Module 4 : Protéger l'entreprise

Bienvenue dans ce module, qui présente les différentes stratégies et outils utilisés par les
professionnels de la cybersécurité pour protéger le réseau, les données et les équipements d'une
entreprise contre la cybercriminalité.

Il suffit de lire l'actualité pour comprendre que toutes les entreprises, quels que soient leur type,
leur taille ou leur emplacement, sont exposées à une cyberattaque. Personne n'est à l'abri.

Pouvez-vous faire quelque chose pour protéger une entreprise contre une attaque ciblée ? Et
avec de nombreux acteurs du secteur de la sécurité pour qui il ne s'agit pas de « si », mais de «
quand » une faille de cybersécurité se produira, comment pouvez-vous réagir pour en limiter
l'impact ?

Ce module met en évidence les mesures que vous pouvez prendre pour vous aider à répondre à
ces questions.

4.1 Équipements et technologies de cybersécurité

Il n'existe actuellement aucun appareil de sécurité ni élément technologique qui puisse résoudre
tous les besoins en matière de sécurité du réseau. Vous devez déterminer quels outils seront les
plus efficaces dans le cadre de votre système de sécurité.

4.1.1 Appareils de sécurité

Les dispositifs de sécurité peuvent également être des outils logiciels fonctionnant sur un
périphérique réseau. Ils se répartissent en six catégories générales.

Routeurs :

Bien que les routeurs soient principalement utilisés pour interconnecter divers segments de
réseau, ils offrent généralement également des fonctionnalités de base de filtrage du trafic. Ces
informations peuvent vous aider à définir quels ordinateurs d'un segment de réseau donné
peuvent communiquer avec quels segments de réseau.

Pare-feu :

Les pare-feu analysent plus en détail le trafic réseau lui-même et identifient les comportements
malveillants à bloquer. Les pare-feu peuvent avoir des politiques de sécurité sophistiquées
appliquées au trafic qui les traverse.

Les systèmes de prévention contre les intrusions :

Les systèmes IPS utilisent un ensemble de signatures de trafic qui mettent en correspondance
et bloquent le trafic malveillant et les attaques.

Réseaux privés virtuels (VPN) :

1
Les systèmes VPN permettent aux collaborateurs distants d'utiliser un tunnel chiffré sécurisé
depuis leur terminal mobile et de se connecter en toute sécurité au réseau de l'entreprise. Les
systèmes VPN peuvent également interconnecter en toute sécurité les succursales avec le réseau
du bureau central.

Antimalware et antivirus :

Ces systèmes utilisent des signatures ou une analyse comportementale des applications pour
identifier et bloquer l'exécution de code malveillant.

Autres dispositifs de sécurité :

Les autres appareils de sécurité comprennent les appliances de sécurité web et de la messagerie,
les appareils de déchiffrement, les serveurs de contrôle d'accès client et les systèmes de gestion
de la sécurité.

4.1.2 Les appliances de sécurités ?

Vous vous demandez quel système de sécurité est mis en œuvre chez @Apollo.

Demandez au directeur de la technologie (CTO), qui vous explique que les appliances de
sécurité suivantes sont en place. Pouvez-vous identifier à quelle catégorie appartient chacun de
ces éléments ? Vous avez une chance de gagner des points pour les défenseurs, alors choisissez
vos réponses avec soin.

Sélectionnez une option dans chacune des listes déroulantes.

Le routeur Cisco ISR 4000 assure le routage, le filtrage et le chiffrement sur une même
plateforme. (Routeur, Pare-Feu, VPN, Protection contre les logiciels malveillants)

La gamme Cisco Firepower 4100 vous montre ce qui se passe sur le réseau afin que vous
puissiez réagir plus rapidement en cas de cyberattaque.(Routeur, Pare-Feu, VPN, Protection
contre les logiciels malveillants)

Cisco AnyConnect permet aux collaborateurs travaillant à distance d'accéder facilement et en

toute sécurité au réseau @Apollo, partout, à tout moment et sur tous les terminaux. (Routeur,
Pare-Feu, VPN, Protection contre les logiciels malveillants)

