FANDOM


Principes de la sécurité informatique Edit

20170601 105817893

Système d'information (SI) et les données sensibles d'une organisation = capital essentiel ; il faut le protéger contre les accès non autorisés.

Sécurité des systèmes d'information (SSI) = assurer l'unique utilisation des ressources systèmes d'une organisation dans le cadre prévu.

Les critères de sécurité (DIC) : Edit

  • Disponibilité = garantir l'accès aux services ou ressources au moment voulu par des personnes autorisées ;
  • Intégrité = prévention d'une modification non autorisée de l'information (norme ISO 7498-2 / ISO90) ;
  • Confidentialité = information n'est ni sisponible ni devulguée aux personnes, composantes ou processus non autorisés (norme ISO 7498-2 / ISO90).

Autres critères : Edit

  • non-répudiation = permet d'assurer qu'une personne ne puisse nier avoir effectué une transaction ;
  • authentification = assurer l'identification de l'origine de l'information et que seules les personnes autorisées aient accès aux ressources ;
  • autorisation = le type d'activité ou d'informations qu'une personne est autorisé à effectuer ou y accéder ;
  • traçabilité : garantir que les accès aux éléments considérés sont audités, ces traces sont conservées dans des journaux.

Les aspects de sécurité : Edit

  • sécurité des réseaux = le réseau est considéré comme un médium non sûr, ou des personnes malveillantes sont susceptibles de lire, modifier et supprimer les données

Pare-feu (firewall) = un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique.

  • détection d'intrusions = on utilise des outils pour repérer les intrus sur les ports laissés ouverts et les requêtes malintentionnées ; deux types de système de détection d'intrusions (IDS) :
    • IDS basés réseau (l'approche basée sur la conanissance ou la détection de scénarios d'attaque) ;
    • IDS basés hôtes (l'approche comportementale basée sur la détection d'anomalies).
  • cryptographie = science du secret, anonymisation des informations (standards de chiffrement, systèmes cryptographiques à clé publique, codes d'authentification, systèmes de partage de secrets, procédés d'identification, signatures numériques, etc.)
  • contrôle d'accès = vérifier si un sujet, demandant d'accéder à une ressource possède suffisamment dde droits pour le faire ; modèles traditionnels :
    • contrôle d'accès par mandat (MAC = Mandatory Access Control) basé sur l'étiquetage (Top Secret, etc.);
    • contrôle d'accès discrètionnaire (DAC = Discretionary Access Control) ― mécanisme décentralisé basé sur l'utilisateur dans lequel le créateur d'une donnée possède la pleine discrétion de définir les autorisations.

Domaines d'application de la sécurité Edit

  • sécurité physique et environnementale :
    • protection de l'environnement pour faire face aux sinistres naturels (incendie, inondation, etc.) ;
    • protection des sources énergétiques et climatisation (alimentation électrique, etc.) ;
    • protection des accès physiques aux locaux et équipements ;
    • tenue de l'inventaire des équipements ;
    • plan de maintenance corrective et préventive des équipements.
  • sécurité de l'exploitation :
    • gestion de parc informatique ;
    • geston de mises-à-jour ;
    • plan de secours et de continuité ;
    • lecture et analyse des journaux systèmes.
  • sécurité logique et applicative ;
    • maintien d'un système de contrôle d'accès logique et d'assurer l'authentification des utilisateurs et des programmes ;
    • assurance de la qualité des applications (robustesse, vulnérabilité, etc.) ;
    • classifications des données sensibles, etc.
  • sécurité des infrastructures de télécommunication :
    • sécurisation de l'infrastructure de support (utilisation des Vlan's, désativation des ports, etc.) ;
    • sécurisation de l'infrastructure de transport (noms et adresses, routage, chiffrement, etc.) ;
    • sécurisaton de l'infrastructure de service (programmes et applications traitant l'information).

Stratégie de sécurité : Edit

  • définition d'une politique de sécurité ;
  • formation du personnel ;
  • mesures proactives et réactives ;
  • optimisation de l'usage des technologies informatique et des communications.

Le juridique dans la sécurité des systèmes informatiques Edit

...

Éthique et formation Edit

Code ou charte déontologique.

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.