ADM 6046 – Examen Final - Notes de cours tous PDF

Preview

Summary

ADM 6046 – EXAMEN FINALSEMAINE 1 (Chapitre 1) : Introduction to information security : La sécurité de l’information est née d’un domaine plus ancien, celui de la sécurité informatique.  La sécurité consiste à se protéger du danger. Pour protéger ses actifs informationnels et ses opérations, une or...

Description

ADM 6046 – EXAMEN FINAL SEMAINE 1 (Chapitre 1) : Introduction to information security :    

 

La sécurité de l’information est née d’un domaine plus ancien, celui de la sécurité informatique. La sécurité consiste à se protéger du danger. Pour protéger ses actifs informationnels et ses opérations, une organisation doit prévoir différentes couches de sécurité : la sécurité physique, la sécurité des communications, la sécurité des réseaux et la sécurité de l’information. La sécurité de l’information consiste à protéger du risque les actifs informationnels qui utilisent, recueillent ou transmettent de l’information par l’application d’une politique de sécurité, la formation du personnel et l’utilisation de la technologie. Les trois caractéristiques de l’information qui composent le triangle DIC (la disponibilité, l’intégrité et la confidentialité) doivent être protégées en tout temps. Cette protection est assurée par l’implantation de différentes mesures (politiques, formation et sensibilisation du personnel et technologie appropriée). Les systèmes d’information comportent six composants principaux : les logiciels, le matériel, les données, les personnes, les procédures et les réseaux. Les gestionnaires de haut niveau sont à l’origine du projet de sécurité dans l’approche descendante (top-down approach) utilisée pour implanter la sécurité de l’information dans une organisation, tandis que ce sont les administrateurs de systèmes qui déterminent les stratégies d’implantation de la sécurité dans l’approche ascendante (bottom-up approach).

L’approche descendante et l’approche ascendante Source : Principles of Information Security, 5 e éd., Boston (Mass.), Course Technology, Cengage Learning, p. 24. 

 

Traditionnellement, la méthodologie du cycle de vie du développement des systèmes d’information (SDLC, pour systems development life cycle) était utilisée pour implanter un système dans une organisation. Cette méthodologie a été adaptée pour y inclure les éléments de la sécurité de l’information et devenir le cycle de vie du développement des systèmes de sécurité (SecSDLC, poursecurity systems development life cycle). L’assurance logicielle est une discipline de la sécurité informatique qui s’intéresse aux activités menant à la création de systèmes sécuritaires. Des pratiques de développement de logiciels inadéquates peuvent introduire des risques considérables. Toutefois, la qualité générale des logiciels et leur performance en matière de sécurité peuvent être grandement améliorées par le recours à des pratiques éprouvées, le contrôle du changement et l’ajout de l’assurance qualité dans le processus.

1

La méthodologie en cascade du cycle de vie du développement des systèmes d’information (SDLC) Source : Principles of Information Security, 5 e éd., Boston (Mass.), Course Technology, Cengage Learning, p. 25.   

Le contrôle et l’utilisation des données dans une organisation sont assurés par les propriétaires des données, les gardiens des données et les utilisateurs des données. La culture organisationnelle unit les communautés d’intérêts, qui partagent des valeurs semblables et des objectifs communs. Les trois communautés d’intérêts de la sécurité de l’information sont la gestion, la gestion des TI et la gestion de la sécurité de l’information. La sécurité de l’information est à la fois un art et une science qui comprend plusieurs aspects des sciences sociales.

