Contenu connexe
Similaire à Cours CyberSécurité - Concepts Clés (20)
Plus de Franck Franchin (6)
Cours CyberSécurité - Concepts Clés
- 2. Master Droit - Franck Franchin - © 2013
Sécurité d’un système ou d’un service :
La sécurité d’un système ou d’un service est l'état d'une
situation présentant le minimum de risques, à l'abri des
dangers, des menaces. La mise en sécurité consiste à
garantir la pérennité de cet état de sécurité par le
recours à des moyens permettant soit de supprimer
certains risques (mitigation) soit de les réduire à un
niveau acceptable (risque résiduel).
Les anglo-saxons parlent de security (sécurité contre les
actes malveillants) ou de safety (sécurité contre les
risques accidentels).
2
- 3. Master Droit - Franck Franchin - © 2013
Sûreté de fonctionnement d’un système
ou d’un service :
La sûreté de fonctionnement d’un système ou d’un
service est son aptitude d’une part à disposer de ses
performances fonctionnelles et opérationnelles (fiabilité,
maintenabilité, disponibilité) et d’autre part, à ne pas
présenter de risques majeurs (humains,
environnementaux, financiers).
Exemple : Sûreté d’une centre nucléaire
Les anglo-saxons parlent de dependability.
3
- 4. Master Droit - Franck Franchin - © 2013
Résilience d’un système ou d’un
service :
La résilience est la capacité d’un système ou d’un service
à résister à une panne ou à une cyber-attaque et à
continuer de fonctionner en garantissant un certain
niveau de service (mode complet ou mode dégradé) puis
à revenir à son état initial après l’incident.
Exemple : Résilience d’un système de commandement
des secours/SAMU
4
- 5. Master Droit - Franck Franchin - © 2013
Actifs matériels/tangibles
◦ Destruction de matériels ou de supports
◦ Vol de matériels
Actifs immatériels/intangibles
◦ Marque
◦ Goodwill
◦ Propriété intellectuelle (IP)
Dommages directs ou indirects
Prévention / Détection
C.I.A. : Confidentiality Integrity Availability
5
- 6. Master Droit - Franck Franchin - © 2013
Seules les personnes ou les programmes
autorisés (politique de sécurité) ont accès aux
informations qui leur sont destinées
Méthodes d’authentification et de contrôle d’accès
Notion de protection des données personnelles -
Data privacy
6
- 7. Master Droit - Franck Franchin - © 2013
Processus de délivrance de droits d’accès à des personnes, à des
programmes ou à des ordinateurs dûment autorisés à accéder, en
lecture et/ou en écriture, à des ressources informatiques.
Par extension sémantique, mécanisme destiné à limiter l’utilisation
de ressources spécifiques à des utilisateurs autorisés
Pare-feu (firewall) : règles par protocole, origine, destination
Constitue la première ligne d’une Défense en profondeur (defense
in depth)
Besoin d’en connaître (need to know)
Horodatage, Non-répudation, Imputabilité (Accountability)
7
- 8. Master Droit - Franck Franchin - © 2013
Les données ne doivent pas pouvoir être altérées
et/ou modifiées de manière volontaire ou fortuite
L’origine ou la source des données doit aussi être
clairement identifiée (personne ou organisation)
afin d’éviter toute imposture
L’information doit aussi être transmise sans
aucune corruption
8
- 9. Master Droit - Franck Franchin - © 2013
Les ressources et les services doivent être garantis
en performance (temps de réponse) et en
fonctionnement (% de disponibilité)
La disponibilité d’un système informatique peut être
affectée :
◦ par des soucis techniques (dysfonctionnement d’un
ordinateur ou d’un équipement de télécommunication)
◦ Par des phénomènes naturels (inondation)
◦ Par des causes humaines (accidentelles ou délibérées)
Exemple : Disponibilité de 99.99 % : 2h d’interruption
de service par an
9
- 10. Master Droit - Franck Franchin - © 2013
Capacité d’un système à fonctionner correctement
sous certaines conditions connues pendant une
période de temps définie
Peut-être définie comme la probabilité d’une
défaillance (panne) ou par leurs fréquences
probabiliste.
MTBF : Mean Time Between Failure
10
- 11. Master Droit - Franck Franchin - © 2013
Capacité d’un système informatique à revenir à
une état normal de fonctionnement après une
défaillance (panne) lorsque les opérations de
maintenance correctives ont été appliquées selon
des procédures prédéfinies
MTTR (Mean Time To Repair)
Compromis et optimisation entre la fiabilité et la
maintenabilité
11
- 12. Master Droit - Franck Franchin - © 2013
Garantie que les accès aux programmes et aux
données sont tracés dans un journal
d’événements conservé, horodaté et exploitable.
Exemple : Historique de navigation effacé mais
Journal des événements système intact
12
- 13. Master Droit - Franck Franchin - © 2013
Capacité d’un système à pouvoir être auditer pour
s’assurer de la validité et de la fiabilité de ses
informations et pour évaluer l’application des
diverses procédures d’exploitation et processus
de gestion et de contrôle
Exemple : horodatage et imputabilité des actions
effectuées par un salarié sur son poste de travail
(carte à puce ou token + PKI + chiffrement du
disque)
13
- 14. Master Droit - Franck Franchin - © 2013
Plan de Continuité - BCP (Business Continuity Planning)
◦ Le BCP permet à une entreprise de détailler comment elle peut
poursuivre son activité en cas de sinistre, éventuellement en
mode dégradé
◦ Cadre réglementaire : Bâle 2, Sarbanes Oxley, etc.
Plan de reprise d’activité - DRP (Disaster Recovery
Planning)
◦ Le RDP permet d'assurer, en cas de crise majeure ou importante,
la reconstruction et la remise en route des applications
supportant l'activité d'une entreprise.
◦ Les besoins sont exprimés par une durée maximale d'interruption
admissible (Recovery Time Objective, RTO) et une perte de
données maximale admissible (Recovery Point Objective, RPO),
avec ou sans mode dégradé.
14