Discuter:Sécurité du système d'information

Un article de Wikipédia, l'encyclopédie libre.

WikiProjet Informatique
 Sécurité du système d'information fait partie du projet Informatique, qui a pour but d'enrichir le contenu de Wikipédia sur les sujets liés à l'informatique. Si vous voulez participer, vous pouvez modifier cet article ou visiter la page du projet où vous pourrez vous joindre au projet et consulter la liste des tâches et des objectifs. Le portail informatique pourrait aussi vous intéresser.
B Cet article a été classé comme d'Avancement B selon le Tableau d'évaluation du projet. (Voir les statistiques)
Élevée Cet article a été classé comme d'Importance élevée selon le Tableau d'évaluation du projet. (Contester?)
WikiProjet Sécurité informatique
 Sécurité du système d'information fait partie du projet sur la sécurité informatique, qui a pour but d'enrichir le contenu de Wikipédia sur les sujets liés à la sécurité informatique.
Si vous voulez participer, vous pouvez modifier cet article ou visiter la page du projet, où vous pourrez vous joindre au projet et consulter la liste des tâches et des objectifs. Le portail sur la sécurité informatique pourrait aussi vous intéresser.
B Cet article a été classé comme d'Avancement B selon le Tableau d'évaluation du projet.
Maximum Cet article a été classé comme d'Importance maximum selon le Tableau d'évaluation du projet. (Contester?)

Sommaire

[modifier] Controverses

Cela serait bien de ne pas mettre un truc dans ls controverses sans expliquer pourquoi. J'ai viré une ligne qui était à la fois fausse (Sender-ID n'a rien à voir avec les listes noires) et pas expliquée (pourquoi Sender-ID est-il controversé ? Et qu'est-ce que c'était que ces "pseudo-standards" ?) --Bortzmeyer 23 mai 2006 à 12:19 (CEST)

La section "Controverses" a été supprimée depuis. --(Tieno) 62.160.59.37 14 septembre 2006 à 14:46 (CEST)

[modifier] Problème de notice

La notice en bas de page doit être supprimée. Pour cela, il va falloir supprimer certaines parties de l'article. --Tieno 23 jan 2005 à 18:57 (CET)

J'ai remis le paragraphe sur "Mise en place d'une politique de sécurité", ainsi que l'introduction. Il serait bon de les reecrire, afin de ne plus avoir de probleme de copyright. --Tieno 24 jan 2005 à 00:17 (CET)

[modifier] Pages utiles pour la rédaction du nouvel article

Merci cette fois de ne pas faire de copier / coller direct :)

--Tieno 23 jan 2005 à 20:09 (CET)

[modifier] Article de michel Hoffman

L'article est très bien, mais l'adresse du site + la signature en plein milieu de l'article ne font pas tres encyclopédiques. Il n'y a pas moyen de bouger la référence et de supprimer la signature ? Aris 17 mai 2005 à 10:54 (CEST)

Peux-tu donner le nom exact de l'article ? --Tieno 17 mai 2005 à 12:42 (CEST)
Au temps pour moi, tu ne parlais pas d'un article, mais d'un paragraphe de l'article "Sécurité informatique". Il suffisait donc de supprimer l'adresse du site ainsi que la signature du contributeur. Puis d'informer ce contributeur sur sa page de discussion qu'il n'est pas souhaitable de signer dans un article. --Tieno 17 mai 2005 à 12:47 (CEST)

[modifier] définition de la sécurité informatique

La définition de la sécurité informatique est ... pauvre. Je travaille sur une autre et je vais la remplacer lorsque ce sera une idée sur papier. Salsamontreal 7 octobre 2005 à 07:21 (CEST)

Aucun problème. Mais rappelle-toi que l'introduction doit rester courte (cf Wikipédia:Conventions de style). Tu peux donc par exemple rajouter une définition plus complète dans un premier chapitre. --Tieno 7 octobre 2005 à 10:07 (CEST)

[modifier] Quelques améliorations !?

Bonjour,

A priori, en sécurité des systèmes d'information, il existe trois propriétés de sécurités (voir ITSEC et le livre orange) :

  • confidentialité : prévention d'une divulgation non autorisée de l'information
  • intégrité : prévention d'une modification non autorisée de l'information
  • disponibilité : prévention d'un déni non autorisé d'accès à l'information ou à des ressources


Il existe deux classes de gestion de la sécurité selon le livre orange (en dehors de la gestion administrative donc non technique) :

  • la gestion d'accès par mandat (ou obligatoire de l'anglais mandatory) qui gère l'accès à l'information
  • la gestion d'accès dicrétionnaire (met en évidence le besoin d'en connaître) qui gère la diffusion des droits


La problématique de la sécurité est une problématique croissante :

  • pas de partage (isolation complète), sécurité totale
  • partage des données, introduction du problème de suspicion (problèmes de la diffusion des droits d'accès, problèmes de la diffusion de l'information).
  • partage des programmes, introduction du problème de la violation du règlement par un Cheval de Troie.


Concernant la gestion de la sécurité, il existe deux types d'approches :

  • une gestion des données ou de la diffusion des droits statiques,
  • ou un contrôle dynamique des flux d'informations et de diffusion de droits pour contre-carrer les problèmes de canaux cachés (Chevaux de Troie bruités ou non) ; par exemple les inputs bloquants.


Pour implémenter une politique de sécurité, il faut stipuler qu'un système informatique ne comprend que des expressions mathématiques. Pour approcher ce besoin formel, il existe des modèles de sécurité :

  • Gestion par mandat : Bell & Lapadula, Biba, Dion, Jajodia & Sandhu, modèle de non déduction (gestion dynamique)
  • Gestion discrétionnaire : Harrison & Ruzzo & Ullman, Take-Grant, Acten et Spm (gestion dynamique)


Par ailleurs, la sécurité doit tenir compte du fait qu'un ordinateur étant constitué de différentes strates :

  • Matériel
  • Système d'exploitation
  • Système de gestion de bases de données
  • Applications


L'une des problématique majeure étant que si un fichier stocké sur disque a des accès limités (niveau système d'exploitation), si la mémoire (dans laquelle il est chargé à un moment durant son exploitation) n'est pas protégée, il peut y avoir violation de la politique de sécurité (niveau matériel).


Le livre orange = Department Of Defense. Trusted Computer Systems Evaluation Criteria (TCSEC). Technical report, CSC-STD-001-83, 1983

ITSEC = European Economic Community. Information Technology Security Evaluation Criteria (ITSEC). Technical Report, 1990.

Ticho 20 septembre 2006 à 18:14 (CEST)

[modifier] Actifs / Données

Les remarques ci-dessus me paraissent très pertinentes. J'ajouterais qu'une évaluation préalable des actifs sensibles est nécessaire (sécurité des données), en particulier les données non structurées (les documents,... c'est-à-dire la partie explicite des connaissances de l'entreprise, ou capital intellectuel). Ceci est mentionné dans la norme ISO 13335. A noter aussi les tavaux de la société américaine MITRE pour le Département de la Défense en 1998, et l'étude des menaces et des vulnérabilités. Il est indispensable de développer les notions de tiers de confiance et de profil de protection. Pautard 24 septembre 2006 à 00:03 (CEST)

[modifier] Authentification forte, Identité

Bonjour,

Je souhaite dévellopé ce domaine de la sécurité informatique et apporter mon expérience. Peut être avez vous des suggestions. Je suis nouveau sur Wiki. J'éspère que je ne fais pas de "bêtises.

Sylvain Maret


QQ news ! J'ai bien avancer mon article. Avez vous des commentaires. Il reste encore du travail. Need un peu d'aide. Car je suis convaincu que l'authentification forte et la gestion de identité numérique est une révolution technologique de demain. Quand pensez vous.

A+

Sylvain Maret

[modifier] Création d'article

L'article Politique de sécurité de l'information est créé. Lâchez-vous :) La Cigale 7 février 2007 à 14:26 (CET)

Attention a ne pas faire redondance avec Politique de sécurité des systèmes d'information et Politique de sécurité informatique ! --Tieno 7 février 2007 à 19:17 (CET)

Oui, j'en fait mention sur Discussion Projet:Sécurité informatique‎. La Cigale 8 février 2007 à 11:12 (CET)