Cours Cybersécurité

Département Génie informatique
2ème année GI2-S3
Pr. Khalid BOURAGBA

2023-2024
1
La nécessité de la cyber sécurité
• l’objectif principal de ce cours est d’explorer le domaine de la cyber
sécurité.
• Ce cours vous permettra de réaliser les actions suivantes :
• Apprendre les bases de sécurité informatique
• S'initier aux différents types de malwares et d'attaques ainsi qu'aux méthodes
de protection des entreprises contre ces attaques
• Maitriser les méthode de défense
Sécurité informatique K.BOURAGBA 2

INTRODUCTION
• Augmentation des échanges sur Internet :

• d’information
• commerciaux
• Modification des habitudes de travail :
• plus de communications
• plus de mobilité
• plus de sous-traitants
• plus de télétravail
• Donc moins de contrôle de l’information.
INTRODUCTION
• Hier :
• centralisé
• échanges papier
• pas d’accès distants
• Aujourd’hui :
• distribué, soit sur plusieurs sites, soit localement
• accès distants
• multiplication des partenariats
• De + en + de dépendance à l’informatique : SI devient l’épine dorsale
des entreprises ; 98% des entreprises avouent une dépendance
modérée ou forte.
• Conséquences : Augmentation des communications, donc des risques :
• fraudes diverses
• piratage
Discussion
• Quel serait l'impact sur votre vie si l’Internet tombait en panne
pendant quelques jours seulement ?
• Quel serait l'impact si vos informations personnelles étaient volées ?
• Quels types de contrôles avez-vous mis en place pour empêcher que
cela ne se produise ?
Qu'est-ce que la sécurité ?
Contre-mesures
Continuité de l'activité Reprise après sinistre
Confidentialité Le moindre privilège
Conformité
Sécurité physique
Dois savoir
Autorisation Chiffrement Intégrité
Hacher Non-répudiation Gestion des risques
Base de sécurité Zone démilitarisée

Disponibilité Pare-feu
Comptabilité
Authentification Découverte Empreinte
Biométrie Durcissement du système
What is security?
Countermeasures
Business continuity Disaster recovery
Confidentiality Least privilege
Compliance Physical security
Need to know
Authorization Encryption Integrity
Hash Non-repudiation Risk management
Security baseline Demilitarized zone

Availability Firewall
Accounting
Authentication Discovery Footprinting
Biometrics System hardening
Qu’est-ce que la cybersécurité ?
• La cybersécurité consiste en l’effort continu pour protéger les

systèmes mis en réseau et les données contre l’utilisation ou le méfait
non autorisés.
• À titre personnel, vous devez protéger votre identité, vos données et
vos périphériques informatiques.
• Au niveau de l’entreprise, tout le monde est responsable de la
protection de la réputation, des données et des clients de
l’entreprise.
• Au niveau national, la sécurité nationale, ainsi que la sécurité et le
bien-être des citoyens sont en jeu.
Qu’est-ce que la cybersécurité ?
• Cybersécurité est la pratique qui consiste à protéger les systèmes
critiques et les informations sensibles (Technologies de l‘Information)
contre les attaques numériques,
• Les mesures de Cybersécurité visent à lutter contre les menaces qui
pèsent sur les systèmes et les applications en réseau, qu'elles
proviennent de l'intérieur ou de l'extérieur d'une organisation,
• Cybersécurité vise à protéger les données d’une entreprise d’un
piratage informatique de données qui, mises dans de mauvaises
mains, pourraient nuire à l’entreprise ou aux personnes (archives des
organismes médicaux, du gouvernement, des entreprises et des
institutions financières regorgent d’informations personnelles)

Triade CIA (Confidentiality, integrity, and availability)
Confidentialité Intégrité
Information
security
Availability
Disponibilité
Extension of the CIA triad
Non-repudiation Accountability
(Non repudiation) (Authentification)
Sealed document Log files

Triade CIA

TRIADE CIA

TRIADE CIA

TRIADE CIA

PÉRIMÈTRE DE LA SÉCURITÉ

PROBLÈMES DE SÉCURITÉ POSSIBLES
Catégories de problèmes de sécurité:

