Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Avril 2013Franck Franchin1
Master Droit - Franck Franchin - © 2013 Sécurité d’un système ou d’un service : La sécurité d’un système ou d’un service...
Master Droit - Franck Franchin - © 2013 Sûreté de fonctionnement d’un systèmeou d’un service : La sûreté de fonctionneme...
Master Droit - Franck Franchin - © 2013 Résilience d’un système ou d’unservice : La résilience est la capacité d’un syst...
Master Droit - Franck Franchin - © 2013 Actifs matériels/tangibles◦ Destruction de matériels ou de supports◦ Vol de matér...
Master Droit - Franck Franchin - © 2013 Seules les personnes ou les programmesautorisés (politique de sécurité) ont accès...
Master Droit - Franck Franchin - © 2013 Processus de délivrance de droits d’accès à des personnes, à desprogrammes ou à d...
Master Droit - Franck Franchin - © 2013 Les données ne doivent pas pouvoir être altéréeset/ou modifiées de manière volont...
Master Droit - Franck Franchin - © 2013 Les ressources et les services doivent être garantisen performance (temps de répo...
Master Droit - Franck Franchin - © 2013 Capacité d’un système à fonctionner correctementsous certaines conditions connues...
Master Droit - Franck Franchin - © 2013 Capacité d’un système informatique à revenir àune état normal de fonctionnement a...
Master Droit - Franck Franchin - © 2013 Garantie que les accès aux programmes et auxdonnées sont tracés dans un journald’...
Master Droit - Franck Franchin - © 2013 Capacité d’un système à pouvoir être auditer pours’assurer de la validité et de l...
Master Droit - Franck Franchin - © 2013 Plan de Continuité - BCP (Business Continuity Planning)◦ Le BCP permet à une entr...
Upcoming SlideShare
Loading in …5
×

Cours CyberSécurité - Concepts Clés

8,589 views

Published on

Cours CyberSécurité - Université de Versailles-St Quentin - Concepts Clés - Avril 2013

