Sommaire

Sommaire ................................................................................................................................................ 2
Disclaimer ................................................................................................................................................ 3
Introduction............................................................................................................................................. 3
Qui suis-je ? ............................................................................................................................................. 4
A qui s’adresse cet ebook ? ..................................................................................................................... 5
A quoi sert cet ebook ?............................................................................................................................ 5
La sécurité des systèmes d’informations ................................................................................................ 6
Les organismes d’état.............................................................................................................................. 7
Les menaces informatiques ................................................................................................................... 10
L’exfiltration de données....................................................................................................................... 12
Les coûts d’une cyberattaque ............................................................................................................... 13
Les nouvelles surfaces d’attaque .......................................................................................................... 14
L’internet des Objets ......................................................................................................................... 14
Malware Mobile (Android) ................................................................................................................ 16
Les solutions de protection ................................................................................................................... 18
Les profils types en sécurité informatique ............................................................................................ 25
Allez plus loin......................................................................................................................................... 28

2/28
Disclaimer

Les informations contenues dans cet ebook relatives aux produits et services fournis sont
publiées à titre purement informatif. Aucune garantie ne peut être donnée quant à
l’exactitude et à l’exhaustivité des informations diffusées. Toutes les informations disponibles
dans cet ebook ont un caractère exclusivement indicatif. Ces informations sont issues des
meilleures sources et sont fournies de bonne foi néanmoins elles ne sauraient pas engager
notre responsabilité.

Les informations contenues dans cet ebook ne constituent ni en totalité ni en partie un service
de conseil en sécurité informatique. Over Shell ne pourrait être tenu responsable de toutes
actions réalisées sur une information mentionnée dans cet ebook. Over Shell décline toute
responsabilité en cas de tentatives d’intrusions ou d’acte malveillant causées par l’utilisation
des informations fournies.

Introduction

L’utilisation de technologies connectées au sein de notre quotidien est de plus en plus

présente. Rares sont les personnes à ne pas avoir de téléphone portable ou de connexion
internet chez elle.
Toutes ces nouvelles fonctionnalités offrent de grandes opportunités à condition qu’elles
soient parfaitement maitrisées. Ce guide a pour vocation à initier les personnes qui le
souhaitent au monde de la sécurité des systèmes d’information.
Un milieu trop souvent mis de côté car décrié comme étant réservés à des « geeks » enfermés
dans des caves. Aujourd’hui je souhaite vous montrer que ce domaine a bien changé et que
vous pourrez y faire carrière si vous le voulez.

3/28
Qui suis-je ?

BROUTY MICKAEL
Passionné d'informatique et de
nouvelles technologies depuis des
années, j'ai développé une réelle
addiction par la connaissance du
milieu de la sécurité informatique

J'ai débuté l'informatique à mon tout jeune âge. Passionné par ce domaine je n'ai cessé d'être
en quête de savoir pour étancher ma soif de curiosité. Le domaine de la cybersécurité étant
novateur et en perpétuelle évolution, il m’a permis de m’épanouir pleinement.
J’ai fréquenté très tôt des hackerspaces, lieu d’échanges et de bidouilles en tout genre. J’ai eu
la chance de rencontrer des personnes qui m’ont permis d’intégrer l’un des plus grands clubs
de sécurité de France.
À mes débuts il n’y avait pas de formation dans le domaine de la sécurité des systèmes
d’information. C’est pourquoi j’ai fait le choix de me former en autodidacte pendant plus de
3 ans. Formule payante qui m’a permise de donner ensuite des cours en école d’ingénieur sur
cette thématique.
À la fin de mes études, j’ai rejoint un cabinet d’audit qui m’a permis de créer un pôle complet
dédié à ma spécialisation, le test d’intrusion. 3 ans plus tard je gère et forme une équipe de
plusieurs auditeurs dans ce domaine.
Je souhaite vous partager mes connaissances et compétences pour que vous puissiez obtenir
le mentorat que je n’ai pas eu.

4/28
À qui s’adresse cet ebook ?

