Cours 4 : Sécuriser les logiciels, les données et les points finaux Bienvenue au cours 4. Comme nous le savons, la plupart des attaques contre les systèmes impliquent l'exploitation de vulnérabilités dans les logiciels qui alimentent le matériel. En outre, les attaquants peuvent exploiter des vulnérabilités dans le matériel sous-jacent, en particulier lorsque ce matériel est protégé contre le vol ou l'accès par une utilisation non autorisée, mais leur véritable cible et toutes les taxes sont les données. C'est pourquoi l'ensemble des logiciels qui alimentent la logique et les processus métier d'une organisation doivent être sécurisés. Comme nous le verrons dans ce chapitre, les logiciels constituent un environnement à plusieurs niveaux. Il part d'un noyau de fonctions fiables et va jusqu'au code mobile et au contenu exécutable. Cela permet et renforce toutes les applications web et l'accès aux données à distance. Les professionnels de la sécurité doivent comprendre que la sécurisation des logiciels couvre deux tâches majeures très différentes, mais étroitement liées. Ils doivent s'assurer que la posture de sécurité de ce logiciel est connue et comprise, et que le logiciel est installé, entretenu et utilisé d'une manière conforme à la posture de sécurité ou qu'il l'améliore au fil du temps. Comme nous l'avons vu dans le chapitre précédent, la posture de sécurité est l'ensemble des risques, des contrôles des vulnérabilités et des risques résiduels liés à un bien ou à un système. Nous résumons la sécurité ou le risque d'utilisation d'un bien et le degré de confiance que l'on peut accorder aux résultats d'un contexte ou d'une situation spécifique. Dans ce cours, nous nous appuierons sur cette base en examinant de plus près la manière dont les données peuvent être la cible d'une attaque et faire partie de l'exploitation d'autres vulnérabilités du système. Nous étudierons ce que les professionnels de la sécurité, en tant que non-programmeurs, peuvent faire pour réduire le risque de telles attaques par entrée malformée. Dans le deuxième cours, nous avons également abordé le concept d'utilisateur non humain en tant que moyen général d'envisager la gestion et la sécurité des dispositifs et des entités logicielles afin de protéger ces entités contre les menaces pesant sur leur intégrité et de protéger l'ensemble du système et les actifs individuels contre les comportements non autorisés de ces utilisateurs non humains. Dans ce chapitre, nous nous appuierons sur ces concepts, en nous plongeant dans les questions et les approches de la sécurité des points finaux. Cours 4 Objectifs pédagogiques Après avoir suivi ce cours, le participant sera capable de :l4.1 - Discuter des systèmes logiciels et de la sécurité des applications. L4.2 - Reconnaître les concepts et les compétences en matière de sécurité des données.l4.3 - Identifier les codes malveillants et les contre-mesures.l4.4 - Évaluer la gestion des appareils mobiles (MDM) et les problèmes de sécurité avec les terminaux mobiles et autonomes. L4.5 - Examiner les attaques et les contre-mesures pour les machines virtuelles.
