Académique Documents
Professionnel Documents
Culture Documents
1 : Cybersécurité et
centre opérationnel de sécurité
Cybersecurity Operations v1.1
Chapitre 1 – Sections et objectifs
1.1 Le danger
• Expliquer pourquoi les réseaux et les données sont la cible d'attaques.
• Décrire les spécificités de divers exemples d'incidents de cybersécurité.
• Expliquer les raisons qui motivent les hackers qui sont à l'origine d'incidents de sécurité spécifiques.
• Expliquer l'impact potentiel des attaques de sécurité du réseau.
1.2 Les combattants de la guerre contre la cybercriminalité
• Expliquer comment se préparer à une carrière dans les opérations de cybersécurité.
• Expliquer la mission du centre opérationnel de sécurité (SOC).
• Décrire les ressources disponibles pour se préparer à une carrière dans les opérations de cybersécurité.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
1.1 Le danger
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 3
Histoires de guerre
Victimes de piratage
Un hacker configure un point d'accès public ouvert sans fil non autorisé qui se fait passer pour un
réseau sans fil légitime.
Une cliente se connecte au site web de sa banque.
Le hacker pirate sa session.
Il a maintenant accès aux comptes bancaires de
cette cliente.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 4
Histoires de guerre
Entreprises touchées par un ransomware
Un collaborateur reçoit un e-mail qui semble provenir de son PDG et qui est accompagné d'un
fichier PDF.
Un ransomware s'installe sur l'ordinateur de cet employé.
Ce ransomware collecte et chiffre les
informations de l'entreprise.
Le hacker conserve les données de l'entreprise
jusqu'à ce qu'une rançon lui soit versée.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 5
Histoires de guerre
Pays ciblés
Ver Stuxnet
• Systèmes d'exploitation Windows infiltrés.
• Logiciel Step 7 ciblé qui contrôle les automates programmables industriels pour endommager les
centrifugeuses dans les installations nucléaires.
• Le ver s'est propagé par le biais de clés USB infectées insérées dans les automates et a endommagé
bon nombre de ces centrifugeuses.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 6
Travaux pratiques
Travaux pratiques – Installer le poste de travail virtuel CyberOps
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 7
Histoires de guerre
Travaux pratiques – Études de cas relatives à la cybersécurité
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8
Hackers
Amateurs
Appelés script kiddies (hackers néophytes).
Ont peu ou pas de compétences.
Utilisent souvent des outils ou des instructions
trouvées sur Internet pour lancer des attaques.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 9
Hackers
Les hacktivistes
Protester contre les organisations ou les administrations
• Publier des articles et des vidéos.
• Dévoiler des informations.
• Perturber des services web avec des attaques DDoS.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 10
Hackers
Appât du gain
De nombreux hackers sont motivés par l'appât du gain.
Les cybercriminels souhaitent générer de la trésorerie
• Comptes bancaires
• Données personnelles
• Toute chose dont ils peuvent tirer parti
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 11
Hackers
Secrets commerciaux et politiques mondiales
Les États utilisent également le cyberespace à leurs propres fins.
• Piratage d'autres pays
• Interférer avec la politique intérieure
• Espionnage industriel
• Obtenir un avantage significatif sur le marché
international
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 12
Hackers
L'Internet des objets est-il protégé ?
L'Internet des objets (IoT)
• Objets connectés dans le but d'améliorer la qualité de vie.
• Par exemple : outils de suivi de la condition physique
Ces appareils sont-ils protégés ?
• Micrologiciel
• Failles de sécurité
• Mise à jour possible avec un correctif
Attaque DDoS contre un fournisseur de nom de domaine,
Dyn
• A impacté de nombreux sites web.
• Des webcams, des systèmes d'enregistrement vidéo, des
routeurs et d'autres appareils connectés à l'IoT compromis
ont formé un botnet.
• Ce botnet contrôlé par un hacker a créé une énorme attaque
DDoS qui a désactivé des services Internet essentiels.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 13
Hackers
Travaux pratiques – Tout savoir sur les attaques
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 14
Impact des menaces
PII et PHI
Les informations personnelles identifiables (PII) correspondent à
l'ensemble des informations qui permettent d'identifier un individu.
• Voici quelques exemples de données personnelles : nom, numéro de
sécurité sociale, date de naissance, numéros de carte de crédit,
numéros de comptes bancaires, carte d'identité, coordonnées
(adresse postale, adresse e-mail, numéros de téléphone)
• Ces informations sont vendues sur le dark web.
• Créer de faux comptes, tels que des cartes de crédit et des prêts à
court terme.
Informations médicales protégées (PHI) - appartiennent à la
catégorie des PII :
• Crée et gère les dossiers médicaux informatisés (EMRs)
• Réglementées par la loi HIPAA (Health Insurance Portability and
Accountability Act)
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 15
Impact de la menace
Perte de l'avantage concurrentiel
Peut entraîner une perte de l'avantage concurrentiel.
• Espionnage industriel dans le cyberespace.
• Perte de la confiance des clients lorsqu'une entreprise
est incapable de protéger leurs données personnelles.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 16
Impact des menaces
Politiques et sécurité nationale
En 2016, un hacker a publié les PII de
20 000 collaborateurs du FBI et de 9 000 collaborateurs
du département de la sécurité intérieure des États-Unis.
Le ver Stuxnet a été conçu pour entraver la progression
de l'Iran dans l'enrichissement de l'uranium
• Exemple d'attaque réseau motivée par des préoccupations
en matière de sécurité nationale.
La guerre cybernétique est une piste sérieuse à
envisager.
Internet est devenu indispensable pour toute activité
commerciale et financière.
• Son interruption peut détruire l'économie d'un pays et la
sécurité de ses citoyens.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 17
Impact de la menace
Travaux pratiques – Visualiser les chapeaux noirs
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 18
1.2 Les combattants de la
guerre contre la cybercriminalité
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 19
Le centre opérationnel de sécurité moderne
Éléments d'un centre opérationnel de sécurité
Les centres opérationnels de sécurité (SOC) fournissent une large gamme de services :
• Surveillance
• Gestion
• Solutions complètes de lutte contre les menaces
• Sécurité hébergée
Les centres opérationnels de sécurité peuvent
présenter les caractéristiques suivantes :
• Ils peuvent être une structure interne détenue et
exploitée par une entreprise.
• Des éléments peuvent être sous-traités auprès de
fournisseurs de sécurité.
Principaux éléments d'un SOC :
• Personnes
• Processus
• Technologie
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 20
Le centre opérationnel de sécurité moderne
Types de collaborateurs d'un SOC
D'après le SANS Institute (www.sans.org), les collaborateurs d'un centre opérationnel de sécurité
occupent quatre types de postes :
• Analyste des alertes de niveau 1
• Gestionnaire des incidents de niveau 2
• Expert/Chasseur de niveau 3
• Responsable du centre opérationnel de
sécurité
Devinez les responsabilités de chacun
de ces rôles ?
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 21
Le centre opérationnel de sécurité moderne
Processus d'un SOC
Un analyste de niveau 1 commence par surveiller
les files d'attente d¡alertes de sécurité.
Un analyste de niveau 1 vérifie si une alerte
déclenchée dans le logiciel de demandes
d'assistance représente un incident de sécurité réel.
L'incident peut être transmis aux enquêteurs ou être
désigné comme une fausse alerte.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 22
Le centre opérationnel de sécurité moderne
Technologies d'un SOC
Systèmes de gestion des informations et des événements liés à la sécurité (SIEM) :
• Collecter et filtrer les données.
• Détecter et classer les menaces.
• Analyser et examiner les menaces.
• Implémenter des mesures préventives
• Traiter les futures menaces.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 23
Le centre opérationnel de sécurité moderne
Sécurité professionnelle et sécurité gérée
Les entreprises peuvent implémenter un centre opérationnel de sécurité professionnel
Le SOC peut présenter les caractéristiques suivantes :
• Il peut être une solution interne complète.
• Il est possible d'externaliser au moins une partie du
centre pour la confier à un fournisseur de solutions de
sécurité.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 24
Le centre opérationnel de sécurité moderne
Sécurité et disponibilité
Les réseaux d'entreprises doivent, pour la plupart, être fonctionnels en permanence.
La disponibilité est souvent mesurée en nombre de minutes d'interruptions par an. Une
disponibilité à « cinq neufs » correspond à un réseau disponible 99,999 % du temps (ou
indisponible moins
de 5 minutes par an).
Il convient de trouver un compromis entre sécurité poussée et fonctionnement efficace de
l'entreprise.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 25
Devenir un acteur de la protection
Certifications
Diverses certifications sont disponibles dans le domaine de la cybersécurité :
• CCNA Cyber Ops
• CompTIA Cybersecurity Analyst Certification (CSA+)
• (ISC)² Information Security Certifications (dont CISSP)
• Global Information Assurance Certification (GIAC)
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 26
Devenir un acteur de la protection
Formation continue
Envisagez de passer un diplôme technique ou un
master en informatique, en génie électrique, en
technologies de l'information ou en sécurité de
l'information.
La programmation informatique est une
compétence essentielle dans le domaine de la
cybersécurité.
