Académique Documents
Professionnel Documents
Culture Documents
Previously, you learned about the eight Certified Information Systems Security
Professional (CISSP) security domains. The domains can help you better understand how
a security analyst's job duties can be organized into categories. Additionally, the domains
can help establish an understanding of how to manage risk. In this reading, you will learn
about additional methods of attack. You’ll also be able to recognize the types of risk these
attacks present.
Traduction
Auparavant, vous avez appris les huit domaines de sécurité du Certifie Information
System Security Professional (CISSP). Ces domaines peuvent vous aider à mieux
comprendre comment les tâches d'un analyste de sécurité peuvent être organisées en
catégories. De plus, les domaines peuvent contribuer à établir une compréhension de la
manière de gérer les risques. Dans cette lecture, vous découvrirez d'autres méthodes
d'attaque. Vous serez également en mesure de reconnaître les types de risques que ces
attaques présentent.
Attack types
Password attack
A password attack is an attempt to access password-secured devices, systems,
networks, or data. Some forms of password attacks that you’ll learn about later in the
certificate program are:
• Brute force
• Rainbow table
Password attacks fall under the communication and network security domain.
Traduction
Attaque par mot de passe Une attaque par mot de passe est une tentative d'accéder à des dispositifs,
systèmes, réseaux ou données sécurisés par un mot de passe. Certaines formes d'attaques par mot
de passe que vous apprendrez ultérieurement dans le programme de certification sont les suivantes
:
Traduction
Attaque par ingénierie sociale L'ingénierie sociale est une technique de manipulation qui exploite les
erreurs humaines pour obtenir des informations privées, un accès ou des objets de valeur. Certaines
formes d'attaques par ingénierie sociale que vous continuerez à apprendre tout au long du
programme sont les suivantes :
• Phishing (hameçonnage)
• Smishing (hameçonnage par SMS)
• Vishing (hameçonnage vocal)
• Spear phishing (hameçonnage ciblé)
• Whaling (hameçonnage de haut niveau)
• Phishing sur les réseaux sociaux
• Business Email Compromise (BEC) (escroquerie par compromission de messagerie
professionnelle)
• Attaque du point d'eau (watering hole attack)
• USB baiting (hameçonnage par clé USB)
• Ingénierie sociale physique
Les attaques par ingénierie sociale sont liées au domaine de la sécurité et de la gestion des risques.
Physical attack
A physical attack is a security incident that affects not only digital but also physical
environments where the incident is deployed. Some forms of physical attacks are:
Supply-chain attack
A supply-chain attack targets systems, applications, hardware, and/or software to locate a
vulnerability where malware can be deployed. Because every item sold undergoes a process
that involves third parties, this means that the security breach can occur at any point in the
supply chain. These attacks are costly because they can affect multiple organizations and
the individuals who work for them. Supply-chain attacks can fall under several domains,
including but not limited to the security and risk management, security architecture and
engineering, and security operations domains.
Cryptographic attack
A cryptographic attack affects secure forms of communication between a sender and
intended recipient. Some forms of cryptographic attacks are:
• Birthday
• Collision
• Downgrade
Cryptographic attacks fall under the communication and network security domain.
Key takeaways
The eight CISSP security domains can help an organization and its security team fortify
against and prepare for a data breach. Data breaches range from simple to complex and fall
under one or more domains. Note that the methods of attack discussed are only a few of
many. These and other types of attacks will be discussed throughout the certificate
program.
Traduction
Attaque de la chaîne d'approvisionnement Une attaque de la chaîne
d'approvisionnement cible les systèmes, les applications, le matériel et/ou les logiciels
pour repérer une vulnérabilité où des logiciels malveillants peuvent être déployés. Étant
donné que chaque article vendu passe par un processus impliquant des tiers, cela
signifie que la violation de la sécurité peut survenir à n'importe quel point de la chaîne
d'approvisionnement. Ces attaques sont coûteuses car elles peuvent affecter plusieurs
organisations et les individus qui y travaillent. Les attaques de la chaîne
d'approvisionnement peuvent relever de plusieurs domaines, notamment la sécurité et
la gestion des risques, l'architecture et l'ingénierie de la sécurité, et les opérations de
sécurité, entre autres.
Attaque cryptographique Une attaque cryptographique affecte les formes sécurisées de
communication entre un expéditeur et un destinataire prévu. Certaines formes
d'attaques cryptographiques sont les suivantes :
• Birthday (anniversaire)
• Collision
• Downgrade (déclassement)
Les attaques cryptographiques relèvent du domaine de la communication et de la
sécurité des réseaux.
Points clés à retenir Les huit domaines de sécurité du CISSP peuvent aider une
organisation et son équipe de sécurité à se fortifier contre les violations de données et à
se préparer à de telles situations. Les violations de données vont du simple au complexe
et relèvent d'un ou de plusieurs domaines. Notez que les méthodes d'attaque discutées
ne sont que quelques-unes parmi de nombreuses autres. Ces types d'attaques et
d'autres seront abordés tout au long du programme de certification.
Ressources pour en savoir plus Pour consulter des informations détaillées et des
définitions des termes abordés dans cette lecture, visitez le glossaire du National
Institute of Standards and Technology (NIST).
Conseil professionnel : Si vous ne parvenez pas à trouver un terme dans le glossaire du
NIST, saisissez le terme de recherche approprié (par exemple, "attaque de sécurité
informatique par anniversaire") dans votre moteur de recherche préféré pour trouver
la définition dans une autre source fiable, telle qu'un site .edu ou .gov.