Sécuriser les logiciels, les données et les points finaux
Ce cours fait partie de praticien certifié en sécurité des systèmes (ISC)² (SSCP)
Enseigné en Anglais
Certains éléments de contenu peuvent ne pas être traduits
Instructeur : (ISC)² Education & Training
4 018 déjà inscrits
Cours
(38 avis)
Expérience recommandée
Compétences que vous acquerrez
- Catégorie : Logiciel de sécurité
Détails à connaître
Ajouter à votre profil LinkedIn
13 quizzes
Cours
(38 avis)
Expérience recommandée
Découvrez comment les employés des entreprises prestigieuses maîtrisent des compétences recherchées
Élaborez votre expertise du sujet
- Apprenez de nouveaux concepts auprès d'experts du secteur
- Acquérez une compréhension de base d'un sujet ou d'un outil
- Développez des compétences professionnelles avec des projets pratiques
- Obtenez un certificat professionnel partageable
Obtenez un certificat professionnel
Ajoutez cette qualification à votre profil LinkedIn ou à votre CV
Partagez-le sur les réseaux sociaux et dans votre évaluation de performance
Il y a 6 modules dans ce cours
Les logiciels représentent la plus grande surface d'attaque des systèmes d'information de presque toutes les organisations, et leur création est souvent mal gérée.la grande majorité des vulnérabilités des logiciels sont accidentelles mais récurrentes.il s'agit de répétitions d'erreurs classiques de conception et de programmation, commises encore et encore par chaque nouvelle génération de programmeurs.et lorsqu'ils n'exploitent pas ce type de vulnérabilités logicielles, les attaquants profitent de logiciels mal entretenus, souvent sous-protégés, et exploitent ainsi d'autres vulnérabilités opérationnelles et procédurales au fur et à mesure qu'ils se déplacent le long de leur vecteur d'attaque jusqu'aux cibles souhaitées.nous n'allons pas nous plonger dans les faiblesses courantes des logiciels, ni dans la manière dont les concepteurs et les programmeurs les introduisent.vous n'aurez pas besoin d'apprendre à programmer ou à lire du code pour aider votre organisation à améliorer considérablement la sécurité de ses logiciels ou des chaînes d'approvisionnement qui amènent ces logiciels aux utilisateurs finaux de l'organisation.
Inclus
7 vidéos2 lectures2 quizzes
Que vous utilisiez la triade de la CIA, CIANA+PS ou tout autre ensemble de caractéristiques de sécurité comme cadre d'analyse, vous constaterez qu'elles répondent toutes aux critères du test de résistance lorsqu'il s'agit de bases de données et d'entrepôts de données. Il s'agit de la partie "données au repos" du modèle à trois états des données ; les applications et les points de terminaison constituent l'environnement dans lequel nous considérons les données en cours d'utilisation, et les réseaux et systèmes de communication sont ceux dans lesquels les données sont en mouvement, bien entendu.les données commerciales et organisationnelles, les données personnelles telles que les informations d'identification personnelle (PII) ou les informations de santé protégées (PHI), et les métadonnées relatives à toutes ces données sont collectées, rassemblées, reliées entre elles et stockées dans des bases de données et des entrepôts de données, que ce soit sur site, dans l'informatique dématérialisée ou dans des architectures hybrides.ce sont les informations contenues dans ces architectures qui nécessitent le bon ensemble de protections et de contrôles, si l'organisation veut satisfaire ou dépasser ses besoins en matière de sécurité de l'information, de protection des données et de sécurité des systèmes.de nombreuses formes d'attaques sur les données ont lieu chaque jour. Les rançongiciels cryptent les données de la cible et exigent un paiement pour fournir la clé et l'outil de décryptage ; il s'agit d'une extorsion, un crime partout dans le monde.d'autres attaques tentent de corrompre des données existantes ou d'introduire de fausses données dans le système à des fins de sabotage ou de fraude.copier des données sans les perturber est un vol, et ces violations de données, ou attaques par exfiltration de données, peuvent cibler des données contenues dans de simples fichiers, tels que des listes mal protégées de noms d'utilisateurs et d'informations d'identification connexes, des fichiers journaux de systèmes ou des données d'applications dans des documents, des feuilles de calcul et d'autres fichiers. Les attaques qui se traduisent par des millions de copies volées d'enregistrements de clients, en revanche, ont plus que probablement visé des bases de données et des entrepôts de données. Ces vecteurs d'attaque peuvent être catégorisés de nombreuses façons, et la section suivante se penche sur les plus courants
