Cours CyberSécurité - Concepts Clés

4 281 vues

Publié le

Cours CyberSécurité - Université de Versailles-St Quentin - Concepts Clés - Avril 2013

Publié dans : Formation
0 commentaire
5 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
4 281
Sur SlideShare
0
Issues des intégrations
0
Intégrations
16
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
5
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cours CyberSécurité - Concepts Clés

  1. 1. Avril 2013Franck Franchin1
  2. 2. Master Droit - Franck Franchin - © 2013 Sécurité d’un système ou d’un service : La sécurité d’un système ou d’un service est létat dunesituation présentant le minimum de risques, à labri desdangers, des menaces. La mise en sécurité consiste àgarantir la pérennité de cet état de sécurité par lerecours à des moyens permettant soit de supprimercertains risques (mitigation) soit de les réduire à unniveau acceptable (risque résiduel). Les anglo-saxons parlent de security (sécurité contre lesactes malveillants) ou de safety (sécurité contre lesrisques accidentels).2
  3. 3. Master Droit - Franck Franchin - © 2013 Sûreté de fonctionnement d’un systèmeou d’un service : La sûreté de fonctionnement d’un système ou d’unservice est son aptitude d’une part à disposer de sesperformances fonctionnelles et opérationnelles (fiabilité,maintenabilité, disponibilité) et d’autre part, à ne pasprésenter de risques majeurs (humains,environnementaux, financiers). Exemple : Sûreté d’une centre nucléaire Les anglo-saxons parlent de dependability.3
  4. 4. Master Droit - Franck Franchin - © 2013 Résilience d’un système ou d’unservice : La résilience est la capacité d’un système ou d’un serviceà résister à une panne ou à une cyber-attaque et àcontinuer de fonctionner en garantissant un certainniveau de service (mode complet ou mode dégradé) puisà revenir à son état initial après l’incident. Exemple : Résilience d’un système de commandementdes secours/SAMU4
  5. 5. Master Droit - Franck Franchin - © 2013 Actifs matériels/tangibles◦ Destruction de matériels ou de supports◦ Vol de matériels Actifs immatériels/intangibles◦ Marque◦ Goodwill◦ Propriété intellectuelle (IP) Dommages directs ou indirects Prévention / Détection C.I.A. : Confidentiality Integrity Availability5
  6. 6. Master Droit - Franck Franchin - © 2013 Seules les personnes ou les programmesautorisés (politique de sécurité) ont accès auxinformations qui leur sont destinées Méthodes d’authentification et de contrôle d’accès Notion de protection des données personnelles -Data privacy6
  7. 7. Master Droit - Franck Franchin - © 2013 Processus de délivrance de droits d’accès à des personnes, à desprogrammes ou à des ordinateurs dûment autorisés à accéder, enlecture et/ou en écriture, à des ressources informatiques. Par extension sémantique, mécanisme destiné à limiter l’utilisationde ressources spécifiques à des utilisateurs autorisés Pare-feu (firewall) : règles par protocole, origine, destination Constitue la première ligne d’une Défense en profondeur (defensein depth) Besoin d’en connaître (need to know) Horodatage, Non-répudation, Imputabilité (Accountability)7
  8. 8. Master Droit - Franck Franchin - © 2013 Les données ne doivent pas pouvoir être altéréeset/ou modifiées de manière volontaire ou fortuite L’origine ou la source des données doit aussi êtreclairement identifiée (personne ou organisation)afin d’éviter toute imposture L’information doit aussi être transmise sansaucune corruption8
  9. 9. Master Droit - Franck Franchin - © 2013 Les ressources et les services doivent être garantisen performance (temps de réponse) et enfonctionnement (% de disponibilité) La disponibilité d’un système informatique peut êtreaffectée :◦ par des soucis techniques (dysfonctionnement d’unordinateur ou d’un équipement de télécommunication)◦ Par des phénomènes naturels (inondation)◦ Par des causes humaines (accidentelles ou délibérées) Exemple : Disponibilité de 99.99 % : 2h d’interruptionde service par an9
  10. 10. Master Droit - Franck Franchin - © 2013 Capacité d’un système à fonctionner correctementsous certaines conditions connues pendant unepériode de temps définie Peut-être définie comme la probabilité d’unedéfaillance (panne) ou par leurs fréquencesprobabiliste. MTBF : Mean Time Between Failure10
  11. 11. Master Droit - Franck Franchin - © 2013 Capacité d’un système informatique à revenir àune état normal de fonctionnement après unedéfaillance (panne) lorsque les opérations demaintenance correctives ont été appliquées selondes procédures prédéfinies MTTR (Mean Time To Repair) Compromis et optimisation entre la fiabilité et lamaintenabilité11
  12. 12. Master Droit - Franck Franchin - © 2013 Garantie que les accès aux programmes et auxdonnées sont tracés dans un journald’événements conservé, horodaté et exploitable. Exemple : Historique de navigation effacé maisJournal des événements système intact12
  13. 13. Master Droit - Franck Franchin - © 2013 Capacité d’un système à pouvoir être auditer pours’assurer de la validité et de la fiabilité de sesinformations et pour évaluer l’application desdiverses procédures d’exploitation et processusde gestion et de contrôle Exemple : horodatage et imputabilité des actionseffectuées par un salarié sur son poste de travail(carte à puce ou token + PKI + chiffrement dudisque)13
  14. 14. Master Droit - Franck Franchin - © 2013 Plan de Continuité - BCP (Business Continuity Planning)◦ Le BCP permet à une entreprise de détailler comment elle peutpoursuivre son activité en cas de sinistre, éventuellement enmode dégradé◦ Cadre réglementaire : Bâle 2, Sarbanes Oxley, etc. Plan de reprise d’activité - DRP (Disaster RecoveryPlanning)◦ Le RDP permet dassurer, en cas de crise majeure ou importante,la reconstruction et la remise en route des applicationssupportant lactivité dune entreprise.◦ Les besoins sont exprimés par une durée maximale dinterruptionadmissible (Recovery Time Objective, RTO) et une perte dedonnées maximale admissible (Recovery Point Objective, RPO),avec ou sans mode dégradé.14

×