La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

2 - Concepts Clés en cybersécurité

Publié parNoël Gaulin Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "2 - Concepts Clés en cybersécurité"— Transcription de la présentation:

1 2 - Concepts Clés en cybersécurité
(Cybersecurity cursus)

2 Cette présentation Afin de comprendre les enjeux de la cybersécurité, il faut savoir de quoi l’on parle, les termes et les concepts clés utilisés! Nous allons voir dans cette présentation les concepts clés en sécurité informatique et en cybersécurité

3 Agenda Définition sécurité vs sureté
La résilience d’un système et la protection des actifs Le modèle D.I.C.T.A. La fiabilité et la maintenabilité Le contrôle d’accès La continuité opérationnelle Risques vs Menaces Et des Vidéos …

4 Sécurité (security) Sécurité d’un système ou d’un service :
La sécurité d’un système ou d’un service est l’état d’une situation présentant le minimum de risques, à l’abri des dangers, des menaces. La mise en sécurité consiste à garantir la pérennité de cet état de sécurité par le recours à des moyens permettant soit de supprimer certains risques (mitigation) soit de les réduire à un niveau acceptable (risque résiduel). Les anglo-saxons parlent de security (sécurité contre les actes malveillants) ou de safety (sécurité contre les risques accidentels).

5 Sûreté (dependability)
Sureté de fonctionnement d’un système ou d’un service : La sûreté de fonctionnement d’un système ou d’un service est son aptitude d’une part à disposer de ses performances fonctionnelles et opérationnelles (fiabilité, maintenabilité, disponibilité) et d’autre part, à ne pas présenter de risques majeurs (humains, environnementaux, financiers). Exemple: Sûreté d’une centrale nucléaire Les anglo-saxons parlent de dependability

6 Définition du gouvernement
La sécurité désigne l'ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux risques techniques, physiques, chimiques et environnementaux pouvant nuire aux personnes et aux biens sans avoir un but de profit. Elle répond à de nombreuses règles établies, notamment la sécurité incendie qui est de la compétence des sapeurs- pompiers Exemple de risques concernés : l'incendie, l'accident du travail, hygiène, ergonomie et postures, catastrophes naturelles.... La sûreté concerne l'ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux actes spontanés ou réfléchis ayant pour but de nuire, ou de porter atteinte dans un but de profit psychique ou/et financier. Elle ne répond à aucune règle préétablie et est régie par très peu de textes. Exemple d'actes concernés : les actes d'incivilités, les actes de malveillance, les vols, les agressions....

7 Résilience Résilience d’un système ou d’un service
La résilience est la capacité d’un système ou d’un service à résister à une panne ou à une cyber-attaque et à continuer de fonctionner en garantissant un certain niveau de service (mode complet ou mode dégradé) puis à revenir à son état initial après l’incident. Exemple : Résilience d’un système de commandement des secours/SAMU

8 Protection des actifs Actifs matériels/tangibles
Destruction de matériels ou de supports Vol de matériels Actifs immatériels/intangibles Marque Goodwill (valeur économique-actif du bilan) Propriété intellectuelle (IP) Dommage direct ou indirects Prévention / Détection C.I.A. : Confidentiality, Integrity, Availability (D.I.C.)

9 Disponibilité (avaiLAbility)
Les ressources et les services doivent être garantis en performance (temps de réponse) et en fonctionnement (% de disponibilité) La disponibilité d’un système informatique peut-être affectée : Par des soucis techniques (dysfonctionnement d’un ordinateur ou d’un équipement de télécommunication) Par des phénomènes naturels (inondation) Par des causes humaines (accidentelles ou volontaires) Exemple : Disponibilité de 99.98% < 2h d’interruption de services par an (uptime.is)

10 Intégrité (Integrity)
Les données ne doivent pas pouvoir être altérées et/ou modifiées de manière volontaire ou fortuite L’origine ou la source des données doit aussi être clairement identifiée (personne ou organisation) afin d’éviter toute imposture L’information doit aussi être transmise sans aucune corruption (exemple : crc)

11 Confidentialité (confidentiality)
Seules les personnes ou les programmes autorisés (politique de sécurité) ont accès aux informations qui leur sont destinées Méthodes d’authentification et de contrôle d’accès Notion de protection des données personnelles – Data privacy

12 Traçabilité (Tracking)
Garantie que les accès aux programmes et aux données sont tracés dans un journal d’événements conservé, horodaté et exploitable. Exemple : L’historique de navigation peut être effacé Le journal des événements système reste intact