Inclus
6 vidéos2 lectures2 quizzes
Le terme "code malveillant" fait référence aux nombreux types de logiciels malveillants utilisés aujourd'hui. Dans de nombreux cas, le terme "virus" est utilisé à tort pour désigner tous les types de logiciels malveillants. En fait, un virus n'est qu'une forme de logiciel malveillant.les logiciels malveillants sont le résultat de la fusion des termes "malveillant" et "logiciel"il est souvent utilisé pour parler des différentes formes de codes logiciels malveillants qui ont été écrits pour causer des dommages ou effectuer des activités non autorisées sur un système. Les logiciels malveillants ne sont pas utilisés pour décrire un bogue logiciel ou une faille logique dans un système, car ils ne sont pas écrits pour effectuer intentionnellement des actions non autorisées. Il existe aujourd'hui de nombreuses formes de logiciels malveillants, qui ont évolué au fil des ans, les auteurs de logiciels malveillants ayant dû découvrir de nouveaux moyens de compromettre un système et d'atteindre leurs objectifs.il est important de faire la différence entre les logiciels malveillants et les programmes potentiellement indésirables (PUP). En fait, les groupes commerciaux qui représentent les annonceurs, le contrôle des performances des employés sur le lieu de travail et les fournisseurs de ces programmes affirment que lorsqu'ils sont utilisés légitimement, l'organisation souhaite clairement qu'ils soient installés et utilisés, même si certains de ses employés sont hésitants.c'est la raison pour laquelle de nombreux services de renseignement sur les menaces, fournisseurs de systèmes de sécurité et d'anti-programmes malveillants, entre autres, font référence à des programmes dont l'intention hostile ou malveillante n'est pas démontrée, en les distinguant des programmes qui sont clairement hostiles de par leur conception et leur utilisation.certains logiciels malveillants (également appelés codes malveillants) sont manifestes et évidents, causant des dommages considérables aux systèmes et aux données peu de temps après leur introduction, tandis que d'autres logiciels malveillants sont cachés et peuvent rester en sommeil sur un système pendant des mois ou des années sans être détectés, attendant simplement de répondre à un appel de la part de l'auteur du logiciel malveillant.les premières versions des logiciels malveillants étaient des virus ou des vers et se propageaient souvent en passant des disquettes d'une personne à l'autre (comme le virus informatique Brain) ou en exploitant une connexion réseau (par exemple, le ver Morris). La disquette infectée contient un virus (secteur d'amorçage) qui écrase le secteur d'amorçage du disque dur. Lorsque la disquette était insérée dans un système, celui-ci lisait le secteur d'amorçage pour déterminer quelles données se trouvaient sur la disquette et chargeait le virus présent dans le secteur d'amorçage.avec ce mode de transmission, il a fallu des années pour qu'un tel virus se propage dans le monde entier. Parmi les autres types de virus, citons le macrovirus qui exploite le langage macro utilisé dans certains produits de productivité bureautique, ou les diverses formes de logiciels malveillants qui se propagent sous forme de pièces jointes ou de liens dans un courrier électronique
Inclus
6 vidéos4 quizzes
La sécurité des systèmes dépend de la configuration et de l'interaction correctes de nombreux composants différents. La sécurité doit être déployée de manière cohérente dans l'ensemble du système. Cela nécessite une gestion minutieuse des équipements, du personnel et des interfaces de communication. Ce module examine comment concevoir, construire et gérer des systèmes sécurisés et s'assurer qu'aucune lacune n'est laissée dans la conception ou l'exploitation d'un système
Inclus
9 vidéos4 lectures2 quizzes
Inclus
3 vidéos3 lectures2 quizzes
