CHAPITRE03

Protection du réseau
CCNA Cybersecurity Operations v1.1

Sections et objectifs
1 Comprendre les mécanismes de défense
• Expliquer les approches en matière de protection du réseau.
• Expliquer comment la stratégie de défense approfondie est utilisée pour protéger les réseaux.
• Expliquer les normes, réglementations et politiques de sécurité en vigueur.
2 Le contrôle d'accès
• Expliquer comment le contrôle d'accès peut protéger un réseau.
• Décrire les politiques de contrôle d'accès.
• Expliquer comment le modèle AAA est utilisé pour contrôler l'accès au réseau.
3 La Threat Intelligence
• Utiliser diverses sources d'informations pour localiser les menaces actuelles.
• Décrire les sources d'information utilisées pour communiquer les nouvelles menaces de sécurité du réseau.
• Utiliser la threat intelligence pour identifier les menaces et les vulnérabilités.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
1 Comprendre les
mécanismes de défense
Une défense en profondeur
Ressources, vulnérabilités, menaces
 Les risques pour la cybersécurité sont
représentés par les éléments suivants :
• Ressources : tout élément de valeur pour une
entreprise devant faire l'objet d'une protection, à
savoir les serveurs, les appareils d'infrastructure, les
terminaux et surtout, les données.
• Vulnérabilités : faille dans un système ou sa
conception susceptible d'être exploitée par une
menace.
• Menaces : tout danger potentiel auquel est
exposée une ressource.
Défense approfondie
Identifier les ressources
 De nombreuses entreprises ne connaissent pas en détail
les ressources qu'elles doivent protéger.
 L'ensemble des appareils et des informations que détient
ou gère une entreprise représentent les ressources.
 Les ressources constituent la surface d'exposition aux
attaques des hackers.
 La gestion des ressources se répartit en plusieurs
parties :
• L'inventaire de toutes les ressources.
• Le développement et la mise en œuvre de politiques et
de procédures pour les protéger.
 Identifier les emplacements de stockage des ressources
d'informations critiques ainsi que les modes d'accès à ces
données.
Identifier les vulnérabilités
 Pour identifier les vulnérabilités, il est important de
répondre aux questions suivantes :
• Quelles sont les vulnérabilités ?
• Qui est susceptible d'exploiter ces vulnérabilités ?
• Quelles seront les conséquences si la vulnérabilité
est exploitée ?
 Par exemple, un système bancaire électronique peut
être confronté aux menaces suivantes :
• Compromission du système interne
• Vol des données de clients
• Transactions frauduleuses
• Attaque interne du système
• Erreur de saisie des données
• Destruction du data center
Identifier les menaces
 L'utilisation d'une approche de défense approfondie permettant d'identifier les ressources
peut inclure une topologie avec les périphériques suivants :
• Routeur de périphérie : première ligne de défense, configuré avec un ensemble de règles qui
définissent le type de trafic autorisé ou refusé.
• Pare-feu : deuxième ligne de défense ; réalise des opérations supplémentaires de filtrage et
d'authentification des utilisateurs, tout en effectuant le suivi de l'état des connexions.
• Routeur interne : troisième ligne de défense , applique des règles de filtrage finales avant
d'acheminer le trafic vers sa destination.
Approches de sécurité de type « oignon » et « artichaut »
 L'approche multicouche en matière de sécurité est souvent
comparée à un oignon.
 Le hacker doit « éplucher » le mécanisme de défense d'un réseau
couche par couche.
 Cependant, avec l'évolution des réseaux sans frontières, une
approche de type artichaut serait une meilleure analogie.
 Les hackers doivent uniquement retirer certaines des « feuilles
d'artichaut » pour accéder aux données sensibles.
 Par exemple, un terminal mobile est une feuille qui, lorsqu'elle est
compromise, peut donner au hacker l'accès à des informations
sensibles telles que les e-mails de l'entreprise.
 La principale différence entre les approches de sécurité de type
oignon et artichaut est que l'approche de type artichaut ne
nécessite pas d'enlever toutes les feuilles/couches pour pouvoir
accéder aux données.
Politiques de sécurité
Politique de sécurité de l'entreprise
 Les politiques posent les bases de la sécurité du réseau en
définissant ce qui est acceptable.
 Les politiques sont des lignes directrices élaborées par une
entreprise qui régissent ses actions et les actions de ses
collaborateurs.
 Une entreprise peut définir plusieurs politiques :
• Politiques d'entreprise : ces politiques établissent les règles de

