Scribd Logo
Importer

Bienvenue sur Scribd !

  • SIG Risque de Protection

    Transféré par

    darktom2004
    4 vues3 pages

    Titre original

    SIG Risque de protection

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    4 vues3 pages

    SIG Risque de Protection

    Transféré par

    darktom2004

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 3

    SIG Risque de protection :

    Augmentation des risques car dépendance forte au S.I.

    Malveillance = actions volontaires d’origine humaine pour porter atteinte à un


    système/accès aux données.
    Fuite/Perte/Vol de données sensibles (+partenaires commerciaux)

    Erreurs = problème d’utilisation, de manipulation


    De conception de logiciels

    Accidents = évènements « naturels » : court-circuit, foudre, inondations


    Évènements internes : chute dans escalier
    Perte de services essentiels : électricité, internet

    Évènements tiers = grève, manifestations, crises politiques, économiques.

    Réseau, l’alimentation, les S.E., les personnes, le matériel, l’environnement, les données sont
    des cibles potentielles du pirate.

    L’origine de ces attaques peut être interne comme externe.

    Objectifs de la sécurité :
    - Disponibilité : garantie que les ressources sont disponibles au moment souhaité
    - Confidentialité : garantie que seules les personnes autorisées ont accès aux
    ressources (droit d’accès et d’authentification).
    - Intégrité : garantie que les ressources soient dans l’état attendu
     Pas d’altération, suppression (totale ou partielle) sauf personnes autorisées.
    - Non-répudiation : garantie que lorsqu’une action a été réalisée par quelqu’un ;
    l’auteur ne peut pas prétendre ne pas l’avoir réalisée.
    Pour réduire les vulnérabilités : risques qu’un problème survienne ou des dégâts.
    Sécuriser les postes de travail :
    - Antivirus
    - Mdp : localement ou au niveau d’un domaine
    - Màj de sécurité
    - Sensibiliser : se connecter
    Comment faire lors d’une attaque via formations et chartes informatiques.
    Domaine = regroupement d’appareils
    ! ne pas utiliser de systèmes non-mis à jour !

    Sauvegardes :
    - Faiblesse des PME : sous-estimée, pas adaptée
    - Risques E. ferme si perte massive de données
    - Politique de sauvegarde :
    - Quoi ? (quelles données + à quel endroit)
    - Quand ? (moment « calme »)
    - Où ? (support disque dur externe/un serveur par disque dur interne/par NAS par
    disque dur interne/par cloud à faible débit) ?
    - Types de sauvegarde :
    - Totale : toutes les données de l’E
    - Partielle :
    - différentielle : uniquement les données modifiées depuis la dernière sauvegarde
    totale.
    - Incrémentale : uniquement les données modifiées depuis la dernière sauvegarde

    RAID = redondance
    Couteux ; nécessite un nombre pair de 1 par ligne

    Réseau :
    Switch : commutateur pour l’interconnexion
    Firewall = pare-feu pour filtrer selon les règles
    Routeur : accès à internet et filtre
    DMZ : zone démilitarisée moins sécurisée stockant des services internes et externes
    Proxy = passerelle applicative
    VP N = chiffrer les données
    ! Désactiver les services inutiles !

    Cryptographie : modifier les données pour les rendre incompréhensibles


     Existence du chiffrement symétrique : partage de clé pour déchiffrer le texte
    chiffré envoyé
    Problème : échange de la clé

    clair chiffré
    Clé pb B

    Clé pv B
    clair chiffré
    Clé de cession :
    - Asymétrique sur une petite partie (la clé de cession)
    - Clé de cession est ajoutée (chiffrée) au doc.
    = Clé symétrique, utilisée pour chiffrer le document.

    + performance du chiffrement asymétrique


    -niveau de sécurité du chiffrement asymétrique

    Signature électronique :
    Garantie (détection) que les données ne sont pas modifiées.

    Certificat électronique :
    Prouver la validité de la clé publique
    Date de validité
    Délivré par tiers de confiance

    Classes :
    1/ adresse mail du demandeur
    2/ preuve de l’identité du demandeur
    3/ présentation physique du demandeur obligatoire
    3+/ associé à un support physique (clé USB, carte à puce)

    Pour le commerce en ligne :


    Client => id +mdp => serveur
    Client <= certificat <= serveur

    Conclusion :
    ANSSI : Agence nationale de sécurité des systèmes informatiques
    Guide de l’hygiène de l’informatique

    La démarche de sécurité :
     Identifier les risques,
     Évaluer les niveaux de sécurité,
     Définir le niveau de sécurité à atteindre
     Définir les moyens à mettre en œuvre
    Mais la sécurité à 100% n’existe pas !
     Compromis entre la valeur de ce qui est à protéger et la protection (coût,
    ergonomie)
     Ce qui est à protéger
     Etre suffisamment dissuasifs
     Ne donner que les « privilèges » nécessaires
     N’installer que les applications réellement nécessaires
     La sécurité = 20% de technique contre 8°% de bon sens, d’organisation

    Vous aimerez peut-être aussi