvaise entrée de données, erreur de frappe, de configuration, …
• Performance imprévue des systèmes :
 Erreur de conception dans le logiciels ou matériel
 Erreur de fonctionnement dans le matériel
 Délibérées (acteur conscient)
• Vol de systèmes
• Attaque de dénis de service
• Vol d’informations (atteinte à la confidentialité)
• Modification non-autorisée des systèmes
• …

Question 12

Quels sont les acteurs?

Answer 12

 Catastrophes naturelles
 Compagnie de marketing
 Pirate/Hackers
• "Script kiddies"
• "White hat"
• Professionels
 Compétiteurs
 États étrangers
 Crime organisé
 Groupe terroriste
 Ceux à qui vous faites
confiance…

Question 13

Comment evaluer le risque?

Answer 13

 Impact
• sous notre contrôle
• « facile » à évaluer
 Probabilité
• Risques naturels
 Valeurs connues (statistiques, actuariat, historique de catastrophes,
etc.)
• Risques délibérés
 Acteur conscient et intelligent
 Pas événement aléatoire

Question 14

Definir de ce qu’est constitue les risques deliberes.

Answer 14

Capacité
 Savoir/connaissances ou accès au savoir
 Outils
 Ressources humaines
 Argent
Opportunité
 Espace : avoir accès physique
 Connectivité : existence d'un lien physique et logique
 Temps : être "là" au bon moment
Motivation
 "À qui profite le crime ?" (Qui)
 Que gagne l'attaquant ? (Quoi)
 Combien gagne t-il ? (Combien)
probabilité = capacité * opportunité * motivation

Question 15

Quels sont les moyens de protection?

Answer 15

 Encryptage des données
 Contrôles au niveau des logiciels
• Programmés
• Partie du système d’exploitation
• Contrôle du développement des logiciels
 Contrôles du matériel
• Contrôle de l’accès au matériel: identification et authentification
• Contrôles physiques: serrures, caméras de sécurité, gardiens, etc…
 Procédures
• Qui est autorisé à faire quoi?
• Changement périodiques des mots de passe
• Prise de copies de sécurité
• Formation et administration

Question 16

Comment evalue-t-on le choix des contre mesures?

Answer 16

-Réduction du risque
 Motivation et impact ne changent pas
 Ré-évaluation de capacité et opportunité => risque résiduel
 réduction = risque initial (sans contre-mesures) –
risque résiduel (après application efficace)
- Coût total
 Coût d’installation (achat, installation, configuration)
 Coût d’opération (licences, personnel supplémentaire)
 Impact sur la performance des systèmes
 Convivialité du système
 Impact sur la processus d’affaires
 Introduction de nouveaux risques …

Question 17

Quels sont les deux principes fondamentaux de l’evaluation et choix?

Answer 17

• Principe du point le plus faible
   Une personne cherchant à pénétrer un système utilisera tous les
  moyens possibles de pénétration, mais pas nécessairement le plus
  évident ou celui bénéficiant de la défense la plus solide.
• Principe de la protection adéquate (Gestion du risque)
   La durée de la protection doit correspondre à la période pendant
  laquelle l’importance et la valeur sont présentes, et pas plus .
   Le niveau et le coût de la protection doivent correspondre à
  l’importance et à la valeur de ce qu’on veut protéger:
  Choisir la contre-mesure avec le meilleur rapport
  “qualité” (réduction de risque) vs. “prix” (coût total)

Question 18

Quels sont les concepts et principes d’operation?

Answer 18

 Efficacité des contrôles
- Conscientisation du personnel
 Utilisation réelle des contrôles disponibles
 Recouvrement des contrôles
 Vérification administrative
- Principe de l’efficacité
 Pour que les contrôles soient effectifs, ils doivent être utilisés
 Pour qu’ils soient utilisés, ils doivent être perçus comme étant
faciles d’usage, et appropriés aux situations particulières.

Question 19

Comment fait-on l’analyse du risque?

Answer 19

• Évaluer l’impact :
   Classification des actifs
   Échelle semi-objective
   Chiffre les impacts sur les « objectifs d’affaires »
• Le gestionnaire responsable du processus (propriétaire du
  système ou « stakeholder » en anglais) est la source de la
  classification puisqu’il est l’utilisateur du système
   Ex. : le directeur de la paie est le propriétaire du système
  informatique qui génère la paie
   Ex. : le directeur TI est le propriétaire du système informatique
  qui gère le VPN