[Virtual Presenter] Je vous invite à prendre le temps de vous pencher sur le contrôle d'accès. Il s'agit d'un moyen permettant de s'assurer que l'accès aux actifs est autorisé et restreint en fonction de l'activité et de la sécurité. Dans ce cadre, nous devons intégrer les concepts d'authentification, d'authenticité et de disponibilité. Il nous faut également comprendre le sens des termes attaquer, tenter et utiliser. Ces réalités sont d'une importance capitale et impactent directement la sécurité de l'entreprise.. 

Scene 1

Contrôle d’accès moyens de s’assurer que  l’accès aux  actifs est autorisé  et  restreint en fonction  de  l’activité et de  la sécurité attaquer tenter de détruire, d’exposer, d’altérer, de désactiver, de voler, d’obtenir un accès non autorisé à un bien ou de l’utiliser sans autorisation   ; authentification la fourniture de l’assurance qu’une caractéristique alléguée d’une  entité est  correcte   authenticité propriété qu’une entité est ce qu’elle  prétend   être disponibilité Propriété d’être accessible et utilisable sur demande par une  entité  autorisée

Module 2: Concepts et définitions,   Terminologie   ISO  27000

[Audio] Le contrôle d'accès vise à assurer la protection des actifs et est caractérisé par l'authentification, l'authenticité et la disponibilité, conformément aux normes ISO 27000. La confidentialité des informations permet de protéger leur utilisation par des personnes et des entités non autorisées. La conformité s'assure que les obligations et leurs conséquences sont respectées. Ces conséquences sont le résultat d'un événement qui peut affecter les objectifs définis et produire des effets négatifs amplifiés.. 

Scene 2

confidentialité  les biens dont les renseignements  ne  sont pas mis à la disposition ou divulgués à des personnes ou   entités  non autorisées   ; conformité Satisfaction d’une  exigence   conséquence Résultat d’un  événement  (3,21)  ayant une incidence sur  les objectifs  ( 3,49 ) Note 1 à l’entrée : Un événement peut avoir diverses  conséquences.   Note 2 à l’entrée : Une conséquence peut être certaine ou incertaine et, dans le contexte de la sécurité de l’information, elle est généralement  négative. Note 3 à l’entrée : Les conséquences peuvent être exprimées qualitativement ou quantitativement. Note 4 à l’entrée : Les conséquences initiales peuvent s’aggraver par des effets d’entraînement.

[Audio] "Le contrôle d'accès fournit une sécurité supplémentaire qui modifie le risque associé à l'accès aux actifs. Il comprend l'authentification, l'authenticité et la disponibilité, ainsi que la possibilité de corriger des non-conformités détectées et de gérer les différents événements qui surviennent.. 

Scene 3

contrôle     Mesure  modifiant le  risque  ( 3,61 ) Note 1 à l’entrée : Les contrôles comprennent tout  processus  (3,54),  politique  ( 3,53 ), instrument, pratique ou autre action qui  modifie un  risque  ( 3,61 ). Note 2  à  l’entrée : Il est possible que  les  contrôles n’exercent pas toujours l’effet modificateur prévu ou supposé .   correction Mesures visant à éliminer une  non-conformité  détectée   événement survenance ou changement d’un ensemble particulier de  circonstances Note 1 à l’entrée : Un événement peut être une ou plusieurs occurrences et peut avoir plusieurs causes. Note 2 à l’entrée : Un événement peut consister en quelque chose qui ne se produit pas.    Note  3 à l’entrée : Un événement peut parfois être qualifié  d’«   incident   » ou d ’«   accident   ».

[Audio] Faire partie de la gouvernance de la sécurité de l'information, le contrôle d'accès permet de préserver la confidentialité, l'intégrité et la disponibilité des informations et garantit également l'authenticité, la responsabilité, la non-répudiation et la fiabilité des informations. De plus, il offre un processus et des procédures destinés à maintenir l’intégrité des opérations de sécurité de l'information.. 

Scene 4

Gouvernance de  la sécurité de  l’information        le système  d’orientation  des  activités  de  sécurité de l’information  (3,28)  d’une organisation  ( 3,50 )   ; Sécurité de l’information Préservation de  la confidentialité  (3,10 ),  de  l’intégrité  (3,36)  et de  la disponibilité  ( 3,7 ) de l’information   Note 1  à  l’entrée : En outre, d’autres propriétés ,  telles que  l’authenticité  (3,6 ),  la  responsabilité,  la  non-répudiation  (3,48)  et  la fiabilité  ( 3,55 ) peuvent également être impliquées. Continuité  de la sécurité de l’information Processus   (3,54)  et procédures  pour  assurer la continuité  des  opérations  de sécurité de  l’information   ( 3,28 )

[Audio] La gestion des accès s'assure que l'accès à nos actifs est limité et autorisé en fonction de l'activité et de la sécurité auxquelles nous sommes soumis. Cela inclut l'authentification, ainsi que l'intégrité et la disponibilité des informations. Dans le cadre de la sécurité de l'information, les événements déterminés sont l'occurrence reconnue d'un état de système, de service ou de réseau qui peuvent suggérer une violation possible de la politique de sécurité ou une défaillance des contrôles. Les incidents de sécurité de l'information sont des événements imprévus ou indésirables qui ont une forte probabilité de compromettre les activités commerciales et de mettre en danger l'intégrité des données. La surveillance vise à déterminer l'état des systèmes, processus et activités.. 