conduite ainsi que les responsabilités des employés et des employeurs.
• Politiques d'employé : ces politiques déterminent le salaire des
employés, la grille de rémunération, les avantages sociaux, les horaires
de travail, les congés, etc.
• Politiques de sécurité : ces politiques regroupent les différents
objectifs de sécurité définis par une entreprise, définissent les règles de
comportement à l'intention des utilisateurs et des administrateurs, et
spécifient la configuration système requise.
Politique de sécurité
 Une politique de sécurité globale présente un certain nombre
de bénéfices :
• Montre l'engagement de l'entreprise envers la sécurité.
• Définit les normes de conduite.
• Garantit la cohérence au niveau des opérations du système, de l'achat
et de l'utilisation de composants matériels et logiciels, ainsi que de la
maintenance.
• Définit les conséquences juridiques des infractions.
• Garantit à l'équipe en charge de la sécurité le soutien des dirigeants.
 Une politique de sécurité peut inclure un ou plusieurs des
éléments affichés dans la figure.
 Les politiques d'utilisation acceptable font partie des politiques
les plus courantes et définissent ce que les utilisateurs sont
autorisés ou non à faire sur les divers composants du système.
Politiques BYOD
 De nombreuses sociétés prennent en charge la politique BYOD,
qui permet aux employés d'utiliser leurs propres terminaux
mobiles pour accéder aux ressources de l'entreprise.
 Une politique BYOD implique les étapes suivantes :
• Préciser les objectifs du programme BYOD

• Identifier les employés susceptibles d'utiliser leurs propres
appareils
• Identifier les appareils pris en charge
• Identifier le niveau d'accès accordé aux employés lors de
l'utilisation d'appareils personnels
• Décrire les droits d'accès et les activités autorisées au
personnel de sécurité
• Identifier les règles à respecter lors de l'utilisation d'appareils
personnels
• Identifier les systèmes de protection à mettre en place
lorsqu'un appareil est exposé à un risque
Politiques BYOD (suite)
 Respectez les bonnes pratiques suivantes en matière de sécurité
BYOD pour minimiser les risques du BYOD :
• Accès protégé par mot de passe pour chaque appareil et
chaque compte.
• Connectivité sans fil contrôlée manuellement pour que
l'appareil se connecte uniquement à des réseaux sécurisés.
• Mise à jour régulière des logiciels pour se prémunir contre les
menaces les plus récentes.
• Sauvegarde des données en cas de perte ou de vol de
l'appareil.
• Activation des services de localisation d'appareil qui
permettent d'effacer à distance le contenu d'un terminal perdu.
• Utiliser un logiciel antivirus.
• Utiliser le logiciel Mobile Device Management (MDM) pour
permettre aux informaticiens de mettre en place des
paramètres de sécurité et des configurations logicielles sur
tous les appareils qui se connectent aux réseaux d'entreprise.
Conformité avec la réglementation et les normes
 Les normes et les règles de conformité
définissent les responsabilités des entreprises
et les sanctions en cas de manquement à ces
règles.
 Les règles de conformité que doit respecter
une entreprise dépendent du type d'entreprise
et des données qu'elle gère.
 Nous analyserons en détail les règles de
conformité spécifiques plus tard dans ce cours.
2 Le contrôle d'accès
Les concepts de contrôle d'accès
Sécurité des communications : CIA
 Par sécurité de l'information, on entend la protection des
informations et des systèmes d'information contre
l'accès, l'utilisation, la divulgation, l'interruption, la
modification ou la destruction non autorisés.
 L'acronyme CID (ou CIA en anglais) signifie :
• Confidentialité : seuls les personnes, entités ou processus autorisés
peuvent accéder aux informations sensibles.
• Intégrité : les informations doivent être protégées contre les
modifications non autorisées
• Disponibilité : les personnes autorisées qui en ont besoin doivent
pouvoir accéder aux informations en temps opportun.
Concepts de contrôle d'accès
Modèles de contrôle d'accès
 Voici quelques modèles de contrôles d'accès de base :
• Contrôle d'accès obligatoire (MAC) : applique le contrôle

