__Un incident de sécurité est une occurrence ou un évènement qui compromet le bon

fonctionnement, la sécurité d’un système d'information ou bien la modification ou la destruction

non autorisés d'informations.
__exemples d'incidents de sécurité :
✓ Modifications non autorisées des systèmes, des logiciels ou des données ✓ Accès non
autorisé ou utilisation de systèmes, de logiciels ou de données ✓ Attaque par déni de service
✓ Comptes d'utilisateurs compromis
—La cyber KILL CHAIN est essentiellement un modèle de cyber sécurité créé par Lockheed
Martin qui retrace les étapes d'une cyberattaque
__étape de kill
Reconnaissance :
• L'attaquant collecte des données sur la cible et les tactiques de l'attaque.
Armement :
• Les informations obtenues de l’étapes précédentes vont permettre de créer un moyen pour
infiltrer le système d’information de la victime.
Livraison :
• Dans cette étape, le pirate va livrer (l’arme) qui sera utilisée pour atteindre la cible
Exploitation :
• L’objectif ici est d’exploiter une vulnérabilité afin d’accéder au système d’information de la
victime.
Installation :
• Un Cheval de Troie de porte dérobée ou d'accès à distance est installé par le logiciel
malveillant qui permet à l'intrus d'accéder.
Commande & Contrôle :
• Le logiciel malveillant installé précédemment ouvre un canal de communication vers le pirate
informatique
__ ISO/IEC 27035:2011 fournit des lignes directrices sur la gestion des incidents de sécurité de
l'information pour les grandes et moyennes entreprises.
__ Présenter les étapes de cette méthode iso…

Planification:• La phase de planification est celle où l'organisation se prépare à détecter,

gérer et récupérer des attaques et autres incidents.

Détection: Lorsque des incidents surviennent, il est important d'être préparé et d'avoir un
plan pour détecter et gérer l'incident.

Evaluation: Lorsque l'alerte d'incident parvient à une personne responsable de la gestion

de l'incident

Répondre : • Afin de se remettre avec succès et efficacement d'un incident, il est

important d'être bien préparé,
 important d'être bien préparé,

Apprentissage : • Cette phase couvre le processus d'apprentissage qui suit un incident qui
s'est produit.
__ quatre phases du processus: Préparation
Détection et analyse Réponse aux des incidents incidents
Activité post-incident
APT: Une Advanced Persistent Threat est un type de piratage informatique furtif et continu,
ciblant une entité spécifique.

__Le threat hunting signifie littéralement « chasse aux menaces ». Ce terme est utilisé en
cybersécurité, et désigne le processus destiné à pallier les menaces sur le site informatique
(back et front) d'une entreprise.
__ La chasse structurée est la méthodologie la plus proactive du Threat Hunting.
La chasse non structurée débute à partir d'un déclencheur ou d'un indicateur de compromission
(IoC).
__3 étape Un processus proactif : une étape initiale de déclenchement, suivie d'une enquête
approfondie et se terminant par une résolution.
__

Que sont les incidents de sécurité ?

•Les rançongiciels
•Hameçonnage et ingénierie sociale. •Attaques par déni de service distribué (DDoS)
•Attaques de la chaîne d'approvisionnement •Menaces internes.
__ Plan de réponse aux incidents en 6 étapes
1. Se préparer avec des exercices de tri
2. Identifier la taille et la portée de l'incident
3. Contenir et isoler les appareils compromis
4. Éradiquer la ou les menaces
5. Récupérer et restaurer les services à un niveau normal
6. Tirer des leçons de l'incident et améliorer les réponses futures
__

Les avantages du threat hunting

Pourquoi le threat hunting est-il important ?
•Parce que la plupart des systèmes de sécurité traitent environ 80 % des menaces.

Quels sont les différents types de threat hunting ?

Il existe trois types de threat hunting 
1.Le threat hunting structuré
 2.Le threat hunting non structure
3.Le threat hunting axé sur une entité spécifique

__le MDR (Managed Detection and Response): il s’agit d’un outil qui surveille, identifie et
neutralise à distance les actes malveillants détectés au sein d’une entreprise.
__ •le SIEM (Security Information and Event Management):
cet outil s’occupe de la surveillance d’un environnement en temps réel.
__ CALDERA est un framework de cybersécurité développée par MITRE qui permet aux red team
d’économiser du temps
__ Quel est le but de la norme ISO/IEC 27035?
Tout d'abord, la norme ISO/IEC 27035 pose un cadre et une approche structurée de la gestion
des incidents de sécurité et aide à la mise en place d'une politique associée.
__ Qu'est-ce qu'une menace persistante avancée
Une menace persistante avancée (APT) est une cyberattaque ciblée et prolongée au cours de
laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une
période importante.
__ Citer les caractéristiques des menaces APT
accès au réseau, création et extension de l'accès, puis tout effort pour rester aussi discret que
possible jusqu'à ce que la cible soit atteinte.
__ Comparer ces 2 indicateurs : indicateurs de compromission et indicateurs de l'attaque
Un indicateur d'attaque (IOA) est un artefact numérique qui aide l'équipe de sécurité à évaluer
une compromission ou un incident de sécurité. Cependant, contrairement aux indicateurs de
compromission, les indicateurs d'attaque sont par nature actifs et se concentrent sur
l'identification d'une cyberattaque en cours.