Cisco AMP offre une protection des terminaux de nouvelle génération, analyse et surveille en
permanence les fichiers pour détecter les comportements malveillants. (Routeur, Pare-Feu,
VPN, Protection contre les logiciels malveillants)

En résumé, les appliances de sécurité en place sont les suivantes :

• Cisco Integrated Services Router (ISR) 4000. Ces routeurs ont plusieurs
fonctionnalités de pare-feu en plus de leurs fonctions de routage, notamment le filtrage
du trafic, la capacité d'exécuter un système de prévention des intrusions (IPS), le
chiffrement, ainsi que les fonctionnalités VPN pour la mise en tunnel chiffrée et
sécurisée.

2
 • Cisco’s Firepower 4100 Series est la prochaine génération de pare-feu disposant de
toutes les capacités d'un routeur ISR, ainsi que de l'analyse et de la gestion de réseau
avancées Il peut vous aider à voir ce qui se passe sur le réseau afin de détecter les
attaques plus tôt.
• Cisco AnyConnect Secure Mobility Client est un système VPN qui permet aux
collaborateurs distants d'utiliser un tunnel chiffré sécurisé depuis leur terminal mobile
pour se connecter en toute sécurité au réseau de l'entreprise. Toutes les appliances de
sécurité Cisco sont équipées d'un serveur VPN et d'une technologie client, conçue pour
la tunnellisation chiffrée sécurisée.
• Cisco’s Advanced Malware Protection (AMP)accompagne les routeurs, les pare-feu,
les périphériques IPS, ainsi que les appliances de sécurité de la messagerie et du Web
de nouvelle génération. Cisco AMP peut également être installé en tant que logiciel sur
des ordinateurs hôtes.

4.1.3 Pare-feu

En informatique, un pare-feu est conçu pour contrôler, ou filtrer, les communications autorisées
à entrer dans un dispositif ou dans un réseau, ainsi que celles autorisées à en sortir. Un pare-feu
peut être installé sur un seul ordinateur afin de protéger cet ordinateur (pare-feu propre à un
hôte unique). Il peut également être un périphérique réseau autonome qui protège tout un réseau
d’ordinateurs et tous les appareils hôtes sur ce réseau (pare-feu basé sur le réseau).

Au fil des années, comme les attaques informatiques et les attaques du réseau sont devenues
plus sophistiquées, de nouveaux types de pare-feu ont été élaborés pour répondre à différents
objectifs dans la protection d'un réseau.

Pour en savoir plus sur les types de pare-feu courants.

Pare-feu couche réseau : Un pare-feu NAT filtre les communications en fonction des adresses
IP source et de destination.

Pare-feu couche transport : Filtrage basé sur les ports sources et de données de destination et
les états de connexion.

Pare-feu couche applicative : Filtre les communications en fonction d'une application, d'un
programme ou d'un service.

Pare-feu couche sensible au contexte : Filtres de communication basés sur l'utilisateur,

l'appareil, le rôle, le type d'application et le profil de la menace.

Serveur proxy : Filtre les requêtes de contenu web telles que les URL, les noms de domaine et
les types de médias.

Serveur proxy reverse : Placé à l'avant des serveurs Web, les serveurs proxy inverses
protègent, masquent, déchargent et distribuent l'accès aux serveurs Web.

Translation d’adresse IP (NAT) : Ce pare-feu cache ou masque les adresses privées des hôtes
réseau.

3
Pare-feu d’hôte : Filtrage des ports et des appels système sur un seul système d’exploitation
d’ordinateur.

4.1.4 Lequel des Pare-Feu utilisés ?

Le directeur de la transformation a oublié de mentionner que @Apollo a mis en place quelques

pare-feu. Sur la base des déclarations suivantes, pouvez-vous identifier à quelle catégorie de
pare-feu il s'agit ? Répondez correctement pour gagner de précieux points pour protéger
@Apollo contre les attaques.

Sélectionnez une option dans chacune des listes déroulantes.

