Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Chapitre 2: Suite Menaces, Vulnérabilités et analyse de risque analyse de risqu

Chapitre 2: Suite Menaces, Vulnérabilités et analyse de risque analyse de risque Définitions Risque • A un effet sur la mission de l’entreprise, qui dépends à la fois de la vraisemblance de, la menace et de son impacte sur ses actifs et ses ressources. Risque informatique : • Le risque informatique peut être désigné́ comme le risque métier associé à l'utilisation, la possession, l'exploitation, l'implication, l'influence et l'adoption de l'informatique dans une organisation Exemples des risques : 1. Risque lié à la disponibilité 2. Risque lié à l’intégrité 3. Risque lié à la confidentialité Concepts de gestion de risque : La gestion des risques, « dans son plus simple appareil », se compose de trois blocs interdépendants. • Nous distinguons l’organisation cible de l’étude, définie par : - Ses Assets (Patrimone) et ses besoins de sécurité́, - Puis les risques pesant sur ces Assets - Et enfin les mesures prises ayant pour but de traiter les risques et donc d’assurer un certain niveau de sécurité́. Figure : concept de gestion des risques Cycle de vie de gestion de risque : Une telle opération de gestion des risques doit passer par 3 axes majeurs : 1. Estimation des risques 2. Réduction des risques 3. Evaluation des risques ANALYSE DU RISQUE A) Introduction Définir les besoins c’est : - Déterminer les actifs à protéger ( quelles sont leurs valeurs, leurs criticités, et leurs propriétés) - Déterminer les menaces représentant des risques ( quels sont acteurs-attaqueurs, leurs motivation et leurs moyens) - Déterminer les objectifs à atteindre ( quels sont les propriétés des actifs à protéger) 10 proposer une solution : Déterminer les contres mesures à mettre en place Evaluer les risques résiduels : - Déterminer quelles sont les vulnérabilités toujours présentes - Déterminer les impactes sur les objectifs initiaux 11 SCHEMA de L’ANALYSE DE RISQUE 12 B) L’Objectif : Permettre à une organisation d’accomplir sa mission par : 1- Avoir une meilleure protection des systèmes qui conservent, traitent et transmettent les informations essentielles pour le bon déroulement de ces systèmes. 2- Prendre de meilleures décisions basées sur des faits tangibles et mesurables (investissement en équipements, personnel et formation) 13 Objectif de la méthodologie d’analyse de risque NIST (800-30) : Décrire une méthodologie permettant de réaliser une analyse de risques pour des systèmes tenant en compte de leur cycle de développement NIST (800-30) : trois étapes générales NIST (800-30) : neuf étapes spécifiques pour l’évaluation du risque NIST (800-30) : neuf étapes spécifiques pour l’évaluation du risque 18 19 20 21 22 Source Motivation Actions Pirate (hacker, cracker) Callenge Ego Rébellion Piratage Ingénierie sociale Criminel informatique Destruction d’info Divulgation d’info Altération d’info Gain monétaire Ingénierie sociale Interception d’info Intrusion de syst Chantage informatiq Cambriolage Mystification (spoofing) Terroriste Destruction Revanche Idéologie Bombe / Terrorisme Guerre de l’info Attaque de système (DDoS) Intrusion de syst S b di ti d Source Motivation Actions Espionnage industriel Avantage compétitif Appât du gain Ingénierie sociale Intrusion de système Vol d’information Employé Malformé Négligeant Malveillant Malhonnête Congédié Curiosité Ego Renseignement Appât du gain Revanche Non- intentionnel et omission Code malveillant Cheval de Troie, Bombe logique Accès à l’information privée Utilisation d’ordinateur abusive Fraude et vol Vente d’info personnel Sabotage de système Intrusion de système uploads/Management/ sic-c6-pr 1 .pdf