Résumé VII








télécharger 1.18 Mb.
titreRésumé VII
page6/33
date de publication02.07.2017
taille1.18 Mb.
typeRésumé
ar.21-bal.com > loi > Résumé
1   2   3   4   5   6   7   8   9   ...   33

3 Concepts fondamentaux pour la protection: menaces, vulnérabilités et risques


Pour élaborer un cadre de sécurité, quel qu'il soit, il est très important d'avoir une idée claire des ressources nécessitant une protection, des menaces vis-à-vis desquelles ces ressources doivent être protégées, des vulnérabilités qu'elles présentent et du risque global qu'elles encourent compte tenu de ces menaces et vulnérabilités.

D'une manière générale, dans le domaine de la sécurité des TIC, les ressources nécessitant une protection peuvent être les suivantes:

– services de communications et services informatiques;

– informations et données, notamment les logiciels et les données concernant les services de sécurité; et

– équipements et installations.

Conformément à la Rec. UIT-T X.800, une menace de sécurité est une violation potentielle de la sécurité, par exemple:

– divulgation non autorisée d'informations;

– destruction ou modification non autorisée de données, d'équipements ou d'autres ressources;

– vol, suppression ou perte d'informations ou d'autres ressources;

– interruption ou déni de services; et

– usurpation de l'identité d'une entité autorisée.

Les menaces peuvent être accidentelles ou délibérées et peuvent être actives ou passives. Une menace accidentelle est une menace sans préméditation (par exemple dysfonctionnement d'un système ou d'un logiciel ou défaillance physique). Une menace délibérée est une menace dont la mise à exécution est un acte délibéré commis par une personne. (Lorsqu'une menace délibérée est mise à exécution, on parle alors d'attaque.) Une menace active est une menace résultant d'une modification d'état (par exemple altération de données ou destruction d'un équipement physique). Pour une menace passive, il n'y a pas de modification d'état (par exemple, l'écoute clandestine).

Une vulnérabilité de sécurité est un défaut ou une faiblesse susceptible d'être exploité pour violer un système ou les informations qu'il contient (X.800). Une vulnérabilité est susceptible d'engendrer la mise à l'exécution d'une menace.

Il existe quatre types de vulnérabilité: les vulnérabilités du modèle des menaces proviennent de la difficulté à prévoir les éventuelles menaces futures; les vulnérabilités de conception et spécification proviennent d'erreurs ou d'oublis dans la conception d'un système ou d'un protocole qui le rendent intrinsèquement vulnérable; les vulnérabilités d'implémentation proviennent d'erreurs au cours de l'implémentation d'un système ou d'un protocole; et les vulnérabilités d'exploitation et de configuration proviennent d'un mauvais usage d'options dans des implémentations ou de politiques de déploiement déficientes (par exemple la non-obligation d'utiliser le chiffrement dans un réseau Wi Fi).

Un risque de sécurité est une mesure des effets négatifs qui peuvent se produire en cas d'exploitation d'une vulnérabilité de sécurité, autrement dit si une menace est mise à exécution. Le risque ne peut jamais être éliminé mais un objectif de la sécurité est de réduire le risque à un niveau acceptable. Pour cela, il faut comprendre les menaces et les vulnérabilités et appliquer des contremesures appropriées (à savoir des services et des mécanismes de sécurité).

Les menaces et les agents responsables de menaces varient alors que les vulnérabilités de sécurité existent pendant toute la durée de vie d'un système ou d'un protocole, sauf si des mesures spécifiques sont prises pour faire face aux vulnérabilités. Avec les protocoles normalisés, les risques de sécurité fondés sur les protocoles peuvent être très élevés et concerner le monde entier, d'où l'importance de comprendre et de détecter les vulnérabilités présentes dans les protocoles et de prendre des mesures pour faire face aux vulnérabilités une fois qu'elles ont été détectées.

Les organismes de normalisation ont à la fois une certaine responsabilité et une compétence unique pour ce qui est de faire face aux vulnérabilités de sécurité susceptibles d'être présentes dans des spécifications d'architectures, de cadres, de protocoles, etc. Même avec une bonne connaissance des risques, des vulnérabilités et des menaces associés aux réseaux informatiques et aux réseaux de télécommunications, il est impossible d'obtenir une sécurité correcte si on n'applique pas systéma­tiquement les politiques de sécurité en vigueur, qui doivent être examinées et mises à jour régulièrement. Il faut aussi prévoir correctement la gestion de la sécurité et la prise en charge des incidents, par exemple déterminer les responsabilités et les mesures à prendre concernant la prévention des incidents de sécurité et la réaction aux incidents de sécurité (dispositions, contrôles, contre-mesures, garde-fou ou mesures à mettre en œuvre). L'UIT T élabore actuellement de nouvelles Recommandations portant sur ces aspects de gestion de la sécurité.
1   2   3   4   5   6   7   8   9   ...   33

similaire:

Résumé VII iconRésumé VII

Résumé VII iconRegards VII environnement

Résumé VII iconУрок – экскурсия по теме: «Paris et ses curiosités» в VII классе
Развитие монологической речи учащихся (Учебная ситуация: «Paris et ses curiosités»)

Résumé VII iconRésumé

Résumé VII iconRésumé 1

Résumé VII iconRésumé : 3

Résumé VII iconRésumé

Résumé VII icon[Tapez le résumé du document ici. IL s'agit généralement d'une courte...
...

Résumé VII iconRésumé en Français

Résumé VII iconRésumé Théorique








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com