temps ou la rupture dans la diffusion des messages.
Balayage (scanning): La technique consiste à envoyer au SI des informations afin de détecter celles qui provoquent une réponse positive. Par suite l'attaquant peut analyser les réponses reçues pour en dégager des informations utiles voire confidentielles ( nom des utilisateurs et profil d'accès )
Abus de Droit
Abus de droit : caractérise le comportement d'un utilisateur bénéficiaire de privilèges systèmes et/ou applicatifs qui les utilise pour des usages excessifs , pouvant conduire à la malveillance .
Usurpation de Droit
Accès illégitimes : Lorsqu'une personne se fait passer occasionnellement pour une autre en usurpant son identité
Déguisement : Désigne le fait qu'une personne se fait passer pour une autre de façon durable et répétée en usurpant son identité, ses privilèges ou les droits d'une personne visée.
Rejeu : Variante du déguisement qui permet à un attaquant de pénétrer un SI en envoyant une séquence de connexion d'un utilisateur légitime et enregistrée à son insu.
Substitution : Sur des réseaux comportant des terminaux distants, l'interception des messages de connexion-déconnexion peut permettre à un attaquant de continuer une session régulièrement ouverte sans que le système ne remarque le changement d'utilisateur.
Faufilement : Cas particulier où une personne non autorisée franchit un contrôle d'accès en même temps qu'une personne autorisée.
Reniement d'actions
Le reniement (ou répudiation) consiste pour une partie prenante à une transaction électronique à nier sa participation à tout ou partie de l'échange d'informations, ou à prétendre avoir reçu des informations différentes (message ou document) de ceux réputés avoir été réalisés dans le cadre du SI.
L'évaluation des risques[modifier | modifier le code]
Tenter de sécuriser un système d'information revient à essayer de se protéger contre les menaces intentionnelles ( voir | Guide des menaces intentionnelles) et d'une manière plus générale contre tous les risques pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite.
Méthodes d'analyse de risque[modifier | modifier le code]
Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les trois principales méthodes d'évaluation disponibles sur le marché français :
la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ;
la méthode MEHARI (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ;
la méthode OCTAVE (Operationally Critical Threa
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment