Cybersécurité Et Centres Opérationnels de Sécurité

Chapitre
1 : Cybersécurité et
centre opérationnel de sécurité
Cybersecurity Operations v1.1
Chapitre 1 – Sections et objectifs
 1.1 Le danger
• Expliquer pourquoi les réseaux et les données sont la cible d'attaques.
• Décrire les spécificités de divers exemples d'incidents de cybersécurité.
• Expliquer les raisons qui motivent les hackers qui sont à l'origine d'incidents de sécurité spécifiques.
• Expliquer l'impact potentiel des attaques de sécurité du réseau.
 1.2 Les combattants de la guerre contre la cybercriminalité
• Expliquer comment se préparer à une carrière dans les opérations de cybersécurité.
• Expliquer la mission du centre opérationnel de sécurité (SOC).
• Décrire les ressources disponibles pour se préparer à une carrière dans les opérations de cybersécurité.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
1.1 Le danger
Histoires de guerre
Victimes de piratage
 Un hacker configure un point d'accès public ouvert sans fil non autorisé qui se fait passer pour un
réseau sans fil légitime.
 Une cliente se connecte au site web de sa banque.
 Le hacker pirate sa session.
 Il a maintenant accès aux comptes bancaires de
cette cliente.
Histoires de guerre
Entreprises touchées par un ransomware
 Un collaborateur reçoit un e-mail qui semble provenir de son PDG et qui est accompagné d'un
fichier PDF.
 Un ransomware s'installe sur l'ordinateur de cet employé.
 Ce ransomware collecte et chiffre les
informations de l'entreprise.
 Le hacker conserve les données de l'entreprise
jusqu'à ce qu'une rançon lui soit versée.
Histoires de guerre
Pays ciblés
 Ver Stuxnet
• Systèmes d'exploitation Windows infiltrés.
• Logiciel Step 7 ciblé qui contrôle les automates programmables industriels pour endommager les
centrifugeuses dans les installations nucléaires.
• Le ver s'est propagé par le biais de clés USB infectées insérées dans les automates et a endommagé
bon nombre de ces centrifugeuses.
Travaux pratiques
Travaux pratiques – Installer le poste de travail virtuel CyberOps
Histoires de guerre
Travaux pratiques – Études de cas relatives à la cybersécurité
Hackers
Amateurs
 Appelés script kiddies (hackers néophytes).
 Ont peu ou pas de compétences.
 Utilisent souvent des outils ou des instructions
trouvées sur Internet pour lancer des attaques.
Hackers
Les hacktivistes
 Protester contre les organisations ou les administrations
• Publier des articles et des vidéos.
• Dévoiler des informations.
• Perturber des services web avec des attaques DDoS.
Hackers
Appât du gain
 De nombreux hackers sont motivés par l'appât du gain.
 Les cybercriminels souhaitent générer de la trésorerie
• Comptes bancaires
• Données personnelles
• Toute chose dont ils peuvent tirer parti
Hackers
Secrets commerciaux et politiques mondiales
 Les États utilisent également le cyberespace à leurs propres fins.
• Piratage d'autres pays
• Interférer avec la politique intérieure
• Espionnage industriel
• Obtenir un avantage significatif sur le marché
international
Hackers
L'Internet des objets est-il protégé ?
 L'Internet des objets (IoT)
• Objets connectés dans le but d'améliorer la qualité de vie.
• Par exemple : outils de suivi de la condition physique
 Ces appareils sont-ils protégés ?
• Micrologiciel
• Failles de sécurité
• Mise à jour possible avec un correctif
 Attaque DDoS contre un fournisseur de nom de domaine,
Dyn
• A impacté de nombreux sites web.
• Des webcams, des systèmes d'enregistrement vidéo, des
routeurs et d'autres appareils connectés à l'IoT compromis
ont formé un botnet.
• Ce botnet contrôlé par un hacker a créé une énorme attaque
DDoS qui a désactivé des services Internet essentiels.
Hackers
Travaux pratiques – Tout savoir sur les attaques
Impact des menaces
PII et PHI
 Les informations personnelles identifiables (PII) correspondent à
l'ensemble des informations qui permettent d'identifier un individu.
• Voici quelques exemples de données personnelles : nom, numéro de
sécurité sociale, date de naissance, numéros de carte de crédit,
numéros de comptes bancaires, carte d'identité, coordonnées
(adresse postale, adresse e-mail, numéros de téléphone)
• Ces informations sont vendues sur le dark web.
• Créer de faux comptes, tels que des cartes de crédit et des prêts à
court terme.
 Informations médicales protégées (PHI) - appartiennent à la
catégorie des PII :
• Crée et gère les dossiers médicaux informatisés (EMRs)
• Réglementées par la loi HIPAA (Health Insurance Portability and
Accountability Act)
Impact de la menace
Perte de l'avantage concurrentiel
 Peut entraîner une perte de l'avantage concurrentiel.
• Espionnage industriel dans le cyberespace.
• Perte de la confiance des clients lorsqu'une entreprise
est incapable de protéger leurs données personnelles.
Impact des menaces
Politiques et sécurité nationale
 En 2016, un hacker a publié les PII de
20 000 collaborateurs du FBI et de 9 000 collaborateurs
du département de la sécurité intérieure des États-Unis.
 Le ver Stuxnet a été conçu pour entraver la progression
de l'Iran dans l'enrichissement de l'uranium
• Exemple d'attaque réseau motivée par des préoccupations
en matière de sécurité nationale.
 La guerre cybernétique est une piste sérieuse à
envisager.
 Internet est devenu indispensable pour toute activité
commerciale et financière.
• Son interruption peut détruire l'économie d'un pays et la
sécurité de ses citoyens.
Impact de la menace
Travaux pratiques – Visualiser les chapeaux noirs
1.2 Les combattants de la
guerre contre la cybercriminalité
Le centre opérationnel de sécurité moderne
Éléments d'un centre opérationnel de sécurité
 Les centres opérationnels de sécurité (SOC) fournissent une large gamme de services :
• Surveillance
• Gestion
• Solutions complètes de lutte contre les menaces
• Sécurité hébergée
 Les centres opérationnels de sécurité peuvent
présenter les caractéristiques suivantes :
• Ils peuvent être une structure interne détenue et
exploitée par une entreprise.
• Des éléments peuvent être sous-traités auprès de
fournisseurs de sécurité.
 Principaux éléments d'un SOC :
• Personnes
• Processus
• Technologie
Types de collaborateurs d'un SOC
 D'après le SANS Institute (www.sans.org), les collaborateurs d'un centre opérationnel de sécurité
occupent quatre types de postes :
• Analyste des alertes de niveau 1
• Gestionnaire des incidents de niveau 2
• Expert/Chasseur de niveau 3
• Responsable du centre opérationnel de
sécurité
 Devinez les responsabilités de chacun
de ces rôles ?
Processus d'un SOC
 Un analyste de niveau 1 commence par surveiller
les files d'attente d¡alertes de sécurité.
 Un analyste de niveau 1 vérifie si une alerte
déclenchée dans le logiciel de demandes
d'assistance représente un incident de sécurité réel.
 L'incident peut être transmis aux enquêteurs ou être
désigné comme une fausse alerte.
Technologies d'un SOC
 Systèmes de gestion des informations et des événements liés à la sécurité (SIEM) :
• Collecter et filtrer les données.
• Détecter et classer les menaces.
• Analyser et examiner les menaces.
• Implémenter des mesures préventives
• Traiter les futures menaces.
Sécurité professionnelle et sécurité gérée
 Les entreprises peuvent implémenter un centre opérationnel de sécurité professionnel
 Le SOC peut présenter les caractéristiques suivantes :
• Il peut être une solution interne complète.
• Il est possible d'externaliser au moins une partie du
centre pour la confier à un fournisseur de solutions de
sécurité.
Sécurité et disponibilité
 Les réseaux d'entreprises doivent, pour la plupart, être fonctionnels en permanence.
 La disponibilité est souvent mesurée en nombre de minutes d'interruptions par an. Une
disponibilité à « cinq neufs » correspond à un réseau disponible 99,999 % du temps (ou
indisponible moins
de 5 minutes par an).
 Il convient de trouver un compromis entre sécurité poussée et fonctionnement efficace de
l'entreprise.
Devenir un acteur de la protection
Certifications
 Diverses certifications sont disponibles dans le domaine de la cybersécurité :
• CCNA Cyber Ops
• CompTIA Cybersecurity Analyst Certification (CSA+)
• (ISC)² Information Security Certifications (dont CISSP)
• Global Information Assurance Certification (GIAC)
Formation continue
 Envisagez de passer un diplôme technique ou un
master en informatique, en génie électrique, en
technologies de l'information ou en sécurité de
l'information.
 La programmation informatique est une
compétence essentielle dans le domaine de la
cybersécurité.
 Python est un langage de programmation open
source orienté objet. Il est couramment utilisé par
les analystes de la cybersécurité.
Sources d'informations sur les carrières
 De nombreux sites web et applications mobiles diffusent des offres d'emploi dans le domaine
informatique :
• Indeed.com
• CareerBuilder.com
• USAJobs.gov
• Glassdoor.com - informations de salaire
• LinkedIn – réseau professionnel
Acquérir de l'expérience
 Façons d'acquérir de l'expérience :
• Stages
• Bourses Cisco sur la cybersécurité
• Agences de travail temporaire
• Votre premier emploi
Travaux pratiques – Devenir un acteur de la protection
1.3 Résumé du chapitre
Récapitulatif du chapitre
Récapitulatif
 Un réseau sans fil public « non autorisé » peut servir à obtenir l'accès à des données personnelles.
 Les employés d'une société peuvent télécharger par inadvertance un ransomware qui pourrait entamer
le processus de collecte et de chiffrement des données de l'entreprise.
 Un malware sophistiqué, le ver Stuxnet, est un exemple de la façon dont des nations peuvent être
ciblées pour tirer parti des vulnérabilités de leur infrastructure.
 Les hackers amateurs causent des dommages en utilisant des outils simples disponibles en ligne.
 Les hacktivistes sont des cybercriminels expérimentés qui travaillent pour de bonnes causes ou à des
fins malveillantes.
 De nombreux hackers ne sont intéressés que par les gains financiers, à savoir voler de l'argent en
ligne ou voler les secrets commerciaux d'entreprises ou de pays pour les revendre.
 Protéger un pays contre le cyberespionnage et la guerre cybernétique continue d'être une priorité.
 N'oubliez pas les menaces pour la sécurité que représente l'Internet des objets.
 PII signifie informations personnelles identifiables. PHI signifie informations médicales protégées. Les
informations PII et PHI peuvent être volées et utilisées pour accéder à des données personnelles.
Récapitulatif (suite)
 Une entreprise peut perdre son avantage concurrentiel si elle n'est pas capable de protéger les PII
et qu'elle perd la confiance de ses clients.
 Les hackers peuvent nuire à la sécurité nationale. Le ver Stuxnet est un bon exemple.
 Les principaux éléments d'un centre opérationnel de sécurité sont les suivants : les personnes, les
processus et la technologie.
 Les centres opérationnels de sécurité luttent contre la cybercriminalité.
 Les postes proposés dans un centre opérationnel de sécurité sont les suivants : analystes de
niveau 1 (pour qui ce cours a été élaboré), gestionnaires des incidents de niveau 2, experts/
chasseurs de niveau 3 et responsable du centre opérationnel de sécurité.
 Un analyste de niveau 1 surveille les files d'attente des alertes de sécurité. Il devra aussi vérifier
qu'une alerte correspond réellement à un incident. Après vérification, l'incident peut être transmis
aux enquêteurs ou désigné comme une fausse alerte.
 Les systèmes SIEM collectent et filtrent les données, détectent et classent les menaces, analysent
et examinent les menaces, mettent en œuvre des mesures préventives et gèrent les menaces
futures.
Récapitulatif (suite)
 Un SOC peut être une solution interne complète ou peut être partiellement externalisé auprès
d'un fournisseur de solutions de sécurité.
 La disponibilité est souvent mesurée en nombre de minutes d'interruptions par an. Une
disponibilité à « cinq neufs » correspond à un réseau disponible 99,999 % du temps (ou
indisponible moins de 5 minutes par an).
 Diverses certifications de cybersécurité sont disponibles auprès de plusieurs organismes.
 Pour une carrière dans le domaine de la cybersécurité, envisagez d'obtenir une licence ou un
diplôme en technologies. Les analystes en cybersécurité doivent maîtriser la programmation
informatique. Apprendre le langage Python est un excellent point de départ.
 Diverses ressources permettent de rechercher des emplois et de trouver des informations sur
la rémunération.
 Pour travailler dans un centre opérationnel de sécurité, vous devez obtenir des certifications,
suivre des formations officielles et tirer parti des services pour l'emploi pour décrocher des
emplois et des stages.
Chapitre 1
Nouveaux termes et nouvelles commandes
• déni de service distribué (DDoS)
• hacktivistes
• Programme malveillant
• informations personnelles identifiables (PII)
• informations médicales protégées (PHI)
• ransomware
• script kiddies (hackers néophytes)
• système de gestion des informations et des
événements liés à la sécurité (SIEM)
• centre opérationnel de sécurité (SOC)
• Responsable du centre opérationnel de sécurité
• Analyste des alertes de niveau 1
• Gestionnaire des incidents de niveau 2
• Expert/Chasseur de niveau 3
Certification en opérations de cybersécurité
Ce chapitre couvre les domaines suivants en matière de certification en opérations de
cybersécurité :
210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :
 Domaine 2 : concepts de sécurité
• 2.3 Description des termes suivants :
• Hacker
• Rétro-ingénierie
• Informations personnellement identifiables
• PHI

Cybersécurité Et Centres Opérationnels de Sécurité

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cybersécurité Et Centres Opérationnels de Sécurité

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre

Vous aimerez peut-être aussi