Scene 5

Événement  de sécurité de l’information l’occurrence identifiée d’un état de système, de service ou de réseau indiquant une violation possible de la  politique  de sécurité de  l’information  ( 3,28 )  (3,53) ou une  défaillance des  contrôles  ( 3.14 ), ou une situation précédemment inconnue qui peut être pertinente pour  la  sécurité Incident  de sécurité de l’information  Événements  de sécurité de  l’information  indésirables ou inattendus  uniques ou en  série ( 3,30)  qui ont une probabilité importante de compromettre les activités commerciales et de menacer  la sécurité de l’information  intégrité Propriété d’exactitude et   d’exhaustivité surveillance déterminer l’état d’un système, d’un  processus  ( 3,54 ) ou d’une  activité

[Audio] Ma réponse : Le contrôle d'accès est une notion essentielle, qui permet de s'assurer que seuls les individus autorisés peuvent accéder à des ressources, en fonction de leur activité et de leurs niveaux de sécurité. Il inclut l'authentification, l'autorisation et la disponibilité. La mauvaise gestion des risques, et le manquement aux exigences établies constituent des facteurs de risque qui pourraient compromettre la sécurité de l'information. Pour prévenir ces risques, nous devons détecter et gérer les menaces et les vulnérabilités associées à l'actif informationnel ou à un groupe de biens informationnels.. 

Scene 6

anticonformisme Non-respect d’une  exigence  ( 3,56 ) Non-répudiation Capacité de prouver  la  survenance  d’un  événement  ou d’une action revendiquée  ( 3,21 ) et de ses  entités  d’origine  risque Effet de l’incertitude sur les  objectifs  ( 3,49 ) Note 1  à  l’entrée : Un effet est un écart par rapport à l’attendu — positif ou  négatif.    Note 2 à l’entrée : L’incertitude est l’état, même partiel, d’un manque d’information relative  à  un événement , à sa conséquence ou à sa probabilité, de sa  compréhension ou  de  sa connaissance de celui-ci.  Note 3 à l’entrée : Le risque est souvent caractérisé par référence à des «   événements   » potentiels (tels que définis dans le Guide ISO 73:2009, 3.5.1.3) et à des «   conséquences   » (telles que définies dans le Guide ISO 73:2009, 3.6.1.3), ou une combinaison de ces éléments.  Note 4 à l’entrée : Le risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y compris les changements  de circonstances)  et de la «   probabilité   » associée (telle que définie dans  le  Guide ISO 73:2009, 3.6.1.1) d’occurrence .    Note 5 à l’article : Dans le contexte des systèmes de gestion de la sécurité de l’information, les risques liés à la sécurité de l’information peuvent être exprimés comme l’effet de l’incertitude sur les objectifs de sécurité de l’information.  Note 6  à  l’entrée :  Le  risque  lié à la  sécurité  de l’information  est associé  à la  possibilité que   les menaces exploitent les vulnérabilités  d’un  actif informationnel ou d’un groupe de biens d’information et causent ainsi un préjudice à une organisation.

menace la cause possible d’un incident indésirable pouvant causer des dommages à un système ou à une organisation ( 3,50 ). 

Scene 7

menace  la cause  possible  d’un incident indésirable pouvant causer des dommages  à  un système ou à une  organisation  ( 3,50 )

ISO/IEC 27005, Annexe C
Type
Dommage physique
Catastrophes naturelles
Perte de services essentiels
Menaces
Incendie
åt des eaux
Phénoméne volcani ue
Inondation
Panne du s stéme de climatisation ou d'alimentation en eau
Pette de la source d'alimentation en électricité
Ra onnements electroma néti ues
Perturbation due des rayonnements
Ra nnements thermi ues
Pié ea e de matériel
Compromission d'informations
Vol de su ons ou de documents
Panne de matériel
Défaillances techniques
D sfonctionnement du 10 iciel
Utilisation non autorisée du matériel
Actions non autorisées
Corru •on de données
Erreur d'utilisation
Compromission des fonctions
Abus de droits

[Audio] Les contrôles d'accès nous fournissent une opportunité de concevoir des outils de protection plus appropriés à nos exigences. Ils nous permettent de nous concentrer sur les points vulnérables et les faiblesses des actifs et des contrôles qui pourraient être abusés par des menaces. Par conséquent, nous pouvons établir des dispositifs de protection et contrôler l'accès aux actifs.. 