• Erreur humaine : Une destruction de fichiers importants par mégarde
➢Education et sensibilisation des utilisateurs
• Problème logiciel : Un système d'exploitation, un logiciel qui plante et
corrompt des données importantes
➢Mise a jours des logiciels
• Problème matériel : un crash de disque, un incendie, une inondation
➢Maintenance et redondance du matériel, dispersion sur plusieurs sites
• Piratage : Le vol, détournement ou destruction de données par des
personnes malveillantes
➢Sécurisation des systèmes et du réseau
LES RISQUES INFORMATIQUES
Une équation simple :
Risque=Menace × Vulnérabilité × Actif (ou Coût)
▪ Menace : ce contre quoi on veut se défendre (DoS,...)

▪ Vulnérabilité : faiblesse connue de l’architecture de sécurité
(trop de points d’accès, faible authentification,...)
▪ Actif: personne, site, matériel, réseau, logiciel, organisation,
processus…
▪ Coût : impact financier
LES RISQUES INFORMATIQUES
Une autre définition:
▪ Risque: C’est la probabilité qu’une menace exploite une vulnérabilité.

Autrement dit, c’est une possibilité qu’un fait dommageable se produise.
▪ Vulnérabilité: C’est une faiblesse inhérente à un système (software ou
hardware). Appelée parfois faille ou brèche, elle représente le niveau
d’exposition face à la menace dans un contexte particulier.
▪ Menace : c’est le danger (interne ou externe) tel qu’un hacker, un virus,
etc.
▪ Contre-mesure : c’est l’ensemble de moyens mises en place pour faire face
aux risques dans une organisation.
NOTIONS DE MENACE, VULNÉRABILITÉ, RISQUE, ATTAQUE
TYPES DE VULNÉRABILITÉS DES SYSTÈMES
➢ Vulnérabilités humaines
• Négligence, manque de compétences
• Ingénierie sociale
• Exemple :Supports amovibles ou sauvegardes jetées à la
poubelle sans être détruites au préalable.
➢ Vulnérabilités de mise en œuvre
• Mauvaises configuration
• Mauvaise manipulation
• Exemple : Désactivation de pare-feu, ouverture de ports
inutiles
➢ Vulnérabilités technologiques
• Hardware, logiciel et réseau
• Mauvaise conception
• Erreur d’implémentation (Bugs)
• Exemple :
• Erreur de dépassement de tampon
• injection SQL
➢ Vulnérabilités organisationnelles
• Manque de documents formels, de procédures, de manuels de travail de
validation et de maintenance suffisamment détaillés pour faire face aux
problèmes de sécurité
• Manque de procédures en cas d’anomalies, de pannes, etc.
Cycle de vie d’une vulnérabilité:
• Le cycle de vie d’une vulnérabilité débute par sa découverte.

• Dans le cas où une personne malveillante la découvre, elle va tenter de
l’exploiter en développant un code spécifique appelé exploit (zero-day)
en attendant que cette vulnérabilité devienne publique (remontée par
des sociétés spécialisées en sécurité informatique, des éditeurs de
logiciels, des cellules de veille, etc), soit qualifiée puis enfin corrigée.
• Dans le cas d’une vulnérabilité logicielle, l’éditeur devra fournir soit un
correctif (patch) qui sera installé sur les systèmes vulnérables soit une
nouvelle version du logiciel qui corrige la vulnérabilité.
Cycle de vie d’une vulnérabilité:
NOTIONS DE MENACE
Notion de « Menace »:
• Les normes ISO/IEC 27000 traitant des risques liés aux systèmes d’information font référence à la
notion de «menace » (« threat») qui n’est pas véritablement définie sauf par ce qu’elle est capable
de causer, à savoir: « causer un dommage à des actifs tel que information, processus ou systèmes et
donc aux organisations »
• Autre définition: la menace est une cause potentielle d’un incident, qui pourrait entrainer des
dommages sur un bien si cette menace se concrétisait.
NOTIONS DE MENACE
Origines d’une menace:

