SECUP - 2 - HackMD

--- title: SECUP - 2 description: author: Moemoea Fiérin tags: SECUP, Hista, moemoea.fierin prof: Hista Christophe --- # Les slides > Les slides ne sont pas à jour ? {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:secup:2020:context.pdf %} # Rappel On demarre tjrs un projet par les besoins, la parties juridique (=exigences reglementaires), la sécurité # Risques SSI Les menaces peuvent venir de l'interieur ou de l'exterieur - malware - virus - DDos **La vulnérabilité** c'est un disfonctionnement potentiel dans le sys d'information qui s'il est exploité va entrainer une attaque c'est donc un risque. ça peut etre due au fait que ca a ete mal construit, ou le manque de travaille d'une certaine personne: - issue de négligence dans la realisation - issue de mauvaise conception - issue de manque de controle **L'impact** est une évaluation globale de l'ens de conséquences d'un scénario de risques précis les conseq directs ou indirects peuvent être d'ordre financier, juridique, d'image ou humain. - niveau 1 insignifiant au niveau de l'organisation - niveau 2 signigicatif causant du tort a l'organisation - niveau 3 tres grave sans cependant menacer la vie de l'organisation - niveau 4 extremement grave menacant l'organisationn ou l'une de ses activités. Le job du RSSI c'est de suivre la flowchart: - de quoi mes sys sont ils composer (liste du matos) - inventaire menaces et vulnérabilité - Inventaire risques - Choix: - Risque Evité - risque réduit - risque transferé - risque accepté - Choix mesures: (= reduire la vulnérabilité ou l'impacte) # Quizz Risque majeur pour un constucteur automobile: - [x] Vol des futurs projets # Les besoins de sécurité - rappels Demander les besoins en sécurité: aujourdhui elles sont normés. Le besoin va s'exprimé en: **Disponibilite** Propriété d'accessibilité des informations ou de traitement en toute circonstance dans des conditions predef d'horaire de delai de perf, et de recouvrement d'incident **Intégrité** Prop d'exactitude et de completude des informations ou des traitement **Confidentialité** **Traçabilité** # L'expression du besoin # Quizz 2 exemples de donnée electronique sensible pour un etudiant: - [x] carte banquaire - [x] nom et carte vitale 2 exemples de donne electronique sensible pour une univ/ecole - [x] les epreuves d'exam - [x] les brevets # Exigences reglementaire - La partie sécu du rgpd c'est 10% des exigence de la loi - c'est la protection des données stockée ## Pourquoi la loi europeen pour remplacer la loi informatique? Pour que toute l'europe en soit au même endroit au niveau reglementation. Une directive europeen ça ne dit pas comment **DCP** protection des donnes a cractere perso (DPC) obligation de securisation des DCP. info relative a qqn qui pers **Sanctions** Jusqu'a 20millions d'euro ou dans le cas d'une entreprise une % du chiffre d'affaire sous traitant inclus # Quizz L'addresse ip de mon ordinateur: - [x] est une donnée a caractere personnel (car on peut identifier la personne derriere) ## LPM Des arretés sectioriels = toutes les regles sur la securite a applique ## autres textes droit du travail enregistrer surveiller l'utilsation d'un service informatique doit etre encadrer