INF8700 - Sécurité des systèmes, données et contrats

Introduire les étudiants à la sécurité des systèmes informatiques et des données. Sensibiliser les étudiants aux risques et menaces. Introduire les techniques permettant d’assurer la sécurité des processus. Introduire les méthodes de mitigation du risque et de gestion de la sécurité.

Sommaire du contenu

Sensibilisation à la sécurité informationnelle: concepts de base en sécurité:informationnelle, Objectifs de sécurité, lois et règlements. La sécurité informationnelle et l’organisation: parties prenantes, rôles et responsabilités, équipe de sécurité, impartition.

Gestion des actifs: inventaire et classification des ressources informationnelles. Interconnexion de systèmes et partage d’information. Sensibilité des informations.

Évaluation, gestion et mitigation des risques.

Gestion des contrôles: besoins d’affaire du contrôle d’accès, gestion des identités et des accès: à l’infrastructure, aux systèmes d’exploitation, aux applications et aux données. Responsabilités des utilisateurs.

Contrôles cryptographiques: introduction aux mécanismes sécuritaires modernes: chiffrage symétriques et asymétriques; fonctions de hachage; protocoles sécuritaires; authentification. Installation, configuration des contrôles. Planification et acceptation des systèmes.

Application aux services de commerce électronique. Chaînes de blocs et monnaies électroniques. Mécanismes de paiement. Contrats.

Objectifs du cours

Au terme du cours, l’étudiant sera à mesure de :

définir les objectifs de sécurité, les exprimer en termes de besoins spécifiques (confidentialité, intégrité, disponibilité, etc.);
faire un inventaire des éléments du patrimoine informationnel d’une organisation;
évaluer les scénarios de risque (identifier les éléments à risque, les aléas et vulnérabilités susceptibles de causer des dommages, d’en fixer les priorités carte d’exposition);
préconiser une stratégie de traitement du risque et des mesures de protection des actifs personnels /d’entreprise;
maitriser les notions nécessaires à la compréhension des contrats et des propriétés intelligents;
comprendre les rudiments/bases sur les développements récents de la loi canadienne sur la cyber-sécurité.

Contenu du cours

Structure du cours et des séances

Le cours est structuré autour de différents chapitres :

CH1 : Sensibilisation à la sécurité informationnelle (séances 1,2)
CH2 : Sécurité informationnelle et l’organisation: gouvernance (séance 3,4)
CH3 : Gestion des risques (séances 5,6,7,8) - Normes ISO 27001 et 27005 - Méthodologie MEHARI
CH4 : Lois, règlements, contrats (séance 9)
CH5 : Gestion des contrôles (séances 10,11)
CH6 : La cryptographie (séance 12)
CH7 : Applications (séances 13)

La séance 14 sera une séance de révisions et la séance 15 dédiée à l’examen final.

Modalités d’évaluation

Travail de session (en groupe de 3-5)
Travaux individuels [1] [2] (15 % chacun)
Examen final (20%) - le 17 août 2021

TRAVAIL DE SESSION

Les étudiants seront formés en classe sur, entre autres sujets, les méthodologies d’analyse de risque MEHARI et, en complément à cette formation théorique, ils conduiront en équipe de 3 à 5 étudiants, une activité authentique qui se rapproche le plus des pratiques professionnelles. Ils auront à réaliser une analyse concrète des risques de sécurité informatique en entreprise.

TRAVAUX INDIVIDUELS [1] [2]

Les sujets des travaux seront disponibles aux séances 1 et 4 et les dates de remise des rapports seront indiquées, à chaque fois, dans l’énoncé. Les travaux à faire individuellement visent à évaluer l’assimilation des concepts et méthodes vus en cours. D’amples explications seront données en classe.

LISTE DE SUJETS DES TRAVAUX INDIVIDUELS (LISTE NON-EXHAUSTIVE)

Les transformations numériques des organisations à l’aire de la covid-19 : État des lieux
Les cybermenaces et les incidents de sécurité émergents en temps de pandémie
Anonymat, vie privée et confidentialité (Anonymat et identité sur internet versus droit à la vie privée)
Sécurité informatique et Internet des objets
Aléa moral et risque en sécurité informatique
Enjeux éthiques de la géolocalisation : entre innovations technologiques, vie privée et gouvernance
Solutions infonuagiques et sécurité des données
Crypto-monnaie et cyber-risque

Manuels et notes de cours

Aucun manuel n’est obligatoire pour ce cours. Toutefois, - les normes ISO 17799, ISO 27001 et ISO 27005, - les guides COBIT 5 for Information Security et CSX Cyber-Security Fundamentals Study Guide, - les acétates du cours ainsi que les lectures complémentaires et certains ouvrages recommandés seront utilisés. Pour plus de détails, consultez la page Web du cours à l’adresse : https://moodle.uqam.ca.

