Jos M. Fernandez M-3109 340-4711 poste 5433 INF4420: Scurit
Informatique Introduction : Concepts de base et motivation
Page 2
INF4420 Scurit Informatique INF4420 Scurit Informatique 2
Contenu du cours Introduction et motivation 1 sem. Cryptographie 3
sem. Scurit des systmes d'exploitation et du logiciel 3 sem. Scurit
des applications client-serveur et Web 1 sem. Scurit des rseaux 3
sem. Gestion de la scurit informatique et Aspects lgaux, normes et
standardisation 1 sem. Contrle priodique et priode de rvision 1
sem.
Page 3
INF4420 Scurit Informatique INF4420 Scurit Informatique 3
Qu'est-ce que la scurit informatique ? La scurit informatique
consiste la protection des systmes, de l'information et des
services contre les menaces accidentelles ou dlibres atteignant
leur confidentialit intgrit disponibilit Confidentialit Intgrit
Disponibilit BD
Page 4
INF4420 Scurit Informatique INF4420 Scurit Informatique 4
Objectifs de la scurit informatique Confidentialit qui peut "voir"
quoi? Intrts publics/prives vs. vie prive Intgrit exactitude
prcision modifications autorises seulement cohrent Disponibilit
prsence sous forme utilisable capacit rencontrer les besoins et
spcifications les contraintes de temps performance qualit
Confidentialit IntgritDisponibilit
Page 5
INF4420 Scurit Informatique INF4420 Scurit Informatique 5
Mthodologie de la scurit informatique 1.Identifier la menace Qui ou
quoi ? Comment (vulnrabilits) ? 2.valuer les risques Probabilit
Impact 3.Considrer les mesures de protection par rapport au risque
Efficacit (risque rsiduel) Cot Difficult d'utilisation 4.Mettre en
place et oprer les mesures protections Modification et/ou
installation Changer les politiques duquer les utilisateurs
5.Retourner 1
Page 6
INF4420 Scurit Informatique INF4420 Scurit Informatique 6 La
menace en scurit informatique Quel type de menace? Accidentelles
Catastrophes naturelles ("acts of God") feu, inondation, Actes
humains involontaires : mauvaise entre de donnes, erreur de frappe,
de configuration, Performance imprvue des systmes : Erreur de
conception dans le logiciels ou matriel Erreur de fonctionnement
dans le matriel Dlibres Vol de systmes Attaque de dnis de service
Vol d'informations (atteinte la confidentialit) Modification
non-autorise des systmes
Page 7
INF4420 Scurit Informatique INF4420 Scurit Informatique 7 La
menace en scurit informatique Qui ou quel origine ? Catastrophes
naturelles Compagnie de marketing Hackers "Script kiddies" "White
hat" gage Comptiteurs tats trangers Crime organis Groupe terroriste
Ceux qui vous faites confiance
Page 8
INF4420 Scurit Informatique INF4420 Scurit Informatique 8
Probabilit des risque dlibrs Capacit Savoir/connaissances ou accs
au savoir Outils Ressources humaines Argent Opportunit Espace :
avoir accs physique Connectivit : existence d'un lien physique et
logique Temps : tre "l" au bon moment Motivation " qui profite le
crime ?" (Qui) Que gagne l'attaquant ? (Quoi) Combien gagne t-il ?
(Combien) probabilit = capacit x opportunit x motivation
Page 9
INF4420 Scurit Informatique INF4420 Scurit Informatique 9
Moyens de protection - types (ou contrles ou contre-mesures)
Encryptage des donnes Contrles au niveau des logiciels Programms
Partie du systme d'exploitation Contrle du dveloppement des
logiciels Contrles du matriel Contrle de l'accs au matriel:
identification et authentification Contrles physiques: serrures,
camras de scurit, gardiens, etc Procdures Qui est autoris faire
quoi? Changement priodiques des mots de passe Prise de copies de
scurit Formation et administration Nous allons les revoir en dtails
dans le reste du cours
Page 10
INF4420 Scurit Informatique INF4420 Scurit Informatique 10
valuation et choix de contre-mesures Rduction du risque Motivation
et impact ne changent pas R-valuation de capacit et opportunit
=> risque rsiduel rduction = risque initial (sans
contre-mesures) risque rsiduel (aprs application efficace) Cot
total Cot d'installation (achat, installation, configuration) Cot
d'opration (licences, personnel supplmentaire) Impact sur la
performance des systmes Convivialit du systme Impact sur la
processus d'affaires Introduction de nouveaux risques
Page 11
INF4420 Scurit Informatique INF4420 Scurit Informatique 11
valuation et choix - deux principes fondamentaux Principe du point
le plus faible Une personne cherchant pntrer un systme utilisera
tous les moyens possibles de pntration, mais pas ncessairement le
plus vident ou celui bnficiant de la dfense la plus solide.
Principe de la protection adquate (Gestion du risque) La dure de la
protection doit correspondre la priode pendant laquelle
l'importance et la valeur sont prsentes, et pas plus. Le niveau et
le cot de la protection doivent correspondre l'importance et la
valeur de ce qu'on veut protger: Choisir la contre-mesure avec le
meilleur rapport "qualit" (rduction de risque) vs. "prix" (cot
total)
Page 12
INF4420 Scurit Informatique INF4420 Scurit Informatique 12
Concepts et principes d'opration Efficacit des contrles
Conscientisation des personnels Utilisation relle des contrles
disponibles Recouvrement des contrles Vrification administrative
Principe de l'efficacit Pour que les contrles soient effectifs, ils
doivent tre utiliss Pour qu'ils soient utiliss, ils doivent tre
perus comme tant faciles d'usage, et appropris aux situations
particulires.
INF4420 Scurit Informatique INF4420 Scurit Informatique 14
Analyse de risque - Acteurs et responsabilits Responsable de scurit
informatique Capacit et Opportunit En analysant Architecture des
systmes existants Vulnrabilits connues et possible des systmes La
nature technique de la menace Outils existants Technique et mthode
d'attaques Probabilit des risque accidentels humains "Stakeholders"
Description de la menace (quoi) Motivation (qui) Comptiteurs,
opposants, etc. Impact "Combien a coterait si" Reli la "valeur du
remboursement" en assurances Reli au concept d' "exposition au
risque" en comptabilit Spcialiste en risque ou en scurit gnrale
Probabilit de risque accidentel naturel
Page 15
INF4420 Scurit Informatique INF4420 Scurit Informatique 15
tudes de cas - Analyse de risque Contexte gnral Lintroduction de
technologie sans-fil pour les priphriques de PC (infrarouge,
Bluetooth, etc.) a permit lintroduction bas prix de clavier
sans-fil Lutilisation de ce type de dispositif plusieurs avantages
Commodit dutilisation Prix peu lev Objectifs 1.valuer les risques
inhrents lis lutilisation de ce type de dispositif (aujourdhui)
2.valuer le risque rsiduel des diffrentes contre-mesures (prochain
cours)
Page 16
INF4420 Scurit Informatique INF4420 Scurit Informatique 16 tude
de cas Scnarios Scnario 1 Un fermier qui fait pousser du pot dans
sa ferme isole et qui utilise son ordinateur pour faire sa
comptabilit (qui lui doit combien ou vice-versa, toutes ses
commandes, etc.) et pour communiquer avec ses acheteurs (par
courriel) Scnario 2 Une tudiante en rsidence qui a un chum trs
jaloux et qui utilise son ordinateur pour faire ses travaux,
communiquer avec ses autres amis et payer ses factures Scnario 3
Une secrtaire dans un bureau d'avocats dans une tour bureau Place
Ville-Marie qui crit et/ou dite toute la correspondance et les
documents de sa patronne, une avocate en droit pnal (possiblement
l'avocate du fermier).