27001 ISO/IEC 27001 est une norme internationale pour la gestion de la
sécurité de l'information. Elle fournit un cadre de mise en place, KILL CHAIN est essentiellement un modèle de cyber sécurite qui retrace les
d'implémentation, de maintenance et d'amélioration d'un système de
gestion de la sécurité de l'information (SGSI). Cette norme est axée
sur l'évaluation des risques et la mise en place de mesures de
sécurité appropriées.
ISO/IEC 27002 est une norme internationale qui fournit un
27002 ensemble de bonnes pratiques pour la gestion de la sécurité de
l'information. Elle établit des lignes directrices et des
recommandations pour l'établissement de politiques de sécurité, la
gestion des actifs de l'information, le contrôle d'accès, la gestion
des opérations, la sécurité physique, la gestion des communications,
etc.
27004 ISO/IEC 27004 est une norme internationale qui fournit des lignes
directrices pour la mesure et l'évaluation de la performance du
système de gestion de la sécurité de l'information (SGSI). Elle
définit des indicateurs de performance clés (KPI) et fournit des
recommandations sur la collecte, l'analyse et le reporting des
mesures de sécurité de l'information.
27005 ISO/IEC 27005 est une norme internationale qui fournit des lignes
directrices pour la gestion des risques liés à la sécurité de
l'information. Elle établit un processus d'évaluation des risques, de
traitement des risques et de décision sur les mesures de sécurité
appropriées. Cette norme permet aux organisations de prendre des
décisions éclairées en matière de gestion des risques.
27035 ISO/IEC 27035 est une norme internationale qui fournit des lignes
directrices pour la gestion des incidents de sécurité de
l'information et la réponse aux incidents. Elle établit un cadre pour
la planification, la mise en place et l'amélioration des processus de
gestion des incidents, y compris la détection, l'évaluation, la
réponse, la récupération et l'apprentissage des incidents.
27037 ISO/IEC 27037 est une norme internationale qui fournit des lignes
directrices pour la collecte, la préservation, l'analyse et la
présentation des preuves numériques. Elle définit les bonnes
pratiques pour la gestion des preuves numériques dans le cadre des
enquêtes numériques et de la réponse aux incidents de sécurité de
l'information.
N D
Les objectifs du plan sont : ✓ Fournir une stratégie de réponse cohérente
aux menaces de sécurité l'information qui mettent en danger les données et
les systèmesuniversitaires. ✓ Protéger la confidentialité, l'intégrité et la
disponibilité des systèmes, réseaux et données universitaires. ✓ Protéger le
bien-être de la communauté universitaire et minimiser les atteintes à la
réputation.
Les avantages de la planification de La réponse aux incidents : -Fournit
un processus standard pour la réponse aux incidents/Aide à répondre
rapidement et efficacement/Prépare les équipes pour les scénarios
clés/Protège les informations sensibles.
Les Normes et ses Etapes :
étapes d'une cyberattaque, identifie les vulnérabilités et aide les équipes de
sécurité à stopper les attaques à chaque étape de la chaîne.
Les phases : Reconnaissance- Armement- Livraison- Exploitation –Installation-
Commande & Contrôle- Attaque.
Les phases de iso 27035 : planification- Détection- Evaluation- Répondre
-Apprentissage.
Les etapes de NIST : préparation- Détection- Une analyse des incidents-
Réponse aux incidents- Activité post-incident.
menace persistante avancée (APT) une cyberattaque dans laquelle les pirates
travaillent ensemble en utilisant des méthodes et outils sophistiquées et avancées
pour infiltrer des systèmes et y rester souvent inaperçus pendant une longue
période
Caractéristiques (APT) : ✓ Cibles précises✓ Objectifs clairs✓Techniques
d'attaque furtives✓Attaque complexe✓ Attaquants bien organisés✓ Tentatives
répétées.
Threat Hunting peut être défini comme stratégie proactive conçue pour
trouver des menaces inconnues ou des adversaires cachés à l'intérieur d’un
réseau avant exécuter une attaque ou atteindre leurs objectifs.
L'objectif du Threat Hunting : est de surveiller les activités quotidiennes d’un
système et le trafic sur le réseau et de chercher les éventuelles anomalies pour
détecter toute activité malveillante qui a réussi à contourner les défenses d'une
organisation et qui pourrait conduire à une brèche partielle ou complète.
- Chasse par hypothèses : Axé sur l'analyse- Axé sur l'intelligence- ✓
Conscience de la situation | Chasse structurée - Chasse non structurée.
MITRE ATT&CK Framework : fournit une mine d'informations techniques
pour les chasseurs en guidant le processus de chasse avec des techniques de
détection.
Définition d’un plan de réponse aux incidents : est un plan documenté et
redigé en 6 phases distinctes qui aide les professionnels et le personnel
informatique à reconnaître et à gérer un incident de cyber sécurité comme une
violation de données.
6 étapes de réponse aux incidents : Préparation- Identification-Endiguement -
Éradication -Récupération-Leçons apprises
Qu’est ce qu’une réponse automatisée aux incidents ? • La gestion automatisée
des incidents est le processus d'automatisation de la réponse aux incidents pour
garantir que les incidents critiques sont détectés et traités de la manière la plus
efficace et la plus cohérente.Quelle est l’importance de la réponse automatisée aux
incidents ? • L'avantage fondamental de l'automatisation de la réponse aux incidents
est la rapidité. L'automatisation accélère les réponses et les tâches de routine
réduisant considérablement le temps de réponse face à une cyber menace.
Les étapes de l’automatisation de la réponse aux incidents : 1. Créer le plan de
réponse convenable au réseau à sécuriser. 2. Identifier et classer les incidents. 3.
Automatiser les actions de réponses aux incidents. 4. Évaluer et affiner
continuellement le processus d’automatisation. 5. Développer des modelés de
réponses automatisées matures.
1. AlienVault : est un système open source de gestion des informations et des
événements de sécurité (SIEM) qui se connecte aux outils de sécurité et aux systèmes
informatiques d'une organisation.
2. GRR Rapid Response : Développé par des chercheurs en sécurité de Google, est
un framework de réponse aux incidents axé sur la criminalistique en direct à distance
 MuddyWater est un groupe de menaces qui cible principalement les secteurs des télécommunications, du
gouvernement, du pétrole, de la défense et de la finance au Moyen-Orient, en Europe et en Amérique du Nord
Le framework MITRE ATT&CK est une base de connaissances accessible dans le monde entier sur les tactiques et
techniques de l'adversaire, basée sur des
observations du monde réel.