La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un système
informatique. Elle peut être le résultat de diverses actions en provenance de plusieurs origines :
• Origine opérationnelle: Ces menaces sont liées à un état du système à un moment donné. Elles
peuvent être le résultat:
✓ d’un bug logiciel (Buffer Overflows, Uncontrolled format string …etc.),
✓ d’une erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL injection),
✓ d’un dysfonctionnement de la logique de traitement ou d’une erreur de configuration
• Origine physique: Elles peuvent être d’origine accidentelle, naturelle ou criminelle.
• Origine humaine: Ces menaces sont associées directement aux erreurs humaines, que ce soit au
niveau de la conception d’un système d’information ou au niveau de la manière dont on l’utilise.
NOTIONS DE MENACE
✓Menaces internes pour la sécurité
• Les attaques peuvent provenir de l’intérieur d’une entreprise ou de l’extérieur,
• Un utilisateur interne, par exemple un employé ou un partenaire contractuel, peut
accidentellement ou intentionnellement :
• mal gérer les données confidentielles ;
• menacer le fonctionnement des serveurs internes ou des périphériques de l’infrastructure
réseau ;
• faciliter les attaques venant de l’extérieur en connectant un support USB infecté dans le
système informatique de l’entreprise ;
• inviter accidentellement un malware dans le réseau par des e-mails ou des sites Web
malveillants.
• Les menaces internes sont également susceptibles d'entraîner des dégâts plus importants que
ceux des menaces externes, car les utilisateurs internes disposent d’un accès direct au bâtiment
et aux périphériques de l’infrastructure.
• Les employés connaissent également le réseau d’entreprise, ses ressources et ses données
confidentielles, ainsi que les différents niveaux de privilèges des utilisateurs et des
administrateurs.

NOTIONS DE MENACE
✓Menaces externes pour la sécurité

• Les menaces externes provenant des amateurs et des agresseurs
expérimentés peuvent exploiter les vulnérabilités dans le réseau ou
dans les périphériques informatiques, ou utiliser le piratage
psychologique pour obtenir l’accès.

LES ATTAQUES INFORMATIQUES
• Une attaque informatique (cyberattaque) est une activité malveillante qui consiste
à exploiter une vulnérabilité d’un système informatique à des fins généralement
préjudiciables. (W. Stallings).
• Une attaque en informatique est une tentative d’exposer, de modifier, de
désactiver, de détruire, de voler ou d’obtenir un accès non autorisé à l’information.
Attaque=motivation(objectif) + méthode + vulnérabilité

Une attaque peut être classée par son comportement ou par la position de
l’attaquant. Une attaque peut être active ou passive.
➢ Attaques passives: tente d’apprendre ou d’utiliser des informations du système mais
n’affecte pas les ressources du système
• Écoute et interception sans altération
• Motivation: récupération d’informations utiles, confidentielles, etc.
• Deux types: Analyse de trafic et Accès aux données confidentielles
• Difficile à détecter
➢ Attaques actives: tente de modifier les ressources du système ou d’affecter leur
fonctionnement
• Provoquer une altération
• Modification
• Usurpation
• Rejeu de messages
• Déni de service
Une attaque peut être perpétrée de l’intérieur ou de l’extérieur de

