Scribd Logo
Importer

Bienvenue sur Scribd !

  • Corrigé Examen SSI 23012018

    Transféré par

    Karima Djm
    106 vues4 pages
    it's just test

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    it's just test

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    106 vues4 pages

    Corrigé Examen SSI 23012018

    Transféré par

    Karima Djm
    it's just test

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    République Algérienne Démocratique et Populaire

    Ministère de l’Enseignement Supérieur et de la Recherche Scientifique


    Université SAAD DAHLAB – Blida –
    Faculté de Sciences – Département Informatique

    Spécialité : SSI Master II Module : Méthodologie de sécurité 23/01/2018

    Exercice 1: Algérie Poste


    Description
    Algérie Poste a procédé récemment au lancement du plusieurs
    services qui s’inscrit dans une nouvelle stratégie, visant à moderniser
    et mettre à jour le secteur postal en s'adaptant aux systèmes bancaires
    en ligne, ces systèmes ont de nombreuses caractéristiques et capacités
    en commun, mais, traditionnellement, certains d'entre eux sont
    spécifiques aux applications. Les caractéristiques communes tombent
    généralement dans plusieurs catégories :
     Transactionnel, qui comprend l'exécution de transactions
    financières telles que le transfert d'un compte vers un compte, le
    paiement d'une facture, etc. Le système prendrait en charge :
     Présentation et paiement de factures électroniques;
     Transfert de fonds entre les propres comptes d'un client par
    chèques et les comptes épargne, ou les comptes d'un autre
    client;
     Achat ou vente d'investissement;
     Les demandes de prêt et les transactions.

     Non-transactionnel comprenant des relevés en ligne, des liens de


    vérification et des relevés bancaires;
     Administration des institutions financières;
     Support de plusieurs utilisateurs ayant différents niveaux
    d'autorité;
     Processus d'approbation des transactions.

    Les fonctionnalités qui sont généralement uniques aux services


    bancaires par Internet peuvent inclure:
     Soutien à la gestion financière personnelle
    o Par exemple, importer des données dans un logiciel de
    comptabilité personnel;
     Agrégation de compte.
    Permettre aux clients de surveiller tous leurs comptes en un seul
    endroit, soit avec leur banque principale ou avec d'autres institutions.

    Page 1 sur 4
    Question1 : Caractériser le système décrit en dessus en remplissant le
    tableau 1
    Tableau 1. Le Système 5 Pts
    Composants (minimum 5) Interface utilisateur, système de traitement des
    1.25 Pts transactions, des systèmes pour les opérations
    non transactionnelles, Base de données, etc.
    Infrastructure (minimum 3) Réseau, Internet, Systèmes d'exploitation, etc.
    0.75 Pts
    Applications 0.5 Pts Système bancaire en ligne, Autres systèmes
    (internes) de l’Algérie poste (paie, personnel,
    Stock, etc.)
    Le personnel informatique Administrateur du réseau, Administrateur de la
    0.5 Pts base de données, Développeurs des composants
    du système bancaire en ligne, RSSI, CSE, etc.
    Utilisateurs internes et Gestionnaire / administrateur de l’Algérie poste,
    la gestion 0.5 Pts employés de l’Algérie poste de la réception jusqu’
    au PDG, etc.
    Clients et utilisateurs externes Clients de l’Algérie poste (physiques et
    1 Pts juridiques), autres banques, autres systèmes qui
    sont liés au système bancaire en ligne

    Environnement 0.5 Pts -Tout le Pays, la région où la banque est située


    (exemple région centre ou wilaya de Blida)
    - Cyber espace (le web)

    Page 2 sur 4
    Question 2 : En fonction de la solution fournie pour la question 1,
    exécutez une itération du processus de gestion des risques pour gérer
    un risque de sécurité. Remplissez le tableau 2 :

    Tableau 2. Les composants du risque de sécurité 13 Pts


    Business assets Données financières personnelles soumises au
    interface d'entrée et stockée dans la base de données
    System assets 1.5 Pts A. Interface d'entrée utilisée dans le système
    bancaire en ligne.
    B. Support de transmission qui transfère des
    données financières personnelles.
    C. Base de données du système bancaire en ligne
    pour stocker les données financières personnelles
    Critères de sécurité A. Confidentialité des données financières
    1.5 Pts personnelles
    B. Intégrité des données financières personnelles
    C. Disponibilité des données financières
    personnelles
    Risque 2 Pts Un attaquant intercepte le support de transmission et
    manipule les données financières personnelles en
    raison du caractéristique du support de transmission
    et du manque de crypto-fonctionnalité à l'interface
    d'entrée et à la base de données, entraînant la perte
    d'intégrité des données financières personnelles.
    Impact 1.5 Pts 1. Perte d'intégrité des données financières
    personnelles;
    2. Les données financières personnelles ne sont pas
    soumises et stockées de manière sécurisée;
    3. Perte de la fiabilité du moyen de transmission.
    un événement 1 Pts Un attaquant intercepte le support de transmission
    en raison de ses caractéristiques, capture des données
    financières personnelles en raison du manque de
    crypto-fonctionnalité à l'interface d'entrée, modifie
    (un exemple …) et transmet des données financières
    personnelles à la base de données.
    Vulnérabilité Caractéristiques du moyen de transmission à intercepter.
    Manque de crypto-fonctionnalité à l'interface d'entrée et à
    la base de données.
    Menace 1 Pts Un attaquant intercepte le support de transmission,
    capture, modifie et transmet des données financières
    personnelles à la base de données.
    Agent de menace 0.5 Pts Un attaquant avec des moyens d'interception du
    support de transmission, agissant comme un proxy.
    Page 3 sur 4
    Méthode d'attaque - Intercepter le support de transmission entre
    1 Pts l'interface d'entrée et la base de données.
    - Capturer, modifier et transmettre des données
    financières personnelles à la base de données.
    Décision de traitement du Réduction de risque.
    risque 1 Pts
    Exigence de sécurité ES1: Le système bancaire en ligne doit vérifier les
    1 Pts données financières personnelles reçues avec
    l'original avant de les stocker dans la base de
    données.
    Contrôle 1 Pts Une fonction de hachage cryptographique

    Question 3: Définir d'autres exigences de sécurité pour atténuer le


    risque identifié dans la question 2. 2 Pts

    ES2: Le système bancaire en ligne devrait rendre les données


    financières personnelles illisibles aux attaquants à l'interface
    d'entrée. 0.25 Pts
    ES3: Le système bancaire en ligne doit utiliser un autre moyen de
    transmission plus sécurisé. 0.25 Pts
    ES4: Le système bancaire en ligne devrait empêcher la corruption
    non autorisée des données financières personnelles collectées auprès
    des clients des banques. 0.25 Pts
    ES5: Le système bancaire en ligne doit identifier le client de la
    banque avant de lui permettre d'utiliser ses fonctions. 0.25 Pts

    Page 4 sur 4

    Vous aimerez peut-être aussi