% INF8700 — Sécurité des systèmes, données et contrats % UQAM — Département d'informatique % Plan de cours — Hiver 2020 * Horaires, locaux et enseignants: Responsable(s) du cours ======================= Coordination ------------ Bégin, Guy PK-4825 poste 4081 Enseignement ------------- Nsiempba, Jude Jacob PK-4115/DS-7325 poste 3497 Les étudiants doivent consulter réguliérement le forum dans Moodle, moyen de communication du professeur avec le groupe-cours. Description du cours ==================== Objectifs --------- Introduire les étudiants à la sécurité des systèmes informatiques et des données. Sensibiliser les étudiants aux risques et menaces. Introduire les techniques permettant d'assurer la sécurité des processus. Introduire les méthodes de mitigation du risque et de gestion de la sécurité. ### Sommaire du contenu Sensibilisation à la sécurité informationnelle: concepts de base en sécurité:informationnelle, Objectifs de sécurité, lois et règlements. La sécurité informationnelle et l'organisation: parties prenantes, rôles et responsabilités, équipe de sécurité, impartition. Gestion des actifs: inventaire et classification des ressources informationnelles. Interconnexion de systèmes et partage d'information. Sensibilité des informations. Évaluation, gestion et mitigation des risques. Gestion des contrôles: besoins d'affaire du contrôle d'accès, gestion des identités et des accès: à l'infrastructure, aux systèmes d'exploitation, aux applications et aux données. Responsabilités des utilisateurs. Contrôles cryptographiques: introduction aux mécanismes sécuritaires modernes: chiffrage symétriques et asymétriques; fonctions de hachage; protocoles sécuritaires; authentification. Installation, configuration des contrôles. Planification et acceptation des systèmes. Application aux services de commerce électronique. Chaînes de blocs et monnaies électroniques. Mécanismes de paiement. Contrats. Objectifs du cours ================== Au terme du cours, l'étudiant sera à mesure de : - définir les objectifs de sécurité, les exprimer en termes de besoins spécifiques (confidentialité, intégrité, disponibilité, etc.); - faire un inventaire des éléments du patrimoine informationnel d'une organisation; - évaluer les scénarios de risque (identifier les éléments à risque, les aléas et vulnérabilités susceptibles de causer des dommages, d'en fixer les priorités carte d'exposition); - préconiser une stratégie de traitement du risque et des mesures de protection des actifs personnels /d'entreprise; - maitriser les notions nécessaires à la compréhension des contrats et des propriétés intelligents; - comprendre les rudiments/bases sur les développements récents de la loi canadienne sur la cyber-sécurité. Contenu du cours ================ Chapitre 1: Sensibilisation à la sécurité informationnelle Chapitre 2: Sécurité informationnelle et l'organisation Chapitre 3: Gestion des risques - Normes ISO 27001 et 27005 - Méthodes : Octave et Méhari Chapitre 4: Lois,règlements,contrats Chapitre 5: Gestion des contrôles Chapitre 6: Contrôles cryptographiques Chapitre 7: Applications Modalités d'évaluation ====================== - Travail de session (en groupe de 3-5) 40% - Livrable 1  (5%) - Livrable 2 (10%) - Présentation PowerPoint en classe du travail de session (5%) - Rapport final (20%) - Travaux individuels \[1\] \[2\] (10 % chacun) 20% - Examen final 40% Travail de session ------------------ Les étudiants seront formés en classe sur, entre autres sujets, les méthodologies d'analyse de risque MEHARI ET OCTAVE et, en complément à cette formation théorique, ils conduiront sur le terrain, en équipe de 3 ou 5 étudiants, une activité authentique qui se rapproche le plus des pratiques professionnelles. Ils auront à définir concrètement un cadre de gestion des risques en sécurité de l'information d'une PME. Travaux individuels \[1\]\[2\] ------------------------------ Les sujets des travaux seront disponibles aux séances 2 et 7 et les dates de remise des rapports seront indiquées, à chaque fois, dans l'énoncé. Les travaux à faire individuellement visent à évaluer l'assimilation des concepts et méthodes vus en cours. D'amples explications seront données en classe. Liste des sujets des travaux individuels (Liste non-exhaustive) 1)Modèle d'aide à la décision en sécurité informatique basé sur des métriques 2)Anonymat, vie privée et confidentialité (Anonymat et identité sur internet versus droit à la vie privée) 3)Sécurité informatique et Internet des objets 4)Aléa moral et risque en sécurité informatique 5)Géolocalisation et vie privée 6)Audits (externes/ internes) et gestion des risques en sécurité informatique 7)Solutions infonuagiques et sécurité des données 8)Crypto-monnaie et cyber-risque 9)«Habituation to Security warnings» Manuels et notes de cours ========================= Aucun manuel n'est obligatoire pour ce cours. Toutefois, -les normes ISO 17799, ISO 27001 et ISO 27005, -les guides COBIT 5 for Information Security et CSX Cyber-Security Fundamentals Study Guide, -les acétates du cours ainsi que les lectures complémentaires et certains ouvrages recommandés seront utilisés. Pour plus de détails, consultez la page Web du cours à l'adresse : https://moodle.uqam.ca. Calendrier détaillé du cours ============================ Semaine 1,2 ----------- Chapitre 1 : Sensibilisation à la sécurité informationnelle - Présentations du plan de cours - Introduction : sécurité informatique/informationnelle, vocabulaire - Concepts de base en sécurité, - Objectifs de sécurité, - Politique de sécurité. Semaine 3 --------- Chapitre 2: Sécurité informationnelle et l'organisation - parties prenantes, - rôles et responsabilités, - équipe de sécurité, - impartition. Semaine 4,5 ----------- Chapitre 3: Gestion des risques - Inventaire et classification des ressources informationnelles - Interconnexion de systèmes et partage d'information - Sensibilité des informations Semaine 6,7,8 ------------- Chapitre 3: Gestion des risques (suite) Évaluation, gestion et mitigation des risques - présentation de la norme ISO 27001 - présentation de la norme ISO 27005 Méthodologies d'analyse de risque \[OCTAVE, MEHARI\] Semaine 9 --------- Chapitre 4: Lois,règlements,contrats Semaine 10,11 ------------- Chapitre 5: Gestion des contrôles - Besoins d'affaire du contrôle d'accès - Gestion des identités et des accès (matrice des profils d'accès) par type de ressources) - Types : infrastructure, systèmes d'exploitation, applications et données. - Responsabilités des utilisateurs Semaine 12,13 ------------- Chapitre 6: Contrôles cryptographiques - Introduction aux mécanismes sécuritaires modernes : chiffrage symétriques et asymétriques ; fonctions de hachage ; protocoles sécuritaires ; authentification - Installation, configuration des contrôles - Planification et acceptation des systèmes Semaine 14,15 ------------- Chapitre 7: Application aux services de commerce électronique - Chaînes de blocs et monnaies électroniques - Mécanismes de paiement - Contrats