Sécurité des applications - TP1

Cours : 420-3CSC-BB, Sécurité des applica�ons

Enseignants : Reda Louahala et Gilles-Philippe Grégoire
Sujet : TP1 : poli�que de sécurité et scripts
Poids : 20%
Correc�on : sur 100
Date de distribu�on : lundi le 2 octobre 2023
Date de remise : mercredi le 18 octobre 2023
Remise : le document Word et les scripts dans un fichier ZIP

Modalité de remise

Travail individuel ou en équipe (maximum 2 personnes par équipe). Remise sur LÉA en format
zip qui comprend un document Word et tous les fichiers de scripts.
Votre document Word devra comprendre une page de garde (formatée correctement), une
table des ma�ères, les traces et les réponses aux différentes ques�ons le tout présenté d’une
façon claire et lisible.

Objec�f
Le but du travail est de s’assurer de la compréhension de certains éléments d’une poli�que de
sécurité des systèmes d’informa�on et de son implanta�on dans un environnement de ges�on
d’une base de données.

Introduc�on

Vous êtes nouvellement engagé comme ges�onnaire de système et DBA d’une entreprise dans
le domaine de l’éduca�on. Vous devez administrer une base de données existante et assurer la
sécurité de l’école. Votre entreprise possède l’ensemble des serveurs requis pour héberger
l’organisa�on.

RL et GPG 1
 Sécurité des applications - TP1

Tâches

Vous devez monter une base de données avec le script « cours.sql ».

Cete base de données représente le système que vous gérez en tant que SYSDBA. Votre patron,
ou administrateur, est l’enseignant. En tant que développeur, vous poserez vos ques�ons, pour
avoir des clarifica�ons à votre administrateur (enseignant). Ainsi, vous devrez créer des
u�lisateurs avec des profils spécifiques, des rôles et des privilèges. Puis, vous devrez vous
assurez de ne rien perdre (i.e. sauvegarde).

Vous devez fournir les scripts qui exécutent toutes les commandes et des traces de tout ce que
vous faites.

Créa�on d’une base de données enfichable

Pour faire la ges�on des étudiants, des groupes, et du reste également. Vous devez créer une
nouvelle base de données, pas de clonage ou quoi que ce soit d’autre.

Vous allez monter votre base de données avec le script « cours.sql ».

Créa�on des u�lisateurs :

On doit au moins retrouver :

• 2 SYSDBA, le DBA principal et son collègue
• 1 u�lisateur ges�onnaire principal qui a accès à toutes les fonc�onnalités
• 2 u�lisateurs du registrariat qui gèrent les étudiants et les cours
• 1 u�lisateur API qui gère les groupes et les semestres
• 1 u�lisateur enseignant qui gère les évalua�ons

Créa�on de profils :

Le profil de l’u�lisateur ges�onnaire, sera plus restric�fs ainsi les DBA devront intervenir pour
redonner accès, si ce dernier est verrouillé.

Les profils pour les autres u�lisateurs, seront plus permissifs.

Vous devez poser et expliquer les hypothèses que vous appliquez à chacun des profils en
fonc�on des responsabilités de chaque u�lisateurs. En fonc�on d’une poli�que de sécurité
que vous appliqueriez.

RL et GPG 2
 Sécurité des applications - TP1

Créa�on de rôles :

Vous devez créer des rôles à appliquer aux u�lisateurs.

Vous devez poser et expliquer les hypothèses que vous appliquez à chacun des rôles en
fonc�on des responsabilités de chaque u�lisateurs

Les rôles seront définis en fonc�on de l’énoncé responsabilités telles qu’énoncées plus haut.

Créa�on d’une copie de sauvegarde

Vous devez faire des copies de sauvegarde de deux façons différentes :

- En faisant un export/import complet de la PDB : sauvegarde logique
- En faisant une sauvegarde/recouvrement complète de la PDB : sauvegarde physique

On veut voir une démonstra�on que les sauvegardes fonc�onnent, avec traces. On regarde
l’état ini�al. Vous faites les sauvegardes et ensuite des modifica�ons et finalement remetre
la base de données dans l’état ini�al. On veut voir le cycle complet.

À remetre

Tous les scripts nécessaires pour effectuer les tâches. Les différentes commandes devront être
commentées à l’intérieur des scripts. Assumez que je vais rouler tous les scripts sur ma version
de SqlDeveloper et que je vais tester les u�lisateurs

La trace de tout ce que vous faites. Il faut la preuve que tous les scripts fonc�onnent. Donc,
vous devez documenter et tester vos scripts, u�lisateurs, etc. Faites aussi des traces des
connexions crées. Ainsi, les ac�ons prises dans SqlDeveloper ou par ligne de commande devront
être bonifiées avec des captures d’écran.

Vous devez u�liser une conven�on de nommage, nomenclature significa�ve, pour tous les
éléments demandés : u�lisateurs, profils, rôles, etc. Vous créez votre propre conven�on que
vous respectez tout le long du TP.

RL et GPG 3
 Sécurité des applications - TP1

Critères Pondéra�on
- Créa�on de la base de données enfichable
- Créa�on des rôles
- Créa�on des profils
- Créa�on de tous les u�lisateurs

- Présence des traces à la créa�on de tous les éléments /75

- Présence des traces lors de la créa�on des connexions
-
-Créa�on et test de la copie de sauvegarde
o Export/import
o Sauvegarde/recouvrement
- Nomenclature significa�ve
- Le document Word con�ent :
o Les traces d’exécu�on
/25
o Les explica�ons/hypothèses/jus�fica�ons nécessaires et
per�nentes
- Document Word bien formaté, selon les normes de présenta�on
Pénalité
- Retard : (-5%) de pénalité par jour de retard, après 3 jours c’est « 0 »
- Fichier comprimé autre que « ZIP » : -10%
- Présence de fichiers autres que ceux nécessaires : -10%

TOTAL /100

RL et GPG 4