Cet ebook s’adresse à toutes les personnes qui souhaitent découvrir le monde de la
cybersécurité.
Que vous ayez envie de faire carrière dans ce domaine ou que vous soyez intéressé par cette
thématique, vous y trouverez votre compte.
Dans ce document vous n’apprendrez pas à pirater Facebook ou Gmail. Les informations
apportées dans ce document sont pour les personnes qui souhaitent apprendre, comprendre
ce qu’est réellement la sécurité des systèmes d’information.
Vous n’avez pas besoin de bagage technique pour le lire ni de maitriser de compétences
particulières en informatique. Des bases vous aideront dans la compréhension du sujet.

À quoi sert cet ebook ?

Cet ebook permet de présenter le milieu de la sécurité des systèmes d’information à tous ceux
qui souhaitent démystifier ce domaine. De dans vous retrouverez des définitions mais aussi
une compréhension de ce secteur. N’ayez crainte ce n’est plus facile qu’il n’y parait.

5/28
La sécurité des systèmes d’information

Avant toute chose il est nécessaire d’apporter une précision. La sécurité informatique est
différente des systèmes d’information.

Cette précision se vérifie dans le milieu professionnel où la gestion de l’entreprise se

dématérialise de plus en plus. Ces flux transitent par des canaux de communications
différents. Ces échanges se doivent d’être sécurisés.

Combien de grandes sociétés ont récemment été piratées par un groupe de personnes ?
Aucune organisation n’est insubmersible. 81% des entreprises françaises ont été visées par
une cyberattaque en 2015. (Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-
connaitre/) On peut aussi le constater avec le piratage de comptes e-mail du ministère
tchèque (Janvier 2017) ou encore le piratage des flux financiers de la banque centrale du
Bangladesh (Avril 2016).

On estime le préjudice à environ 4,6 millions d’euros pour l’intrusion dans le système de TV5
monde. (Source : https://www.lesechos.fr/03/03/2016/lesechos.fr/021737716184_cyber-
attaque---tv5-chiffre-le-surcout-a-4-6-millions-d-euros-pour-2015.htm)

La cybercriminalité est en plein essor et les entreprises veulent se protéger contre cela.
Durant des années la réponse à cette question a été l’installation de nombreux boitiers de
sécurité comme les pare-feux et antivirus. Les sociétés pensaient qu’en achetant une solution
tout-en-un ils seraient protégés. Avec le temps on peut s’apercevoir que ce n’est pas le cas.
Aujourd’hui, chaque entreprise sait qu’elle fera l’objet d’une intrusion un jour ou un autre.

6/28
Les organismes d’état

L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la

communication (OCLCTIC) est l'organisme de la police française dédié à la lutte contre la
cybercriminalité. Il a été créé en mai 2000 en remplacement de la BCRCI (Brigade centrale de
répression de la criminalité informatique).

Il est chargé de lutter contre toutes les formes de délinquance apparues avec l'avènement
des nouvelles technologies de l'information et de la communication (informatique,
téléphonie et cartes bancaires), que celles-ci soient liées ou facilitées par ces dernières.

Les principales missions de ce service sont :

• Les intrusions informatiques ;

• Les escroqueries informatiques ;
• Contrefaçon de cartes bancaires ;
• Les fraudes aux opérateurs de communications électroniques
• Point de contact Interpol ;
• Assistance technique aux services de police ;
• Analyse criminelle ;
• La veille technologique ;
• Plateforme de signalement Internet ;
• Plateforme info escroqueries
• Formation.

D’autres organisations gouvernementales ont été créées en France. Celle qui sert de
référentiel à toutes les entreprises est l’ANSSI (Agence Nation de Sécurité des Systèmes
d’Information). Celle-ci rédige des politiques de sécurité1, des directives2 et de bonnes
pratiques à respecter pour se prémunir contre le tout-venant.

L'agence assure la mission d'autorité nationale en matière de sécurité des systèmes

d'information. À ce titre elle est chargée de proposer les règles à appliquer pour la protection
des systèmes d’information de l'État et de vérifier l'application des mesures adoptées.

