Skip to content

Instantly share code, notes, and snippets.

@marcoandre1

marcoandre1/SecuriteInformationRevision.md

Last active March 1, 2020 17:07
Show Gist options
  • Save marcoandre1/a2cf4e5c9429a60677666b36907a0aa2 to your computer and use it in GitHub Desktop.
Save marcoandre1/a2cf4e5c9429a60677666b36907a0aa2 to your computer and use it in GitHub Desktop.
Download ZIP
Révision de la sécurité de l'information
Raw
SecuriteInformationRevision.md

Séance 1

Pourquoi les enjeux de la sécurité sont-ils importants?

  • Évolution des technologies : de la sécurité de l'équipement à la sécurité de l'information
  • Ouverture sur le monde qui expose à plus de risques
  • Conséquences de plus en plus néfaste

Quel est l'objectif final de la sécurité de l'information? Qu'est-ce qu'on sécurise exactement?

La sécurité n'est pas un objectif mais un processus.
On cherche principalement à assurer la confidentialité, l'intégrité et la disponibilité de l'information traitée.

On sécurise le système d'information.

Est-ce que les menaces, les vulnérabilités et les contrôles sont toujours technologiques?

Non, les menaces, les vulnérabilités et les contrôles peuvent être de type :

  1. Organisationnelle
  2. Environnementale
  3. Physique
  4. Humaine
  5. Technologique

Quelle est la différence entre système d'information et système informatique? Et donc sécurité de l'information et sécurité informatique?

Le système informatique est un sous ensemble du système d'information.
La sécurité de l'information s'applique à toutes les ressources informationnelles d'une organisation alors que la sécurité informatique s'applique aux composantes technologiques uniquement.

Quels sont les trois critères d'évaluation de la sécurité de l'information?

Les 3 critères d'évaluation de la sécurité de l'information sont:

  1. Disponibilité
  2. Intégrité
  3. Confidentialité

Quels sont les facteurs qui peuvent influencer les besoins d'une organisation en matière de sécurité de l'information?

  • Les objectifs stratégiques commerciaux, les stratégies et les politiques de l’organisation
  • Les processus métier (d’affaires)
  • Les fonctions et la structure de l’organisation
  • Les exigences légales, règlementaires et contractuelles applicables à l’organisation
  • La politique de sécurité de l’information
  • L’approche globale de l’organisation vis-à-vis de la gestion des risques
  • Les actifs informationnels
  • Les localisations de l’organisation et leurs caractéristiques géographiques
  • Les contraintes affectant l’organisation
  • Les attentes des parties prenantes
  • L’environnement socioculturel
  • Les interfaces (c’est-à-dire les échanges d’information avec l’environnement)

Séance 2

Qu'est-ce qu'un actif informationnel, une menace, une vulnérabilité et un risque?

Actif informationnel : actif physique ou numérique supportant/contenant de l'information permettant son traitement, sa transmission ou sa conservation au fins d'utilisations prévues.

Menace : ce qui peut causer un dommage à un actif informationnel.

Vulnérabilité : faille (déficience, faiblesse) dans un actif informationnel ou dans une mesure de sécurité qui est susceptible d'être exploitée par une menace.

Risque : probabilité qu'une menace se concrétise sur un actif à travers une vulnérabilité pouvant causer un dommage.

Pour une situation de menace particulière, pouvez-vous déterminer dans quelle catégorie s'inscrit la menace?

Catégories de menaces :

  • Proprié intellectuelle
  • Dévisations dans la qualité de service
  • Espionnage et intrusion
  • Forces de la nature
  • Erreur humaine
  • Extortion d'information
  • Sabotage au vandalisme
  • Attaques aux logiciels
  • Erreurs techniques
  • Erreurs de logiciels
  • Technologie obsolète
  • Vol

Quelles sont les types de vulnérabilités?

  • Technologique
  • Humain (comportemental)
  • Physique
  • Environnemental
  • Organisationnel

Comment sont définies les 3 caractéristiques ou critères d'évaluation de la sécurité de l'information en termes de niveaux?

Disponibilité

Niveaux de sensibilté L'information ne doit pas être inaccessible
Bas durant plus de quelques semaines
Modéré durant plus de quelques jours
Élevé durant plus de quelques heures
Critique durant plus de quelques minutes

Intégirté

Niveaux de sensibilté La fiabilité de l'information peut affecter
Bas les activités mineures de l'organisation
Modéré les processus de base
Élevé les processus importants, mais non essentielles
Critique les processus essentiels

Confidentialité

Niveaux de sensibilté L'information est à diffusion
Bas publique
Modéré privée
Élevé restreint
Critique secrète

À quoi sert la catégorisation des actifs informationnels?