d'accès le plus strict, offrant un accès utilisateur en fonction
de l'habilitation de sécurité.
• Contrôle d'accès discrétionnaire : permet aux utilisateurs
de contrôler l'accès aux données qui leur appartiennent.
• Contrôle d'accès non discrétionnaire : également appelé
contrôle d'accès basé sur les rôles, ou RBAC, l'accès
dépend des rôles et des responsabilités.
• Contrôle d'accès basé sur les attributs (ABAC) : accès
basé sur les attributs de la ressource, de l'utilisateur qui y
accède et de facteurs environnementaux, tels que l'heure
du jour.
 Un autre modèle de contrôle d'accès est le principe du
moindre privilège, qui stipule que les utilisateurs ne devraient
disposer que des droits d'accès minimum nécessaires pour
remplir leur mission.
Utilisation et fonctionnement du modèle AAA
Fonctionnement du modèle AAA
 AAA, qui est l'acronyme d'« Authentication,
Authorization and Accounting »
(authentification, autorisation et traçabilité), est
un système évolutif pour le contrôle d'accès.
• Authentification : les utilisateurs et les
administrateurs doivent prouver leur identité.
• Autorisation : détermine les ressources
auxquelles les utilisateurs peuvent accéder et
les opérations qu'ils sont autorisés à
effectuer.
• Traçabilité : enregistre les actions de
l'utilisateur et l'heure à laquelle il effectue ces
actions.
Authentification AAA
 Voici deux méthodes d'authentification AAA courantes :
• Authentification AAA locale : cette méthode authentifie les utilisateurs par
rapport à des noms d'utilisateur et à des mots de passe stockés localement.
L'authentification AAA locale est idéale pour les réseaux de petite taille.
• Authentification AAA basée sur le serveur : cette méthode authentifie les
utilisateurs sur un serveur AAA central contenant les noms d'utilisateur et
mots de passe de tous les utilisateurs. L'authentification AAA basée sur le
serveur convient aux réseaux de moyenne et grande taille.
 Le processus pour les deux types est indiqué sur la diapositive suivante.
Authentification AAA (suite)
Authentification AAA locale Authentification AAA basée sur le serveur
Journaux de traçabilité AAA
 La traçabilité offre une plus grande sécurité que l'authentification seule.
 Les serveurs AAA génèrent un journal détaillé des actions de l'utilisateur

authentifié sur l'appareil.
Journaux de traçabilité AAA (suite)
 Voici les divers types d'informations de traçabilité disponibles :
• Traçabilité du réseau : capture des informations telles que le nombre