Un petit réseau local interne avec des ordinateurs nécessite un accès à Internet à l'aide d'une
seule connexion Internet. (NAT, Par-feu d’hote, Proxy)
Par défaut, Windows essaie de bloquer l'accès aux applications exécutées sur les PC Windows
à partir d'autres ordinateurs du réseau. (NAT, Par-feu d’hote, Proxy)
Les employés qui utilisent des ordinateurs sur le réseau ne sont pas autorisés à accéder à des
URL spécifiques, telles que les sites de jeux d'argent. (NAT, Par-feu d’hote, Proxy).

Rappel :

• Un pare-feu NAT filtre les communications en fonction des adresses IP source et de

destination.
• Un serveur proxy filtre les requêtes de contenu web telles que les URL, les noms de
domaine et les types de médias.
• Un pare-feu propre à un hôte unique filtre des ports et des appels de service du
système sur le système d'exploitation d'un seul ordinateur

4.1.5 Balayage des Ports

Dans le domaine des réseaux, un identifiant appelé numéro de port est attribué à chaque
application exécutée sur un périphérique. Ce numéro de port est utilisé sur les deux extrémités
de la transmission pour que les bonnes données soient transmises vers l’application adéquate.
Le balayage des ports est un processus de sondage d’un ordinateur, d’un serveur ou d’un autre
hôte de réseau pour détecter les ports ouverts. Il est possible d’utiliser le balayage des ports de
manière malveillante en tant qu’outil de reconnaissance pour identifier le système
d’exploitation et les services exécutés sur un ordinateur ou sur un hôte. Un administrateur
réseau peut également l’utiliser de façon inoffensive pour vérifier les politiques de sécurité du
réseau.

Pour savoir comment effectuer une analyse des ports sur un ordinateur de votre réseau
domestique local.

4
A- Téléchargez et lancez un outil d'analyse des ports comme Zenmap. Saisissez l'adresse IP de
votre ordinateur, choisissez un profil d'analyse par défaut et appuyez sur « Scan ». Le balayage
présentera un rapport de tous les services en cours d’exécution et les numéros des ports.

B-L'analyse indique également l'une des réponses suivantes :

1. « Open » ou « Accepted » signifie que le port ou le service exécuté sur l'ordinateur est
accessible par d'autres périphériques réseau.
2. « Fermé », « Refusé » ou « Pas d'écoute » signifie que le port ou le service n'est pas
exécuté sur l'ordinateur et ne peut donc pas être exploité.
3. « Filtré », « Abandonné » ou « Bloqué » signifie que l'accès au port ou au service est
bloqué par un pare-feu et qu'il ne peut donc pas être exploité.

C-Pour exécuter une analyse de port depuis l'extérieur de votre réseau, vous devez l'exécuter
sur l'adresse IP publique de votre pare-feu ou de votre routeur.

Saisissez la question « Quelle est mon adresse IP ?». Dans un moteur de recherche tel que
Google pour trouver ces informations.

Accédez au scanner de ports en ligne Nmap, saisissez votre adresse IP publique dans la zone
de saisie et appuyez sur « Quick Nmap Scan ». Si la réponse pour l’un des ports est : 21, 22,
25, 80, 443 ou 3389, alors un transfert de port a probablement été activé sur votre routeur ou
sur votre pare-feu, et vous utilisez des serveurs sur votre réseau privé.

4.1.6 Qu'est ce que cela signifie ?

Votre supérieur hiérarchique vous demande d'évaluer la sécurité des ports et du pare-feu du
réseau informatique d'@Apollo. Vous exécutez une analyse de port, qui renvoie une réponse
d'état « ouvert ».

Complétez la phrase ci-dessous en remplissant les espaces vides dans chacune des listes
déroulantes pour comprendre ce que cela signifie.

L'analyse de port a signalé une réponse d'état "ouvert". Cela signifie que le service s'exécutant
sur le réseau est accessible par d'autres périphériques réseau. Ainsi, si le service contient une
vulnérabilité, il peut être exploité par un attaquant.

Une réponse à l'état « ouvert » signifie que le service exécuté sur le réseau est accessible par
d'autres réseaux et que si le service contient une vulnérabilité, il pourrait être exploité par
un hacker qui pourrait potentiellement accéder aux ordinateurs du réseau.

Le balayage des ports peut être considéré comme un précurseur d’une attaque réseau et ne
doit jamais, par conséquent, être effectué sur des serveurs publics sur Internet ou sans
permission sur un réseau d’entreprise.

4.1.7 Systèmes de Détection et de Prévention des Intrusions

5
Les systèmes de détection des intrusions (IDS) et les systèmes de prévention des intrusions
(IPS) sont des mesures de sécurité déployées sur un réseau pour détecter et empêcher les
activités malveillantes.

Un système de détection d’intrusion (IDS), illustré dans la figure, est un périphérique réseau
dédié ou l’un des nombreux outils dans le serveur ou dans le pare-feu qui analyse les données
par rapport à une base de données de règles ou de signatures d’attaque pour détecter un trafic
malveillant.

Si une correspondance est détectée, l’IDS enregistrera la détection et enverra une alerte à un
administrateur réseau. Il n'agira pas et n'empêchera donc pas les attaques. La fonction de l’IDS
est simplement de détecter, d’enregistrer et de rapporter.

L’analyse effectuée par l’IDS ralentit le réseau (ralentissement appelé latence). Pour éviter le
retard du réseau, un IDS est habituellement mis offline, séparé du trafic réseau normal. Les
données sont copiées ou mises en miroir par un commutateur, puis envoyées à l’IDS pour une
détection offline.

Un IPS peut bloquer ou de refuser le trafic en fonction des correspondances de règles positives
ou de signatures. Snort est l’un des systèmes IPS/IDS les plus connus. La version commerciale
de Snort appartient à la filiale Sourcefire de Cisco. Sourcefire est capable d’effectuer une
analyse en temps réel du trafic et des ports, une ouverture de session, une recherche et une mise
en correspondance de contenus. Cet outil peut également détecter les sondes, les attaques et les
balayages de ports. Sourcefire s’intègre également à d’autres outils tiers pour la création de
rapport et pour l’analyse des performances et des enregistrements.

Le logiciel n’est pas parfait. Et plus que jamais, les hackers exploitent les failles des logiciels
avant que les créateurs aient la chance de les corriger. Ce faisant, on dit que les hackers ont
perpétré une attaque de type « zero-day » !

La capacité de détecter en temps réel les attaques dès qu’elles ont lieu, ainsi que la capacité
de les arrêter immédiatement ou quelques minutes après l’événement constituent l’objectif
idéal.

4.1.8 Détection en temps réel

Malheureusement, de nombreuses entreprises et organisations actuelles ne peuvent détecter les

attaques qu’après plusieurs jours, voire même quelques mois, après l’attaque.

Faites défiler la page pour en savoir plus.

Détecter des attaques en temps réel nécessite une analyse active pour identifier les attaques en
utilisant le pare-feu et les périphériques réseau IDS/IPS. La détection des logiciels malveillants
des clients et des serveurs de prochaine génération avec des connexions aux centres de menaces
mondiaux en ligne doit également être utilisée. Aujourd’hui, les périphériques et les logiciels
d’analyse active doivent détecter les anomalies du réseau en utilisant une analyse contextuelle
et une détection de comportement.

Le DDoS est l’une des plus grandes menaces d’attaque nécessitant une détection et une réponse
en temps réel. Pour de nombreuses entreprises et organisations, les attaques DDoS survenant

6
régulièrement paralysent les serveurs Internet et la disponibilité du réseau. Il est extrêmement
difficile d’empêcher les attaques DDoS, car elles proviennent de centaines, voire de milliers
d’hôtes zombies et elles apparaissent comme du trafic légitime.

4.1.9 Se Protéger contre les Malwares

L'un des moyens de se défendre contre les attaques de type « zero-day » et les menaces
persistantes avancées (APT) est d'utiliser une solution professionnelle de détection des
malwares, comme Advanced Malware Protection (AMP) Threat Grid.

AMP est un logiciel client/serveur déployé sur des terminaux d’hôtes, comme un serveur
autonome ou sur d’autres périphériques de sécurité du réseau. Il analyse des millions de fichiers
et les met en corrélation avec des centaines de millions d’autres artefacts de logiciels
malveillants analysés pour les comportements qui révèlent un APT. Cela offre une vue globale
des attaques et campagnes de malware et de leur distribution.