RÉVISION : The History of Information Security 1. Comment la sécurité informatique a-t-elle évolué pour devenir la sécurité de l’information? Avant la création et l’utilisation des technologies en réseau, la sécurité informatique consistait à sécuriser uniquement l’emplacement physique. On utilisait alors des insignes (sur les vêtements) ou des épinglettes et des serrures. Avec la création de l’ARPANET et la popularité croissante des systèmes en réseau, cette façon de faire n’était plus adéquate puisqu’on devait aussi assurer la protection des logiciels, du matériel, des données, des personnes, des procédures et des réseaux. La sécurité informatique est alors devenue un simple élément de la sécurité de l’information. What Is Security? 2. Quelle est la différence entre la sécurité des communications, la sécurité de l’information et la sécurité physique? La sécurité des communications : pour protéger les supports de communication et le contenu des communications électroniques. La sécurité de l’information : pour protéger l’information (disponibilité, confidentialité et intégrité) qui est stockée, traitée ou transmise. La sécurité physique : pour protéger les objets ou les zones contre les accès non autorisés ou le mauvais usage. 3. Quelles sont les trois caractéristiques de l’information qui composent le triangle DIC (C.I.A. triangle)? À quoi servent ces composants? Les trois caractéristiques de l’information qui composent le triangle DIC sont : • la disponibilité : l’assurance que l’information est disponible lorsqu’on en a besoin; • l’intégrité : l’assurance que l’information est complète et non corrompue; • la confidentialité : l’assurance que l’information est partagée seulement par les personnes autorisées. Ces trois composants sont souvent utilisés pour exprimer les objectifs d’un programme de sécurité. Ce sont en fait les principes directeurs de la sécurité de l’information, qui doivent être utilisés en harmonie pour assurer la sécurité des systèmes d’information. 4. Quelles sont les caractéristiques essentielles de l’information? Nommez et décrivez chacune d’elles. Les caractéristiques essentielles de l’information définissent la valeur de l’information. Elles sont au nombre de sept : 1. la disponibilité : c’est ce qui permet aux utilisateurs autorisés – qu’il s’agisse de personnes ou de systèmes informatiques – d’accéder aux informations sans obstacle ni obstruction et de les recevoir dans le format requis; 2. l’exactitude : l’information est exacte lorsqu’elle ne contient pas d’erreurs ni d’inexactitudes et qu’elle a la valeur attendue par l’utilisateur; 3. l’authenticité : l’information est authentique quand elle est dans l’état d’origine dans lequel elle a été créée, placée, stockée ou transférée; 4. la confidentialité : la confidentialité est réussie lorsque la divulgation ou l’exposition d’informations à des personnes ou à des systèmes non autorisés est empêchée. Elle garantit que l’accès à l’information est réservé aux seuls détenteurs des droits et privilèges d’accès autorisés; 5. l’intégrité : l’intégrité de l’information est conservée lorsque l’information est complète et non corrompue; 6. l’utilité : l’utilité de l’information est la qualité ou l’état de l’information qui a une valeur lorsqu’elle peut être utilisée dans un but ou pour un usage particulier; 7. la possession : la possession de l’information est l’état de propriété ou de contrôle, par exemple l’appartenance de l’information à un propriétaire ou son contrôle par ce dernier. Components of an Information System 5. Quels sont les six composants d’un système d’information? Les six composants d’un système d’information sont : les logiciels, le matériel, les données, les personnes, les procédures et les réseaux. Approaches to Information Security Implementation 6. L’implantation de la sécurité de l’information dans une organisation peut avoir deux points de départ : les administrateurs de systèmes ou les gestionnaires de haut niveau. Décrivez brièvement chaque approche, puis expliquez en quoi l’approche descendante (top-down approach) est supérieure à l’approche ascendante (bottom-up approach). L’approche descendante a une plus grande chance de succès, puisque le projet est mis en œuvre par les gestionnaires du niveau supérieur. Ce sont eux qui établissent les politiques et les processus, qui dictent les objectifs et les résultats escomptés et qui déterminent les personnes qui doivent rendre des comptes. Cette approche bénéficie d’un fort soutien de la haute direction, d’un promoteur (champion) qui défend fortement le projet, d’un financement important, d’une planification claire, d’un processus de mise en œuvre et des moyens pour influencer la culture organisationnelle. Puisque toutes ces actions proviennent du niveau supérieur, le niveau tactique et opérationnel n’a pas d’autre choix que de les réaliser. L’approche ascendante a pour point de départ les administrateurs de systèmes qui essaient d’améliorer la sécurité de leurs systèmes. Cette approche ne dispose pas des mêmes moyens de persuasion puisqu’elle repose sur des arguments technologiques plutôt que sur des arguments de gestion.

7. Vous devez diriger une équipe de sécurité. Devriez-vous aborder la question de la sécurité davantage sur le plan de la gestion ou sur le plan technique?

2

L’approche de la sécurité devrait être davantage axée sur l’aspect de la gestion que sur l’aspect technique, bien que la capacité technique des ressources soit critique dans l’exécution des activités quotidiennes. L’approche descendante de la mise en œuvre de la sécurité est donc de loin la meilleure : elle permet d’obtenir le soutien de la haute direction, un leader de type promoteur ou directeur de projet (champion) et les fonds nécessaires pour influencer la culture organisationnelle.