de paquets et d'octets.
• Traçabilité des connexions : capture des informations sur toutes les
connexions sortantes.
• Traçabilité EXEC : capture des informations sur les shells de
l'utilisateur, notamment le nom d'utilisateur, la date, les heures de début
et de fin et l'adresse IP du serveur d'accès.
• Traçabilité du système : capture des informations sur tous les
événements au niveau du système.
• Traçabilité des commandes : capture des informations sur les
commandes shell exécutées.
• Traçabilité des ressources : capture les enregistrements « démarrer »
et « arrêter » des appels d'utilisateur authentifiés.
3 La Threat Intelligence
Sources d'information
Communautés d'informations sur les réseaux
 Les entreprises spécialisées dans la Threat Intelligence telles que CERT, SANS et MITRE
proposent des informations détaillées sur les menaces qui s'avèrent essentielles en matière de
cybersécurité.
Sources d'informations
Rapports Cisco sur la cybersécurité
 Cisco fournit chaque année un rapport sur
la cybersécurité, qui fait état du niveau de
préparation des systèmes de sécurité,
analyse en profondeur les principales
vulnérabilités et les facteurs à l'origine de
l'explosion d'attaques à l'aide de logiciels
publicitaires et de spams, etc.
Sources d'informations
Podcasts et blogs de sécurité
 Les podcasts et les blogs portant
sur la sécurité aident les
professionnels de la cybersécurité
à comprendre et à éliminer les
nouveaux types de menaces.
Services de threat intelligence
Cisco Talos
 Les services de Threat Intelligence
permettent d'échanger des informations
sur les menaces telles que les
vulnérabilités, les indicateurs de
compromission et les techniques
d'élimination et de détection.
 L'équipe Cisco Talos collecte des
informations sur les menaces actives
existantes et émergentes. Talos fournit
ensuite à ses abonnés des solutions de
protection complètes contre ces attaques
et malwares.
FireEye
 FireEye est une autre société de
sécurité qui offre des services visant
à aider les entreprises à sécuriser
leurs réseaux.
 FireEye propose des informations sur
les nouveaux types de menaces et
des rapports de Threat Intelligence.
Partage automatique d'indicateurs
 AIS (Automated Indicator Sharing) est un
programme qui permet au gouvernement
fédéral des États-Unis et au secteur privé
de partager des indicateurs sur les
menaces.
 AIS crée un écosystème grâce auquel,
dès qu'une menace est détectée, elle est
immédiatement partagée avec la
communauté.
Base de données Common Vulnerabilities and Exposures
 CVE (Common Vulnerabilities and
Exposures) est une base de
données des vulnérabilités qui
utilise un schéma d'affectation de
noms standardisé pour simplifier le
partage de Threat Intelligence.
Standards de communication de la threat intelligence
 Les standards CTI (Cyber Threat Intelligence) tels
que STIX et TAXII facilitent l'échange d'informations
sur les menaces en spécifiant les structures de
données et les protocoles de communication :
• Structured Threat Information Expression
(STIX) : ensemble de spécifications pour
l'échange d'informations sur les cybermenaces
entre les entreprises.
• Trusted Automated Exchange of Indicator
Information (TAXII) : spécification pour un
protocole de couche application qui permet de
communiquer des données d'informations sur les
cybermenaces (CTI) via HTTPS. Le format TAXII
a été conçu pour prendre en charge le format
STIX.
4 Synthèse
Récapitulatif du chapitre
Récapitulatif
 Les risques pour la cybersécurité sont représentés par les ressources, les vulnérabilités et les menaces.
 Les ressources constituent la surface d'exposition aux attaques des hackers.
 Les vulnérabilités incluent les faiblesses exploitables dans un système ou de sa conception.
 Les menaces sont mieux mitigées avec une approche de défense approfondie.
 L'approche multicouche en matière de sécurité est souvent comparée à un oignon.
 L'analogie de l'artichaut représente plus fidèlement l'approche de sécurité des réseaux d'aujourd'hui.
 Les politiques sont des lignes directrices élaborées par une entreprise qui régissent ses actions et les
actions de ses collaborateurs.
 Une politique de sécurité identifie un ensemble d'objectifs de sécurité, définit les règles de comportement
à l'intention des utilisateurs et des administrateurs, et spécifie la configuration système requise.
Récapitulatif (suite)
 Une politique BYOD, qui permet aux employés d'utiliser leurs propres terminaux mobiles pour accéder
aux ressources de l'entreprise, régit les utilisateurs qui sont autorisés à accéder aux ressources à l'aide
de leur appareil personnel.
 Toutes les structures doivent se conformer aux réglementations spécifiques au type d'entreprise et au
type de données qu'elles gèrent.
 La triade CIA contient trois composants : confidentialité, intégrité et disponibilité.
 Voici quelques modèles de contrôles d'accès de base :
• Contrôle d'accès obligatoire (MAC)

