Abschnittsübersicht

  • Appliquer la protection et la sécurité des données

    Alles einklappen Alles aufklappen

    Code d'honneur

    En vous inscrivant à ce cours, vous vous engagez à respecter les règles suivantes :

    Règle 1: Vous devez être l’auteur·rice des solutions que vous soumettez.
      Si vous copiez le travail d’une autre personne ou si vous vous en inspirez fortement en omettant de le mentionner, vous commettez un acte de plagiat. Par exemple, le fait d’utiliser une solution trouvée dans le web ou la solution d’un·e camarade de votre classe ou d’une année précédente constitue une violation de la présente règle. D’une manière générale, vous ne devez pas chercher à consulter une solution existante à un problème qui vous est posé dans le cadre de ce cours.
    Règle 2: Vous ne devez pas partager vos solutions avec vos camarades.
      Vous ne devez en aucun cas partager vos solutions avec vos camarades, que ce soit à leur demande expresse ou en les publiant d’une manière ou d’une autre.
    Règle 3: Vous devez mentionner toute aide que vous recevez.
      Si vous recevez de l’aide de la part d’une personne autre que votre enseignant·e pour la réalisation d’un travail, vous devez indiquer la nature de cette aide, et la manière dont elle a influencé votre solution. En outre, vous devez veiller à ce que l’aide reçue ne viole pas les règles 1 et 2.
    Règle 4: Vous devez être en mesure d’expliquer dans leur ensemble les solutions que vous soumettez.
      Quelle que soit l’aide que vous recevez pour effectuer un travail, vous devez pouvoir fournir des explications sur l’ensemble de la solution. De plus, dans le cas d’un travail de groupe et sauf indication contraire, vous devez être en mesure d’expliquer non seulement vos propres contributions, mais également celles de vos partenaires.
    Règle 5: Vous devez effectuer vos travaux de manière consciencieuse.
      Pour tous les travaux qui vous sont demandés, vous devez soumettre en temps et heure une solution réalisée avec minutie et application. Dans le cas où vous n’arriveriez pas au bout d’un travail, vous devez rendre la solution inachevée et un compte rendu détaillé des problèmes rencontrés.

  • Objectifs du module

    Compétence

    Appliquer la protection et la sécurité des données aux systèmes informatiques. Vérifier si les systèmes existants respectent les directives en l’espèce.

    Objectif 1

    Catégoriser les données en fonction du niveau de protection requis.
    Connaissances opérationnelles nécessaires:
    1. Connaître diverses catégories permettant de classifier la sensibilité des données et leurs critères.
    2. Connaître la différence entre protection des données et sécurité des données.
    3. Connaître divers espaces juridiques (Suisse, UE).
    4. Connaître les œuvres juridiques spécifiques à leur espace (p. ex. LPD, RGPD de l’UE).

    Objectif 2

    Vérifier et améliorer éventuellement la sécurité des données de la propre infrastructure.
    Connaissances opérationnelles nécessaires:
    1. Connaître des possibilités de cryptage des données sur le propre ordinateur (p. ex. chiffrement des supports de données).
    2. Connaître des procédures de création et de restauration de sauvegardes.
    3. Connaître des techniques de protection d’accès, des gestionnaire de mots de passe et les principes de la gestion des mots de passe.
    4. Connaître la différence entre authentification et autorisation.

    Objectif 3

    Utiliser diverses possibilités de sauvegarde des données.
    Connaissances opérationnelles nécessaires:
    1. Connaître des procédures d’enregistrement des données et de conservation délibérément redondante des données (p. ex. local, serveur, cloud).
    2. Connaître divers dangers auxquels sont exposées les données (p. ex. vol, rançongiciel, violation de l’intégrité).

    Objectif 4

    Vérifier si les applications utilisées respectent les lois sur la protection des données.
    Connaissances opérationnelles nécessaires:
    1. Connaître les différences fondamentales entre les lois sur la protection des données des divers espaces juridiques.

    Objectif 5

    Indiquer les conséquences d’erreurs allant à l’encontre de la protection et de la sécurité des données.
    Connaissances requises
    1. Connaître la problématique relative à l’effacement des données dans toutes les archives et sauvegardes.
    2. Connaître les principales conditions juridiques et particularités des sites Web (p. ex. mentions légales, clause de non-responsabilité, conditions générales).