Dans le domaine de la défense des systèmes d'information, elle assure un service de veille,
de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux
de l'État. »

1
Politique de sécurité : document fournissant les stratégies de sécurité à appliquer en entreprise
2
Directive : document découlant de la politique de sécurité, contenant des réponses techniques pour la mise
en œuvre des stratégies de sécurité.

7/28
L’ANSSI apporte son expertise et son assistance technique aux administrations et aux
entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV) ou
des opérateurs de services essentiels (OSE).

Elle est chargée de la promotion des technologies, des produits et services de confiance, des
systèmes et des savoir-faire nationaux auprès des experts comme du grand public. Elle
contribue ainsi au développement de la confiance dans les usages du numérique.

Son action auprès de différents publics comprend la veille et la réaction, le développement

de produits pour la société civile, l’information et le conseil, la formation ainsi que la
labellisation de produits et de prestataires de confiance.

Depuis 2013 la cyberdéfense est devenue une priorité nationale.

La Cyberdéfense est l’ensemble des activités conduites afin d’intervenir militairement ou non
dans le cyberespace3 pour garantir l’effectivité de l’action des forces armées, la réalisation
des missions confiées et le bon fonctionnement du ministère. La cyberdéfense est à
différencier de la cybercriminalité qui correspond à l’ensemble des crimes et délits
traditionnels ou nouveaux réalisés, via les réseaux numériques.

Le commandement de cyberdéfense (COMCYBER ou COCYBER), placé sous les ordres du Chef

d'État-Major des armées et sous l'autorité du ministre de la Défense, rassemble à compter du
1er janvier 2017 l'ensemble des forces de cyberdéfense des armées françaises sous une
même autorité opérationnelle, permanente et interarmées. Le COMCYBER est chargé de trois
missions principales : le cyber-renseignement, la cyber-protection, et les opérations cyber
offensives.

3
Cyberespace : ensemble de données numérisées constituant un univers d’information et un milieu de
communication, lié à l’interconnexion mondiale des ordinateurs.

8/28
Les Réserves de cyberdéfense : citoyenne ou opérationnelle

Les Réserves de cyberdéfense sont composées de deux entités : la réserve citoyenne et la

réserve opérationnelle. Constituée de bénévoles ayant choisi de servir sans faire du métier
des armes leur profession, la réserve citoyenne de cyberdéfense a pour objectif de sensibiliser
la Nation aux enjeux de la cyberdéfense. D’un autre côté, la réserve opérationnelle de
cyberdéfense est un réservoir de forces mobilisables en cas de crise majeure sur le territoire
national.

9/28
Les menaces informatiques
Qu’est-ce qu’une menace informatique ?

La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un

système informatique.

Quelles sont-elles ?

En termes de sécurité informatique, les menaces peuvent être le résultat de diverses actions
en provenance de plusieurs origines :

• Origine opérationnelle:

Ces menaces sont liées à un état du système à un instant donné. Elles peuvent être le résultat
d’un bogue logiciel (Buffer Overflows4, format string …etc.), d’une erreur de filtrage des
entrées utilisateurs (typiquement les XSS et SQL injection), d’un dysfonctionnement de la
logique de traitement ou d’une erreur de configuration.

Par exemple :

Ces dernières années un virus a beaucoup fait parler de lui « Wanna Cry » :

Comme on peut le constater sur le graphique on remarque que la propagation a eu lieu

principalement à partir du moment où Microsoft a publié le bulletin de sécurité MS17-010.

4
Buffer Overflows : technique de dépassement de mémoire

10/28
La particularité de ce virus est son mode de propagation, (utilisation d’un exploit de la NSA5)
ne nécessitant pas d’interaction avec l’utilisateur. On peut le classer dans la catégorie des
ransomware.

Un ransomware, est un logiciel informatique malveillant, prenant en otage les données. Le

ransomware chiffre et bloque les fichiers contenus sur votre ordinateur et demande une
rançon en échange d'une clé permettant de les déchiffrer.

