Passer au contenu
45 h

Informatique

2$/h – Sécurité des systèmes informatiques – Introduction

Objectifs

Cette formation permet d’initier les participants aux concepts de base de sécurité des systèmes d’information. 

Contenu du cours

Enjeux de la sécurité de l’information 

  • Actualité en sécurité de l’information
  • Principes fondamentaux
  • Êtres humains
  • Point de défaillance unique
  • Approche top-down
  • Équilibre « sécurité, fonctionnalité, facilité d’utilisation »
  • Séparation des tâches
  • Privilèges nécessaires pour faire le travail
  • Besoin de connaître

Système de management de la sécurité de l’information (SMSI) 

  • Norme ISO 27001
  • Roue de Deming (amélioration continue)

Identification, authentification, autorisation et irrévocabilité 

  • Identification
  • Authentification
  • Autorisation
  • Contrôles d’accès
  • Accumulation des privilèges
  • Irrévocabilité

Contrôles d’accès 

  • Types de contrôles d’accès
  • Fonctionnalités des contrôles d’accès

Piratage éthique 

  • Définition d’un pirate éthique
  • Méthodologie de piratage éthique
  • Ports bien connus
  • Réseau sans fil
  • Outils pour les débutants

Ingénierie sociale 

  • Définition
  • Phases de l’ingénierie sociale
  • Conséquences de l’ingénierie sociale
  • Contremesures
  • Menaces fréquentes
  • Vol d’identité

Gestion d’un incident 

  • Phases
  • Équipe de réponse aux incidents

Gestion des risques 

  • Définition des termes
  • Probabilité des risques (délibérés)
  • Approches utilisées en analyse des risques
  • Survol des méthodes d’analyse des risques

Menaces informatiques 

  • Virus, vers et chevaux de Troie
  • Pourriel
  • Hameçonnage (phishing)
  • Enregistreur de frappe au clavier
  • Rançongiciel (ransomware)
  • Attaques par déni de service
  • Harponnage (spear phishing)
  • Menaces mobiles (téléphone intelligent)
  • Menaces aux applications web (injection SQL, cross-site scripting, etc.)
  • Ordinateurs portables perdus (clé USB, disque dur externe)

Médias sociaux 

  • Risques divers

Contremesures 

  • Antivirus
  • Chiffrement
  • Data Loss Prevention
  • Détection d’intrusion
  • Mots de passe
  • Pare-feu
  • Pare-feu pour les applications web
  • Protocoles sécurisés
  • Sécurité physique
  • Sensibilisation des utilisateurs

Cryptographie 

  • Histoire de la cryptographie
  • Définitions des concepts (chiffrement, déchiffrement, algorithme, principe de Kerckhoffs, stéganographie)
  • Types d’algorithmes (substitution, transposition)
  • Méthodes de chiffrement (symétrique, asymétrique, par bloc, de flux)
  • Types de systèmes symétriques (DES, 3DES, AES, etc.)
  • Types de systèmes asymétriques (Diffie-Hellman, RSA, courbe elliptique, etc.)
  • Intégrité du message (fonctions de hachage)

Plan de continuité des affaires et plan de reprise 

  • Continuité des opérations et plan de reprise en cas de désastre
  • Composantes d’un plan de continuité des affaires
  • Mesures préventives (redondance, copies de sécurité, etc.)
  • Stratégies de reprise (récupération des processus d’affaires, etc.)
  • Plan de rétablissement après sinistre
  • Exercices et tests sur les plans

Sécurité et virtualisation 

  • Déploiement d’environnement de virtualisation sans consulter les personnes responsables de la sécurité
  • Compromission de l’environnement de virtualisation
  • Manque de contrôle entre les machines virtuelles
  • Utilisation de machines virtuelles avec différents niveaux de sécurité sur le même serveur hôte
  • Utilisation de meilleurs contrôles pour l’accès au serveur hôte
  • Séparation des tâches (réseau et sécurité)

Sécurité et infonuagique 

  • Fuites de données
  • Pertes de données
  • Détournement des codes d’utilisateur (hijacking)
  • Configurations inadéquates de logiciels et d’équipements
  • Perte de service
  • Utilisateurs malveillants (personnel, fournisseur)
  • Abus des services de l’infonuagique
  • Diligence raisonnable
  • Vulnérabilités technologiques (processeur, mémoire, disque rigide)

Aspects légaux, réglementations, enquêtes et conformité 

  • Lois sur la propriété intellectuelle
  • Loi sur la protection des renseignements personnels dans le secteur privé
  • Loi sur la protection des renseignements personnels dans le secteur public
  • Conformité (HIPAA, PCI, etc.)

Sécurité physique et sécurité environnementale 

  • Systèmes de soutien (alimentation électrique, protection contre le feu, ventilation)
  • Périmètres de sécurité (serrure, mécanismes de verrouillage)
  • Contrôle d’accès physique (clôture, éclairage, système de surveillance)

Ressources en sécurité 

  • Certifications en sécurité (CISSP, CEH, CISM, etc.)
  • Ressources offertes sur Internet

Préalables

Connaître les concepts de base en informatique.