À connaître le niveau de sensibilité des actifs et prendre les bonnes décisions liées à la sécurité de l'information.

Que fait-on à chaque étape de l'exercice de catégorisation?

Exercice de catégorisation :

  • Phase 1 : Choix du niveau de granularité
  • Phase 2 : Identification des objets de catégorisation
  • Phase 3 : Attribution des niveaux d'impacts
  • Phase 4 : Validation des résultats de catégorisation

Séance 3

Quelle est la différence et quels sont les liens entre les normes de la famille ISO-27000?

Les normes ISO sont des bonnes pratiques vers un modèle de gouvernance de la sécurité de l'information.

Laquelle des normes ISO-27000 amène à la certification de l'entreprise?

La norme ISO-27001.

  • Pourquoi une entreprise choisit-elle de se certifier?

ISO-27001 : Construire la fondation de la sécurité de l'information ISO-27002 : Implanter les contrôles ISO-27005 : Gérer et traiter les risques

À quoi sert et comment fonctionne la norme PCI-DSS?

Elle vise principalement à encadrer la sécurité des renseignements liés aux cartes de crédit transmis aux organisations.

Quel est le lien entre politique de sécurité, SMSI et ISO-27002?

La norme ISO-27002 prospose une ensemble de bonnes pratiques sous forme de contrôles nécessaire à la mise en place et au maintien du SMSI.

À quoi servent les documents officiels reliés aux exigences réglementaires internes?

À détailler ce qui doit être fait pour se conformer à la politique : responsabilités, règles à adopter par les utilisateurs, ...

Que touve-t-on dans :

  • une politique de sécurité?
  • un cadre de gestion?
  • une directive?
  • un guide?
  • une procédure?

Politique de sécurité : Loi organisationnelle qui énonce la vision de l'entreprise en matière de sécurité de l'information et délimite le pérmiètre du SMSI.

Cadre de gestion : Document complémentaire à la politique générale.

Directive : Documents sur les dispositions obligatoires à respecter pour un domaine d'application particulier.

Guide : Recommendation non obligatoire utilisées comme référence pour se conformer à la politique ou aux directives.

Procédure : Document plus précis et plus techniques pour la mise en place des mesures de sécurité.

Quelle est la portée des lois canadiennes, américaines et européennes en sécurité de l'information (sans les apprendre par coeur)?

La portée des lois est restreinte à leur territoire.

Séance 4

Qu'est-ce qu'un SMSI?

Système de gestion de la sécurité de l'information.

Quels sont les objectifs de la mise en place d'un SMSI?

  • Aider le gestionnaire en sécurité de l'information à mettre en place les règles appropriées et toutes les balises nécessaires pour réduire les risques en sécurité de l'information.
  • Permettre à l'entreprise d'atteindre ses objectifs d'affaires, c'est-à-dire, la qualité et l'efficacité de ses services, puis la confiance de ses clients et de ses partenaires.

Quelles sont les 4 étapes du SMSI selon la norme ISO (roue de Deming)?

Planifier, déployer, contrôler et agir.

Que fait-on à chacune des étapes de la roue de Deming?

Planifier : Établissement du SMSI.

Déployer : Mise en oeuvre et fonctionnement du SMSI.

Contrôler : Surveillance et rééxamen du SMSI.

Agir : Mise à jour et amélioration du SMSI.

Quel est le lien entre ISO-27001 et ISO-27002?

La norme ISO-27001 introduit les mesures de sécurité (en annexe) et elles sont détaillées dans la norme ISO-27002.

Séance 5

Qu'est-ce que la gestion des risques? Pourquoi la fait-on? Comment la fait-on?

  • La gestion des risques est un processus continu et itératif qui permet d'identifier les risques et qui va au-delà de l'identification parce qu'il permet aussi de les évaluer et de proposer des stratégies pour les contrôler.
  • La finalité de la gestion des risques est de trouver les moyens efficaces pour se prémunir contre les menaces, empêcher leur réalisation et rester proactif en les détectant avant qu'ils ne se réalisent.
  • La gestion du risque se fait en 4 étapes (voir plus bas).

Où se place la gestion des risques dans la roue de Deming?

Dans la phase de planification.

Quelles sont les définitions du risque résiduel et de l'appétit du risque? Quel est le lien entre ces deux notions?

Risque résiduel : Risques qui persistent malgré tous les moyens de contrôle mis en place.

Appétit au risque : Quantité ou nature des risques que l'entreprise peut accepter de garder afin de trouver le juste équilibre entre cotrôle et accès.

La gestion des risques résiduels en phase d'action (Act) de la roue de Deming consiste donc à les diminuer tout en respectant l'appétit au risque.

