2 - Concepts Clés en cybersécurité

Slides:



Advertisements
Présentations similaires
Collège Catts Pressoir Deuxième Conférence Mensuelle
Advertisements

AMDEC René BAELI Février 2006.
Qualité de Service des Services Web
Verrouillage, protections et verrouillages de sécurité des machines
Eléments Méthodologiques
La Gestion de la Configuration
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Présentation générale
D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
INTRODUCTION.
LA SURETE DE FONCTIONNEMENT ( S D F )
LA MAINTENANCE CORRECTIVE
Alain Villemeur Sector
Gestion des risques Contrôle Interne
Outil dauto-diagnostic Elaborer un référentiel de compétences stratégiques.
Pédagogie générale et « organisationnelle ».
Sésame Conseils Bon sens et compétences
Montage Hors Tension BT
Guide de gestion environnementale dans l’entreprise industrielle
Le Travail Collaboratif ...
Cahier des charges des Connaissances nécessaires au salarié d’une entreprise de travaux agricoles et ruraux en matière de Qualité-Sécurité et Environnement.
Docteur François-André ALLAERT Centre Européen de Normalisation
Place de l’audit dans la démarche qualité en hygiène hospitalière
Une approche documentaire de la diffusion sur Internet Journée WebÉducation Martin Sévigny / Irosoft / 14 mai 2009
Définition du système de contrôle interne (SCI)
Quelques indications sur la sinistralité liée aux risques d'origine électrique le nombre des AT d'origine électrique a été divisé par 4 depuis les années.
Ensemble nous pouvons faire face à vos enjeux techniques et opérationnels.
Concepts - Définitions
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
Le management de l'IVVQ Processus techniques IVVQ
La norme international OHSAS et la directive MSST
Les principaux registres obligatoires
Les types de maintenance
1.1 Définition d’un « service informatique » Un service informatique est un moyen permettant de générer une valeur ajoutée sans que le client ait à supporter.
VALIDATION VÉRIFICATION & TESTS
Formalisation de la politique qualité
Initiation à la conception des systèmes d'informations
BTS ELECTROTECHNIQUE Etude du référentiel.
CREDOC SERVICES L’archivage électronique Best practices 12 novembre 2008 Van der Perre Aurélie Boone Pieter
MODULE DE FORMATION À LA QUALITÉ
LA RESPONSABILITÉ CIVILE Par: Marie-Claude Tremblay, PAA Courtier d’assurance des entreprises Directrice des programmes Lemieux, Ryan & Associés Cabinet.
Sécurité et Internet Formation.
Offre de service Sécurité des systèmes d’information
LE RECRUTEMENT DU PERSONNEL
3.3 Communication et réseaux informatiques
Réalisé par : Mr. B.BENDIAF Mr. H.REHAB.
Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal.
Urbanisation du Système d’Information du Ministère de la Santé
La prévention et le SST Terminologie d’après les normes : NF EN 292-1
Formation PRAP IBC – Prévention des Risques liés à l’Activité Physique
IAEA International Atomic Energy Agency Réglementation 2ème partie Principes fondamentaux et définitions Jour – présentation 5 (2)
BTS PLASTURGIE.
CFM Centre de Formation Mécanique
INTRODUCTION AUX BASES DE DONNEES
Emmanuelle Lorenzi, Maître de conférences –
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Elaboration d’un PRA (Plan de reprise d’activité)
Bilan du cours Information Spécialisée M1 RETIC. Objectifs du cours (annoncés) Acquérir une culture informationnelle en SIC ; Acquérir une culture informationnelle.
Fiabilité et défaillance
BTS ELECTRONIQUE BTS ELECTRONIQUE BTS ELECTRONIQUE BTS ELECTRONIQUE
Transformation digitale Comment maîtriser les risques ?
1 41Qualité d’un logiciel Référentiel Gestion Comptable.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
PEE Sécurité-Environnement
GUIDE SHARE France 24 Septembre 2015 GUIDE SHARE MVS Plan Continuité d’Activité & Plan Reprise d’Activité Plan Continuité d’Activité & Plan Reprise d’Activité.
COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.
Transcription de la présentation:

2 - Concepts Clés en cybersécurité (Cybersecurity cursus)

Cette présentation Afin de comprendre les enjeux de la cybersécurité, il faut savoir de quoi l’on parle, les termes et les concepts clés utilisés! Nous allons voir dans cette présentation les concepts clés en sécurité informatique et en cybersécurité

Agenda Définition sécurité vs sureté La résilience d’un système et la protection des actifs Le modèle D.I.C.T.A. La fiabilité et la maintenabilité Le contrôle d’accès La continuité opérationnelle Risques vs Menaces Et des Vidéos …

Sécurité (security) Sécurité d’un système ou d’un service : La sécurité d’un système ou d’un service est l’état d’une situation présentant le minimum de risques, à l’abri des dangers, des menaces. La mise en sécurité consiste à garantir la pérennité de cet état de sécurité par le recours à des moyens permettant soit de supprimer certains risques (mitigation) soit de les réduire à un niveau acceptable (risque résiduel). Les anglo-saxons parlent de security (sécurité contre les actes malveillants) ou de safety (sécurité contre les risques accidentels).

