Sécurité
Sécurité: Confidentialité + Intégrité + Disponibilité. Ca veut dire qui est la prévention d’actions non autorisées par un utilisateur.
La Confidentialité est la prévention de divulgation non autorisée de l’information.
L'intégrité est la prévention de modification non autorisée de l’information. Ce mot peut avoir plusieurs significations suivant le contexte:
-Non modifié: Intégrité des communications (détection et correction de modifications dues aussi bien à des manipulations intentionnelles qu’à des erreurs de transmission);
-Modifié uniquement d’une façon acceptable: intégrité de relations dans une base de données, ... ;
-Modifié uniquement par des entités (personnes, processus) autorisées.
La Disponibilité est la prévention de rétention non autorisée de l’information ou de ressources.
Disponibilité et sureté de fonctionnement
Innocuité vise à protéger des défaillances catastrophiques
La sureté de Fonctionnement est l'ensable d'intégrité, disponibilité, innocuité, fiabilité et de maintenabilité.
La Fiabilité (Reliability) est l'aptitude d’un système à délivrer un service approprié; il peut être représenté comme la probabilité qu'un composant ou un système fonctionne sur l'intervalle de temps [0,t] ou comme le tempe qui passe entre deux défaillances (MTBF: «Mean Time Between Failures»).
La Maintenabilité (Maintenability) est l'aptitude d'un système à être remis en état de fonctionnement a près une défaillance (MTTR:«Mean Time To Repair»).
La Disponibilité (Availability) est le temp de fonctionnement correct d’un service. Il est obtenu par la formule A=MTBF/(MTBF+MTTR)
Faute, Erreurs et défaillances
Une Faute est la cause adjugée ou supposée d’une erreur.
Un Erreur est la manifestation d’une faute.
La Défaillance est l'effet de l’erreur sur le service (déviance du service délivré par rapport au service approprié).
Sécurité des Systemes d'information
Un Système d’information est un ensemble des entités participant à la gestion, au stockage, au traitement, au transport et à la diffusion de l'information au sein d'une organisation.
Les Entités sont représenté par le personnel, les données, les procédures, le matériel, la logiciel.
La sécurité des systèmes d’informations (SSI) est donnée par la sécurité informatique (et réseaux) et par la sécurité physique (locaux, bâtiments).
La sécurité, en général, peut être divisée en secteurs:
-Secteurs réglementés (données classifiées). Une exemple est représenté par le Secret de Défense, composé par le ministère de la défense (sécurité militaire), le Secrétariat Général de la Défense Nationale, la SGDN (protection du patrimoine et du secret de Défense hors le Ministère de la Défense) ou par le secteur « gouvernemental », qui rassemble tout ce qui est sous la tutelle d’un Ministère.
-Secteurs non réglementés, contrôlés. Une exemple peuvent être les secteurs sensibles (industriels travaillant pour la Défense, produits soumis à contrôle à l’exportation, …).
-Secteurs non réglementés, non contrôlés (données sensibles mais non classifiées), dans lequel font partie tous les autres secteurs d‘activités.
C'est importante souligner la difference entre secrecy et intimité (privacy). La secrecy a le scope de custodir un information appartenant à une organisation, l'intimité mantener secret une information personelle.
Propriétés de sécurité complémentaires
L'Imputabilité a l'objectif de garantir que l’on puisse remonter au responsable de toute action violant la politique de sécurité
La Non-répudiation a le but de fournir une preuve irréfutable qu’une action donnée a eu lieu
Attaque
Une attaque est active, quand il utilise au moins une action de type interruption ou modification ou fabrication.
Une attaque est passive quand il n’utilise que des actions de type interception.
La Menace est un élément menaçant qui met en oeuvre une attaque afin de mettre en péril un bien en exploitant une vulnérabilité.
Impact
Risque = Impact*Menace.
Les Contre-mesures sont des fonctions et des mécanismes dédiés à la sécurité d’un système
La prévention sont des mesures prises afin d’éviter un sinistre. Ils sont de différents types:
-sensibilisation des utilisateurs
-dissuasion (tatouage: couvrir le corps d'un message avec un filigrane électronique indélébile)
-protection (Cryptographie, Stéganographie, Contrôle d’accès)
-désinformation, ça veut dire créer des simulacres pour piéger les attaquants ou retarder leur avance (Leurre, « pots de miel » ou honeypots)
La détection est l'ensemble des mesures prises afin de détecter un sinistre.
La correction est l'ensemble des mesures prises afin de limiter les pertes d’un sinistre déclare.
La récupération est l'ensemble des mesures prises afin de récupérer les pertes d’un sinistre termine.
La politique de sécurité est l'ensemble des lois, règles et pratiques qui régissent la façon de gérer, protéger et diffuser les biens, en particulier les informations sensibles, au sein de l'organisation
La fonction de sécurité (exigence de sécurité) est une mesure technique, susceptible de satisfaire un objectif de sécurité. Dans les critères communs (CC), il y a différents classes de fonctions de sécurité:
-FIA : Identification et Authentification
-FTA : Accès à la cible d’évaluation
-FAU : Audit de sécurité
-FPR : Intimité ("privacy")
-FCO : Sécurité des Communications
-FDP : Protection des Données utilisateurs
| Succ. > |
|---|
