2 - Concepts Clés en cybersécurité (Cybersecurity cursus)
Cette présentation Afin de comprendre les enjeux de la cybersécurité, il faut savoir de quoi l’on parle, les termes et les concepts clés utilisés! Nous allons voir dans cette présentation les concepts clés en sécurité informatique et en cybersécurité
Agenda Définition sécurité vs sureté La résilience d’un système et la protection des actifs Le modèle D.I.C.T.A. La fiabilité et la maintenabilité Le contrôle d’accès La continuité opérationnelle Risques vs Menaces Et des Vidéos …
Sécurité (security) Sécurité d’un système ou d’un service : La sécurité d’un système ou d’un service est l’état d’une situation présentant le minimum de risques, à l’abri des dangers, des menaces. La mise en sécurité consiste à garantir la pérennité de cet état de sécurité par le recours à des moyens permettant soit de supprimer certains risques (mitigation) soit de les réduire à un niveau acceptable (risque résiduel). Les anglo-saxons parlent de security (sécurité contre les actes malveillants) ou de safety (sécurité contre les risques accidentels).
Sûreté (dependability) Sureté de fonctionnement d’un système ou d’un service : La sûreté de fonctionnement d’un système ou d’un service est son aptitude d’une part à disposer de ses performances fonctionnelles et opérationnelles (fiabilité, maintenabilité, disponibilité) et d’autre part, à ne pas présenter de risques majeurs (humains, environnementaux, financiers). Exemple: Sûreté d’une centrale nucléaire Les anglo-saxons parlent de dependability
Définition du gouvernement La sécurité désigne l'ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux risques techniques, physiques, chimiques et environnementaux pouvant nuire aux personnes et aux biens sans avoir un but de profit. Elle répond à de nombreuses règles établies, notamment la sécurité incendie qui est de la compétence des sapeurs- pompiers Exemple de risques concernés : l'incendie, l'accident du travail, hygiène, ergonomie et postures, catastrophes naturelles.... La sûreté concerne l'ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux actes spontanés ou réfléchis ayant pour but de nuire, ou de porter atteinte dans un but de profit psychique ou/et financier. Elle ne répond à aucune règle préétablie et est régie par très peu de textes. Exemple d'actes concernés : les actes d'incivilités, les actes de malveillance, les vols, les agressions....
Résilience Résilience d’un système ou d’un service La résilience est la capacité d’un système ou d’un service à résister à une panne ou à une cyber-attaque et à continuer de fonctionner en garantissant un certain niveau de service (mode complet ou mode dégradé) puis à revenir à son état initial après l’incident. Exemple : Résilience d’un système de commandement des secours/SAMU
Protection des actifs Actifs matériels/tangibles Destruction de matériels ou de supports Vol de matériels Actifs immatériels/intangibles Marque Goodwill (valeur économique-actif du bilan) Propriété intellectuelle (IP) Dommage direct ou indirects Prévention / Détection C.I.A. : Confidentiality, Integrity, Availability (D.I.C.)
Disponibilité (avaiLAbility) Les ressources et les services doivent être garantis en performance (temps de réponse) et en fonctionnement (% de disponibilité) La disponibilité d’un système informatique peut-être affectée : Par des soucis techniques (dysfonctionnement d’un ordinateur ou d’un équipement de télécommunication) Par des phénomènes naturels (inondation) Par des causes humaines (accidentelles ou volontaires) Exemple : Disponibilité de 99.98% < 2h d’interruption de services par an (uptime.is)
Intégrité (Integrity) Les données ne doivent pas pouvoir être altérées et/ou modifiées de manière volontaire ou fortuite L’origine ou la source des données doit aussi être clairement identifiée (personne ou organisation) afin d’éviter toute imposture L’information doit aussi être transmise sans aucune corruption (exemple : crc)
Confidentialité (confidentiality) Seules les personnes ou les programmes autorisés (politique de sécurité) ont accès aux informations qui leur sont destinées Méthodes d’authentification et de contrôle d’accès Notion de protection des données personnelles – Data privacy
Traçabilité (Tracking) Garantie que les accès aux programmes et aux données sont tracés dans un journal d’événements conservé, horodaté et exploitable. Exemple : L’historique de navigation peut être effacé Le journal des événements système reste intact
AudiTAbilité (Auditability) Capacité d’un système à pouvoir être audité pour s’assurer de la validité et de la fiabilité de ses informations et pour évaluer l’application des diverses procédures d’exploitation et processus de gestion et de contrôle Exemple : Horodatage et imputabilité des actions effectuées par un salarié sur son poste de travail (carte à puce ou Token + PKI + Chiffrement du disque)
21-famous_Computer_Hackers video 21-famous_Computer_Hackers
Fiabilité (reliability) Capacité d’un système à fonctionner correctement sous certaines conditions connues pendant une période de temps définie Peut-être définie comme la probabilité d’une défaillance (panne) ou par leurs fréquences probabiliste M.T.B.F. : Mean Time Between Failures
Maintenabilité (maintenability) Capacité d’un système informatique à revenir à un état normal de fonctionnement après une défaillance (panne) lorsque les opérations de maintenance correctives ont été appliquées selon des procédures prédéfinies. MTTR : Mean Time to Repair Il faut trouver un compromis et une optimisation entre fiabilité et la maintenabilité
Contrôle d’accès Processus de délivrance de droits d’accès à des personnes, à des programmes ou à des ordinateurs dûment autorisés à accéder, en lecture et/ou en écriture, à des ressources informatiques. Par extension sémantique, mécanisme destiné à limiter l’utilisation de ressources spécifiques à des utilisateurs autorisés Pare-feu (Firewall) : Règles par protocole, origine, destination Constitue la première ligne d’une défense en profondeur (defense in depth) Besoin d’en connaître (need to know) Horodatage, Non-répudiation, Imputabilité (Accountability)
Continuité opérationnelle Plan de continuité d’activité – BCP (Business Continuity Planning) Le BCP permet à une entreprise de détailler comment elle peut poursuivre son activité en cas de sinistre, éventuellement en mode dégradé. Cadre réglementaire : Bâle 2, Sarbanes Oxley, etc … Plan de reprise d’activité – DRP (Disaster Recovery Planning) Le RDP permet d’assurer, en cas de crise majeure ou importante, la reconstruction et la remise en route des applications supportant l’activité d’une entreprise Les besoins sont exprimés par une durée maximale d’interruption admissible (RTO : Recovery Time Objective) et une perte de données maximale admissible (RPO : Recovery Point Objective), avec ou sans mode dégradé
Quelle est la différence ? Risques vs Menaces Quelle est la différence ?
Risques vs Menaces Risque Menace Le risque se définit comme l'existence d'une probabilité de voir un danger se concrétiser dans un ou plusieurs scénarios, associée à des conséquences dommageables sur des biens ou des personnes. Exemple : Un Lion est un risque pour l’homme Menace C’est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation (définition selon la norme ISO 13335-1). Exemple : En Afrique, le Lion est une menace pour l’homme
Fin de la présentation 2/4