    Objectif 6

    Choisir des logiciels autorisant le respect de la protection et de la sécurité des données sur la base des modèles de licence.
    Connaissances requises
    1. Connaître divers modèles de licence (p. ex. pour logiciels, textes, images).

  • Références bibliographiques

      1. Mike Chapple, Access Control and Identity Management (Information Systems Security & Assurance). Jones & Bartlett Learning, 2020.
      2. M. Kim, Fundamentals of information systems security. Jones & Bartlett Learning, 2018.
      3. G. Parikshit N. Mahalle, Authorization and Access Control: Foundations, Frameworks, and Applications. CRC Press, 2022.
      4. Rahul Miglani, Mastering Cloud Storage: Navigating cloud solutions, data security, and cost optimization for seamless digital transformation. BPB Online, 2023.
      5. Donald A. Tevault, Mastering Linux Security and Hardening: A practical guide to protecting your Linux system from cyber attacks. Packt Publishing, 2023.

  • Modalités d'évaluation

    L'évaluation prend la forme de trois tests de connaissance d'environ 45 min. 

    Durant les tests les apprentis ont droit à une refcard personnelle qu'ils peuvent faire évoluer durant le module. La refcard doit tenir sur une page A4.

    Quand, où :

    • Jeudi, 18 décembre 2025, 12:45, F119
    • Mardi, 12 mai 2026, 12:45, F119
    • Mardi, 23 juin 2026, 12:45, F119

  • Séquence 1 & 2 — Protection des données (assurer le respect des droits fondamentaux des personnes)

    Quand, où :

    Mercredi, 26 novembre 2025, 07:55 - 12:00, Salle F119 
    Mercredi, 6 décembre 2025, 07:55 - 12:00, Salle F119

    Objectifs :

    À la fin de cette séquence, vous devez :

    1. Connaître la notion de protection des données et la manière dont elle s'articule avec celles sécurité des données et de sûreté des données.
    2. Connaître les notions de donnée personnelle et de donnée sensible. 
    3. Être capable d'identifier des données personnelles.
    4. Connaître les droits des personnes concernées (confirmation, accès, rectification, oubli, etc.)
    5. Connaître les obligations des organisations en matière de protection des données (collecte, traitement, sécurisation, etc.)
    6. Connaître dans les grandes lignes les bases légales de la protection des données aux niveaux fédéral (LPD) et international (RGPD, STR N° 108)
    7. Connaître les notion de licence et de droit d'auteur et comment elles s'articulent.
    8. Connaître les principaux type de licence de logiciel.
    9. Connaître les implications que peut avoir le type de licence de logiciel sur la protection des données.

  • Séquence 3 & 4 — Sécurité des données (prévenir les accès, modifications et destructions non autorisées)

    Quand, où :

    Jeudi, 11 décembre 2025, 12:45 - 16:50, Salle F119 
    Jeudi, 18 décembre 2025, 12:45 - 16:50, Salle F119

    Objectifs :

    À la fin de cette séquence, vous devez :

    1. Connaître les notions d'authentification, d'autorisation et de journalisation.
    2. Connaître les principes sur lesquels reposent les mots de passe. 
    3. Connaître les avantages de l'utilisation d'un gestionnaire de mots de passe.
    4. Connaître les notion de facteur d'authentification et d'authentification multifactorielle (MFA).
    5. Connaître la notion de compte d'utilisateur·rice.
    6. Connaître des manières de stocker des comptes d'utilisateur·rice.
    7. Connaître le principe du chiffrement à sens unique pour chiffrer les mots de passe.
    8. Connaître les principaux modèle de contrôle d'accès (DAC, MAC).
    9. Connaître la manière dont les permissions des fichiers sont stockées

  • Séquence 5 — Mettre en œuvre des mesures de protection et de sécurité des données dans un système Linux.