l’organisation:
• Une ”attaque interne” est une attaque initiée par une entité dans
le périmètre de sécurité, c’est-`a-dire une entité autorisée à
accéder aux ressources du système mais qui les utilise d’une
manière non approuvée par ceux qui ont accordé l’autorisation.
• Une ”attaque externe” est initiée depuis l’extérieur du périmètre,
par un utilisateur non autorisé ou illégitime du système.
✓ Ingénierie sociale ou (Piratage psychologique)
Généralement l’utilisateur constitue le maillon le plus faible
Dans toute politique de sécurité. Une méthode pour obtenir d’une personne
des informations confidentielles, que l’on n’est pas normalement autorisé à
obtenir, en vue de les exploiter à d’autres fins. Elle consiste à:
▪ Se faire passer pour quelqu’un que l’on n’est pas (en général un
administrateur réseau) ;
▪ Demander des informations personnelles (nom de connexion, mot de passe,
données confidentielles, etc.) en intervenant un quelconque prétexte
(problème dans le réseau, modification de celui-ci, etc.) ;
• Elle peut se faire soit au moyen d’une simple communication téléphonique;
soit par mail, soit en se déplaçant directement sur place.
✓Ingénierie sociale
Voici quelques types d'attaques d'ingénierie sociale :
• Usurpation – Lorsqu'un agresseur appelle un individu et lui ment
dans une tentative d'accéder à des données privilégiées. Un
exemple implique un agresseur qui prétend avoir besoin de
données personnelles ou financières afin de confirmer l’identité
du destinataire.
• Talonnage (tailgating) – Lorsqu’un agresseur suit rapidement une
personne autorisée dans un endroit sécurisé.
• Une chose pour une autre (contrepartie) – Lorsqu’un agresseur
demande des informations personnelles d’une partie en échange
de quelque chose, comme un donK.BOURAGBA
Sécurité informatique gratuit. 34
✓ Les malwares:
• Les malwares, ou programmes malveillants, décrit comme un logiciel
indésirable installé dans votre système sans votre consentement, représentent
tout code pouvant être utilisé pour voler des données, contourner les contrôles
d’accès ou pour nuire à un système ou le compromettre:
• Logiciel espion (spyware): vise à suivre et à espionner l’utilisateur. Le logiciel
espion inclut souvent le suivi des activités, la collecte de frappes sur clavier et la
capture des données. Afin de contourner les mesures de sécurité, le logiciel
espion modifie souvent les paramètres de sécurité. Le logiciel espion se
regroupe souvent avec des logiciels légitimes ou avec des chevaux de Troie.
• Publiciel (adware) : fournit automatiquement des publicités à des fins de
marketing . Le publiciel est souvent installé avec certaines versions du logiciel.
Certains publiciels sont conçus pour ne délivrer que des publicités, mais il est
également fréquent que des publiciels soient associés à des logiciels espions.
✓ Les malwares:
• Bot : Du mot robot, un bot est un type de malware conçu pour effectuer
automatiquement une action, généralement en ligne. Alors que la plupart
des bots sont inoffensifs, une utilisation croissante des bots malveillants
constitue des réseaux de zombies. Plusieurs ordinateurs sont infectés de
bots programmés pour attendre tranquillement les commandes fournies
par l’agresseur.
• Rançongiciel (ransomware) : permet de maintenir un système
informatique ou les données qu’il contient en captivité jusqu’à ce qu’un
paiement soit effectué. Le ransomware fonctionne habituellement en
chiffrant les données sur l’ordinateur à l’aide d’une clé inconnue de
l’utilisateur. D’autres versions de ransomware peuvent tirer parti des
vulnérabilités spécifiques du système pour le verrouiller. Le ransomware se
transmet par un fichier téléchargé ou par une certaine vulnérabilité de
logiciel.

✓ Les malwares:
• Scareware (Virus furtifs): Il s’agit d’un type de malware conçu
pour persuader l’utilisateur de faire une action spécifique basée
sur la peur. Le scareware crée des fenêtres contextuelles factices
avec la même apparence que les fenêtres de dialogue du système
d’exploitation.
• Ces fenêtres transmettent de faux messages indiquant que le
système est vulnérable ou a besoin de l’exécution d’un
programme spécifique pour reprendre un fonctionnement
normal. En réalité, aucun problème n’a été évalué ou détecté et si
l’utilisateur accepte et lance le programme mentionné pour
l’exécuter, son système sera infecté par un malware.
✓ Les malwares:
• Rootkit – Ce malware est conçu pour modifier le système
d’exploitation afin de créer une porte dérobée. Les agresseurs
utilisent ainsi la porte dérobée pour accéder à distance à
l’ordinateur.
• La plupart des rootkits profitent des vulnérabilités des logiciels
pour effectuer une élévation de privilèges et modifier les fichiers
système. Il est également fréquent que les rootkits modifient les
investigations du système et les outils de surveillance, ce qui rend
très difficile leur détection. Généralement, un ordinateur infecté
par un rootkit doit être nettoyé et réinstallé.

