1 / 16

INF4420: Sécurité Informatique

INF4420: Sécurité Informatique. Introduction : Concepts de base et motivation. Contenu du cours. Introduction et motivation – 1 sem. Cryptographie – 3 sem. Sécurité des systèmes d'exploitation et du logiciel – 3 sem. Sécurité des applications client-serveur et Web – 1 sem.

helaine
Download Presentation

INF4420: Sécurité Informatique

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. INF4420: Sécurité Informatique Introduction : Concepts de base et motivation

  2. Contenu du cours • Introduction et motivation – 1 sem. • Cryptographie – 3 sem. • Sécurité des systèmes d'exploitation et du logiciel – 3 sem. • Sécurité des applications client-serveur et Web – 1 sem. • Sécurité des réseaux – 3 sem. • Gestion de la sécurité informatique etAspects légaux, normes et standardisation – 1 sem. • Contrôle périodique et période de révision – 1 sem.

  3. BD Qu'est-ce que la sécurité informatique ? • La sécurité informatique consiste à la protection • des systèmes, • de l'information et • des services • contre les menaces • accidentelles ou • délibérées • atteignant leur • confidentialité • intégrité • disponibilité Confidentialité Intégrité Disponibilité

  4. Confidentialité Intégrité Disponibilité Objectifs de la sécurité informatique • Confidentialité • qui peut "voir" quoi? • Intérêts publics/privées vs. vie privée • Intégrité • exactitude • précision • modifications autorisées seulement • cohérent • Disponibilité • présence sous forme utilisable • capacité à rencontrer • les besoins et spécifications • les contraintes de • temps • performance • qualité

  5. Méthodologie de la sécurité informatique • Identifier la menace • Qui ou quoi ? • Comment (vulnérabilités) ? • Évaluer les risques • Probabilité • Impact • Considérer les mesures de protection par rapport au risque • Efficacité (risque résiduel) • Coût • Difficulté d'utilisation • Mettre en place et opérer les mesures protections • Modification et/ou installation • Changer les politiques • Éduquer les utilisateurs • Retourner à 1…

  6. La menace en sécurité informatique • Quel type de menace? • Accidentelles • Catastrophes naturelles ("acts of God") • feu, inondation, … • Actes humains involontaires : • mauvaise entrée de données, erreur de frappe, de configuration, … • Performance imprévue des systèmes : • Erreur de conception dans le logiciels ou matériel • Erreur de fonctionnement dans le matériel • Délibérées • Vol de systèmes • Attaque de dénis de service • Vol d'informations (atteinte à la confidentialité) • Modification non-autorisée des systèmes • …

  7. La menace en sécurité informatique • Qui ou quel origine ? • Catastrophes naturelles • Compagnie de marketing • Hackers • "Script kiddies" • "White hat" • à gage … • Compétiteurs • États étrangers • Crime organisé • Groupe terroriste • Ceux à qui vous faites confiance…

  8. Probabilité des risque délibérés • Capacité • Savoir/connaissances ou accès au savoir • Outils • Ressources humaines • Argent • Opportunité • Espace : avoir accès physique • Connectivité : existence d'un lien physique et logique • Temps : être "là" au bon moment • Motivation • "À qui profite le crime ?" (Qui) • Que gagne l'attaquant ? (Quoi) • Combien gagne t-il ? (Combien) probabilité = capacité x opportunité x motivation

  9. Moyens de protection - types • (ou contrôles ou contre-mesures) • Encryptage des données • Contrôles au niveau des logiciels • Programmés • Partie du système d'exploitation • Contrôle du développement des logiciels • Contrôles du matériel • Contrôle de l'accès au matériel: identification et authentification • Contrôles physiques: serrures, caméras de sécurité, gardiens, etc… • Procédures • Qui est autorisé à faire quoi? • Changement périodiques des mots de passe • Prise de copies de sécurité • Formation et administration Nous allons les revoir en détails dans le reste du cours…

  10. Évaluation et choix de contre-mesures • Réduction du risque • Motivation et impact ne changent pas • Ré-évaluation de capacité et opportunité => risque résiduel • réduction = risque initial (sans contre-mesures) – risque résiduel (après application efficace) • Coût total • Coût d'installation (achat, installation, configuration) • Coût d'opération (licences, personnel supplémentaire) • Impact sur la performance des systèmes • Convivialité du système • Impact sur la processus d'affaires • Introduction de nouveaux risques …

  11. Évaluation et choix - deux principes fondamentaux • Principe du point le plus faible • Une personne cherchant à pénétrer un système utilisera tous les moyens possibles de pénétration, mais pas nécessairement le plus évident ou celui bénéficiant de la défense la plus solide. • Principe de la protection adéquate (Gestion du risque) • La durée de la protection doit correspondre à la période pendant laquelle l'importance et la valeur sont présentes, et pas plus . • Le niveau et le coût de la protection doivent correspondre à l'importance et à la valeur de ce qu'on veut protéger: Choisir la contre-mesure avec le meilleur rapport "qualité" (réduction de risque) vs. "prix" (coût total)

  12. Concepts et principes d'opération • Efficacité des contrôles • Conscientisation des personnels • Utilisation réelle des contrôles disponibles • Recouvrement des contrôles • Vérification administrative • Principe de l'efficacité • Pour que les contrôles soient effectifs, ils doivent être utilisés • Pour qu'ils soient utilisés, ils doivent être perçus comme étant faciles d'usage, et appropriés aux situations particulières.

  13. Tableau d'analyse de risque • (Tableau)

  14. Analyse de risque - Acteurs et responsabilités • Responsable de sécurité informatique • Capacité et Opportunité • En analysant • Architecture des systèmes existants • Vulnérabilités connues et possible des systèmes • La nature technique de la menace • Outils existants • Technique et méthode d'attaques • Probabilité des risque accidentels humains • "Stakeholders" • Description de la menace (quoi) • Motivation (qui) • Compétiteurs, opposants, etc. • Impact • "Combien ça coûterait si…" • Relié à la "valeur du remboursement" en assurances • Relié au concept d' "exposition au risque" en comptabilité • Spécialiste en risque ou en sécurité générale • Probabilité de risque accidentel naturel

  15. Études de cas - Analyse de risque • Contexte général • L’introduction de technologie sans-fil pour les périphériques de PC (infrarouge, Bluetooth, etc.) a permit l’introduction à bas prix de clavier sans-fil • L’utilisation de ce type de dispositif à plusieurs avantages • Commodité d’utilisation • Prix peu élevé • Objectifs • Évaluer les risques inhérents liés à l’utilisation de ce type de dispositif (aujourd’hui) • Évaluer le risque résiduel des différentes contre-mesures (prochain cours)

  16. Étude de cas – Scénarios • Scénario 1 • Un fermier qui fait pousser du pot dans sa ferme isolée et qui utilise son ordinateur pour faire sa comptabilité (qui lui doit combien ou vice-versa, toutes ses commandes, etc.) et pour communiquer avec ses acheteurs (par courriel) • Scénario 2 • Une étudiante en résidence qui a un chum très jaloux et qui utilise son ordinateur pour faire ses travaux, communiquer avec ses autres amis et payer ses factures • Scénario 3 • Une secrétaire dans un bureau d'avocats dans une tour à bureau à Place Ville-Marie qui écrit et/ou édite toute la correspondance et les documents de sa patronne, une avocate en droit pénal (possiblement l'avocate du fermier…).

More Related