Ce virus ne fait que surfer sur un nombre exponentiel de logiciels malveillants.

Ce graphique montre le nombre de virus développés chaque année depuis 10 ans.

• Origine physique:

Ces attaques peuvent être d’origine accidentelle, naturelle ou criminelle. On peut citer
notamment les désastres naturels, les pannes ou casses matérielles, le feu ou les coupures
électriques.

• Origine humaine:

Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la
conception d’un système d’information ou au niveau de la manière dont on l’utilise. Ainsi elles
peuvent être le résultat d’une erreur de conception ou de configuration comme d’un manque
de sensibilisation des utilisateurs face aux risques liés à l’usage d’un système informatique.

Ainsi, devant cette panoplie d’incursions, la sécurité informatique vise à définir un schéma
directeur pour faire face à ces menaces et garantir un fonctionnement sain et efficace des
systèmes d’information.

5
NSA : National Security Agency (Agence nationale de la sécurité) est un organisme gouvernemental du
département de la Défense des États-Unis

11/28
La sécurité informatique est un processus perpétuel visant à améliorer le niveau de sécurité
en instaurant une politique de sécurité au sein des organismes et en palliant à certaines
faiblesses à la fois organisationnelles et technologiques.

Il faut savoir que 35% des incidents de cybersécurité ont été générés par des collaborateurs.
Les collaborateurs sont, malgré eux et par leurs comportements, la source des incidents de
cybersécurité car ils n’ont pas la compréhension de la menace ni des risques. Ce phénomène
est amplifié par le phénomène BYOD (Bring Your Own Device, c’est à dire “apportez vos
appareils personnels“ : pratique qui consiste à utiliser ses équipements personnels
(téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel).

L’exfiltration de données
L’exfiltration de données consiste en l’extraction ou la diffusion d’informations
confidentielles.

Avec l’arrivée du cloud6, les salariés des entreprises amènent de plus en plus de travail chez
eux. Le service informatique est devenu prestataire de sa propre société. Si le temps de
réponse n’est pas satisfaisant (vis-à-vis du métier) on peut envisager l’installation de logiciels
spécifiques ou l’utilisation de processus non certifiés. Le shadow IT est un terme fréquemment
utilisé pour désigner des systèmes d'information et de communication réalisés et mis en
œuvre au sein d'organisations sans approbation de la direction des systèmes d'information.

Cette pratique induit des risques non négligeables quant à l’exfiltration de données.

Source : jdubuzz.com - Iceberg

6
Cloud : est la capacité à utiliser des ressources informatiques sans les posséder

12/28
Comme le laisse sous-entendre l’image ci-dessus, plus la partie émergée de l’iceberg est
importante plus il existe de risques. La visibilité du système d’information est une part
importante dans le travail des gestionnaires de sécurité en entreprise.

Des entreprises comme Microsoft commencent à innover des solutions permettant le

marquage des documents. En cas de fuite de données il sera plus simple de repérer tant leurs
localisations que la personne à l’origine de la fuite. Il s’agit de la traçabilité.

Les coûts d’une cyberattaque

L’étude Ponemon indique que le coût moyen d’un incident en cybersécurité dans les
entreprises européennes est de 3,7 millions euros. En parallèle, le coût par employé d’une
fuite de données continue d’augmenter : 201 $ en 2014, 217 $ en 2015 et 221 $ en 2016. Les
industries fortement règlementées présentent les frais les plus élevés (402 $ pour l’industrie
des soins de santé, par exemple). Ces chiffres justifient qu’en 2016, les coûts liés à des
violations de données variaient de 4,9 millions de dollars pour moins de 10 000 dossiers
compromis à 13,1 millions de dollars pour plus de 50 000 dossiers. En 2019, Panda Labs Juniper
Research (Source : https://www.reveelium.com/fr/the-cost-of-a-cyber-attack/) estime que la
cybercriminalité a couté aux entreprises plus de 2 billions de dollars.