✓ Les malwares:
• Virus – Un virus est un code exécutable malveillant attaché à
d’autres fichiers exécutables, souvent des programmes légitimes.
La plupart des virus nécessitent une activation de la part de
l’utilisateur final et peuvent s’activer à une heure ou une date
spécifique. Les virus peuvent être inoffensifs et afficher
simplement une image, ou ils peuvent être destructeurs, comme
ceux qui modifient ou suppriment des données. Les virus peuvent
être également programmés pour muter afin d’éviter la
détection. La plupart des virus sont actuellement propagés par
les lecteurs USB, les disques optiques, les partages réseau ou par
e-mail.
✓ Les malwares:
• Cheval de Troie : est un type de malware qui effectue des
opérations malveillantes sous le couvert d’une opération
souhaitée. Ce code malveillant exploite les privilèges de
l’utilisateur qui l’exécute.
• Souvent, les chevaux de Troie se trouvent dans des fichiers
images, des fichiers audio ou des jeux.
• Un cheval de Troie diffère d’un virus, car il s’attache à des fichiers
non exécutables, et ne se répliquent pas d’eux-mêmes,
• un cheval de Troie peut établir une porte dérobée qui peut être
exploitée par des attaquants. Par exemple, un cheval de Troie
peut être programmé pour ouvrir un port à numéro élevé afin
que le pirate l’utilise pour écouter puis exécuter une attaque.
✓ Les malwares:
• Vers : Les vers sont des codes malveillants qui se répliquent en
exploitant de façon indépendante les vulnérabilités au sein des
réseaux. Les vers ralentissent généralement les réseaux.
• Alors que le virus nécessite un programme hôte pour s’exécuter,
les vers peuvent fonctionner par eux-mêmes. À l’exception de
l’infection initiale, ils n’exigent plus une participation de la part
des utilisateurs.
• Après l’infection d’un hôte, le ver est capable de se propager très
rapidement sur le réseau. Les vers partagent des modèles
similaires. Ils s'activent par la présence d'une vulnérabilité, un
moyen pour eux de se propager et contiennent tous une charge
utile.
✓ Les malwares:
• Macro-virus – Ils infectent des applications comme Microsoft Word ou Excel.
Les macro-virus s’attachent à la séquence d’initialisation de l’application.
Lorsque l’application est ouverte, le virus exécute ses instructions avant de
transférer le contrôle à l’application. Le virus se réplique et s’attache à
d’autres codes du système informatique.
• Infecteurs de fichiers – Ils s’attachent généralement à des codes
exécutables, comme les fichiers .exe. Le virus est installé au chargement du
code. Une autre version d’infecteur de fichiers s’associe à un fichier en
créant un fichier de virus portant le même nom, mais avec une extension
.exe. Ainsi, lorsque le fichier est ouvert, le code du virus s’exécute.
• Infecteurs de système ou de secteur d’amorçage – Ils s’attachent au secteur
d’amorçage principal des disques durs. Quand le système démarre, il
consulte le secteur d’amorçage et charge le virus en mémoire, où celui-ci
peut se propager à d’autres disques et ordinateurs.
✓ Les malwares:
• Bombe logique – Il s’agit d’un type de logiciel malveillant ajouté à
une application et qui est déclenché par un événement
spécifique, comme une condition logique ou une date et une
heure spécifiques.
• Injecteurs – Ce sont des programmes utilisés pour installer des
virus sur les ordinateurs. Dans de nombreux cas, l’injecteur n’est
pas infecté par un code malveillant et peut donc ne pas être
détecté par un logiciel antivirus. Un injecteur peut également se
connecter à Internet et télécharger des mises à jour de logiciel
antivirus se trouvant sur un système compromis.

✓Les symptômes du malware
• Augmentation de l'utilisation du CPU
• Diminution de la vitesse de l'ordinateur
• L'ordinateur se fige ou tombe souvent en panne
• Diminution de la vitesse de navigation sur Internet
• Problèmes inexplicables avec les connexions réseau
• Des fichiers sont modifiés
• Des fichiers sont supprimés
• présence de fichiers, de programmes ou d’icônes de bureau inconnus ;
• Des processus inconnus sont exécutés
• Des programmes s'éteignent ou se reconfigurent
• Envoi d'e-mail à l'insu de l'utilisateur ou sans son consentement