Ce chapitre vous a emmené dans un vaste voyage à travers la surface de menace des logiciels de votre organisation, de ses données, de ses points d'extrémité et de ses environnements virtuels. En cours de route, vous avez vu certains des défis auxquels vous êtes confrontés lorsque vous essayez de renforcer les systèmes, les procédures et le personnel de votre organisation, ainsi que de résister aux attaques des logiciels malveillants, de l'ingénierie sociale, du phishing et des données malformées.la cybercriminalité est devenue incroyablement lucrative ; elle est également devenue un très grand écosystème commercial, dans lequel de nombreuses couches de développeurs de boîtes à outils, de collecteurs de renseignements en source ouverte, de revendeurs de données exfiltrées et d'équipes d'attaquants spécialisés soutiennent les efforts des équipes de menaces persistantes avancées (APT) dans leurs attaques contre les entreprises, les écoles, les universités, les hôpitaux et les services gouvernementaux dans le monde entier.l'équipe de sécurité de l'information de votre organisation ne peut pas surpasser les cybercriminels ; et s'il est vrai que vous ne pouvez pas les surpasser tous en permanence, vous n'êtes pas obligé de le faire. Il vous suffit d'être plus malin que ceux que vous devez détecter, dès aujourd'hui, lorsqu'ils tentent de s'introduire dans vos systèmes ou de perturber d'une autre manière vos infrastructures informatiques et de télécommunications, ainsi que les processus commerciaux qui en dépendent.l'essentiel est de garder les données sûres, sécurisées et fiables, ce qui implique de garder les logiciels sûrs et fiables à utiliser, qu'ils fonctionnent sur des serveurs ou des terminaux, sur du fer réel ou dans des environnements virtualisés au-dessus d'hyperviseurs. Un jour à la fois.
Inclus
1 lecture1 quiz1 évaluation par les pairs
Instructeur
Offert par
Recommandé si vous êtes intéressé(e) par Sécurité
University of Colorado System
Coursera Instructor Network
Pour quelles raisons les étudiants sur Coursera nous choisissent-ils pour leur carrière ?
Avis des étudiants
Affichage de 3 sur 38
38 avis
- 5 stars
86,84 %
- 4 stars
10,52 %
- 3 stars
0 %
- 2 stars
0 %
- 1 star
2,63 %
Révisé le 2 juin 2023
Ouvrez de nouvelles portes avec Coursera Plus
Accès illimité à plus de 7 000 cours de renommée internationale, à des projets pratiques et à des programmes de certificats reconnus sur le marché du travail, tous inclus dans votre abonnement
Faites progresser votre carrière avec un diplôme en ligne
Obtenez un diplôme auprès d’universités de renommée mondiale - 100 % en ligne
Rejoignez plus de 3 400 entreprises mondiales qui ont choisi Coursera pour les affaires
Améliorez les compétences de vos employés pour exceller dans l’économie numérique
Foire Aux Questions
L'accès aux cours et aux devoirs dépend de votre type d'inscription. Si vous suivez un cours en mode audit, vous pourrez consulter gratuitement la plupart des supports de cours. Pour accéder aux devoirs notés et obtenir un certificat, vous devrez acheter l'expérience de certificat, pendant ou après votre audit. Si vous ne voyez pas l'option d'audit :
Il se peut que le cours ne propose pas d'option d'audit. Vous pouvez essayer un essai gratuit ou demander une aide financière.
Le cours peut proposer l'option "Cours complet, pas de certificat" à la place. Cette option vous permet de consulter tous les supports de cours, de soumettre les évaluations requises et d'obtenir une note finale. Cela signifie également que vous ne pourrez pas acheter un certificat d'expérience.
Lorsque vous vous inscrivez au cours, vous avez accès à tous les cours du certificat et vous obtenez un certificat lorsque vous terminez le travail. Votre certificat électronique sera ajouté à votre page de réalisations. De là, vous pourrez l'imprimer ou l'ajouter à votre profil LinkedIn. Si vous souhaitez uniquement lire et visualiser le contenu du cours, vous pouvez auditer le cours gratuitement.
Si vous vous êtes abonné, vous bénéficiez d'une période d'essai gratuite de 7 jours pendant laquelle vous pouvez annuler votre abonnement sans pénalité. Après cette période, nous ne remboursons pas, mais vous pouvez résilier votre abonnement à tout moment. Consultez notre politique de remboursement complète.