45 h
Informatique
Sécurité des systèmes informatiques – Introduction
Préalables
Avoir des connaissances de base en informatique
Objectifs
À la fin de ce cours, le participant aura été initié aux concepts de base de sécurité des systèmes d’information.
Contenu du cours
Enjeux de la sécurité de l’information
- Actualité en sécurité de l’information
- Principes fondamentaux
- Êtres humains
- Point individuel de défaillance
- Approche « Top-Down »
- Équilibre « Sécurité, fonctionnalité, facilité d’utilisation »
- Séparation des tâches
- Privilèges nécessaires pour faire le travail
- Besoin de savoir
Système de management de la sécurité de l’information (SMSI)
- Norme ISO 27001
- Roue de Deming (amélioration continue)
Identification, authentification, autori-sation et irrévocabilité
- Identification
- Authentification
- Autorisation
- Contrôles d’accès
- Accumulation des privilèges
- Irrévocabilité
Contrôles d’accès
- Types de contrôles d’accès
- Fonctionnalités des contrôles d’accès
Piratage éthique
- Définition d’un pirate éthique
- Méthodologie de piratage éthique
- Ports bien connus
- Réseau sans fil
- Outils pour les débutants
Ingénierie sociale
- Définition
- Phases de l’ingénierie sociale
- Impacts de l’ingénierie sociale
- Contremesures
- Menaces fréquentes utilisées
- Vol d’identité
Gestion d’un incident
- Phases
- Équipe de réponses aux incidents
Gestion des risques
- Définition des termes
- Probabilité des risques (délibérés)
- Approches utilisées en analyse des risques
- Survol des méthodes d’analyse de risques
Menaces informatiques
- Virus, vers et chevaux de Troie
- Pourriel
- Harmeçonnage (« phishing »)
- Enregistreur de frappe au clavier
- Rançongiciel « Ransomware »
- Attaques par déni de service
- Harponnage « Spear phishing »
- Menaces mobiles (téléphone intelligent)
- Menaces aux applications Web (Injection SQL, « Cross Scripting », etc.)
- Ordinateurs portables perdus (clé USB, disque dur externe)
Médias sociaux
- Différents risques
Contre-mesures
- Antivirus
- Chiffrement
- « Data Loss Protection »
- Détection d’intrusion
- Mots de passe
- Pare-feu
- Pare-feu pour les applications Web
- Protocoles sécurisés
- Sécurité physique
- Sensibilisation aux utilisateurs
Cryptographie
- Histoire de la cryptographie
- Définitions et concepts (chiffrement, déchiffrement, algorithme, principe de Kerckhoffs, stéganographie)
- Types d’algorithmes (substitution, transposition);
- Méthodes de chiffrement (symétrique, asymétrique, bloc, flux)
- Types de système symétrique (DES, 3-DES, AES, etc.)
- Types de systèmes asymétriques (Diffie-Hellman, RSA, Courbe elliptique,etc.)
- Intégrité du message (Fonctions de hachage);
Plan de continuation des affaires et plan de recouvrement
- Continuité des opérations et plan de reprise en cas de désastre
- Composantes d’un plan de continuation des affaires
- Mesures préventives (redondance, copies de sécurité, etc.)
- Stratégies de recouvrement (récupération des processus d’affaires, etc.)
- Plan de rétablissement après sinistre
- Exercices et tests des plans
Sécurité et virtualisation
- Déploiement d’environnement de virtualisation sans consulter les gens responsables de la sécurité
- Compromission de l’environnement de virtualisation
- Manque de contrôle entre les machines virtuelles
- Utilisation de machines virtuelles avec différents niveaux de sécurité sur le même serveur hôte
- Utilisation de meilleurs contrôles pour l’accès au serveur hôte.
- Séparation des tâches (réseau et sécurité)
Sécurité et infonuagique
- Fuites de données
- Pertes de données
- Détournement des codes d’utilisateur (« Highjack-ing »)
- Mauvaises configurations de logiciels et d’équipe-ments
- Perte de service
- Utilisateurs malveillants (personnel, fournisseur)
- Abus des services de l’infonuagique
- Diligence raisonnable
- Vulnérabilités technologiques (processeur, mémoire, disque rigide)
Aspects légaux, réglementations, en-quêtes et conformité
- Lois sur la propriété intellectuelle
- Loi sur la protection des renseignements personnels dans le secteur privé
- Loi sur la protection des renseignements personnels dans le secteur public
- Conformités (HIPAA, PCI, etc.)
Sécurité physique et environnementale
- Systèmes de soutien (alimentation électrique, pro-tection contre le feu, ventilation)
- Périmètres de sécurité (serrure, mécanismes de verrouillage)
- Contrôle d’accès physique (clôture, éclairage, système de surveillance)
Ressources en sécurité
- Certifications en sécurité (CISSP®, CE|H®, CISM®, etc.)
- Différentes ressources disponibles sur Internet