Sûreté (dependability) Sureté de fonctionnement d’un système ou d’un service : La sûreté de fonctionnement d’un système ou d’un service est son aptitude d’une part à disposer de ses performances fonctionnelles et opérationnelles (fiabilité, maintenabilité, disponibilité) et d’autre part, à ne pas présenter de risques majeurs (humains, environnementaux, financiers). Exemple: Sûreté d’une centrale nucléaire Les anglo-saxons parlent de dependability

Définition du gouvernement La sécurité désigne l'ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux risques techniques, physiques, chimiques et environnementaux pouvant nuire aux personnes et aux biens sans avoir un but de profit. Elle répond à de nombreuses règles établies, notamment la sécurité incendie qui est de la compétence des sapeurs- pompiers Exemple de risques concernés : l'incendie, l'accident du travail, hygiène, ergonomie et postures, catastrophes naturelles.... La sûreté concerne l'ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux actes spontanés ou réfléchis ayant pour but de nuire, ou de porter atteinte dans un but de profit psychique ou/et financier. Elle ne répond à aucune règle préétablie et est régie par très peu de textes. Exemple d'actes concernés : les actes d'incivilités, les actes de malveillance, les vols, les agressions....

Résilience Résilience d’un système ou d’un service La résilience est la capacité d’un système ou d’un service à résister à une panne ou à une cyber-attaque et à continuer de fonctionner en garantissant un certain niveau de service (mode complet ou mode dégradé) puis à revenir à son état initial après l’incident. Exemple : Résilience d’un système de commandement des secours/SAMU

Protection des actifs Actifs matériels/tangibles Destruction de matériels ou de supports Vol de matériels Actifs immatériels/intangibles Marque Goodwill (valeur économique-actif du bilan) Propriété intellectuelle (IP) Dommage direct ou indirects Prévention / Détection C.I.A. : Confidentiality, Integrity, Availability (D.I.C.)

Disponibilité (avaiLAbility) Les ressources et les services doivent être garantis en performance (temps de réponse) et en fonctionnement (% de disponibilité) La disponibilité d’un système informatique peut-être affectée : Par des soucis techniques (dysfonctionnement d’un ordinateur ou d’un équipement de télécommunication) Par des phénomènes naturels (inondation) Par des causes humaines (accidentelles ou volontaires) Exemple : Disponibilité de 99.98% < 2h d’interruption de services par an (uptime.is)

Intégrité (Integrity) Les données ne doivent pas pouvoir être altérées et/ou modifiées de manière volontaire ou fortuite L’origine ou la source des données doit aussi être clairement identifiée (personne ou organisation) afin d’éviter toute imposture L’information doit aussi être transmise sans aucune corruption (exemple : crc)

Confidentialité (confidentiality) Seules les personnes ou les programmes autorisés (politique de sécurité) ont accès aux informations qui leur sont destinées Méthodes d’authentification et de contrôle d’accès Notion de protection des données personnelles – Data privacy

Traçabilité (Tracking) Garantie que les accès aux programmes et aux données sont tracés dans un journal d’événements conservé, horodaté et exploitable. Exemple : L’historique de navigation peut être effacé Le journal des événements système reste intact

AudiTAbilité (Auditability) Capacité d’un système à pouvoir être audité pour s’assurer de la validité et de la fiabilité de ses informations et pour évaluer l’application des diverses procédures d’exploitation et processus de gestion et de contrôle Exemple : Horodatage et imputabilité des actions effectuées par un salarié sur son poste de travail (carte à puce ou Token + PKI + Chiffrement du disque)

21-famous_Computer_Hackers video 21-famous_Computer_Hackers

Fiabilité (reliability) Capacité d’un système à fonctionner correctement sous certaines conditions connues pendant une période de temps définie Peut-être définie comme la probabilité d’une défaillance (panne) ou par leurs fréquences probabiliste M.T.B.F. : Mean Time Between Failures

Maintenabilité (maintenability) Capacité d’un système informatique à revenir à un état normal de fonctionnement après une défaillance (panne) lorsque les opérations de maintenance correctives ont été appliquées selon des procédures prédéfinies. MTTR : Mean Time to Repair Il faut trouver un compromis et une optimisation entre fiabilité et la maintenabilité

Contrôle d’accès Processus de délivrance de droits d’accès à des personnes, à des programmes ou à des ordinateurs dûment autorisés à accéder, en lecture et/ou en écriture, à des ressources informatiques. Par extension sémantique, mécanisme destiné à limiter l’utilisation de ressources spécifiques à des utilisateurs autorisés Pare-feu (Firewall) : Règles par protocole, origine, destination Constitue la première ligne d’une défense en profondeur (defense in depth) Besoin d’en connaître (need to know) Horodatage, Non-répudiation, Imputabilité (Accountability)

Continuité opérationnelle Plan de continuité d’activité – BCP (Business Continuity Planning) Le BCP permet à une entreprise de détailler comment elle peut poursuivre son activité en cas de sinistre, éventuellement en mode dégradé. Cadre réglementaire : Bâle 2, Sarbanes Oxley, etc … Plan de reprise d’activité – DRP (Disaster Recovery Planning) Le RDP permet d’assurer, en cas de crise majeure ou importante, la reconstruction et la remise en route des applications supportant l’activité d’une entreprise Les besoins sont exprimés par une durée maximale d’interruption admissible (RTO : Recovery Time Objective) et une perte de données maximale admissible (RPO : Recovery Point Objective), avec ou sans mode dégradé

Quelle est la différence ? Risques vs Menaces Quelle est la différence ?

Risques vs Menaces Risque Menace Le risque se définit comme l'existence d'une probabilité de voir un danger se concrétiser dans un ou plusieurs scénarios, associée à des conséquences dommageables sur des biens ou des personnes. Exemple : Un Lion est un risque pour l’homme Menace C’est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation (définition selon la norme ISO 13335-1). Exemple : En Afrique, le Lion est une menace pour l’homme

Fin de la présentation 2/4