The Security Systems Development Life Cycle 8. Énumérez les six étapes du cycle de vie du développement des systèmes de sécurité (SecSDLC). À quelle étape commence-t-on à concevoir une politique de sécurité d’entreprise? À quelle étape commence-t-on la gestion du risque? • Étape 1 : l’investigation; • Étape 2 : l’analyse; • Étape 3 : la conception logique; • Étape 4 : la conception physique; • Étape 5 : la mise en œuvre; • Étape 6 : la maintenance et la gestion du changement. La politique de sécurité d’entreprise est conçue dès l’étape de l’investigation. La gestion du risque commence à l’étape de l’analyse. 9. Qu’entend-on par assurance logicielle? C’est une approche méthodologique utilisée lors du développement d’une application logicielle. Au lieu de développer des applications sans tenir compte des aspects de la sécurité comme les vulnérabilités logicielles, on y intègre du code pour les éliminer. De plus, on y insère du code pour prévenir les stratégies d’attaques provenant de personnes malveillantes. On prévient ainsi les problèmes de sécurité lorsque l’application sera mise en production. Security Professionals and the Organization 10. Quels sont les trois types de propriétaires de l’information et quelles sont leurs responsabilités? • Les propriétaires des données (data owners). Ce sont habituellement des cadres supérieurs (Dans les organismes gouvernementaux du Québec, ce sont les directeurs de chaque unité fonctionnelle qui jouent ce rôle.). Ils déterminent si l’information est publique, interne ou confidentielle (chap. 1, p. 37). Ils supervisent avec leurs équipes la gestion des données comme l’implantation des mesures de sécurité pour protéger les données et les droits d’accès. • Les gardiens des données (data custodians). Ils sont responsables du stockage, de la gestion et de la protection des données. À cet effet, ils travaillent en étroite collaboration avec les propriétaires des données. Ces gardiens sont des personnes qui travaillent dans la fonction des TI. • Les utilisateurs des données (data users). Chaque personne de l’organisation est responsable de la sécurité de l’information. Elle doit manipuler l’information de façon sécuritaire selon son rôle spécifique. 11. Vous devez composer une équipe multidisciplinaire pour assurer la sécurité de l’information. Quels seraient les types d’expertises nécessaires? Personnel technique et non technique. 12. Nommez quatre rôles qui seraient nécessaires dans la composition d’une équipe de sécurité équilibrée. • Concepteur de politique (obligatoire) • Spécialiste en analyse de risque (obligatoire) • Administrateurs de système (obligatoire) • Professionnels en sécurité • Leader champion

ÉTAPE 1 : INVESTIGATION : SEMAINE 2 (Chapitre 2) : Les besoins d’une organisation en matière de sécurité de l’information : La sécurité de l’information remplit quatre fonctions (besoins) importantes : 1. protéger la capacité de l’organisation à réaliser ses activités; 2. assurer le fonctionnement sécuritaire des applications utilisées par les systèmes d’information de l’organisation; 3. protéger les données que l’organisation recueille et utilise; 4. préserver les actifs technologiques de l’organisation. Afin de prendre des décisions éclairées en matière de sécurité de l’information, les gestionnaires doivent être au fait de ce qui menace la sécurité du personnel, des applications, des données et des systèmes d’information de l’organisation. Les menaces à la sécurité du personnel, de l’information et des systèmes d’une organisation appartiennent à l’une des douze catégories suivantes : 1. les atteintes à la propriété intellectuelle;