Scene 8

vulnérabilité faiblesse d’un actif  ou  d’un  contrôle  (3,14)  pouvant être exploité par une ou plusieurs  menaces  ( 3,74 )

ISO/IEC 27005, Annexe D.I
Type
Exemples de vulnérabilités
Maintenance insuffsante/mauvaise installation des supports de stockage
Matériel infonnatique
Absence de programnes de remplacement périodique
Tests de logiciel absents ou insuffisants
Logiciel
Interface utilisateurcompliquée
Voies de communication non protégées
Réseau
Point de défaillance unique
Formation insuffisante å la sécurité
Personnel
Travail non surveilléd'une équipeextérieure ou de l'équiped'entretien
Réseau électrique instable
Site
Emplacement situé dans une zone sujette aux inondations
Absence de bonne attribution des responsabilités en sécurité de ['information
Organisme
Absence de responsabilités en sécurité de I'information dans Ies descriptions de postes

[Audio] Nous arrivons à la fin de notre présentation et je vous remercie pour votre intérêt et votre attention. Nous avons vu comment le contrôle d'accès peut protéger nos actifs commerciaux en matière de sécurité et de disponibilité. Nous avons aussi vu à quel point l'information est un actif précieux et la nécessité de la protéger adéquatement. Qu'elle soit stockée ou transmise, nous devons prendre des mesures pour empêcher l'accès non autorisé et veiller à ce que les droits d'accès à l'information soient correctement gérés. Je vous remercie encore pour votre présence et je vous souhaite une excellente journée.. 

Scene 9

Information L’information est un actif qui, comme d’autres actifs commerciaux importants, est essentiel aux activités d’une organisation et, par conséquent, doit être protégé de manière appropriée. L’information peut être stockée sous de nombreuses formes, y compris :  sous forme numérique (par exemple,  fichiers de données stockés sur support électronique ou optique), sous forme matérielle (par exemple sur papier), ainsi que  sous forme  d’information non représentée sous la forme de connaissances des employés. L’information peut être transmise par divers moyens, y compris : messagerie, communication électronique ou verbale. Quelle que soit la forme que prend l’information ou le moyen par lequel elle est transmise, elle a toujours besoin d’une protection appropriée.

Module 2: Concepts et définitions, 
Terminologie ISO 27000

Scene 0

Le contrôle d'accès vise à assurer la protection des actifs et est caractérisé par l'authentification, l'authenticité et la disponibilité, conformément aux normes ISO 27000

La confidentialité des informations permet de protéger leur utilisation par des personnes et des entités non autorisées

La conformité s'assure que les obligations et leurs conséquences sont respectées

Ces conséquences sont le résultat d'un événement qui peut affecter les objectifs définis et produire des effets négatifs amplifiés.

avatar

"Le contrôle d'accès fournit une sécurité supplémentaire qui modifie le risque associé à l'accès aux actifs

Il comprend l'authentification, l'authenticité et la disponibilité, ainsi que la possibilité de corriger des non-conformités détectées et de gérer les différents événements qui surviennent.

Faire partie de la gouvernance de la sécurité de l'information, le contrôle d'accès permet de préserver la confidentialité, l'intégrité et la disponibilité des informations et garantit également l'authenticité, la responsabilité, la non-répudiation et la fiabilité des informations

De plus, il offre un processus et des procédures destinés à maintenir l’intégrité des opérations de sécurité de l'information.

La gestion des accès s'assure que l'accès à nos actifs est limité et autorisé en fonction de l'activité et de la sécurité auxquelles nous sommes soumis

Cela inclut l'authentification, ainsi que l'intégrité et la disponibilité des informations

Dans le cadre de la sécurité de l'information, les événements déterminés sont l'occurrence reconnue d'un état de système, de service ou de réseau qui peuvent suggérer une violation possible de la politique de sécurité ou une défaillance des contrôles

Les incidents de sécurité de l'information sont des événements imprévus ou indésirables qui ont une forte probabilité de compromettre les activités commerciales et de mettre en danger l'intégrité des données

La surveillance vise à déterminer l'état des systèmes, processus et activités.

Le contrôle d'accès est une notion essentielle, qui permet de s'assurer que seuls les individus autorisés peuvent accéder à des ressources, en fonction de leur activité et de leurs niveaux de sécurité

Il inclut l'authentification, l'autorisation et la disponibilité

La mauvaise gestion des risques, et le manquement aux exigences établies constituent des facteurs de risque qui pourraient compromettre la sécurité de l'information

Pour prévenir ces risques, nous devons détecter et gérer les menaces et les vulnérabilités associées à l'actif informationnel ou à un groupe de biens informationnels.

Les contrôles d'accès nous fournissent une opportunité de concevoir des outils de protection plus appropriés à nos exigences

Ils nous permettent de nous concentrer sur les points vulnérables et les faiblesses des actifs et des contrôles qui pourraient être abusés par des menaces

Par conséquent, nous pouvons établir des dispositifs de protection et contrôler l'accès aux actifs.

Nous arrivons à la fin de notre présentation et je vous remercie pour votre intérêt et votre attention

Nous avons vu comment le contrôle d'accès peut protéger nos actifs commerciaux en matière de sécurité et de disponibilité

Nous avons aussi vu à quel point l'information est un actif précieux et la nécessité de la protéger adéquatement

Qu'elle soit stockée ou transmise, nous devons prendre des mesures pour empêcher l'accès non autorisé et veiller à ce que les droits d'accès à l'information soient correctement gérés

Je vous remercie encore pour votre présence et je vous souhaite une excellente journée.