samedi 10 février 2007

Définitions

Définitions: Moyens de sécurisation d'un système
Sécurité Informatique Conception globale

La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :

* la sensibilisation des utilisateurs aux problèmatiques de sécurité, ou dans certains cas « prise de conscience » (les anglais disent awareness) ;

* la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ;

* la sécurité des réseaux ;

* la sécurité des systèmes d'exploitation ;

* la sécurité des télécommunications ;

* la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée ;

* la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).

Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).
Transmis par alainstevens le 02 février 2007 à 11:12:58 CET (1 lecture(s))
(Suite... | 1654 octets de plus | commentaires ? | Score: 0)
Définitions: Menaces
Sécurité InformatiqueLes principales menaces effectives auxquelles un système d’information peut être confronté sont :

* Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur, généralement insouciant ;

* Une personne malveillante : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès ;

* Un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ;des données personnelles peuvent être collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ou commerciales ;

* Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.
Transmis par alainstevens le 02 février 2007 à 11:11:32 CET (0 lecture(s))
(Suite... | 1110 octets de plus | commentaires ? | Score: 0)
Définitions: Informations sensibles
Sécurité InformatiqueAvant de tenter de se protéger, il convient de déterminer quels sont les informations sensibles de l'entreprise, qui peuvent être des données, ou plus généralement des actifs représentés par des données. Chaque élément pourra avoir une sensibilité différente.

Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise.

Il faut évaluer les menaces et déterminer les vulnérabilité pour ces éléments sensibles.

Critères d'évaluation

La vulnérabilité peut s'évaluer suivant plusieurs critères :

* Disponibilité : l'élément a-t-il besoin d'une disponibilité importante pour ne pas nuire au système d'information ?

* Intégrité : l'élément a-t-il besoin d'une intégrité importante pour ne pas nuire au fonctionnement du système d'information ?

* Confidentialité : l'élément a-t-il besoin d'une confidentialité importante pour ne pas nuire au système d'information ?

* Imputabilité (ou « Preuve ») : l'élément a-t-il besoin d'une gestion de la preuve importante pour ne pas nuire à l'organisation ?

* Contrôle d'accès : l'élément a-t-il besoin d'un contrôle d'accès important pour ne pas nuire au système d'information ?

Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent être évalués en fonction des menaces qui pèsent sur les éléments à protéger. Il faut pour cela évaluer :

* l'impact de chaque menace sur chaque élément,

* la probabilité d'occurrence de ces impacts (ou la potentialité)

Dans la méthode Mehari, le produit de l'impact et de la potentialité est appelé « gravité ».
Transmis par alainstevens le 02 février 2007 à 10:56:48 CET (1 lecture(s))
(Suite... | 1798 octets de plus | commentaires ? | Score: 0)
Définitions: Évaluation des risques
Sécurité InformatiqueTenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite.

Méthodes d'évaluation

Différentes méthodes d'évaluation des risques sur le système d'information existent. Voici les cinq principales méthodes d'évaluation disponibles sur le marché :

* la méthode Ebios (Expression des besoins et identification des objectifs de sécurité), développée par la DCSSI ;

* la méthode Feros (Fiche d'expression rationnelle des objectifs de sécurité des systèmes d'information), développée par la DCSSI ;

* la méthode Méhari (Méthode harmonisée

d'analyse des risques), développée par le CLUSIF ; * la méthode Marion (Méthode d'analyse de risques informatiques optimisée par niveau), développée par le CLUSIF ;

* la méthode Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information).

La société MITRE, qui travaille pour le Département de la Défense des États-Unis, a aussi développé en 1998 une méthode d'évaluation des menaces et des vulnérabilités appliquée à l'industrie aérospatiale, et pouvant être généralisée aux infrastructures critiques : NIMS (NAS Infrastructure Management System, NAS signifiant National Aerospace).

Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent varier. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros.

Paradoxalement, dans les entreprises, la définition d'indicateurs "sécurité du SI" mesurables,pertinents et permettant de définir ensuite des d'objectifs dans le temps, raisonnables à atteindre, s'avère délicate. S'il s'agit d'indicateurs de performances,on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, à preuve ceux sur les "alertes virales".
Transmis par alainstevens le 02 février 2007 à 10:55:18 CET (0 lecture(s))
(Suite... | 2146 octets de plus | commentaires ? | Score: 0)
Définitions: Sécurité des systèmes d'information
Sécurité InformatiqueLa sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.
Transmis par alainstevens le 02 février 2007 à 10:53:50 CET (0 lecture(s))
(Suite... | 3608 octets de plus | commentaires ? | Score: 0)
Publié par à

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)