Sécurité des systèmes informatiques - introduction

Formation offerte en collaboration avec Emploi-Québec

Cours INF-RES

Durée 45 heures

Non offert présentement

M'aviser lorsqu'un groupe sera ouvert

Préalables

Connaître les concepts de base en informatique

Objectifs

À la fin de ce cours, le participant aura été initié aux concepts de base de sécurité des systèmes d’information.

Approche pédagogique

  •  Notions théoriques expliquées
  •  Aide individuelle lors des exercices

Attestation délivrée en fin de cours

Une attestation de participation est remise aux personnes ayant assisté à plus de 80 % des heures de formation.

Matériel pédagogique

À déterminer

Contenu du cours

1 Enjeux de la sécurité de l’information
• Actualité en sécurité de l’information
• Principes fondamentaux
• Êtres humains
• Point individuel de défaillance
• Approche « Top-Down »
• Équilibre « Sécurité, fonctionnalité, facilité d’utilisation »
• Séparation des tâches
• Privilèges nécessaires pour faire le travail
• Besoin de savoir

2. Système de management de la sécurité de l’information (SMSI)
• Norme ISO 27001
• Roue de Deming (amélioration continue)

3. Identification, authentification, autori-sation et irrévocabilité
• Identification
• Authentification
• Autorisation
• Contrôles d’accès
• Accumulation des privilèges
• Irrévocabilité

4. Contrôles d’accès
• Types de contrôles d’accès
• Fonctionnalités des contrôles d’accès

5. Piratage éthique
• Définition d’un pirate éthique
• Méthodologie de piratage éthique
• Ports bien connus
• Réseau sans fil
• Outils pour les débutants

6. Ingénierie sociale
• Définition
• Phases de l’ingénierie sociale
• Impacts de l’ingénierie sociale
• Contremesures
• Menaces fréquentes utilisées
• Vol d’identité

7. Gestion d’un incident
• Phases
• Équipe de réponses aux incidents

8. Gestion des risques
• Définition des termes
• Probabilité des risques (délibérés)
• Approches utilisées en analyse des risques
• Survol des méthodes d’analyse de risques
9. Menaces informatiques
• Virus, vers et chevaux de Troie
• Pourriel
• Harmeçonnage (« phishing »)
• Enregistreur de frappe au clavier
• Rançongiciel « Ransomware »
• Attaques par déni de service
• Harponnage « Spear phishing »
• Menaces mobiles (téléphone intelligent)
• Menaces aux applications Web (Injection SQL, « Cross Scripting », etc.)
• Ordinateurs portables perdus (clé USB, disque dur externe)
10. Médias sociaux
• Différents risques
11. Contre-mesures
• Antivirus
• Chiffrement
• « Data Loss Protection »
• Détection d’intrusion
• Mots de passe
• Pare-feu
• Pare-feu pour les applications Web
• Protocoles sécurisés
• Sécurité physique
• Sensibilisation aux utilisateurs
12. Cryptographie
• Histoire de la cryptographie
• Définitions et concepts (chiffrement, déchiffrement, algorithme, principe de Kerckhoffs, stéganographie)
• Types d’algorithmes (substitution, transposition);
• Méthodes de chiffrement (symétrique, asymétrique, bloc, flux)
• Types de système symétrique (DES, 3-DES, AES, etc.)
• Types de systèmes asymétriques (Diffie-Hellman, RSA, Courbe elliptique,etc.)
• Intégrité du message (Fonctions de hachage);
13. Plan de continuation des affaires et plan de recouvrement
• Continuité des opérations et plan de reprise en cas de désastre
• Composantes d’un plan de continuation des affaires
• Mesures préventives (redondance, copies de sécuri-té, etc.)
• Stratégies de recouvrement (récupération des pro-cessus d’affaires, etc.)
• Plan de rétablissement après sinistre
• Exercices et tests des plans
14. Sécurité et virtualisation
• Déploiement d’environnement de virtualisation sans consulter les gens responsables de la sécurité
• Compromission de l’environnement de virtualisation
• Manque de contrôle entre les machines virtuelles
• Utilisation de machines virtuelles avec différents niveaux de sécurité sur le même serveur hôte
• Utilisation de meilleurs contrôles pour l’accès au serveur hôte.
• Séparation des tâches (réseau et sécurité)
15. Sécurité et infonuagique
• Fuites de données
• Pertes de données
• Détournement des codes d’utilisateur (« Highjack-ing »)
• Mauvaises configurations de logiciels et d’équipe-ments
• Perte de service
• Utilisateurs malveillants (personnel, fournisseur)
• Abus des services de l’infonuagique
• Diligence raisonnable
• Vulnérabilités technologiques (processeur, mé-moire, disque rigide)
16. Aspects légaux, réglementations, en-quêtes et conformité
• Lois sur la propriété intellectuelle
• Loi sur la protection des renseignements personnels dans le secteur privé
• Loi sur la protection des renseignements personnels dans le secteur public
• Conformités (HIPAA, PCI, etc.)
17. Sécurité physique et environnementale
• Systèmes de soutien (alimentation électrique, pro-tection contre le feu, ventilation)
• Périmètres de sécurité (serrure, mécanismes de verrouillage)
• Contrôle d'accès physique (clôture, éclairage, sys-tème de surveillance)
18. Ressources en sécurité
• Certifications en sécurité (CISSP®, CE|H®, CISM®, etc.)
• Différentes ressources disponibles sur Internet

College de Maisonneuve | Formation continue