✓Les symptômes du malware
• Il n’existe actuellement pas de technologie unique ni de configuration
unique permettant de prévenir toutes les attaques de l’homme du
milieu. En général, le chiffrement et les certificats numériques offrent
une protection efficace contre les attaques de ce type, assurant à la
fois la confidentialité et l’intégrité des communications. Mais une
attaque de l’homme du milieu peut être injectée au cœur des
communications de telle sorte que le chiffrement ne soit d’aucun
secours. Par exemple, l’attaquant « A » intercepte la clé publique de la
personne « P » et la remplace par sa propre clé publique. Par la suite,
tout utilisateur souhaitant envoyer un message chiffré à P en utilisant
la clé publique de P utilise sans le savoir la clé publique de A. A peut
donc lire le message destiné à P, puis l’envoyer à P, chiffré avec la vraie
clé publique de P, et P ne remarquera jamais que le message a été
compromis.

Activité

Correction

• L’homme au milieu (MitM) – L’attaque MitM permet à
l’agresseur de prendre le contrôle d’un appareil à l’insu de son
utilisateur. Avec ce niveau d’accès, le pirate peut intercepter et
s’emparer des informations de l’utilisateur avant de les relayer
vers sa destination prévue. Les attaques MitM sont largement
utilisées pour dérober des informations financières. De nombreux
malware et des techniques existent pour permettre aux
agresseurs d’avoir les fonctionnalités MitM.

✓L’homme au milieu (MitM)
• Détournement de session: dans ce type d’attaque MitM, un attaquant
détourne une session entre un client de confiance et un serveur
réseau. L’ordinateur attaquant substitue son adresse IP au client de
confiance pendant que le serveur poursuit la session, croyant qu’il
communique avec le client. Par exemple, l’attaque pourrait se dérouler
ainsi :
• Un client se connecte à un serveur.
• L’ordinateur de l’attaquant prend le contrôle du client.
• L’ordinateur de l’attaquant déconnecte le client du serveur.
• L’ordinateur de l’attaquant remplace l’adresse IP du client par sa
propre adresse IP et son propre nom de domaine et usurpe les
numéros de séquence du client.
• L’ordinateur de l’attaquant poursuit le dialogue avec le serveur, le
serveur croit qu’il communique toujours avec le client.
• Détournement de session:

• Usurpation d’IP:
Un pirate peut utiliser l’usurpation d’adresse IP pour convaincre un
système qu’il communique avec une entité connue et fiable afin de
lui donner accès au système. Le pirate envoie à un hôte cible un
paquet contenant l’adresse IP source d’un hôte connu et fiable au
lieu de sa propre adresse IP source. Il est possible que l’hôte cible
accepte le paquet et agisse en conséquence.

• Relecture
• Une attaque par rejeu se produit lorsqu’un attaquant intercepte
et enregistre d’anciens messages, puis essaie plus tard de les
envoyer, se faisant passer pour l’un des participants. Ce type
d’attaque peut facilement être contré avec un horodatage des
sessions ou un nonce (nombre ou chaîne aléatoire variant avec le
temps).

• L’homme sur appareil mobile (MitMo) – Une variante du MitM,
MitMo est un type d’attaque utilisé pour prendre le contrôle d’un
terminal mobile.
• Après l’infection, le terminal mobile peut recevoir l’instruction
d’exfiltrer des informations sensibles de l’utilisateur et de les
envoyer aux agresseurs.
• ZeuS, un exemple d’exploit avec des fonctionnalités MitMo,
permet aux pirates de s’emparer discrètement des messages de
vérification à 2 étapes envoyés aux utilisateurs.