13/28
Les nouvelles surfaces d’attaque

Les nouvelles surfaces d’attaque sont l’IOT (Internet Of Things) et les terminaux mobiles. En
effet, les cyber- attaquants se focalisent sur des technologies nouvelles souvent délaissées en
termes de sécurité par les constructeurs ou éditeurs.

L’internet des Objets

L’internet des objets ou IOT est un concept qui vise à connecter tous les objets du quotidien
(exemple domotique).
Les concepteurs de solutions concentrent d’ordinaire leur attention plus sur une pénétration
rapide du marché que sur la sécurité. Jusqu’à présent, la sécurité Internet n’est généralement
pas intégrée dans le processus de déploiement du produit car elle est plutôt ressentie comme
un obstacle à une stratégie rapide de mise sur le marché. Cela s’explique aussi par le fait que
les objets connectés sont de plus en plus souvent produits par des fabricants qui ne sont pas
issus du secteur informatique et ne connaissent donc pas les risques que pose Internet.

14/28
Les attaques du botnet (réseau de machines infectées par le virus) « Mirai » menées dans le
monde entier à la fin de l’année 2016 ont sans doute ouvert les yeux à beaucoup de monde.
Identifiées pour la première fois en août 2016 par les systèmes de détection d’AV-TEST, les
assauts du programme malveillant IoT ont réussi, dès octobre à rendre inaccessibles de grands
sites en ligne américains et européens, en inondant leurs serveurs de requêtes. Pour les
attaques DDoS, la puissance informatique cumulée de centaines de milliers de routeurs,
imprimantes, webcams et magnétoscopes piratés a été utilisée par le biais d’un botnet. Fin
novembre, les criminels ont lancé de puissantes agressions contre les routeurs ADSL des
clients de la Deutsche Telekom en utilisant d’autres variantes du même malware Linux. 900
000 appareils ont été bloqués. En octobre, le code Mirai était librement disponible sur
Internet.

15/28
Malware Mobile (Android)

Ces dernières années on constate une nette augmentation du nombre de terminaux mobiles
vendu.

De plus comme le présente le graphique suivant, Android représente plus 80% des
smartphones en circulation

Source IDC http://www.idc.com/promo/smartphone-market-share/os

En observant l’évolution des malwares entre 2015 et 2016, on constate non seulement, que
le nombre d’échantillons détecté a été multiplié par deux pour atteindre 4 millions de
nouveaux programmes malveillants, mais surtout que les criminels ont lancé leurs malwares
sur le marché par vague à partir du début de l’année 2016. Cela laisse augurer des essais de
nouveaux programmes malveillants ou de nouvelles voies de diffusion. Les pics de cette
évolution correspondent aux mois de janvier, août et octobre 2016. Cependant, le niveau
maximum a été atteint au milieu de l’année, en juin.

16/28
Source https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-
2017.pdf

Source https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2019-
2020.pdf

17/28
Les solutions de protection

Pour chaque menace, il existe une solution de protection. Les menaces d’origines
opérationnelles ont pendant longtemps été endiguées grâce aux antivirus. La majeure partie
de ces produits fonctionnent sur une base de signature (analyse statique), c’est-à-dire qu’ils
ne sont capables de détecter que ce qu’ils connaissent. Avec le temps certains logiciels ont
évolué pour apporter une analyse dite comportementale. Aujourd’hui les plus aboutis
intègrent des détecteurs d’intrusions (IDS : Intrusion Dection System) ou des systèmes de
prévention d’intrusion (IPS : Intrusion Prevention System).

Cependant on peut constater que tous les mois des virus passent encore à travers les systèmes
de sécurité. Pour pallier au problème, le principe de défense en profondeur a été inventé.

La défense en profondeur, terme emprunté à une technique militaire destinée à retarder

l'ennemi, consiste à exploiter plusieurs techniques de sécurité afin de réduire le risque,
lorsqu'un composant particulier de sécurité est compromis ou défaillant.

Le principe de défense en profondeur revient à sécuriser chaque sous-ensemble du système,

et s'oppose à la vision d'une sécurisation du système uniquement en périphérie. De façon
puriste, le concept de défense en profondeur signifie que les divers composants d'une
infrastructure ou d'un système d'information ne font pas confiance aux autres composants
avec lesquels ils interagissent. Ainsi, chaque composant effectue lui-même toutes les
validations nécessaires pour garantir la sécurité. En pratique, ce modèle n'est appliqué que
partiellement puisqu'il est inenvisageable de dédoubler tous les contrôles de sécurité. De plus,
il peut même être préférable de consolider plusieurs contrôles de sécurité dans un composant
réservé à cette fin. Ce composant doit alors être considéré comme étant sûr par l'ensemble
du système.

Source : Devensys.com – Défense en profondeur

18/28
C’est cet ensemble qui a fait fleurir des boitiers de sécurité à tous les niveaux de la part des
éditeurs.

Les WAF (Web Application Firewall) sont apparus pour protéger les différentes applications
comme les sites web. Les pare-feux ont aussi intégré des modules anti-virus.

Exemple de défense en profondeur :

Les seules requêtes à être traitées par le serveur web sont censées être légitimes.

Cette solution de protection n’est pas infaillible, puisque certaines entreprises ont quand
même été piratées.

Le rôle du Responsable Sécurité du Système d’Information (RSSI) est d’orchestrer les

différentes couches de sécurité.

Les menaces physiques quant à elles rencontrent principalement des problèmes de

disponibilité ou de confidentialité. Ces menaces sont plus anciennes et de ce fait, un grand
nombre de solutions existe. Par exemple contre le vol d’ordinateurs des câbles de sécurité ont
été ajoutés.

Le partenariat entre la gestion des sites et la cellule sécurité reste indispensable. Une
personne extérieure à l’entreprise ne doit pas pouvoir accéder aux locaux sans contrôle.

On estime ainsi à environ 33 000 ordinateurs ainsi perdus ou volés chaque année en France.

Le vol n’est pas la seule menace physique, il y ‘a aussi les dégâts des eaux, la foudre, panne
matérielle… La redondance des applications est alors devenue indispensable. Elle consiste à
disposer plusieurs exemplaires d'un même équipement ou d'un même processus ou de tout
autre élément participant à une solution électronique, mécanique ou industrielle.

19/28
 Source : IBM.com

La réplication (copie) des données est effectuée en instantané sur plusieurs serveurs. Si le
serveur A n’est plus disponible, le serveur B prendra la relève.

Plus les systèmes d’information sont devenus sécurisés plus les malfaiteurs se sont orientés
vers le facteur humain. Des techniques d’ingénieries sociales sont apparues. Elles sont une
forme d'acquisition déloyale d'information et d'escroquerie, utilisée en informatique pour
obtenir d'autrui, un bien, un service ou des informations clefs. L’Homme est vulnérable de
façon inconsciente à cause de nombreux biais cognitif.

Exemple d’attaque par ingénierie sociale :

Une personne (appelons-la Jean), prétendant travailler pour le service facturation, appelle un
"collègue" (la victime) du service client.

Il affirme qu'il est en lien avec une cliente très importante (Marie, par exemple).

La cliente, Marie, demande des informations sur son dossier qu'il ne peut lui indiquer en raison
d'un problème avec son ordinateur. Il n'est donc pas en mesure de la renseigner. Jean demande
alors à son collègue (la victime) s'il peut, par hasard l'aider :

La victime se sent désolée pour "ce collègue qui a besoin d'aide" et fournira sans doute des
données confidentielles à l'imposteur.

Les attaques par ingénieries sociales peuvent prendre de nombreuses formes :

À l'entrée de votre entreprise, vous croisez un homme portant des paquets qui semblent lourds.

Vous en déduisez immédiatement qu'il s'agit d'un livreur.

20/28
Il vous demande de lui ouvrir la porte puisqu'il ne parvient pas à saisir le badge qui se trouve
dans sa poche.

Vous n'hésitez pas une seconde et le faites entrer dans l'entreprise.

Puisque rien ne vous a semblé suspect, vous ne regarderez sans doute pas où il va, ne le suivrez
pas et ne penserez plus à lui dès qu'il aura quitté votre champ de vision.

Une fois dans l'entreprise, l'intrus peut se diriger vers une salle de conférence, sortir son
ordinateur portable soigneusement caché dans l'un de ses paquets, se connecter au réseau
derrière le pare-feu de l'entreprise et extraire des données. En quelques minutes, il a quitté le
bâtiment avec des données sensibles.

Dans ces deux exemples aucun incident de sécurité ne sera détecté sur le moment, ils seront
déclenchés à postériori une fois les données divulguées.

Seule la sensibilisation des collaborateurs permet d’atténuer le risque. Celle-ci peut prendre
plusieurs formes telles que les fonds d’écran :

21/28
Sous la forme de vidéos :

Source : Com’Infinie - Et si un voyant vous révélait les dangers d'Internet

Sous la forme de Quizz :

22/28
Sous la forme de jeux de cartes7 :

Avec des cartes de défense et d’attaque :

Les 6 personnages « bleus » défense

Le principe est simple et ressemble à un jeu de bataille en trois manches. L’approche se veut
pédagogue et ludique, basée surtout sur des textes humoristiques, sur le plaisir de jouer et le
questionnement que suscite inévitablement chacune des cartes (notamment les

7
Source : Misc-091 : Faites vos jeux

23/28
caractéristiques et le type de défense/attaque). Ce jeu est très adapté pour sensibiliser une
population familiarisée à l’informatique.

Enfin, nous pouvons aussi la matérialiser sous la forme de séances plénières avec la
présentation des menaces et une démonstration de la compromission d’un ordinateur de la
société. Cette infection peut être réalisée à l’aide d’un fichier Excel exécutant un code
malveillant non détecté par l’antivirus.

Le plus important étant de marquer les esprits.

D’après le Figaro8 : Deux cents jours, c'est en moyenne le temps nécessaire à une entreprise
pour découvrir qu'elle a été victime d'une attaque informatique.

Bien sûr à condition qu'elle le découvre. À cela s'ajoute le temps de réparation, qui est
presque aussi long. Pourquoi une telle durée ? Parce qu'au fil des années, les attaques se sont
sophistiquées et les objectifs des pirates ont évolué. S'il y a dix ou quinze ans, les hackers
voulaient absolument montrer leurs exploits, ils sont aujourd'hui plus discrets. Le but n'est
plus de « faire un coup » mais de récupérer des données personnelles, financières ou
d'endommager subrepticement un système sans que la victime ne s'en aperçoive
immédiatement. C'est pourquoi, si certaines attaques peuvent être assez rapidement
perceptibles, comme les dénis de service (la saturation du système qui devient inopérant), la
plupart des menaces restent ignorées des utilisateurs. Ce qui peut être extrêmement
dommageable, puisque pendant cette période, l'entreprise risque de se faire voler ses secrets
industriels et surtout peut donner accès, involontairement, aux systèmes de ses fournisseurs
ou de ses donneurs d'ordre.

8
Figaro : le plus ancien quotidien de la presse française encore publié.

24/28
Les profils types en sécurité informatique
Pour commencer une définition du mot « hacker » s’impose :

Le terme Hacker est issu du verbe anglais To Hack qui signifie « découper quelque chose ». Il
fait l’analogie avec la décomposition des étapes en plusieurs parties afin de les réassembler
pour en faire éventuellement quelque chose de nouveau, de plus performant.

Source : https://www.leblogduhacker.fr/qu-est-ce-qu-un-hacker/

La représentation de ce dernier, pas toujours réaliste, telle qu’on nous la présente dans les
médias.

On emploie également les termes « bidouiller » ou « bricoler ». Le hacker est donc avant tout
un « bidouilleur » si on fait abstraction des objectifs qu’il cherche à atteindre.

Il souhaite simplement améliorer son mode de vie en bidouillant quelque chose pour arriver
à ses fins.

Qu’est-ce que le hacking ?

Le hacking est le fait de détourner un objet ou une entité de son but premier. Notez par là
qu’on pourrait à nouveau parler de hacking de façon générale pour la vie de tous les jours. Et
non pas juste au sujet de l’informatique.

25/28
Exemple : Avec cette clé à bord rond mis à la place du jeton de caddie

Source : http://life-hack.over-blog.com/2016/12/caddie.html

Si on devait définir trois grandes familles de praticiens en sécurité informatique,

l’organigramme serait le suivant :

Hacker

Black Hat Grey Hat White Hat

Un white hat (en français : « chapeau blanc ») est un hacker éthique ou un expert en sécurité
informatique qui réalise des tests d'intrusion et d'autres méthodes de tests afin d'assurer la
sécurité des systèmes d'information d'une organisation. Par définition, les « white hats »
avertissent les auteurs lors de la découverte de vulnérabilités. Ils s'opposent aux black hats,
qui sont les hackers mal intentionnés.
Un black hat (en français : « chapeau noir ») est, en argot informatique, un hacker mal
intentionné, par opposition aux white hats, qui sont les hackers aux bonnes intentions. Les

26/28
black hats ont une nette préférence pour les actions illégales. Cela va de la création de virus
aux chevaux de Troie en passant par les vers et les logiciels espions.
Ces personnes utilisent leurs compétences informatiques de façon à en tirer un bénéfice
financier ou bien dans le but de nuire à des individus ou à des organisations (mais dans ce cas
on parle plutôt de cybercriminalité ou de cyberterrorisme9).

Un grey hat (en français, « chapeau gris »), dans la communauté de la sécurité de
l'information, et généralement de l'informatique, est un hacker ou un groupe de hackers, qui
agit parfois avec éthique, et parfois non. Ce terme est employé pour désigner ceux qui se
situent entre hacker white hat et hacker black hat. Un hacker éthique est un professionnel qui
applique ses connaissances dans la légalité et la moralité, un hacker non-éthique par
opposition n'a pas de dogme, ne suit pas de morale, et se permet l'illégalité pour arriver à son
but.

Un exemple courant est une personne qui accède illégalement à un système informatique
sans rien détruire ou endommager (du moins, pas volontairement), et qui ensuite informe les
responsables de ce système informatique de l'existence de la faille de sécurité et émet
éventuellement certaines suggestions pour régler ce problème. Malgré ces bonnes intentions,
cette intrusion est considérée comme un crime dans la plupart des pays. Ainsi, des personnes
ont même déjà été condamnées au niveau criminel pour avoir comblé des trous de sécurité
dans un système informatique auquel elles avaient illégalement accédé.

En bref, un grey hat est un hacker qui :

• est engagé pour la sécurité et la recherche de failles d'applications ou de sites web ;

• est régi par une éthique (de diffusion de l'information, ou/et politique) ;
• cherche à protéger l'utilisateur des failles potentielles en prévenant le vendeur ;
• défends les droits de l'utilisateur.

9
cyberterrorisme : Il peut se définir comme l'ensemble des attaques graves (virus, piratage, etc.) et à grande
échelle, des ordinateurs, des réseaux et des systèmes informatiques d'une entreprise, d'une institution ou d'un
État, commises dans le but d'entraîner une désorganisation générale susceptible de créer la panique

27/28
L’organigramme une fois complété ressemble à cela :

Hacker

Black Hat Grey Hat White Hat

SOC : Security
Carder Hacktiviste
Operation Center

Script Kiddie RSSI

Developpeur de
Pentester
virus

Cyber-mafia Analyste sécurité

Pour chaque profil malicieux qui est apparu, un profil de défense a été créé.
Aujourd’hui ne nombreux métiers existent du côté White Hat. Ces informations seront
l’œuvre d’une prochaine publication.

Allez plus loin

Pour aller plus loin et découvrir plus en profondeur le monde de la sécurité des systèmes
d’information, vous pouvez vous abonner dès maintenant à ma chaine Youtube Over Shell
https://www.youtube.com/channel/UCDFCQL8l2a4KcEtI7J7lsnw

Ou retrouver des articles sur mon site https://overshell.com

28/28