Python est un langage de programmation open
source orienté objet. Il est couramment utilisé par
les analystes de la cybersécurité.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 27
Devenir un acteur de la protection
Sources d'informations sur les carrières
De nombreux sites web et applications mobiles diffusent des offres d'emploi dans le domaine
informatique :
• Indeed.com
• CareerBuilder.com
• USAJobs.gov
• Glassdoor.com - informations de salaire
• LinkedIn – réseau professionnel
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 28
Devenir un acteur de la protection
Acquérir de l'expérience
Façons d'acquérir de l'expérience :
• Stages
• Bourses Cisco sur la cybersécurité
• Agences de travail temporaire
• Votre premier emploi
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 29
Devenir un acteur de la protection
Travaux pratiques – Devenir un acteur de la protection
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 30
1.3 Résumé du chapitre
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 31
Récapitulatif du chapitre
Récapitulatif
Un réseau sans fil public « non autorisé » peut servir à obtenir l'accès à des données personnelles.
Les employés d'une société peuvent télécharger par inadvertance un ransomware qui pourrait entamer
le processus de collecte et de chiffrement des données de l'entreprise.
Un malware sophistiqué, le ver Stuxnet, est un exemple de la façon dont des nations peuvent être
ciblées pour tirer parti des vulnérabilités de leur infrastructure.
Les hackers amateurs causent des dommages en utilisant des outils simples disponibles en ligne.
Les hacktivistes sont des cybercriminels expérimentés qui travaillent pour de bonnes causes ou à des
fins malveillantes.
De nombreux hackers ne sont intéressés que par les gains financiers, à savoir voler de l'argent en
ligne ou voler les secrets commerciaux d'entreprises ou de pays pour les revendre.
Protéger un pays contre le cyberespionnage et la guerre cybernétique continue d'être une priorité.
N'oubliez pas les menaces pour la sécurité que représente l'Internet des objets.
PII signifie informations personnelles identifiables. PHI signifie informations médicales protégées. Les
informations PII et PHI peuvent être volées et utilisées pour accéder à des données personnelles.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 32
Récapitulatif du chapitre
Récapitulatif (suite)
Une entreprise peut perdre son avantage concurrentiel si elle n'est pas capable de protéger les PII
et qu'elle perd la confiance de ses clients.
Les hackers peuvent nuire à la sécurité nationale. Le ver Stuxnet est un bon exemple.
Les principaux éléments d'un centre opérationnel de sécurité sont les suivants : les personnes, les
processus et la technologie.
Les centres opérationnels de sécurité luttent contre la cybercriminalité.
Les postes proposés dans un centre opérationnel de sécurité sont les suivants : analystes de
niveau 1 (pour qui ce cours a été élaboré), gestionnaires des incidents de niveau 2, experts/
chasseurs de niveau 3 et responsable du centre opérationnel de sécurité.
Un analyste de niveau 1 surveille les files d'attente des alertes de sécurité. Il devra aussi vérifier
qu'une alerte correspond réellement à un incident. Après vérification, l'incident peut être transmis
aux enquêteurs ou désigné comme une fausse alerte.
Les systèmes SIEM collectent et filtrent les données, détectent et classent les menaces, analysent
et examinent les menaces, mettent en œuvre des mesures préventives et gèrent les menaces
futures.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 33
Récapitulatif du chapitre
Récapitulatif (suite)
Un SOC peut être une solution interne complète ou peut être partiellement externalisé auprès
d'un fournisseur de solutions de sécurité.
La disponibilité est souvent mesurée en nombre de minutes d'interruptions par an. Une
disponibilité à « cinq neufs » correspond à un réseau disponible 99,999 % du temps (ou
indisponible moins de 5 minutes par an).
Diverses certifications de cybersécurité sont disponibles auprès de plusieurs organismes.
Pour une carrière dans le domaine de la cybersécurité, envisagez d'obtenir une licence ou un
diplôme en technologies. Les analystes en cybersécurité doivent maîtriser la programmation
informatique. Apprendre le langage Python est un excellent point de départ.
Diverses ressources permettent de rechercher des emplois et de trouver des informations sur
la rémunération.
Pour travailler dans un centre opérationnel de sécurité, vous devez obtenir des certifications,
suivre des formations officielles et tirer parti des services pour l'emploi pour décrocher des
emplois et des stages.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 34
Chapitre 1
Nouveaux termes et nouvelles commandes
• déni de service distribué (DDoS)
• hacktivistes
• Programme malveillant
• informations personnelles identifiables (PII)
• informations médicales protégées (PHI)
• ransomware
• script kiddies (hackers néophytes)
• système de gestion des informations et des
événements liés à la sécurité (SIEM)
• centre opérationnel de sécurité (SOC)
• Responsable du centre opérationnel de sécurité
• Analyste des alertes de niveau 1
• Gestionnaire des incidents de niveau 2
• Expert/Chasseur de niveau 3
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 35
Certification en opérations de cybersécurité
Ce chapitre couvre les domaines suivants en matière de certification en opérations de
cybersécurité :
210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :
Domaine 2 : concepts de sécurité
• 2.3 Description des termes suivants :
• Hacker
• Rétro-ingénierie
• Informations personnellement identifiables
• PHI
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 36