Passer au contenu
45 h

Informatique

Sécurité des systèmes informatiques – Introduction

Préalables

Avoir des connaissances de base en informatique

Objectifs

Initier l’étudiant aux concepts de base de sécurité des systèmes d’information.

Contenu du cours

Enjeux de la sécurité de l’information

  • Actualité en sécurité de l’information
  • Principes fondamentaux
  • Êtres humains
  • Point individuel de défaillance
  • Approche « Top-Down »
  • Équilibre « Sécurité, fonctionnalité, facilité d’utilisation »
  • Séparation des tâches
  • Privilèges nécessaires pour faire le travail
  • Besoin de savoir

Système de management de la sécurité de l’information (SMSI)

  • Norme ISO 27001
  • Roue de Deming (amélioration continue)

Identification, authentification, autori-sation et irrévocabilité

  • Identification
  • Authentification
  • Autorisation
  • Contrôles d’accès
  • Accumulation des privilèges
  • Irrévocabilité

Contrôles d’accès

  • Types de contrôles d’accès
  • Fonctionnalités des contrôles d’accès

Piratage éthique

  • Définition d’un pirate éthique
  • Méthodologie de piratage éthique
  • Ports bien connus
  • Réseau sans fil
  • Outils pour les débutants

Ingénierie sociale

  • Définition
  • Phases de l’ingénierie sociale
  • Impacts de l’ingénierie sociale
  • Contremesures
  • Menaces fréquentes utilisées
  • Vol d’identité

Gestion d’un incident

  • Phases
  • Équipe de réponses aux incidents

Gestion des risques

  • Définition des termes
  • Probabilité des risques (délibérés)
  • Approches utilisées en analyse des risques
  • Survol des méthodes d’analyse de risques

Menaces informatiques

  • Virus, vers et chevaux de Troie
  • Pourriel
  • Harmeçonnage (« phishing »)
  • Enregistreur de frappe au clavier
  • Rançongiciel « Ransomware »
  • Attaques par déni de service
  • Harponnage « Spear phishing »
  • Menaces mobiles (téléphone intelligent)
  • Menaces aux applications Web (Injection SQL, « Cross Scripting », etc.)
  • Ordinateurs portables perdus (clé USB, disque dur externe)

Médias sociaux

  • Différents risques

Contre-mesures

  • Antivirus
  • Chiffrement
  • « Data Loss Protection »
  • Détection d’intrusion
  • Mots de passe
  • Pare-feu
  • Pare-feu pour les applications Web
  • Protocoles sécurisés
  • Sécurité physique
  • Sensibilisation aux utilisateurs

Cryptographie

  • Histoire de la cryptographie
  • Définitions et concepts (chiffrement, déchiffrement, algorithme, principe de Kerckhoffs, stéganographie)
  • Types d’algorithmes (substitution, transposition);
  • Méthodes de chiffrement (symétrique, asymétrique, bloc, flux)
  • Types de système symétrique (DES, 3-DES, AES, etc.)
  • Types de systèmes asymétriques (Diffie-Hellman, RSA, Courbe elliptique,etc.)
  • Intégrité du message (Fonctions de hachage);

Plan de continuation des affaires et plan de recouvrement

  • Continuité des opérations et plan de reprise en cas de désastre
  • Composantes d’un plan de continuation des affaires
  • Mesures préventives (redondance, copies de sécurité, etc.)
  • Stratégies de recouvrement (récupération des processus d’affaires, etc.)
  • Plan de rétablissement après sinistre
  • Exercices et tests des plans

Sécurité et virtualisation

  • Déploiement d’environnement de virtualisation sans consulter les gens responsables de la sécurité
  • Compromission de l’environnement de virtualisation
  • Manque de contrôle entre les machines virtuelles
  • Utilisation de machines virtuelles avec différents niveaux de sécurité sur le même serveur hôte
  • Utilisation de meilleurs contrôles pour l’accès au serveur hôte.
  • Séparation des tâches (réseau et sécurité)

Sécurité et infonuagique

  • Fuites de données
  • Pertes de données
  • Détournement des codes d’utilisateur (« Highjack-ing »)
  • Mauvaises configurations de logiciels et d’équipe-ments
  • Perte de service
  • Utilisateurs malveillants (personnel, fournisseur)
  • Abus des services de l’infonuagique
  • Diligence raisonnable
  • Vulnérabilités technologiques (processeur, mémoire, disque rigide)

Aspects légaux, réglementations, en-quêtes et conformité

  • Lois sur la propriété intellectuelle
  • Loi sur la protection des renseignements personnels dans le secteur privé
  • Loi sur la protection des renseignements personnels dans le secteur public
  • Conformités (HIPAA, PCI, etc.)

Sécurité physique et environnementale

  • Systèmes de soutien (alimentation électrique, pro-tection contre le feu, ventilation)
  • Périmètres de sécurité (serrure, mécanismes de verrouillage)
  • Contrôle d’accès physique (clôture, éclairage, système de surveillance)

Ressources en sécurité

  • Certifications en sécurité (CISSP®, CE|H®, CISM®, etc.)
  • Différentes ressources disponibles sur Internet