Il s’agira de séances de cours, en direct, sur Zoom. Ces séances seront enregistrées et rendues disponibles sur le moodle, via Panopto, pour ceux qui n’auront pu assister en direct au cours. J’attire toutefois votre attention sur l’importance pour le dynamisme du cours d’assister aux séances en direct et d’y intervenir en faisant part de vos questions, commentaires, incompréhension, expériences, etc. Nous avons tous à gagner à un cours dynamique malgré la tenue à distance de ces séances.

Participation à un cours ou à une activité d’enseignement en ligne

Lors d’un cours ou d’une activité d’enseignement en ligne, le personnel enseignant peut décider, selon le cas, de procéder à l’enregistrement audio ou audiovisuel du cours ou de l’activité d’enseignement. Le personnel enseignant peut partager l’enregistrement uniquement à son groupe-cours.
En cas d’enregistrement, l’étudiante, l’étudiant sera informé au début de la séance.
Il est de la responsabilité de l’étudiante, de l’étudiant de désactiver son microphone et/ou sa caméra s’il ne souhaite pas être enregistré.
À défaut de désactiver son microphone et/ou sa caméra, l’étudiante, l’étudiant consent à l’enregistrement audio ou audiovisuel, à la conservation, à la rediffusion et à l’utilisation de l’enregistrement de son nom, de sa voix et de son image dans le cadre du cours ou de l’activité en ligne. L’étudiante, l’étudiant reconnaît ne détenir aucun droit dans l’enregistrement.
Sauf avec l’autorisation expresse écrite du personnel enseignant, il est interdit de reproduire, d’enregistrer, de publier, de diffuser, de communiquer ou de partager, par quelque moyen que ce soit, tout ou partie de l’enregistrement d’un cours ou d’une activité d’enseignement en ligne de même que tout matériel pédagogique s’y rattachant.
Une étudiante, un étudiant qui contrevient à ce qui précède s’expose aux sanctions prévues dans les règlements et politiques de l’UQAM ou à tout recours légal, notamment en vertu de la Loi sur le droit d’auteur.

Politique d’absence aux examens

Reprise d’examen

L’autorisation de reprendre un examen en cas d’absence est de caractère exceptionnel. Pour obtenir un tel privilège, l’étudiant-e doit avoir des motifs sérieux et bien justifiés.

Conflits d’horaire

Il est de la responsabilité de l’étudiant.e de ne pas s’inscrire à des cours qui sont en conflit d’horaire, tant en ce qui concerne les séances de cours ou d’exercices que les examens. De tels conflits d’horaire ne constituent pas un motif justifiant une demande d’examen de reprise.

Procédure

L’étudiant.e absent.e lors d’un examen doit, dans les cinq (5) jours ouvrables suivant la date de l’examen, présenter une demande de reprise en utilisant le formulaire prévu, disponible sur http://info.uqam.ca/repriseexamen/.

Pièces justificatives

Dans le cas d’une absence pour raison médicale, l’étudiant.e doit joindre un certificat médical original et signé par le médecin décrivant la raison de l’absence à l’examen. Les dates d’invalidité doivent être clairement indiquées sur le certificat. Une vérification de la validité du certificat pourrait être faite. Dans le cas d’une absence pour une raison non médicale, l’étudiant.e doit fournir les documents originaux expliquant et justifiant l’absence à l’examen ; par exemple, lettre de la Cour en cas de participation à un jury, copie du certificat de décès en cas de décès d’un proche, etc. Toute demande incomplète sera refusée. Si la direction du programme d’études de l’étudiant.e constate qu’un.e étudiant.e a un comportement récurrent d’absence aux examens, l’étudiant.e peut se voir refuser une reprise d’examen.

Pour plus d’informations

Consulter la page http://info.uqam.ca/politiques.

Règlement numéro 18 sur les infractions de nature académique (extraits)

Tout acte de plagiat, fraude, copiage, tricherie ou falsification de document commis par une étudiante, un étudiant, de même que toute participation à ces actes ou tentative de les commettre, à l’occasion d’un examen ou d’un travail faisant l’objet d’une évaluation ou dans toute autre circonstance, constituent une infraction au sens de ce règlement.

La liste non limitative des infractions est définie comme suit :

la substitution de personnes;
l’utilisation totale ou partielle du texte d’autrui en la faisant passer pour sien ou sans indication de référence;
la transmission d’un travail pour fins d’évaluatiion alors qu’il constitue essentiellement un travail qui a déjà été transmis pour fins d’évaluation académique à l’Université ou dans une autre institution d’enseignement, sauf avec l’accord préalable de l’enseignante, l’enseignant;
l’obtention par vol, manoeuvre ou corruption de questions ou de réponses d’examen ou de tout autre document ou matériel non autorisés, ou encore d’une évaluation non méritée;
la possession ou l’utilisation, avant ou pendant un examen, de tout document non autorisé;
l’utilisation pendant un examen de la copie d’examen d’une autre personne;
l’obtention de toute aide non autorisée, qu’elle soit collective ou individuelle;
la falsification d’un document, notamment d’un document transmis par l’Université ou d’un document de l’Université transmis ou non à une tierce persone, quelles que soient les circonstances;
la falsification de données de recherche dans un travail, notamment une thèse, un mémoire, un mémoire-création, un rapport de stage ou un rapport de recherche;
Les sanctions reliées à ces infrations sont précisées à l’article 3 du Règlement no 18.

