INF4420: Sécurité Informatique

Slides:



Advertisements
Présentations similaires
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Advertisements

MEMOIRE M1 MIAGE APPRENTISSAGE IT Solutions and Services
PhotoManager eXtreme Présentation IceCream team Besoins Étude existant Technologies Découpage des tâches Conclusion.
Isabelle Franchistéguy-Couloume CREG-UPPA IUT de Bayonne - Pays Basque
PLAN Présentation de la SARL La Tour Magne a. Situation.
SOMMAIRE ENJEUX OBJECTIFS & RESULTATS PERIMETRE ORGANISATION HUMAINE
André Caillet1 Stratégie du Système dInformation De la stratégie de lentreprise à la stratégie du Système dInformation.
- Processus de Prise de Décision -
CREDIT MANAGEMENT DIAGNOSTIC D’UNE ORGANISATION
Marchés de la Biométrie
Le dispositif dévaluation des personnels de direction. Le diagnostic détablissement Groupe Inspection Établissements et Vie Scolaire P.C Janvier 2004.
Rallyes web Val d'Oise Mai Les rallyes web visent à initier les élèves à la recherche documentaire en utilisant les ressources et outils disponibles.
Windows XP Professionnel
Les réseaux de soins Docteur Francis RAPHAEL Docteur Jean-Louis DEUTSCHER.
Edumédia est diffusé par le CNS (Canal Numérique des Savoirs) Abonnement annuel, de date à date, tarifs uniques selon les niveaux : Primaire : 99 Collège.
Il ne faut surtout pas sous-estimer les changements culturels dans l'organisation des entreprises. D'un côté, la technologie participe au succès des affaires.
Etat des lieux des Plans de conservation partagée Journées ABES 2010.
LE CONTRÔLE DES EQUIPEMENTS SPORTIFS
Les équations différentielles
1 2. A léchelle de létablissement. 2 Des espaces de travail sécurisés: les ENT.
1 La mesure MESURE & QUALITE De la mesure …. La mesure 2 Sommaire 1. Problématique 2. Démarche 3. Zéro défaut 4. Résolution des non-conformités.
Projet de mise en place de téléservices sur le site Internet de la ville Soutenance du rapport de stage le mercredi 18 novembre 2009 Denis Sueur.
© Copyright Alvarion Ltd. La liberté de choisir Forum Open-IPVideo Session du 20 Mai 2010 Garry Goldenberg-Korn Président.
Jacques PERRIN Séminaire IEN STI Lycée Diderot - PARIS – 3 février 2009 Cadre Européen des Certifications.
Les 4 moments où on doit se laver les mains
Une initiative du groupe des pays ACP financée par lUnion Européenne Programme Intra-ACP de lAlliance Mondiale contre le changement climatique (AMCC) Module.
Planification, suivi des activités et du budget Application de la méthode du Cadre logique et/ou de gestion axée sur les résultats SYSTÈME INTÉGRÉ DE GESTION.
© 2010 Agence Régionale de Santé 1/13 Messagerie Instantanée Support dauto-formation utilisateur.
Service de formation en indemnisation Valeur au jour du sinistre ou valeur à neuf.
Département fédéral de lintérieur DFI Office fédéral de la santé publique OFSP Unité de direction Politique de la santé Le rôle de la concurrence orientée.
N.T.I.C. Les dangers liés a l’utilisation des Nouvelles Technologies d’Information et de Communication.
La gestion des contenus d'apprentissage par les compétences
LA LOLF A L IA 44 en UNE ANNEE DE DECOUVERTES.
Maryse Gagnon, bibliothécaire Institut de recherche Robert-Sauvé en santé et en sécurité du travail Congrès des milieux documentaires - 5 novembre 2010.
Introduction en systèmes d’information et bases de données
ELINGAGE Formation élémentaire
Le programme de cadenassage Un aperçu du programme Table des matières.
Systèmes qualité en stérilisation
CCF / F. DUBOIS IEN ET/STI 1 VALIDATION - CERTIFICATION n Il existe plusieurs formes de validation en vue de la certification : u forme PONCTUELLE u forme.
La rigueur du contenu du document du plan de formation la grille de critères proposée.
Système d’Information de Santé de la région Rhône-Alpes
1 Le déroulement dun projet et sa gestion. 2 Le déroulement dun projet: plan 1.Objectifs dapprentissage 2.Les intervenants principaux 3.Le découpage en.
Chapitre 2 Le travail en équipe
Socle commun et livret personnel de compétences
Prise décision du passeur en volley-ball
MRP.
Synthèse des travaux. Clarifier les concepts et la terminologie Faire du contrôle interne, un enjeu majeur Bien identifier les acteurs Professionnaliser.
Ville de Saint-Jean-sur-Richelieu
Aurélie Sgro Chargée de Projet ICMPD Bruxelles
Handicap et politiques de coopération internationale Etat des lieux du handicap dans la coopération internationale.
Colloque de la Fédération Histoire Québec Centre des congrès et dexpositions de Lévis 5 octobre 2013.
PROGRAMME INITIAL DE RECHERCHE SUR LA MODÉLISATION DU SUIVI DES IMPACTS SOCIAUX DE L ALUMINERIE ALMA À Les objectifs de la recherche Á Les membres de.
Contrôle daccès et qualité de service dans les réseaux basés sur ATM Olivier Paul.
La VISIO-FORMATION La formation personnalisée, en toute liberté….
Opérations sur les ouvrages électriques
Paternité des Données Droits de Propriété Intellectuelle (DPI)
Origine du concept de Cohésion Sociale
Geneviève FRANCHET - SPV
Science et technologie au primaire Lévaluation aux 2 e et 3 e cycles 1.
1 ARCHITECTURE DACCÈS la méthode générale modèle de données définitions module daccès / modules métiers construction des modèles les modules daccès, les.
The EDI Standard for the Belgian Insurance sector R R Featuring Release Featuring Release
PI : Une plate forme multi-métiers pour TIGF
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
The Leading u-Payment Solutions Architect 2004 m2m group - All rights reserved - Any material copy is allowed if "Source: m2m Group" is mentioned La Biométrie.
La réponse juridique au terrorisme : vue d'ensemble Defense Institute of International Legal Studies Regional Defense Combating Terrorism Fellowship Program.
1. Les structures de documentation pour la division ST. 2. Les types de document dans la division ST. 3. Linterface informatique. Lundi 8 Mai 2000 ST Quality.
Supports de formation au SQ Unifié
Initiation à la conception des systèmes d'informations
Management de la qualité
3.3 Communication et réseaux informatiques
Transcription de la présentation:

INF4420: Sécurité Informatique Introduction : Concepts de base et motivation

Introduction et motivation – 1 sem. Cryptographie – 3 sem. Contenu du cours Introduction et motivation – 1 sem. Cryptographie – 3 sem. Sécurité des systèmes d'exploitation et du logiciel – 3 sem. Sécurité des applications client-serveur et Web – 1 sem. Sécurité des réseaux – 3 sem. Gestion de la sécurité informatique et Aspects légaux, normes et standardisation – 1 sem. Contrôle périodique et période de révision – 1 sem. Cryptographie

Qu'est-ce que la sécurité informatique ? La sécurité informatique consiste à la protection des systèmes, de l'information et des services contre les menaces accidentelles ou délibérées atteignant leur confidentialité intégrité disponibilité Confidentialité BD Intégrité Disponibilité Intégrité système: gestion de configuration, altération aux logiciels, etc. Intégrité services: tout se passe comme les parties s'y attendent Confidentialité services: protection de la vie privée

Objectifs de la sécurité informatique Confidentialité Intégrité Disponibilité Confidentialité qui peut "voir" quoi? Intérêts publics/privées vs. vie privée Intégrité exactitude précision modifications autorisées seulement cohérent Disponibilité présence sous forme utilisable capacité à rencontrer les besoins et spécifications les contraintes de temps performance qualité

Méthodologie de la sécurité informatique Identifier la menace Qui ou quoi ? Comment (vulnérabilités) ? Évaluer les risques Probabilité Impact Considérer les mesures de protection par rapport au risque Efficacité (risque résiduel) Coût Difficulté d'utilisation Mettre en place et opérer les mesures protections Modification et/ou installation Changer les politiques Éduquer les utilisateurs Retourner à 1… Le modèle est presque parfait mais à ces exceptions: L'introduction de contre-mesures permet l'introduction des nouveaux services, e.g. l'ICP Qu'est-ce qui est venu avant l'œuf ou la poule ?

