La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

José M. Fernandez M-3109 340-4711 poste 5433 INF4420: Sécurité Informatique Introduction : Concepts de base et motivation.

Présentations similaires


Présentation au sujet: "José M. Fernandez M-3109 340-4711 poste 5433 INF4420: Sécurité Informatique Introduction : Concepts de base et motivation."— Transcription de la présentation:

1 José M. Fernandez M poste 5433 INF4420: Sécurité Informatique Introduction : Concepts de base et motivation

2 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 2 Contenu du cours Introduction et motivation – 1 sem. Cryptographie – 3 sem. Sécurité des systèmes d'exploitation et du logiciel – 3 sem. Sécurité des applications client-serveur et Web – 1 sem. Sécurité des réseaux – 3 sem. Gestion de la sécurité informatique et Aspects légaux, normes et standardisation – 1 sem. Contrôle périodique et période de révision – 1 sem.

3 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 3 Qu'est-ce que la sécurité informatique ? La sécurité informatique consiste à la protection des systèmes, de l'information et des services contre les menaces accidentelles ou délibérées atteignant leur confidentialité intégrité disponibilité Confidentialité Intégrité Disponibilité BD

4 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 4 Objectifs de la sécurité informatique Confidentialité qui peut "voir" quoi? Intérêts publics/privées vs. vie privée Intégrité exactitude précision modifications autorisées seulement cohérent Disponibilité présence sous forme utilisable capacité à rencontrer les besoins et spécifications les contraintes de temps performance qualité Confidentialité IntégritéDisponibilité

5 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 5 Méthodologie de la sécurité informatique 1.Identifier la menace Qui ou quoi ? Comment (vulnérabilités) ? 2.Évaluer les risques Probabilité Impact 3.Considérer les mesures de protection par rapport au risque Efficacité (risque résiduel) Coût Difficulté d'utilisation 4.Mettre en place et opérer les mesures protections Modification et/ou installation Changer les politiques Éduquer les utilisateurs 5.Retourner à 1…

6 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 6 La menace en sécurité informatique Quel type de menace? Accidentelles Catastrophes naturelles ("acts of God") feu, inondation, … Actes humains involontaires : mauvaise entrée de données, erreur de frappe, de configuration, … Performance imprévue des systèmes : Erreur de conception dans le logiciels ou matériel Erreur de fonctionnement dans le matériel Délibérées Vol de systèmes Attaque de dénis de service Vol d'informations (atteinte à la confidentialité) Modification non-autorisée des systèmes …

7 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 7 La menace en sécurité informatique Qui ou quel origine ? Catastrophes naturelles Compagnie de marketing Hackers "Script kiddies" "White hat" à gage … Compétiteurs États étrangers Crime organisé Groupe terroriste Ceux à qui vous faites confiance…

8 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 8 Probabilité des risque délibérés Capacité Savoir/connaissances ou accès au savoir Outils Ressources humaines Argent Opportunité Espace : avoir accès physique Connectivité : existence d'un lien physique et logique Temps : être "là" au bon moment Motivation "À qui profite le crime ?" (Qui) Que gagne l'attaquant ? (Quoi) Combien gagne t-il ? (Combien) probabilité = capacité x opportunité x motivation

9 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 9 Moyens de protection - types (ou contrôles ou contre-mesures) Encryptage des données Contrôles au niveau des logiciels Programmés Partie du système d'exploitation Contrôle du développement des logiciels Contrôles du matériel Contrôle de l'accès au matériel: identification et authentification Contrôles physiques: serrures, caméras de sécurité, gardiens, etc… Procédures Qui est autorisé à faire quoi? Changement périodiques des mots de passe Prise de copies de sécurité Formation et administration Nous allons les revoir en détails dans le reste du cours…

10 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 10 Évaluation et choix de contre-mesures Réduction du risque Motivation et impact ne changent pas Ré-évaluation de capacité et opportunité => risque résiduel réduction = risque initial (sans contre-mesures) – risque résiduel (après application efficace) Coût total Coût d'installation (achat, installation, configuration) Coût d'opération (licences, personnel supplémentaire) Impact sur la performance des systèmes Convivialité du système Impact sur la processus d'affaires Introduction de nouveaux risques …

11 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 11 Évaluation et choix - deux principes fondamentaux Principe du point le plus faible Une personne cherchant à pénétrer un système utilisera tous les moyens possibles de pénétration, mais pas nécessairement le plus évident ou celui bénéficiant de la défense la plus solide. Principe de la protection adéquate (Gestion du risque) La durée de la protection doit correspondre à la période pendant laquelle l'importance et la valeur sont présentes, et pas plus. Le niveau et le coût de la protection doivent correspondre à l'importance et à la valeur de ce qu'on veut protéger: Choisir la contre-mesure avec le meilleur rapport "qualité" (réduction de risque) vs. "prix" (coût total)

12 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 12 Concepts et principes d'opération Efficacité des contrôles Conscientisation des personnels Utilisation réelle des contrôles disponibles Recouvrement des contrôles Vérification administrative Principe de l'efficacité Pour que les contrôles soient effectifs, ils doivent être utilisés Pour qu'ils soient utilisés, ils doivent être perçus comme étant faciles d'usage, et appropriés aux situations particulières.

13 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 13 Tableau d'analyse de risque (Tableau)

14 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 14 Analyse de risque - Acteurs et responsabilités Responsable de sécurité informatique Capacité et Opportunité En analysant Architecture des systèmes existants Vulnérabilités connues et possible des systèmes La nature technique de la menace Outils existants Technique et méthode d'attaques Probabilité des risque accidentels humains "Stakeholders" Description de la menace (quoi) Motivation (qui) Compétiteurs, opposants, etc. Impact "Combien ça coûterait si…" Relié à la "valeur du remboursement" en assurances Relié au concept d' "exposition au risque" en comptabilité Spécialiste en risque ou en sécurité générale Probabilité de risque accidentel naturel

15 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 15 Études de cas - Analyse de risque Contexte général Lintroduction de technologie sans-fil pour les périphériques de PC (infrarouge, Bluetooth, etc.) a permit lintroduction à bas prix de clavier sans-fil Lutilisation de ce type de dispositif à plusieurs avantages Commodité dutilisation Prix peu élevé Objectifs 1.Évaluer les risques inhérents liés à lutilisation de ce type de dispositif (aujourdhui) 2.Évaluer le risque résiduel des différentes contre-mesures (prochain cours)

16 INF4420 Sécurité Informatique INF4420 Sécurité Informatique 16 Étude de cas – Scénarios Scénario 1 Un fermier qui fait pousser du pot dans sa ferme isolée et qui utilise son ordinateur pour faire sa comptabilité (qui lui doit combien ou vice-versa, toutes ses commandes, etc.) et pour communiquer avec ses acheteurs (par courriel) Scénario 2 Une étudiante en résidence qui a un chum très jaloux et qui utilise son ordinateur pour faire ses travaux, communiquer avec ses autres amis et payer ses factures Scénario 3 Une secrétaire dans un bureau d'avocats dans une tour à bureau à Place Ville-Marie qui écrit et/ou édite toute la correspondance et les documents de sa patronne, une avocate en droit pénal (possiblement l'avocate du fermier…).


Télécharger ppt "José M. Fernandez M-3109 340-4711 poste 5433 INF4420: Sécurité Informatique Introduction : Concepts de base et motivation."

Présentations similaires


Annonces Google