Cybersécurité

avatar
Created by
Alessandro

Cards (60)

  • Système
    Ensemble d'éléments qui intéragissent entre eux. Ce qui les rassemble est un but commun.
  • Donnée
    Lorsqu'une donnée est interprétée, on appelle cela une information
  • Input/Output
    Dans un système, il y a forcément des données qui entrent et d'autres qui sortent
  • Approche analytique
    Décomposer un problème en petits problèmes
  • Système partiel

    Représente un échange d'information entre 2 sous-systèmes dans un but donné (ex. achat <-> production)
  • Supra système

    Représente l'environnement extérieur au système donné avec lequel ce dernier interagit
  • Système d'information (SI)

    Ensemble d'information interagissant ensemble
  • Système d'information informatisé (SII)

    Ensemble de donnée informatique
  • Objectifs pour le SII

    • Réduire la vulnérabilité
    • Assurer sa pérennité et son intégrité
    • Garantir sa disponibilité et ses accès
    • Gérer la confidentialité
    • Gérer l'authentification
    • Auditabilité (vérification ponctuelle) - Non répudiation
  • Menace
    Évènement qui aura un impact sur le fonctionnement de l'entreprise (ex. Panne courant, Incendie, Indisponibilité du système)
  • Acte involontaire

    • Backdoor (moyen de s'introduire dans le système)
    • Erreur humaine (suppresion de fichier involontaire)
  • Acte volontaire

    • Virus
    • Cyber-attaque
    • Ransomware
    • Malware
    • Vol de donnée
    • DDos (Déni de service)
  • Risque / menace
    • Physique
    • Logique
  • Risque / menace - Physique

    • Incendie
    • Dégât des eaux
    • Explosions
    • Coupure alimentation électrique (avoir une génératrice/ups pour contrer la coupure)
    • Coupure réseau
  • Risque / menace - Logique

    • Les virus
    • Le phishing
    • Les chevaux de troie
  • Probabilité des menaces
    Entre 1 et 4
  • Impact des menaces
    Entre 1 et 4
  • Matrice de Farmer

    Outil pour prévoir la probabilité et l'impact des menaces
  • Pour diminuer la probabilité des menaces

    1. Sensibiliser les utilisateurs
    2. Établir des politiques de sécurité (charte)
    3. Utiliser des dispositifs matériels (RFID, biométrie)
    4. Utiliser des dispositifs informatiques (pare-feu, proxy, routeur, anti-virus, anti-spam, anti-spyware)
  • Authentification des utilisateurs

    Nom d'utilisateur et mot de passe, peut être complété par biométrie ou double authentification
  • 3 critères de la sécurité

    • Disponibilité
    • Intégrité
    • Confidentialité
  • Disponibilité
    Le système est fonctionnel en tout temps, les données sont accessibles lorsque nécessaire
  • Intégrité
    L'information est vérifiée, exacte et n'a pas été modifiée entre l'expédition et l'arrivée
  • Confidentialité
    L'accès est admis uniquement aux personnes nécessaires et les données ne sont pas divulguées
  • Roue de Deming

    1. Plan (Prévoir ce qu'il faut faire)
    2. Do (Faire ce qui est prévu)
    3. Check (Vérifier ce qui a été prévu)
    4. Act
  • Catégories de documents

    • Public
    • Interne
    • Confidentiels
    • Secrets
  • Public
    Calendrier des filières, site Heg
  • Interne
    Liste des étudiants
  • Confidentiels
    Note des étudiants
  • Secrets
    Salaire d'un employé
  • Norme ISO 27001
    Concerne la certification des exigences en matière de sécurité informatique
  • Norme ISO 27002
    Explique les outils et les codes à mettre en pratique pour répondre aux exigences de la sécurité informatique
  • Mesures de sécurité technologiques (ISO 27002 8.1)

    • Le but est de protéger les informations des utilisateurs lors de l'utilisation des périphériques finaux
  • Norme ISO 27005
    Norme liée à la gestion des risques pour la sécurité informatique
  • Méthodes d'analyse de risques

    Basées sur le cycle d'amélioration continu (PDCA: La roue de Deming)
  • Cycle d'amélioration continu (PDCA)

    1. Trouver les problèmes
    2. Mettre en place des solutions
    3. Contrôler si les solutions sont efficaces
    4. Recommencer si nécessaire, ou garder la solution si fonctionnelle
  • Mehari
    Methode Harmonisée d'Analyse des Risques, remplace la méthode Marion
  • Mehari
    1. Identification et évaluation des risques dans le cadre d'une politique de sécurité (planifier)
    2. Fournir des indications sur les moyens à déployer (Déployer)
    3. Définir des points de contrôle (Controler)
    4. Recommencer le cycle (Améliorer)
  • Ebios RM

    • Atelier 1 : Cadrage et socle de sécurité
    • Atelier 2: Source de risque
    • Atelier 3: Scénarios stratégique
    • Atelier 4 : Scénarios opérationnels
    • Atelier 5: Traitement du risque
  • Personnes à sensibiliser dans une entreprise

    • Les utilisateurs
    • Les nouveaux collaborateurs
    • Les partenaires externes (clients, fournisseurs)
    • Les administrateurs (techniciens, informaticiens)