• Contrôle d'accès discrétionnaire (DAC)
• Contrôle d'accès non discrétionnaire
• Contrôle d'accès basé sur les attributs (ABAC)
• Principe du moindre privilège
 Le contrôle d'accès AAA inclut des fonctionnalités d'authentification, d'autorisation et de traçabilité.
 Deux méthodes d'authentification courantes sont l'authentification AAA locale et l'authentification AAA
basée sur le serveur.
 La traçabilité AAA tient un journal détaillé des actions de l'utilisateur authentifié sur l'appareil.
 Les journaux de traçabilité AAA incluent les éléments suivants :
• Gestion du réseau
• Gestion des connexions
• Traçabilité EXEC
• Gestion du système
• Gestion des commandes
• Gestion des ressources
 Les entreprises spécialisées dans la Threat Intelligence telles que CERT, SANS et MITRE proposent des
informations détaillées sur les menaces qui s'avèrent essentielles en matière de cybersécurité.
 Le rapport Cisco sur la cybersécurité fournit des informations à jour sur l'état de la sécurité.
 Les podcasts et les blogs portant sur la sécurité aident les professionnels de la cybersécurité à comprendre
et à éliminer les nouveaux types de menaces.
 Les services de threat intelligence permettent l'échange d'informations sur les menaces.
 FireEye propose des informations sur les nouveaux types de menaces et des rapports de Threat Intelligence.
 AIS crée un écosystème grâce auquel, dès qu'une menace est détectée, elle est immédiatement partagée
avec la communauté.
 La base de données CVE utilise un modèle de nom normalisé pour faciliter le partage des informations sur
les menaces.
 Les standards STIX et TAXII facilitent l'échange d'informations sur les menaces en spécifiant les structures
de données et les protocoles de communication.
Chapitre 8
Les nouveaux termes
• Politique d'utilisation acceptable (AUP) • Contrôle d'accès discrétionnaire (DAC)
• ressource • Routeur de périphérie
• Contrôle d'accès basé sur les attributs • Politiques pour les employés
(ABAC) • Intégrité
• Authentification, autorisation et comptabilité • Contrôle d'accès obligatoire (MAC)
(AAA) • Contrôle d'accès non discrétionnaire
• Disponibilité • Transmission des privilèges
• BYOD • Approche de sécurité de type artichaut
• Politique de l'entreprise • Approche de sécurité de type oignon
• Confidentialité • Politiques de sécurité
Certification en opérations de cybersécurité
Ce chapitre couvre les domaines suivants en matière de certification en opérations de cybersécurité :
210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :
 Domaine 2 : concepts de sécurité
• 2.1 Description des principes d'une stratégie de défense en profondeur

• 2.4 Description des termes relatifs à la sécurité suivants :
• Principe du moindre privilège
• 2.5 Comparaison et différenciation des modèles de contrôle d'accès suivants :
• Contrôle d'accès discrétionnaire
• Contrôle d'accès obligatoire (MAC)
• Contrôle d'accès non discrétionnaire
• 2.7 Description des concepts suivants :
• Gestion des biens
• Gestion de la configuration
• Gestion des appareils mobiles
 Domaine 6 : méthodes d'attaque
• 6.7 Définition de l'élévation des privilèges

CHAPITRE03

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CHAPITRE03

Transféré par

Droits d'auteur :

Formats disponibles

Protection du réseau

CCNA Cybersecurity Operations v1.1

• Politiques d'entreprise : ces politiques établissent les règles de

 Une politique BYOD implique les étapes suivantes :

• Préciser les objectifs du programme BYOD

• Contrôle d'accès obligatoire (MAC) : applique le contrôle

Authentification AAA locale Authentification AAA basée sur le serveur

 Les serveurs AAA génèrent un journal détaillé des actions de l'utilisateur

• Traçabilité du réseau : capture des informations telles que le nombre

 Les ressources constituent la surface d'exposition aux attaques des hackers.

 Les vulnérabilités incluent les faiblesses exploitables dans un système ou de sa conception.

 L'approche multicouche en matière de sécurité est souvent comparée à un oignon.

 Voici quelques modèles de contrôles d'accès de base :

• Contrôle d'accès obligatoire (MAC)

 Les journaux de traçabilité AAA incluent les éléments suivants :

210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :

 Domaine 2 : concepts de sécurité

• 2.1 Description des principes d'une stratégie de défense en profondeur

 Domaine 6 : méthodes d'attaque

• 6.7 Définition de l'élévation des privilèges

Vous aimerez peut-être aussi