ajout structure chapitre 3 et idées chapitre 4

chapitres/chapitre_03.md

@@ -1,15 +1,42 @@
 # Vol d'une base de données confidentielle
 
-## Contrôler l'accès aux données
+Un des pires scénarios qui peut subvenir dans une organisation est le vol d'une base de données confidentielles. En plus de devoir gérer le risque de fraude d'identité des clients ainsi que la perte de propriété intellectuelle, l'entreprise doit aussi rapidement se remettre sur pied, rétablir sa réputation et adopter de meilleures pratiques. Il y aura aussi une remise en question de la pertinence et de l'utilisation des données accumulées historiquement.
 
-- row based
-- column based
-- vues
+Les principales causes d'un vol de données sont:
+
+- L'infection par un maliciel de type rançongiciel.
+- L'intrusion depuis Internet par des acteurs malicieux
+- L'employé malicieux qui obtient des privilèges
+- Le vol d'équipement informatique
 
 ## Bien définir le rôle de ses employés
 
-- définir le besoin d'accéder aux données
-- utilisateur vs. rôle
+Le premier élément d'une bonne stratégie pour réduire le risque de vol d'une base de données confidentielles, c'est de bien définir les rôles des employés. Un rôle est généralement un ensemble de tâches nécessitant l'accès à un sous-ensemble de données. Ce modèle de gestion se nomme le Role Based Access Control, plus souvent rencontré sous l'acronyme RBAC. Il fait partie des normes de conformité financières américaines Sarbanes-Oxley.
+
+Il faut ici différencier l'utilisateur du rôle. L'utilisateur est l'entité qui permet l'identification et l'authentification auprès d'une système informatique. Plus communément, on parle de la paire identifiant et mot de passe.
+
+Le rôle ne possène pas de capacité d'identification et d'authentification. Cependant, il possède des permissions d'accès et d'exécution. Chaque utilisateur peut posséder un ou plusieurs rôles. Dans les meilleures pratiques, les utilisateurs n'ont qu'un seul rôle à la fois, ce qui permet d'éviter les croisements de données.
+
+Une liste hypothétique de rôles dans une organisation pourrait être:
+
+- Conseil d'administration
+- Gestion
+- Service informatique
+- Comptabilité
+- Ressources humaines
+- Service à la clientèle
+- Approvisionnement
+- Ventes et facturation
+
+## Contrôler l'accès aux données
+
+Voici le second élément de notre stratégie. Nous allons définir, pour chacun des rôles, à quoi ils devraient avoir accès. 
+
+Dans une entreprise de distribution, les employés sur la route ne devraient accéder qu'aux données des clients sur leur territoire. On effectue donc un filtre de la table des clients basé sur la géolocalisation. C'est une forme de gestion des accès basé sur les enregistrements.
+
+Dans un autre scénario, nous nous intéressons aux employés du service téléphonique. Ils ne devraient avoir accès qu'aux renseignements qu'ils ont droit de divulguer aux clients par la voix. Les informations qui sont communiquées par des systèmes automatisés doivent être cachées. Par exemple, ils ne devraient pas avoir accès aux champs contenant les numéros de carte de crédit, ni aux mots de passe. C'est ici une forme de gestion des accès basé sur les attributs
+
+Enfin, lorsque nous devons restreindre à la fois sur des enregistrement et des colonnes, il peut être utile de créer des vues, c'est-à-dire des requêtes pré-formatées aux besoins du rôle, présentées sous la forme de tables.
 
 ## Masquage et anonymisation
 

chapitres/chapitre_04.md

@@ -1 +1,11 @@
-# Perte d'accès à une plateforme en ligne
+# Perte d'accès à une plateforme en ligne
+
+## Panne de réseau social
+
+## Bloquage du compte
+
+## Fermeture d'un service SaaS
+
+## Sauvegarde
+
+## Transfert avec API