SECUP cours 2 - HackMD

--- title: SECUP cours 2 authors: jeremy.delbarre tags: SECUP, jeremy.delbarre --- # Risques SSI - **Menace**: - Une menace est un évenement - **vulnérabilité**: - est une faille dans un systeme d'information permettant a un attaquant de porter atteinte a l'intégrité de ce système - **l'impact**: - l'importances des conséquences - impact fort : l'entreprise ne fonctionne plus - categoriser par niveau - niveau 1: insignifiant pour l'organisation - niveau 2: impact significatif - niveau 3: impact grave - niveau 4: impact pouvant empecher l'entreprise de tournée - la **potentialité** est une estimation de la possibilité qu'un scénario précis apparaissent - les étapes: - connaitre les actifs et biens a proteger - inventaires des menaces et vulnérabilités - choix des risque - risques évité - risques réduit - risques transféré - risques accepté Quel est le risque majeur pour un constructeur automobile ? **Rep** : vol des éléments des futures projets # Les besoins en sécurité ## L'expression du besoin - La disponibilité: - Proptiété d'accessibilité des informations ou de traitements en toutes circonstances dans des conditions prédéfinis d'horaires de délai, de performances.. - l'intégrité - la confidentialité - la traçabilité - mettre en place une échelle de sensibilité pour chuaque catégorie. - toutes mesures de securité doit répondre a une exigence de sécurité ## Exigences réglementaires - réglementation sectorielle - donnée de santé - donnée bancaire - secret défense - reglementation européenne - loi française - droit du travail - protection des données a caractère personel - obligation de sécurisation des DCP - Loi informatique et liberté remplacé par un réglement européen sur la protection des donnée personelle - permet d'uniformiser les lois dans toutes l'europe - recolter les donnée seulement quand c'est nécéssaire - adresse ip est aujourd'hui considéré comme une donnée a caractère personelle - loi de programmation militaire - l'etat legifere sur la securité des systèmes d'information des OIV - permettre la réalisation de controle - mettre en place des mesures d'urgences - LPM - loi de godfrain - Iso 2700X - tache effectuer pour assurer la sécurité et la pérennité d'un système - iso 27001 - iso 27002 ## Les spécifications de sécurité - l'importance d'une surveillance complète - l'autonomie des systèmes - la force d'un mot de passe - sa complexité - de sa durée de vie - les fonctions de sécurité sont assurés par l'infrastructure technique - chiffrements des flux - les fonction de sécurité sont de nature procédurale et humaine - attribution des droits et des roles IAM - gestion des flux ### L'objectif de l'iam - s'assurer que seuls ceux ayant besoin d'acceder a une ressources le peuvent réellement - l'identification - Je dit qui je suis - l'authentification: - je prouve mon identité - l'accréditation - Notion de moindre privilège (ne pas donner plus de droit que nécéssaire)