✓DoS (Les attaques par déni de service)
• Les attaques par déni de service représentent un type d’attaque réseau qui
se traduit par un type d’interruption de service de réseau sur les utilisateurs,
les périphériques ou les applications. Il existe deux types majeurs d’attaques
par déni de service :
• Quantité encombrante de trafic – Elle se produit lorsqu’un réseau, un hôte
ou une application reçoit une énorme quantité de données à un rythme qui
ne peut pas être géré. Cela provoque un ralentissement de la transmission
ou de la réponse, ou une panne d’un appareil ou d’un service.
• Paquets formatés de manière malveillante – Cela se produit lorsqu’un
paquet formaté de manière malveillante est envoyé à un hôte ou à
l’application et le destinataire est incapable de le traiter. Par exemple, un
agresseur transmet des paquets contenant des erreurs qui ne peuvent être
identifiées par l’application ou il transmet des paquets mal formatés. Cela
provoque un ralentissement de l’appareil récepteur ou une panne.
✓DDoS (Une attaque par déni de service distribué)
Une attaque par déni de service distribué (attaque DDoS) est
similaire à DoS, mais elle provient de sources multiples et
coordonnées. À titre d’exemple, une attaque par déni de service
distribuée peut procéder comme suit :
• Un agresseur établit un réseau d'hôtes infectés, appelé réseau de
zombies. Les hôtes infectés sont appelés des zombies. Les
zombies sont contrôlés par des systèmes de gestionnaire.
• Les ordinateurs zombies analysent et infectent constamment plus
d’hôtes, et créent ainsi plus de zombies. Une fois prêt, le hacker
demande aux systèmes de gestionnaire d’effectuer une attaque
par déni de service distribuée par le biais du réseau de zombies.
• Attaque TCP SYN flood: Un attaquant exploite l’utilisation de l’espace
tampon lors du handshake d’initialisation de session TCP. La machine
de l’attaquant inonde de demandes de connexion la petite file
d’attente de traitement du système cible, mais elle ne réagit pas
lorsque le système cible répond à ces demandes. Le système cible se
met alors à temporiser en attendant la réponse de la machine de
l’attaquant, ce qui fait planter le système ou le rend inutilisable lorsque
la file d’attente de connexion se remplit.
• Il existe quelques parades aux attaques SYN flood :
• Placez les serveurs derrière un pare-feu configuré pour bloquer les paquets SYN
entrants.
• Augmentez la taille de la file d’attente de connexion et diminuez le délai
d’attente pour les connexions ouvertes
• Attaque teardrop: cette attaque provoque le chevauchement des
champs de longueur et de décalage de fragmentation des
paquets séquentiels du protocole Internet (IP) au niveau de l’hôte
attaqué ; au cours de ce processus, le système attaqué tente de
reconstruire les paquets mais échoue. Le système cible
s’embrouille et plante.
• En l’absence de correctifs pour se protéger contre cette attaque
DoS, désactivez SMBv2 et bloquez les ports 139 et 445.

• Attaque Smurf: cette attaque implique d’usurper une adresse IP et d’utiliser
l’ICMP pour saturer de trafic un réseau cible. Cette méthode d’attaque
utilise des demandes d’écho ICMP ciblant des adresses IP de diffusion. Ces
demandes ICMP proviennent d’une adresse usurpée. Si, par exemple,
l’adresse de la victime choisie est 10.0.0.0.10, l’attaquant simule une
demande d’écho ICMP de 10.0.0.0.10 à l’adresse de diffusion
10.255.255.255.255. Cette demande est envoyée à toutes les adresses IP de
la plage, et toutes les réponses sont renvoyées à 10.0.0.0.10, submergeant
ainsi le réseau. Ce processus est répétable et peut être automatisé en vue de
générer des encombrements considérables sur le réseau.
• Pour protéger vos appareils de ce type d’attaque, désactivez les diffusions
dirigées par IP vers les routeurs. Ceci bloquera les demandes d’écho ICMP au
niveau des périphériques réseau. Une autre option consiste à configurer les
systèmes d’extrémité de manière à les empêcher de répondre aux paquets
ICMP provenant des adresses de diffusion.

• Ping of death
• Ce type d’attaque pingue un système cible avec des paquets IP
dont la taille est supérieure au maximum de 65 535 octets. Les
paquets IP de cette taille ne sont pas autorisés, le pirate les
fragmente donc. Lorsque le système cible réassemble les
paquets, il peut subir des débordements de tampon et d’autres
plantages.
• Les attaques ping de la mort peuvent être bloquées à l’aide d’un
pare-feu qui vérifie la taille maximale des paquets IP fragmentés.

