Documente Academic
Documente Profesional
Documente Cultură
1.
2.
f) [1 point] Quels sont les trois facteurs qui influencent le calcul de la probabilit d'une occurrence de menace
dlibre.
Capacit, motivation et opportunit.
g) [2 point] La Caisse Populaire Desmarais offre des services bancaires par Internet ses clients. Auparavant, ce
service permettait seulement de consulter les transactions du compte et de payer des factures de services publics.
la demande de ses clients, la Caisse a ajout la possibilit deffectuer des transferts interbancaires sur des
comptes de particulier via leur interface Internet. Si on considre la menace que des malfaiteurs puissent frauder
la Caisse en se servant du service Internet, quel facteur de l'analyse de risque est modifi par ce changement de
situation? Justifier votre rponse.
SOLUTIONS EXAMEN FINAL INF4420 AUTOMNE 2005
1 de 4
Lopportunit, car avant il ntait tout simplement pas possible de frauder la banque avec le service Internet
(tout au plus les malfaiteurs aurait pu payer des factures pour les clients). Le nouveau service donne accs,
donc lopportunit, aux malfaiteurs dessayer de faire des transferts vers leurs comptes.
h) [2 point] La Caisse Populaire Desmarais dcide plus tard d'augmenter le montant de transfert permis entre ses
les abonns de 1000 10 000$. Quel facteur de l'analyse de risque est modifi par ce changement de situation ?
Justifier votre rponse.
Deux rponses sont possibles :
La motivation, car maintenant les malfaiteurs peuvent tirer plus de profit de lexcution avec succs de cette
menace.
Limpact, car la banque aura a dbourse une somme plus lev pour compenser les sommes perdues par ses
clients.
Ceci constitue un exemple o un changement de la situation a un impact double sur le risque, car la motivation
et limpact sont souvent relis.
3.
2 de 4
Le serveur passerelle SMTP sert recevoir et envoyer des courriels de et vers l'Internet. Il doit donc tre
accessible et avoir accs l'Internet. Pour viter qu'il soit compromis et utilis pour envoyer du SPAM (par
exemple), il n'est pas plac l'extrieur mais plutt dans la DMZ. Le serveur IMAP ou POP3 contient les boites
de courriels, auxquelles les employs accdent partir de leurs stations de travail. Il n'est pas ncessaire que
ce serveur ait accs direct l'Internet car il peut acheminer les courriels sortants et recevoir les courriels
entrant via le serveur passerelle SMTP. Il est donc dans le rseau interne.
4.
5.
Pour chaque question, indiquer vrai ou faux et justifier succinctement votre rponse.
a) [2 points] Linstallation dun VPN ncessite de linstallation dun filage ddi et indpendant entre les sous
rseaux et/ou ordinateurs quil relie.
FAUX. Lutilisation du tunnelage et de la cryptographie permet de protger la confidentialit et lintgrit des
donnes transmises de lun lautre des machines relies, mme travers un lien non scuris tel que lInternet
ou un lien sans fil.
b) [2 points] On peut saturer de requtes un serveur mme s'il est protg par un coupe-feu.
VRAI. En gnral les requtes gnres dans une attaque de dni de service ne peuvent pas tre distingus de
requtes lgitimes et donc un coupe-feu ne peut pas les arrter. Note : Certains lectros de rseaux ("network
appliances") peuvent parer certaines attaques de dni de service par saturation, mais ce ne sont pas des
fonctions de coupe-feu comme tel.
c) [2 points] LOrdre des ingnieurs du Qubec (OIQ) sassure que tous les professionnels oeuvrant dans le
domaine de la scurit informatique soient comptents dans la matire.
FAUX. LOIQ na juridiction que sur leurs membres. Quoiquil serait possible pour lOrdre de radier un
ingnieur informatique ou logiciel inscrit au tableau de lordre ayant fait preuve dincomptence crasse en
matire de scurit informatique, tant donn que lexercice de fonction dans ce domaine nest pas un acte
protg par la loi (le Code des professions) elle ne pourrait pas sanctionner ou poursuivre un professionnel
ayant fait preuve dincomptence si ce nest pas un de ses membres.
3 de 4
d) [2 points] Il est prfrable de ne pas modifier la configuration par dfaut dun systme dexploitation afin de ne
pas rendre par mgarde lordinateur en question plus vulnrable.
FAUX. La configuration par dfaut de la plupart des systmes dexploitation comporte trs souvent des options
inutiles (p.ex. des services rseaux) pour la plupart des utilisations et qui augmente les chances que lordinateur
soit vulnrable.
e) [2 points] Il possible d'utiliser un coupe-feu peut tre utilis pour scuriser une seule station de travail.
VRAI. Il existe des logiciels coupe-feu spcialiss qui permettent de scuriser les entres/sorties rseau de la
machine sur laquelle ils sont installs. Selon le principe de dfense en profondeur, ceci est dsirable car a
permet que le modle de scurit et les rgles de configuration du logiciel coupe-feu soit finement ajusts la
ralit concrte de la machine sur laquelle il est install.
6.
votre avis, quelle est la chose la plus importante que vous avez appris pendant ce cours ?
4 de 4