Les règlements concernant le plagiat seront strictement appliqués. Pour plus de renseignements :

Politique no 16 visant à prévenir et combattre le sexisme et les violences à caractère sexuel

Les violences à caractère sexuel se définissent comme étant des comportements, propos et attitudes à caractère sexuel non consentis ou non désirés, avec ou sans contact physique, incluant ceux exercés ou exprimés par un moyen technologique, tels les médias sociaux ou autres médias numériques. Les violences à caractère sexuel peuvent se manifester par un geste unique ou s’inscrire dans un continuum de manifestations et peuvent comprendre la manipulation, l’intimidation, le chantage, la menace implicite ou explicite, la contrainte ou l’usage de force.

Les violences à caractère sexuel incluent, notamment :

la production ou la diffusion d’images ou de vidéos sexuelles explicites et dégradantes, sans motif pédagogique, de recherche, de création ou d’autres fins publiques légitimes;
les avances verbales ou propositions insistantes à caractère sexuel non désirées;
la manifestation abusive et non désirée d’intérêt amoureux ou sexuel;
les commentaires, les allusions, les plaisanteries, les interpellations ou les insultes à caractère sexuel, devant ou en l’absence de la personne visée;
les actes de voyeurisme ou d’exhibitionnisme;
le (cyber) harcèlement sexuel;
la production, la possession ou la diffusion d’images ou de vidéos sexuelles d’une personne sans son consentement;
les avances non verbales, telles que les avances physiques, les attouchements, les frôlements, les pincements, les baisers non désirés;
l’agression sexuelle ou la menace d’agression sexuelle;
l’imposition d’une intimité sexuelle non voulue;
les promesses de récompense ou les menaces de représailles, implicites ou explicites, liées à la satisfaction ou à la non-satisfaction d’une demande à caractère sexuel.

Pour consulter la politique no 16

https://instances.uqam.ca/wp-content/uploads/sites/47/2018/05/Politique_no_16.pdf

Pour obtenir de l’aide, faire une divulgation ou une plainte

Bureau d’intervention et de prévention en matière de harcèlement
514-987-3000, poste 0886

Pour obtenir la liste des services offerts à l’UQAM et à l’extérieur de l’UQAM

https://harcelement.uqam.ca

Soutien psychologique (Services à la vie étudiante)

514-987-3185
Local DS-2110

CALACS Trêve pour Elles – point de services UQAM

514 987-0348
calacs@uqam.ca
http://trevepourelles.org

Service de la prévention et de la sécurité

514-987-3131

Politique no 44 d’accueil et de soutien des étudiant.e.s en situation de handicap

Politique

Par sa politique, l’Université reconnait, en toute égalité des chances, sans discrimination ni privilège, aux étudiant.e.s en situation de handicap, le droit de bénéficier de l’ensemble des ressources du campus et de la communauté universitaire, afin d’assurer la réussite de leurs projets d’études, et ce, dans les meilleures conditions possibles. L’exercice de ce droit est, par ailleurs, tributaire du cadre réglementaire régissant l’ensemble des activités de l’Université.

Responsabilité de l’étudiant.e

Il incombe aux étudiant.e.s en situation de handicap de rencontrer les intervenant.e.s (conseiller.ère.s à l’accueil et à l’intégration du Service d’accueil et de soutien des étudiant.e.s en situation de handicap, professeur.e.s, chargé.e.s de cours, direction de programmes, associations étudiantes concernées, etc.) qui pourront faciliter leur intégration à la communauté universitaire ou les assister et les soutenir dans la résolution de problèmes particuliers en lien avec les limitations entraînées par leur déficience.

Service d’accueil et de soutien aux étudiant.e.s en situation de handicap

Le Service d’accueil et de soutien aux étudiant.e.s en situation de handicap (SASESH) offre des mesures d’aménagement dont peuvent bénéficier certains étudiant.e.s. Il est fortement recommandé aux de se prévaloir de ces services afin de réussir ses études, sans discrimination. Pour plus d’information, visiter le site de ce service : https://vie-etudiante.uqam.ca/etudiant-situation-handicap/nouvelles-ressources.html et celui de la politique institutionnelle d’accueil et de soutien aux étudiant.e.s en situation de handicap : https://instances.uqam.ca/wp-content/uploads/sites/47/2018/05/Politique_no_44.pdf

Il est important d’informer le SASESH de votre situation le plus tôt possible :

En personne : 1290, rue Saint-Denis, Pavillon Saint-Denis, local AB-2300
Par téléphone : 514 987-3148
Par courriel : situation.handicap@uqam.ca
En ligne : https://vie-etudiante.uqam.ca/