Published in: Education

Cours CyberSécurité - Concepts Clés

  1. 1. Avril 2013Franck Franchin1
  2. 2. Master Droit - Franck Franchin - © 2013 Sécurité d’un système ou d’un service : La sécurité d’un système ou d’un service est létat dunesituation présentant le minimum de risques, à labri desdangers, des menaces. La mise en sécurité consiste àgarantir la pérennité de cet état de sécurité par lerecours à des moyens permettant soit de supprimercertains risques (mitigation) soit de les réduire à unniveau acceptable (risque résiduel). Les anglo-saxons parlent de security (sécurité contre lesactes malveillants) ou de safety (sécurité contre lesrisques accidentels).2
  3. 3. Master Droit - Franck Franchin - © 2013 Sûreté de fonctionnement d’un systèmeou d’un service : La sûreté de fonctionnement d’un système ou d’unservice est son aptitude d’une part à disposer de sesperformances fonctionnelles et opérationnelles (fiabilité,maintenabilité, disponibilité) et d’autre part, à ne pasprésenter de risques majeurs (humains,environnementaux, financiers). Exemple : Sûreté d’une centre nucléaire Les anglo-saxons parlent de dependability.3
  4. 4. Master Droit - Franck Franchin - © 2013 Résilience d’un système ou d’unservice : La résilience est la capacité d’un système ou d’un serviceà résister à une panne ou à une cyber-attaque et àcontinuer de fonctionner en garantissant un certainniveau de service (mode complet ou mode dégradé) puisà revenir à son état initial après l’incident. Exemple : Résilience d’un système de commandementdes secours/SAMU4
  5. 5. Master Droit - Franck Franchin - © 2013 Actifs matériels/tangibles◦ Destruction de matériels ou de supports◦ Vol de matériels Actifs immatériels/intangibles◦ Marque◦ Goodwill◦ Propriété intellectuelle (IP) Dommages directs ou indirects Prévention / Détection C.I.A. : Confidentiality Integrity Availability5
  6. 6. Master Droit - Franck Franchin - © 2013 Seules les personnes ou les programmesautorisés (politique de sécurité) ont accès auxinformations qui leur sont destinées Méthodes d’authentification et de contrôle d’accès Notion de protection des données personnelles -Data privacy6
  7. 7. Master Droit - Franck Franchin - © 2013 Processus de délivrance de droits d’accès à des personnes, à desprogrammes ou à des ordinateurs dûment autorisés à accéder, enlecture et/ou en écriture, à des ressources informatiques. Par extension sémantique, mécanisme destiné à limiter l’utilisationde ressources spécifiques à des utilisateurs autorisés Pare-feu (firewall) : règles par protocole, origine, destination Constitue la première ligne d’une Défense en profondeur (defensein depth) Besoin d’en connaître (need to know) Horodatage, Non-répudation, Imputabilité (Accountability)7
  8. 8. Master Droit - Franck Franchin - © 2013 Les données ne doivent pas pouvoir être altéréeset/ou modifiées de manière volontaire ou fortuite L’origine ou la source des données doit aussi êtreclairement identifiée (personne ou organisation)afin d’éviter toute imposture L’information doit aussi être transmise sansaucune corruption8
  9. 9. Master Droit - Franck Franchin - © 2013 Les ressources et les services doivent être garantisen performance (temps de réponse) et enfonctionnement (% de disponibilité) La disponibilité d’un système informatique peut êtreaffectée :◦ par des soucis techniques (dysfonctionnement d’unordinateur ou d’un équipement de télécommunication)◦ Par des phénomènes naturels (inondation)◦ Par des causes humaines (accidentelles ou délibérées) Exemple : Disponibilité de 99.99 % : 2h d’interruptionde service par an9
  10. 10. Master Droit - Franck Franchin - © 2013 Capacité d’un système à fonctionner correctementsous certaines conditions connues pendant unepériode de temps définie Peut-être définie comme la probabilité d’unedéfaillance (panne) ou par leurs fréquencesprobabiliste. MTBF : Mean Time Between Failure10
  11. 11. Master Droit - Franck Franchin - © 2013 Capacité d’un système informatique à revenir àune état normal de fonctionnement après unedéfaillance (panne) lorsque les opérations demaintenance correctives ont été appliquées selondes procédures prédéfinies MTTR (Mean Time To Repair) Compromis et optimisation entre la fiabilité et lamaintenabilité11
  12. 12. Master Droit - Franck Franchin - © 2013 Garantie que les accès aux programmes et auxdonnées sont tracés dans un journald’événements conservé, horodaté et exploitable. Exemple : Historique de navigation effacé maisJournal des événements système intact12
  13. 13. Master Droit - Franck Franchin - © 2013 Capacité d’un système à pouvoir être auditer pours’assurer de la validité et de la fiabilité de sesinformations et pour évaluer l’application desdiverses procédures d’exploitation et processusde gestion et de contrôle Exemple : horodatage et imputabilité des actionseffectuées par un salarié sur son poste de travail(carte à puce ou token + PKI + chiffrement dudisque)13
  14. 14. Master Droit - Franck Franchin - © 2013 Plan de Continuité - BCP (Business Continuity Planning)◦ Le BCP permet à une entreprise de détailler comment elle peutpoursuivre son activité en cas de sinistre, éventuellement enmode dégradé◦ Cadre réglementaire : Bâle 2, Sarbanes Oxley, etc. Plan de reprise d’activité - DRP (Disaster RecoveryPlanning)◦ Le RDP permet dassurer, en cas de crise majeure ou importante,la reconstruction et la remise en route des applicationssupportant lactivité dune entreprise.◦ Les besoins sont exprimés par une durée maximale dinterruptionadmissible (Recovery Time Objective, RTO) et une perte dedonnées maximale admissible (Recovery Point Objective, RPO),avec ou sans mode dégradé.14

×