Concept

Sécurité des systèmes d'information

Concepts associés (103)

Graph Chatbot

Chattez avec Graph Search

Posez n’importe quelle question sur les cours, conférences, exercices, recherches, actualités, etc. de l’EPFL ou essayez les exemples de questions ci-dessous.

AVERTISSEMENT : Le chatbot Graph n'est pas programmé pour fournir des réponses explicites ou catégoriques à vos questions. Il transforme plutôt vos questions en demandes API qui sont distribuées aux différents services informatiques officiellement administrés par l'EPFL. Son but est uniquement de collecter et de recommander des références pertinentes à des contenus que vous pouvez explorer pour vous aider à répondre à vos questions.

Connectez-vous pour utiliser Chat avec Graph Search

Authentification défi-réponse

En sécurité informatique, l'authentification défi-réponse (aussi appelé authentification challenge-réponse ; en anglais, Challenge-response authentication) est une famille de protocoles dans lesquels une partie présente une question (le défi) et une autre partie doit fournir une réponse valide (la réponse) pour être authentifiée. L'exemple le plus simple d'un protocole défi-réponse est l'authentification par mot de passe, où le défi est de demander le mot de passe et la réponse valide est le mot de passe correct.

Critères communs

Les critères communs (CC) sont un ensemble de normes (ISO 15408) internationalement reconnu dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. Également dénommés Common Criteria, ce référentiel est né d'un partenariat entre le Canada, les États-Unis et l'Europe. Grâce au cadre offert, les utilisateurs de technologies de l’information vont pouvoir utiliser des profils de protection pour spécifier les exigences fonctionnelles de sécurité attendues et les évaluateurs pourront vérifier que les produits sont bien conformes au niveau d’assurance requis.

Attaque par canal auxiliaire

Dans le domaine de la sécurité informatique, une attaque par canal auxiliaire ( ou SCA) est une attaque informatique qui, sans remettre en cause la robustesse théorique des méthodes et procédures de sécurité, recherche et exploite des failles dans leur implémentation, logicielle ou matérielle. En effet, une sécurité « mathématique » ne garantit pas forcément une sécurité lors de l'utilisation en « pratique ». Une attaque est considérée comme utile dès lors qu'elle présente des performances supérieures à une attaque par force brute.

Contrôle d'accès discrétionnaire

Le Contrôle d'accès discrétionnaire (ou DAC pour Discretionary Access Control), est un genre de contrôle d'accès, défini par le Trusted Computer System Evaluation Criteria (TCSEC) comme « des moyens de limiter l'accès aux objets basés sur l'identité des sujets ou des groupes auxquels ils appartiennent. Le contrôle est discrétionnaire car un sujet avec une certaine autorisation d'accès est capable de transmettre cette permission (peut-être indirectement) à n'importe quel autre sujet (sauf restriction du contrôle d'accès obligatoire).

Divulgation complète

En sécurité informatique, la divulgation complète (en anglais, full disclosure) est la pratique consistant à publier les vulnérabilités des logiciels jusqu'alors inconnues à tous le plus tôt possible, ce qui rend les données accessibles à tous sans restrictions. Des chercheurs bien intentionnés et des pirates informatiques découvrent souvent des défauts dans des logiciels. Ces défauts peuvent être exploités par les pirates informatiques pour provoquer des comportements anormaux des logiciels et ainsi nuire aux utilisateurs des logiciels.

Proactive cyber defence

Proactive cyber defence, means acting in anticipation to oppose an attack through cyber and cognitive domains. Proactive cyber defence can be understood as options between offensive and defensive measures. It includes interdicting, disrupting or deterring an attack or a threat's preparation to attack, either pre-emptively or in self-defence. Proactive cyber defence differs from active defence, in that the former is pre-emptive (does not waiting for an attack to occur).

Scanner de vulnérabilité

En sécurité informatique, un scanner de vulnérabilités est un programme conçu pour identifier des vulnérabilités dans une application, un système d'exploitation ou un réseau. Les scanners de vulnérabilités peuvent être utilisés dans des objectifs licites ou illicites : Objectifs licites : les experts en sécurité informatique ou les entreprises utilisent les scanners de vulnérabilités pour trouver les failles de sécurité des systèmes informatiques et des systèmes de communications de leurs entreprises dans le but de les corriger avant que les pirates informatiques ne les exploitent ; Objectifs illicites : les pirates informatiques utilisent les mêmes outils pour trouver les failles dans les systèmes des entreprises pour les exploiter à leur avantage.

Security information and event management

Le Security Information and Event Management (SIEM, « systèmes de gestion des événements et des informations de sécurité »), est un domaine de la sécurité informatique, au sein duquel les produits et services logiciels combinent la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM). Ils fournissent ainsi une analyse en temps réel des alertes de sécurité générées par les applications et le matériel réseau. Les SIEM sont vendus sous forme logicielle, matérielle ou sous forme de services gérés.

Computer Fraud and Abuse Act

La Computer Fraud and Abuse Act (CFAA) est une loi du gouvernement fédéral américain mise en vigueur en 1986 qui porte sur la sécurité des systèmes d'information. Il s'agit d'un amendement à une loi sur les fraudes informatiques : U. S. C., Title 18, Part I, Chapter 47, § 1030, qui fait maintenant partie du . Cette loi interdit tout accès à un ordinateur sans autorisation préalable ou tout accès qui excède les autorisations.

SELinux

Security-Enhanced Linux, abrégé SELinux, est un Linux security module (LSM), qui permet de définir une politique de contrôle d'accès obligatoire aux éléments d'un système issu de Linux. Son architecture dissocie l'application de la politique d'accès et sa définition. Il permet notamment de classer les applications d'un système en différents groupes, avec des niveaux d'accès plus fins. Il permet aussi d'attribuer un niveau de confidentialité pour l'accès à des objets systèmes, comme des descripteurs de fichiers, selon un modèle de sécurité multiniveau (MLS pour Multi level Security).