Quelles sont les étapes du processus de gestion des risques?

  1. Identification des risques
  2. Estimation ou amélioration des risques
  3. Classement des risques
  4. Contrôle des risques

En quoi consiste l'analyse des risques?

L'analyse des risques correspond aux 3 premières étapes de la gestion des risques.

Que fait-on exactement à chacune des phases de l'étape d'identification des risques?

  1. Identification des actifs
  2. Identification des menaces
  3. Identification des mesures de sécurité existantes
  4. Identification des vulnérabilités
  5. Identification des impacts

Comment fait-on l'estimation ou l'évaluation des risques?

  1. Vraissemblance de la menace
  2. Gravité de l'impact

Évaluation du risque : Vraissemblance x Impact

Quelles sont les stratégies de traitement des risques?

  • Atténuation
  • Transfert
  • Acceptation ou maintien
  • Évitemment

Pourquoi, dans une situation donnée, choisit-on une stratégie de traitment des risques et pas une autre?

Cela dépend de plusieurs facteur dont le coût du plan de traitement.

Séance 6

Quel est l'objectif des plans de contingence?

L'objectif des plans de contingence est de :

  • Diminuer l'impact du sinistre
  • Coordonner les actions
  • Assurer la communication
  • Assurer les services essentiels
  • Limiter les pertes
  • Limiter les coûts
  • Réduire le délai d'interruption

Anticipation, réaction et reprise d’événements affectant la sécurité

Quelles sont les éléments à considérer avant de développer les plans de contingences?

  • Tenir compte de tous les types de menaces
  • Analyser soigneusement toute la relation de dépendance ou d'interdépendance
  • Ne pas oublier que le personnel stratégique peut ne pas être disponible
  • S'assurer que les types de repli sont à bonne distance du site principal
  • Entreposer les copies des plans dans une emplacement sécurisé situé à l'extérieur et loin du périmètre de sécurité du site
  • Maintenir à jour les plans et les mettre régulièrement à l'essai

En quoi consiste l'analyste d'impact?

Phase d'analyse où on indentifie les attaques possibles ou probables. Construction de scénarios d'attaque, évaluer les conséquences de ces scénarios. Classification des incidents en termes d'incidents mineurs et/ou majeurs (désastres).

Quels sont les trois plans de contingence?

  1. Plan de réponse aux incidents (IRP)
  2. Plan de recouvrement des désastres (DRP)
  3. Plan de continuité des affaires (BCP)

À quel moment ou dans quelle situation déclenche-t-on l'un ou l'autre de ces plans?

IRP : à la détection d'un incident
DRP : si l'incident persiste, il se transforme en désastre et on déclenche le DRP.
BCP : si on n'est plus capable de fonctionner sur le site principal de l'entreprise dans le cas de désastre, on déclence le troisième plan.

Pour l'IRP :

  • À quoi sert le plan de réponse aux incidents?
  • En quoi consistent les 6 étapes du processus de gestion des incidents?

Détecter les incidents et les traiter.

6

  1. Détection et signalement
  2. Prise en compte
  3. Réponse à l'incident
  4. Revue post-incident
  5. Actions post-incident
  6. Amélioration de la gestion des incidents

Pour le DRP :

  • À quoi sert le plan de recouvrement des désastres?
  • Que contient le plan de recouvrement des désastres?

Restaurer les systèmes au site originel.

Le DRP contient un document qui précise les procédures de récupération au moment et après le désastre.

  1. Planification pour le recouvrement
  2. Gestion de crise
  3. Opérations de recouvrement

Pour le BCP :

  • Quel est l'objectif du plan de continuité des affaires?
  • Quelles sont les 6 stratégies de continuités, leurs avantages et leurs inconvénients?

De se remettre à fonctionner le plus tôt possible, minimiser les pertes, garder son image, sa crédibilité et sa clientèle.

Stratégies de continuités

Type d'hébergement Temps de recouvrement Coût Principales caractéristiques
Site chaud de quelques minutes à quelques heures Élevé Possible de faire exercice de relève complet
Site tiède au plus 24 heures Moyen difficile de se relever complétement
Site froid quelques jours Faible très difficile de relever complétement
Site partagé de quelques minutes à quelques jours Faible/Moyen/Élevé problème si partenaires simultanés
Bureau de service de quelques heures à quelques jours Élevé contrats à négocier fréquemment
Accord réciproque quelques jours Quelques jours problèmes de capacité/sécurité

Comment se fait la gestion de crise?

La gestion de crise se fait avec une équipe de gestion de crise qui est responsable de la gestion des événements sur la perspective de l'entreprise.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment