Académique Documents
Professionnel Documents
Culture Documents
Objectifs du module
Les cybercriminels s'introduisent dans les systèmes informatiques pour diverses raisons. C’est
pourquoi il est capital de comprendre comment et pourquoi ils attaquent et exploitent les failles
des systèmes. Comme le dit Sun Tzu dans l'Art de la guerre : "Connais ton ennemi et connais-toi
toi-même, eusses-tu cent guerres à soutenir, cent fois tu seras victorieux. Si tu ignores ton
ennemi et que tu te connais toi-même, tes chances de perdre et de gagner seront égales.", les
professionnels de la sécurité doivent protéger les infrastructures contre l'exploitation des failles
de sécurité en connaissant l'ennemi (c.-à-d. les pirates informatiques) qui cherche à atteindre ces
infrastructures dans le cadre de ses activités illégales.
Ce module débute par un aperçu du besoin de sécurité et des vecteurs de menace émergents, et
donne un aperçu des différents composants de la sécurité de l'information. Le module aborde
ensuite les types et les catégories d'attaques et se termine par un aperçu des lois et
réglementations en matière de sécurité de l'information.
À l'issue de ce module, vous serez en mesure de :
▪ Comprendre pourquoi la sécurité informatique est nécessaire.
▪ Décrire les piliers de la sécurité de l'information.
▪ Décrire le triangle sécurité, fonctionnalité, convivialité.
▪ Expliquer les raisons, les buts et les objectifs des attaques informatiques.
▪ Expliquer les différentes catégories d'attaques.
▪ Décrire les vecteurs d'attaque sur les systèmes informatiques.
▪ Connaître les lois et règlements en matière de sécurité de l'information.
Module Flow
Discuss Information
Security Fundamentals
Discuss Various
Information Security
Laws and Regulations
Authenticity Non-Repudiation
Refers to the characteristic of a communication, A guarantee that the sender of a message cannot
document, or any data that ensures the quality later deny having sent the message and that the
of being genuine recipient cannot deny having received the message
Security Usability
(Restrictions) (GUI)
Fragmented and complex Compliance issues due to the Relocation of sensitive data from
privacy and data protection implementation of Bring Your Own legacy data centers to the cloud
regulations Device (BYOD) policies in companies without proper configuration
A motive originates out of the notion that the target system stores or processes something valuable,
and this leads to the threat of an attack on the system
Attackers try various tools and attack techniques to exploit vulnerabilities in a computer system or its
security policy and controls in order to fulfil their motives
Active Attacks
➢ Tamper with the data in transit or disrupt the communication or services between
the systems to bypass or break into secured systems
➢ Examples include DoS, Man-in-the-Middle, session hijacking, and SQL injection
Close-in Attacks
➢ Are performed when the attacker is in close physical proximity with the target
system or network in order to gather, modify, or disrupt access to information
➢ Examples include social engineering such as eavesdropping, shoulder surfing,
and dumpster diving
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Cloud computing is an An attack that is The most prevalent Restricts access to Focus of attackers has
on-demand delivery of focused on stealing networking threat the computer shifted to mobile
IT capabilities where information from that are capable of system’s files and devices due to
sensitive data of the victim machine infecting a network folders and demands increased adoption of
organizations, and their without the user within seconds an online ransom mobile devices for
clients is stored. Flaw in being aware of it payment to the business and personal
one client’s application malware creator(s) in purposes and
cloud allow attackers to order to remove the comparatively lesser
access other client’s data restrictions security controls
A huge network of An attack performed The practice of Attackers target web IoT devices
the compromised on a corporate sending an applications to steal include many
systems used by an network or on a illegitimate email credentials, set up software
intruder to perform single computer by falsely claiming to be phishing site, or applications that
various network an entrusted person from a legitimate site acquire private are used to
attacks (insider) who has in an attempt to information to access the device
authorized access to acquire a user’s threaten the remotely
the network personal or account performance of the Flaws in the IoT
information website and hamper devices allows
its security attackers access
into the device
remotely and
perform various
attacks
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Discuss Information
Security Fundamentals
Discuss Various
Information Security
Laws and Regulations
Build and Maintain a Secure Network Implement Strong Access Control Measures
https://www.pcisecuritystandards.org
Failure to meet the PCI DSS requirements may result in fines or the termination of payment card processing privileges
Le non-respect des exigences de la norme PCI DSS peut entraîner des amendes ou la résiliation
des autorisations d'utilisation des cartes de paiement.
ISO/IEC 27001:2013
❑ Specifies the requirements for establishing, implementing, maintaining, and continually improving an
information security management system within the context of the organization
❑ It is intended to be suitable for several different types of use, including:
Use within organizations to formulate security Identification and clarification of existing information
requirements and objectives security management processes
Use within organizations to ensure that security Use by organization management to determine the status
risks are cost-effectively managed of information security management activities
Definition of new information security management Use by organizations to provide relevant information
processes about information security to customers
https://www.iso.org
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
ISO/IEC 27001:2013
Source : https://www.iso.org
L'ISO/CEI 27001:2013 définit les exigences pour établir, mettre en œuvre, maintenir et améliorer
de manière continue un système de management de la sécurité des informations (SMSI) dans le
contexte d'une organisation. Elle comprend des exigences pour l'évaluation et le traitement des
risques de sécurité de l'information adaptées aux besoins de l'organisation.
La norme est conçue pour être adaptée à plusieurs utilisations différentes, notamment :
▪ L'utilisation au sein des organisations pour formuler des exigences et des objectifs de
sécurité.
▪ L'utilisation au sein des organisations comme moyen de s'assurer que les risques en
matière de sécurité sont gérés de manière optimale en termes de coûts.
▪ L'utilisation au sein des organisations pour assurer la conformité aux lois et aux
règlements.
▪ La définition de nouveaux processus de gestion de la sécurité de l'information.
▪ L'identification et la clarification des processus de gestion de la sécurité de l'information
existants.
▪ L'utilisation par la direction des organisations pour déterminer où en sont les mesures de
gestion de la sécurité de l'information.
▪ La mise en œuvre d'une sécurité de l'information adaptée aux besoins de l'entreprise.
▪ L'utilisation par les organisations pour fournir aux clients des informations pertinentes sur
la sécurité de l'information.
Health Insurance Portability and Accountability
Act (HIPAA)
HIPAA's Administrative Simplification Statute and Rules
Electronic
Requires every provider who does business electronically to use the
Transaction and
same health care transactions, code sets, and identifiers
Code Set Standards
❑ Enacted in 2002, the Sarbanes-Oxley Act is designed to protect investors and the public by increasing
the accuracy and reliability of corporate disclosures
❑ The key requirements and provisions of SOX are organized into 11 titles:
Title V
Analyst Conflicts of Interest consist of measures designed to help restore investor
confidence in the reporting of securities analysts
Title VI
Commission Resources and Authority defines practices to restore investor
confidence in securities analysts
Title VII
Studies and Reports includes the effects of the consolidation of public accounting
firms, the role of credit rating agencies in the operation of securities markets,
securities violations and enforcement actions, and whether investment banks
assisted Enron, Global Crossing, or others to manipulate earnings and obfuscate
true financial conditions
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Sarbanes Oxley Act (SOX) (Cont’d)
Title VIII
Corporate and Criminal Fraud Accountability describes specific criminal penalties for fraud
by the manipulation, destruction, or alteration of financial records, or other interference
with investigations while providing certain protections for whistle-blowers
Title X
White Collar Crime Penalty Enhancement increases the criminal penalties
associated with white-collar crimes and conspiracies. It recommends stronger
sentencing guidelines and specifically adds the failure to certify corporate
financial reports as a criminal offense
Title IX
Corporate Tax Returns states that the Chief Executive Officer should sign the
company tax return
Title XI
Corporate Fraud Accountability identifies corporate fraud and record tampering as
criminal offenses and assigns them specific penalties. It also revises sentencing
guidelines and strengthens their penalties. This enables the SEC to temporarily freeze
large or unusual payments
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
❑ The DMCA is a United States copyright law that implements two 1996 treaties of the World
Intellectual Property Organization (WIPO)
It includes
➢ Standards for categorizing information and information systems by
mission impact
➢ Standards for minimum security requirements for information and
information systems
➢ Guidance for selecting appropriate security controls for information
systems
➢ Guidance for assessing security controls in information systems and
determining security control effectiveness
➢ Guidance for security authorization of information systems
https://csrc.nist.gov
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Loi sur la protection des données 2018 (Data Protection Act 2018 ou DPA)
Source : https://www.legislation.gov.uk
La DPA 2018 définit le cadre de la loi sur la protection des données au Royaume-Uni. Elle actualise
et remplace la loi sur la protection des données de 1998 et est entrée en vigueur le 25 mai 2018.
Elle a été modifiée le 01 janvier 2021 par des règlements pris en vertu de la loi de 2018 sur l'Union
européenne (retrait) afin de refléter le statut du Royaume-Uni en dehors de l'UE.
La DPA est une loi visant à réglementer le traitement des informations relatives aux individus, à
prendre des dispositions concernant les fonctions de Commissaire à l'Information en vertu de
règlements spécifiques relatifs à l'information, à prendre des dispositions pour un code de
pratique de marketing direct et à des fins connexes. La DPA établit également des règles de
protection des données distinctes pour les autorités chargées de l'application de la loi, étend la
protection des données à certains autres domaines tels que la sécurité nationale et la défense,
et définit les fonctions et les pouvoirs du Commissaire à l'Information.
Protection des données à caractère personnel
1. La DPA protège les individus en ce qui concerne le traitement des données à caractère
personnel, en particulier en :
a. Exigeant que les données personnelles soient traitées de manière légale et équitable,
sur la base du consentement de la personne concernée ou d'une autre base spécifiée,
b. En conférant à la personne concernée le droit d'obtenir des informations sur le
traitement des données personnelles et d'exiger la rectification des données
personnelles inexactes, et
c. Confèrent des fonctions au Commissaire à l'Information, donnant au titulaire de cette
fonction la responsabilité de surveiller et de faire respecter leurs dispositions.
2. Lorsqu'il exerce les fonctions prévues par le RGPD, le RGPD appliqué et la présente loi, le
Commissaire doit tenir compte de l'importance d'assurer un niveau approprié de
protection des données à caractère personnel, en tenant compte des intérêts des
personnes concernées, des responsables du traitement et des autres intéressés, ainsi que
des questions d'intérêt public général.
Cyber Law in Different Countries
Country
Laws/Acts Website
Name
Section 107 of the Copyright Law mentions the doctrine of
“fair use” https://www.copyright.gov
Online Copyright Infringement Liability Limitation Act
Résumé du module
Ce module a abordé le caractère nécessaire de la sécurité, les piliers de la sécurité de
l'information, le triangle sécurité, fonctionnalité, convivialité, et les défis de la sécurité. Il a
couvert en détail les motifs, les buts et les objectifs des attaques informatiques et a également
abordé la classification des attaques et les vecteurs d'attaque sur les systèmes d'information.
Enfin, ce module s'est terminé par une présentation de différentes lois et réglementations en
matière de sécurité de l'information.
Le prochain module vous proposera une introduction aux concepts fondamentaux du hacking
éthique tels que la méthodologie de la chaîne de frappe cyber, les concepts du hacking, les
catégories de hackeurs et les différentes phases du cycle de hacking.