La menace en sécurité informatique Quel type de menace? Accidentelles Catastrophes naturelles ("acts of God") feu, inondation, … Actes humains involontaires : mauvaise entrée de données, erreur de frappe, de configuration, … Performance imprévue des systèmes : Erreur de conception dans le logiciels ou matériel Erreur de fonctionnement dans le matériel Délibérées Vol de systèmes Attaque de dénis de service Vol d'informations (atteinte à la confidentialité) Modification non-autorisée des systèmes … Actuariat: assurances Militaire, diplomatie: renseignement et identification de la menace Exemple classique du

La menace en sécurité informatique Qui ou quel origine ? Catastrophes naturelles Compagnie de marketing Hackers "Script kiddies" "White hat" à gage … Compétiteurs États étrangers Crime organisé Groupe terroriste Ceux à qui vous faites confiance…

Probabilité des risque délibérés Capacité Savoir/connaissances ou accès au savoir Outils Ressources humaines Argent Opportunité Espace : avoir accès physique Connectivité : existence d'un lien physique et logique Temps : être "là" au bon moment Motivation "À qui profite le crime ?" (Qui) Que gagne l'attaquant ? (Quoi) Combien gagne t-il ? (Combien) probabilité = capacité x opportunité x motivation

Moyens de protection - types (ou contrôles ou contre-mesures) Encryptage des données Contrôles au niveau des logiciels Programmés Partie du système d'exploitation Contrôle du développement des logiciels Contrôles du matériel Contrôle de l'accès au matériel: identification et authentification Contrôles physiques: serrures, caméras de sécurité, gardiens, etc… Procédures Qui est autorisé à faire quoi? Changement périodiques des mots de passe Prise de copies de sécurité Formation et administration Nous allons les revoir en détails dans le reste du cours…

Évaluation et choix de contre-mesures Réduction du risque Motivation et impact ne changent pas Ré-évaluation de capacité et opportunité => risque résiduel réduction = risque initial (sans contre-mesures) – risque résiduel (après application efficace) Coût total Coût d'installation (achat, installation, configuration) Coût d'opération (licences, personnel supplémentaire) Impact sur la performance des systèmes Convivialité du système Impact sur la processus d'affaires Introduction de nouveaux risques …

Évaluation et choix - deux principes fondamentaux Principe du point le plus faible Une personne cherchant à pénétrer un système utilisera tous les moyens possibles de pénétration, mais pas nécessairement le plus évident ou celui bénéficiant de la défense la plus solide. Principe de la protection adéquate (Gestion du risque) La durée de la protection doit correspondre à la période pendant laquelle l'importance et la valeur sont présentes, et pas plus . Le niveau et le coût de la protection doivent correspondre à l'importance et à la valeur de ce qu'on veut protéger: Choisir la contre-mesure avec le meilleur rapport "qualité" (réduction de risque) vs. "prix" (coût total) Théorie des jeux: principes du minimax Matrice d'évaluation des coûts Durée

Concepts et principes d'opération Efficacité des contrôles Conscientisation des personnels Utilisation réelle des contrôles disponibles Recouvrement des contrôles Vérification administrative Principe de l'efficacité Pour que les contrôles soient effectifs, ils doivent être utilisés Pour qu'ils soient utilisés, ils doivent être perçus comme étant faciles d'usage, et appropriés aux situations particulières. - Table ici

Tableau d'analyse de risque

Analyse de risque - Acteurs et responsabilités Responsable de sécurité informatique Capacité et Opportunité En analysant Architecture des systèmes existants Vulnérabilités connues et possible des systèmes La nature technique de la menace Outils existants Technique et méthode d'attaques Probabilité des risque accidentels humains "Stakeholders" Description de la menace (quoi) Motivation (qui) Compétiteurs, opposants, etc. Impact "Combien ça coûterait si…" Relié à la "valeur du remboursement" en assurances Relié au concept d' "exposition au risque" en comptabilité Spécialiste en risque ou en sécurité générale Probabilité de risque accidentel naturel

Études de cas - Analyse de risque Contexte général L’introduction de technologie sans-fil pour les périphériques de PC (infrarouge, Bluetooth, etc.) a permit l’introduction à bas prix de clavier sans-fil L’utilisation de ce type de dispositif à plusieurs avantages Commodité d’utilisation Prix peu élevé Objectifs Évaluer les risques inhérents liés à l’utilisation de ce type de dispositif (aujourd’hui) Évaluer le risque résiduel des différentes contre-mesures (prochain cours)

Étude de cas – Scénarios Un fermier qui fait pousser du pot dans sa ferme isolée et qui utilise son ordinateur pour faire sa comptabilité (qui lui doit combien ou vice-versa, toutes ses commandes, etc.) et pour communiquer avec ses acheteurs (par courriel) Scénario 2 Une étudiante en résidence qui a un chum très jaloux et qui utilise son ordinateur pour faire ses travaux, communiquer avec ses autres amis et payer ses factures Scénario 3 Une secrétaire dans un bureau d'avocats dans une tour à bureau à Place Ville-Marie qui écrit et/ou édite toute la correspondance et les documents de sa patronne, une avocate en droit pénal (possiblement l'avocate du fermier…).