FANDOM


Principes de la sécurité informatique Edit

20170601 105817893

Système d'information (SI) et les données sensibles d'une organisation = capital essentiel ; il faut le protéger contre les accès non autorisés.

Sécurité des systèmes d'information (SSI) = assurer l'unique utilisation des ressources systèmes d'une organisation dans le cadre prévu.

Les critères de sécurité (DIC) : Edit

  • Disponibilité = garantir l'accès aux services ou ressources au moment voulu par des personnes autorisées ;
  • Intégrité = prévention d'une modification non autorisée de l'information (norme ISO 7498-2 / ISO90) ;
  • Confidentialité = information n'est ni sisponible ni devulguée aux personnes, composantes ou processus non autorisés (norme ISO 7498-2 / ISO90).

Autres critères : Edit

  • non-répudiation = permet d'assurer qu'une personne ne puisse nier avoir effectué une transaction ;
  • authentification = assurer l'identification de l'origine de l'information et que seules les personnes autorisées aient accès aux ressources ;
  • autorisation = le type d'activité ou d'informations qu'une personne est autorisé à effectuer ou y accéder ;
  • traçabilité : garantir que les accès aux éléments considérés sont audités, ces traces sont conservées dans des journaux.

Les aspects de sécurité : Edit

  • sécurité des réseaux = le réseau est considéré comme un médium non sûr, ou des personnes malveillantes sont susceptibles de lire, modifier et supprimer les données

Pare-feu (firewall) = un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique.

  • détection d'intrusions = on utilise des outils pour repérer les intrus sur les ports laissés ouverts et les requêtes malintentionnées ; deux types de système de détection d'intrusions (IDS) :
    • IDS basés réseau (l'approche basée sur la conanissance ou la détection de scénarios d'attaque) ;
    • IDS basés hôtes (l'approche comportementale basée sur la détection d'anomalies).
  • cryptographie = science du secret, anonymisation des informations (standards de chiffrement, systèmes cryptographiques à clé publique, codes d'authentification, systèmes de partage de secrets, procédés d'identification, signatures numériques, etc.)
  • contrôle d'accès = vérifier si un sujet, demandant d'accéder à une ressource possède suffisamment dde droits pour le faire ; modèles traditionnels :
    • contrôle d'accès par mandat (MAC = Mandatory Access Control) basé sur l'étiquetage (Top Secret, etc.);
    • contrôle d'accès discrètionnaire (DAC = Discretionary Access Control) ― mécanisme décentralisé basé sur l'utilisateur dans lequel le créateur d'une donnée possède la pleine discrétion de définir les autorisations.

Domaines d'application de la sécurité Edit

  • sécurité physique et environnementale :
    • protection de l'environnement pour faire face aux sinistres naturels (incendie, inondation, etc.) ;
    • protection des sources énergétiques et climatisation (alimentation électrique, etc.) ;
    • protection des accès physiques aux locaux et équipements ;
    • tenue de l'inventaire des équipements ;
    • plan de maintenance corrective et préventive des équipements.
  • sécurité de l'exploitation :
    • gestion de parc informatique ;
    • geston de mises-à-jour ;
    • plan de secours et de continuité ;
    • lecture et analyse des journaux systèmes.
  • sécurité logique et applicative ;
    • maintien d'un système de contrôle d'accès logique et d'assurer l'authentification des utilisateurs et des programmes ;
    • assurance de la qualité des applications (robustesse, vulnérabilité, etc.) ;
    • classifications des données sensibles, etc.
  • sécurité des infrastructures de télécommunication :
    • sécurisation de l'infrastructure de support (utilisation des Vlan's, désativation des ports, etc.) ;
    • sécurisation de l'infrastructure de transport (noms et adresses, routage, chiffrement, etc.) ;
    • sécurisaton de l'infrastructure de service (programmes et applications traitant l'information).

Stratégie de sécurité : Edit

  • définition d'une politique de sécurité ;
  • formation du personnel ;
  • mesures proactives et réactives ;
  • optimisation de l'usage des technologies informatique et des communications.

Le juridique dans la sécurité des systèmes informatiques Edit

...

Éthique et formation Edit

Code ou charte déontologique.