3

2. les écarts dans la qualité du service; 3. l’espionnage ou l’introduction illégale; 4. les forces majeures ou catastrophes naturelles; 5. l’erreur humaine; 6. l’extorsion d’information (ingénierie sociale); 7. le sabotage ou le vandalisme; 8. les attaques délibérées à l’aide de logiciels malveillants; 9. les erreurs ou les défaillances du matériel; 10. les erreurs ou les défaillances logicielles; 11. l’obsolescence technologique; 12. le vol. Une attaque est un acte délibéré qui exploite une vulnérabilité afin de compromettre un système contrôlé. Elle est accomplie par un agent de menace qui endommage ou vole les actifs informationnels ou physiques d’une organisation. Une vulnérabilité est une faiblesse connue dans un système contrôlé, dont les contrôles sont manquants ou devenus inefficaces. RÉVISION : Business Needs First 1. Nommez les quatre besoins de l’organisation en matière de sécurité de l’information. (Voir réponse plus haut) 2. Pourquoi la sécurité de l’information est-elle davantage une question de gestion qu’une question de technologie? Qu’est-ce que la gestion peut faire que la technologie ne peut accomplir? La direction générale, la direction des TI et le responsable de la sécurité sont responsables de la mise en œuvre de la sécurité de l’information pour assurer le bon fonctionnement de l’organisation. Toutefois, assurer la sécurité de l’information ne se limite pas à choisir une technologie et à voir à son implantation; c’est aussi une affaire de gestion. Les décideurs doivent mettre en place une politique de la sécurité de l’information et ils doivent diriger l’organisation de manière conforme aux lois et aux diverses réglementations qui régissent l’utilisation des technologies de l’information. La gestion (les décideurs) est responsable de la diffusion des choix politiques et de l’exécution des décisions qui affectent les applications et les infrastructures de la TI. Elle peut également mettre en œuvre un programme de sécurité pour protéger l’intégrité et la valeur des données de l’organisation. 3. Pourquoi les données sont-elles l’actif le plus important qu’une organisation puisse posséder. Quels sont les autres actifs qui nécessitent une protection? Les données sont importantes pour une organisation parce que, sans elles, l’organisation perd l’historique de ses transactions ou sa capacité d’offrir de la valeur à ses clients. Les systèmes d’information soutiennent les fonctions d’affaires de toute entreprise et de tout établissement d’enseignement ou organisme gouvernemental qui fonctionnent dans un contexte de services. Aussi, la protection des données transmises ou stockées est-elle critique. Les autres actifs qui nécessitent également une protection sont les applications et les infrastructures technologiques. Threats 4. Quelle est la menace la plus courante en matière de propriété intellectuelle? Comment une organisation peut-elle s’en protéger? En matière de propriété intellectuelle, la menace la plus courante est l’utilisation ou la copie illégale de logiciels. La plupart des entreprises s’en protègent par des brevets ou des droits d’auteur, ce qui leur permet de poursuivre un contrevenant. Le processus d’inscription en ligne constitue une autre façon de lutter contre le piratage de logiciels. Lors de l’installation d’un logiciel, les utilisateurs sont invités ou même tenus de l’enregistrer pour obtenir une assistance technique ou l’utilisation de toutes les fonctionnalités. 5. Voici quelques exemples d’attaques logicielles : virus, vers, cheval de Troie, porte arrière, microvirus et déni de service. Décrivez-les brièvement. En quoi le ver est-il différent du virus? Le cheval de Troie est-il porteur de vers ou de virus? Le virus : est constitué de segments de codes qui déclenchent des actions malveillantes. Le ver : est un programme malveillant qui se reproduit en permanence sans avoir besoin d’un autre programme. Le cheval de Troie : quand un utilisateur exécute cette attaque logicielle, il libère des virus ou des vers sur le poste de travail local et sur le réseau dans son ensemble. La porte arrière : son but est de contourner les mesures de sécurité destinées à protéger un système informatique et de permettre un accès de l’extérieur dans le système. Par exemple, ce type de programme malveillant peut ouvrir une porte qui était verrouillée, laquelle devait protéger un ordinateur. Le microvirus : est une série d’instructions encodée dans une feuille de calcul ou dans une application de traitement de texte. L’exécution d’une telle macro infecte l’ordinateur. Le déni de service : est provoqué par un envoi massif de plusieurs requêtes sur un système. Ce dernier est alors surchargé et ne peut pas répondre aux requêtes légitimes. Le système peut tomber ou est incapable de traiter l’information ordinaire. 6. Pourquoi le polymorphisme est-il plus préoccupant que les logiciels malveillants traditionnels? Comment affecte-t-il les outils de détection? Le polymorphisme est plus préoccupant, car il rend le code malveillant plus difficile à détecter. Puisque le code malveillant peut être modifié pendant sa reproduction, les antivirus ne sont plus capables de le reconnaître puisqu’ils ont des signatures préconfigurées. 7. Quelles mesures peut-on prendre pour empêcher les personnes qui nous entourent de prendre connaissance d’informations confidentielles lorsque nous consultons certains dossiers confidentiels (shoulder surfing)? La meilleure façon d’éviter cette situation est de consulter les informations confidentielles uniquement lorsque nous sommes sûrs que personne ne peut les observer. Il faut constamment être conscient de ce qui est autour lorsqu’on accède à des informations sensibles. Il est de la responsabilité du responsable de la sécurité de l’information de placer le personnel qui consulte de l’information confidentielle dans un endroit cloisonné. 8. Quels sont les différents types de forces majeures, qui font référence aux forces de la nature?

4

Une force majeure fait référence aux forces de la nature (acts of God) qui présentent un risque non seulement pour la vie des individus, mais aussi pour la sécurité de l’information. Les forces majeures comprennent l’incendie, l’inondation, le tremblement de terre, la foudre, le glissement de terrain, la coulée de boue, la tornade, une violente tempête de vent, l’ouragan ou typhon, le tsunami, les décharges électrostatiques et la contamination par la poussière. 9. Pourquoi les employés constituent-ils l’une des plus grandes menaces à la sécurité de l’information? Les employés constituent la plus grande menace, car ils ont accès à l’information dans l’accomplissement de leurs tâches. Lorsqu’ils utilisent les systèmes d’information, ils peuvent commettre des erreurs dues, entre autres, à l’inexpérience, à une formation inadéquate, à des suppositions incorrectes, etc. Ces erreurs constituent donc la plus grande menace puisqu’elles peuvent conduire à la révélation de données confidentielles, à la saisie de données erronées, à la modification ou suppression accidentelle de données, au stockage de données dans des environnements non sécurisés ou à l’omission de protéger l’info. 10. Comment l’obsolescence technologique constitue-t-elle une menace à la sécurité de l’information? Comment une org. peut-elle s’en protéger? L’obsolescence technologique se produit lorsque l’infra...