Beruflich Dokumente
Kultur Dokumente
Jos M. Fernandez
Contenu du cours
Introduction et motivation 1 sem. Cryptographie 3 sem. Scurit des systmes d'exploitation et du logiciel 3 sem. Scurit des applications client-serveur et Web 1 sem. Scurit des rseaux 3 sem. Gestion de la scurit informatique et Aspects lgaux, normes et standardisation 1 sem. Contrle priodique et priode de rvision 1 sem.
BD BD
atteignant leur
confidentialit intgrit disponibilit
Confidentialit
qui peut "voir" quoi? Intrts publics/prives vs. vie prive
Intgrit
exactitude prcision modifications autorises seulement cohrent
Intgrit
Disponibilit
Disponibilit
prsence sous forme utilisable capacit rencontrer
les besoins et spcifications les contraintes de
1.
Identifier la menace
Qui ou quoi ? Comment (vulnrabilits) ?
2.
3.
4.
5.
Retourner 1
feu, inondation, Actes humains involontaires : mauvaise entre de donnes, erreur de frappe, de configuration, Performance imprvue des systmes : Erreur de conception dans le logiciels ou matriel Erreur de fonctionnement dans le matriel
Dlibres
Vol de systmes Attaque de dnis de service Vol d'informations (atteinte la confidentialit) Modification non-autorise des systmes
Comptiteurs tats trangers Crime organis Groupe terroriste Ceux qui vous faites confiance
Capacit
Savoir/connaissances ou accs au savoir Outils Ressources humaines Argent
Opportunit
Espace : avoir accs physique Connectivit : existence d'un lien physique et logique Temps : tre "l" au bon moment
Motivation
" qui profite le crime ?" (Qui) Que gagne l'attaquant ? (Quoi) Combien gagne t-il ? (Combien)
Contrles du matriel
Contrle de l'accs au matriel: identification et authentification Contrles physiques: serrures, camras de scurit, gardiens, etc
Procdures
Qui est autoris faire quoi? Changement priodiques des mots de passe Prise de copies de scurit Formation et administration
Rduction du risque
Motivation et impact ne changent pas R-valuation de capacit et opportunit => risque rsiduel rduction = risque initial (sans contre-mesures) risque rsiduel (aprs application efficace)
Cot total
Cot d'installation (achat, installation, configuration) Cot d'opration (licences, personnel supplmentaire) Impact sur la performance des systmes Convivialit du systme Impact sur la processus d'affaires Introduction de nouveaux risques
10
Choisir la contre-mesure avec le meilleur rapport "qualit" (rduction de risque) vs. "prix" (cot total)
11
Principe de l'efficacit
Pour que les contrles soient effectifs, ils doivent tre utiliss Pour qu'ils soient utiliss, ils doivent tre perus comme tant faciles d'usage, et appropris aux situations particulires.
12
(Tableau)
13
Architecture des systmes existants Vulnrabilits connues et possible des systmes La nature technique de la menace Outils existants Technique et mthode d'attaques
"Stakeholders"
Description de la menace (quoi) Motivation (qui)
Comptiteurs, opposants, etc.
Impact
"Combien a coterait si" Reli la "valeur du remboursement" en assurances Reli au concept d' "exposition au risque" en comptabilit
14
Contexte gnral
Lintroduction de technologie sans-fil pour les priphriques de PC (infrarouge, Bluetooth, etc.) a permit lintroduction bas prix de clavier sans-fil Lutilisation de ce type de dispositif plusieurs avantages
Objectifs
1. valuer les risques inhrents lis lutilisation de ce type de dispositif (aujourdhui) 2. valuer le risque rsiduel des diffrentes contre-mesures (prochain cours)
15
Scnario 1
Un fermier qui fait pousser du pot dans sa ferme isole et qui utilise son ordinateur pour faire sa comptabilit (qui lui doit combien ou vice-versa, toutes ses commandes, etc.) et pour communiquer avec ses acheteurs (par courriel)
Scnario 2
Une tudiante en rsidence qui a un chum trs jaloux et qui utilise son ordinateur pour faire ses travaux, communiquer avec ses autres amis et payer ses factures
Scnario 3
Une secrtaire dans un bureau d'avocats dans une tour bureau Place Ville-Marie qui crit et/ou dite toute la correspondance et les documents de sa patronne, une avocate en droit pnal (possiblement l'avocate du fermier). 16