13 AudiTAbilité (Auditability)
Capacité d’un système à pouvoir être audité pour s’assurer de la validité et de la fiabilité de ses informations et pour évaluer l’application des diverses procédures d’exploitation et processus de gestion et de contrôle Exemple : Horodatage et imputabilité des actions effectuées par un salarié sur son poste de travail (carte à puce ou Token + PKI + Chiffrement du disque)

14 21-famous_Computer_Hackers
video 21-famous_Computer_Hackers

15 Fiabilité (reliability)
Capacité d’un système à fonctionner correctement sous certaines conditions connues pendant une période de temps définie Peut-être définie comme la probabilité d’une défaillance (panne) ou par leurs fréquences probabiliste M.T.B.F. : Mean Time Between Failures

16 Maintenabilité (maintenability)
Capacité d’un système informatique à revenir à un état normal de fonctionnement après une défaillance (panne) lorsque les opérations de maintenance correctives ont été appliquées selon des procédures prédéfinies. MTTR : Mean Time to Repair Il faut trouver un compromis et une optimisation entre fiabilité et la maintenabilité

17 Contrôle d’accès Processus de délivrance de droits d’accès à des personnes, à des programmes ou à des ordinateurs dûment autorisés à accéder, en lecture et/ou en écriture, à des ressources informatiques. Par extension sémantique, mécanisme destiné à limiter l’utilisation de ressources spécifiques à des utilisateurs autorisés Pare-feu (Firewall) : Règles par protocole, origine, destination Constitue la première ligne d’une défense en profondeur (defense in depth) Besoin d’en connaître (need to know) Horodatage, Non-répudiation, Imputabilité (Accountability)

18 Continuité opérationnelle
Plan de continuité d’activité – BCP (Business Continuity Planning) Le BCP permet à une entreprise de détailler comment elle peut poursuivre son activité en cas de sinistre, éventuellement en mode dégradé. Cadre réglementaire : Bâle 2, Sarbanes Oxley, etc … Plan de reprise d’activité – DRP (Disaster Recovery Planning) Le RDP permet d’assurer, en cas de crise majeure ou importante, la reconstruction et la remise en route des applications supportant l’activité d’une entreprise Les besoins sont exprimés par une durée maximale d’interruption admissible (RTO : Recovery Time Objective) et une perte de données maximale admissible (RPO : Recovery Point Objective), avec ou sans mode dégradé

19 Quelle est la différence ?
Risques vs Menaces Quelle est la différence ?

20 Risques vs Menaces Risque Menace
Le risque se définit comme l'existence d'une probabilité de voir un danger se concrétiser dans un ou plusieurs scénarios, associée à des conséquences dommageables sur des biens ou des personnes. Exemple : Un Lion est un risque pour l’homme Menace C’est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation (définition selon la norme ISO ). Exemple : En Afrique, le Lion est une menace pour l’homme

21 Fin de la présentation 2/4

Télécharger ppt "2 - Concepts Clés en cybersécurité"

Présentations similaires

Collège Catts Pressoir Deuxième Conférence Mensuelle

Collège Catts Pressoir Deuxième Conférence Mensuelle
AMDEC René BAELI Février 2006.

AMDEC René BAELI Février 2006.
Qualité de Service des Services Web

Qualité de Service des Services Web
Verrouillage, protections et verrouillages de sécurité des machines

Verrouillage, protections et verrouillages de sécurité des machines
Eléments Méthodologiques

Eléments Méthodologiques
La Gestion de la Configuration

La Gestion de la Configuration
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Présentation générale

Présentation générale
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005

LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité

La politique de Sécurité
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité

L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
INTRODUCTION.

INTRODUCTION.
LA SURETE DE FONCTIONNEMENT ( S D F )

LA SURETE DE FONCTIONNEMENT ( S D F )
LA MAINTENANCE CORRECTIVE

LA MAINTENANCE CORRECTIVE
Alain Villemeur Sector

Alain Villemeur Sector
Gestion des risques Contrôle Interne

Gestion des risques Contrôle Interne
Www.catalys-conseil.fr Outil dauto-diagnostic Elaborer un référentiel de compétences stratégiques.

Outil dauto-diagnostic Elaborer un référentiel de compétences stratégiques.
Pédagogie générale et « organisationnelle ».

Pédagogie générale et « organisationnelle ».
Sésame Conseils Bon sens et compétences

Sésame Conseils Bon sens et compétences

Présentations similaires

Annonces Google