    Quand, où :

    Lundi, 4 mai 2026, 12:45 - 16:05, Salle F119
    Jeudi, 7 mai 2026, 7:55 - 12:00, Salle F119

    Objectifs :

    À la fin de cette séquence, vous devez :

    1. Connaître le principe des permissions POSIX (owner, owner group, other)
    2. Connaître la notion d’ACL (Access Control List)
    3. Connaître la manière dont les ACL se distinguent des permissions POSIX.
    4. Connaître les permissions POSIX (r, w, x) et les différentes manières de les représenter (notamment en notation octale).
    5. Connaître la signification de la permission x pour les répertoires (directories).
    6. Connaître la structure d'un compte d'utilisateur sous Linux.
    7. Connaître la manière de chiffrer un mot de passe pour le stocker.
    8. Connaître des moyens de créer un compte d'utilisateur.
    9. Connaître des moyens de modifier un compte d'utilisateur.
    10. Connaître des moyens de supprimer un compte d'utilisateur.
    11. Connaître un moyen de lister les comptes d'utilisateurs.
    12. Être capable de décrire de quelle manière sont stockés les comptes d'utilisateurs par défaut (fichier /etc/passwd)
    13. Être capable de décrire de quelle manière sont stockés les mots de passe des comptes d'utilisateurs (fichier /etc/shadow)
    14. Connaître les limites des permissions lorsqu'un attaquant dispose d'un accès physique à la machine.
    15. Connaître des moyens de protections des données lorsqu'un attaquant dispose d'un accès physique à la machine (chiffrement des disques).
    16. Connaître les risques, en termes de protection des données, liés au chiffrement des disques.

  • Séquence 6 — Limites du contrôle d'accès et chiffrement

    Hervorgehoben

    Quand, où :

    Jeudi, 7 mai 2026, 12:45 - 16:05, Salle F119
    Mardi, 12 mai 2026, 12:45 - 16:05, Salle F119
    Mardi, 19 mai 2026, 12:45 - 16:05, Salle F119

    Objectifs :

    À la fin de cette séquence, vous devez :

    1. Connaître les limites du contrôle d'accès
    2. Connaître les notions de politique de sécurité (security policy) et de journal de sécurité (security log)
    3. Connaître des mesures de protection contre une attaque de l'intérieur
    4. Connaître des mesures de protection contre l'usurpation d'identité
    5. Connaître des mesures de protection contre la prise de contrôle du système en cas d'accès physique.
    6. Connaître les différents type de chiffrement et leur applications
    7. Connaître les difficultés liées au partage d'un secret.
    8. Être capable d'expliquer comment le chiffrement asymétrique facilite le partage d'un secret.
    9. Être capable d'expliquer comment le hachage et le chiffrement permettent d'authentifier des données (HMAC, signature).
    10. Être capable d'expliquer le principe de la signature numérique (digital signature)
    11. Connaître des moyens de s'assurer qu'une clé publique est une clé publique de confiance (vérification en personne, certificat de clé publique)
    12. Connaître des application de l'authentification par clé publique (ssh, HTTPS).

  • Séquence 8 — Redondance volontaire et sauvegarde

    Quand, où :

    Mardi, 2 juin 2026, 12:45 - 16:05, Salle F119
    Mardi, 9 juin 2026, 12:45 - 16:05, Salle F119

    Objectifs :

    À la fin de cette séquence, vous devez :

    1. Connaître la notion de redondance volontaire et ce qui la distingue de la redondance que l'on cherche à éliminer en modélisation de données.
    2. Connaître la notion de RAID (redondant array of independent disk).
    3. Connaître la notion d'agrégation par bande (striping).
    4. Connaître les princiaples caractéristiques des RAID 1, 6, 10 et 60.
    5. Connaître la notion de synchronisation de données et ses applications.
    6. Connaître les risques liés à la synchronisation de données sur un cloud public.
    7. Connaître les limites de la synchronisation de données et ce qui la distingue d'une sauvegarde.
    8. Connaître la notion de sauvegarde et en quoi les sauvegardes constituent un risque pour la protection des données.
    9. Connaître les différents types de sauvegarde et les problèmes auxquels ils apportent une solution.
    10. Connaître des schémas de rotation de supports et pouvoir citer deux d'entre eux.
    11. Connaître le principe 3 2 1.