• Les botnets sont des réseaux constitués de millions de systèmes infectés par
des logiciels malveillants et contrôlés par des pirates informatiques afin
d’effectuer des attaques DDoS. Ces bots ou systèmes zombies sont utilisés
pour effectuer des attaques contre les systèmes cibles, souvent en
submergeant leur bande passante et leurs capacités de traitement. Ces
attaques DDoS sont difficiles à tracer, car les botnets sont disséminés dans
des lieux géographiques différents.
• Les botnets peuvent être atténués par :
• le filtrage RFC3704, qui bloque le trafic provenant d’adresses usurpées et contribue à
assurer la traçabilité du trafic vers son véritable réseau source. Le filtrage RFC3704
supprime par exemple les paquets provenant d’adresses figurant sur la liste Bogon.
• Le filtrage par trous noirs, qui élimine le trafic indésirable avant qu’il n’entre dans un
réseau protégé. Lorsqu’une attaque DDoS est détectée, l’hôte BGP (Border Gateway
Protocol) doit envoyer des mises à jour de routage aux routeurs des FAI, afin qu’ils
acheminent tout le trafic à destination des serveurs victimes vers une interface null0
lors du saut suivant.

✓Phishing et spear phishing (Hameçonnage)
• L’hameçonnage se produit lorsqu’un tiers malveillant envoie un e-mail
frauduleux comme provenant d’une source de confiance légitime.
L’objectif du message est de piéger le destinataire sur l’installation
d’un malware sur son appareil ou sur le partage d’informations
personnelles ou financières.
• Un exemple d’hameçonnage est un e-mail factice ayant l’apparence
de celui envoyé par un magasin, demandant à l’utilisateur de cliquer
sur un lien pour demander un prix. Le lien peut diriger vers un faux
site demandant des informations personnelles, ou installer un virus.

• Le harponnage (spear phishing) est un hameçonnage très ciblé. Les
attaquants prennent le temps de mener des recherches sur leurs cibles et de
créer des messages personnels et pertinents. Pour cette raison, le
harponnage peut être très difficile à identifier et encore plus difficile à
combattre. L’un des moyens les plus simples pour un pirate de mener une
attaque de harponnage est d’usurper une adresse électronique, c’est-à-dire
de falsifier la section « De » d’un e-mail, pour vous donner l’impression que
le message a été envoyé par une personne que vous connaissez, par
exemple votre supérieur ou une entreprise partenaire
• L’agresseur recherche les intérêts de la cible avant d’envoyer l’e-mail. Par
exemple, un agresseur apprend que la cible s’intéresse aux voitures et qu’il
recherchait un modèle spécifique de voiture. L’agresseur rejoint le même
forum de discussion sur les voitures où la cible est membre, crée une fausse
mise en vente de voiture et envoie un courrier électronique à la cible. L’e-
mail contient un lien vers les photos de la voiture. Lorsque la cible clique sur
le lien, le malware est installé sur son ordinateur.
Pour réduire le risque d’être victime d’un hameçonnage, vous pouvez utiliser les
techniques suivantes :
• Esprit critique – Ne prenez pas un e-mail pour argent comptant simplement parce
que vous êtes occupé ou stressé ou que vous avez 150 autres messages non lus
dans votre boîte de réception. Faites une petite pause et analysez cet e-mail.
• Passer le curseur sur les liens – Déplacez votre curseur de souris sur les liens, mais
sans cliquer ! Il s’agit seulement de voir où ces liens vous emmèneraient. Faites
preuve d’esprit critique en déchiffrant l’URL.
• Analyse des en-têtes des e-mails – Les en-têtes des e-mails indiquent comment un
e-mail est arrivé à votre adresse. Les paramètres « Répondre à » et « Chemin de
retour » doivent conduire au même domaine que celui indiqué dans l’e-mail.
• Sandboxing – Vous pouvez tester le contenu d’un e-mail dans un
environnement sandbox, en enregistrant l’activité qui suit l’ouverture de la pièce
jointe ou les clics sur les liens de l’e-mail.

✓Attaque par injection SQL
• L’injection SQL est devenue un problème courant qui affecte les sites
Web exploitant des bases de données. Elle se produit lorsqu’un
malfaiteur exécute une requête SQL sur la base de données via les
données entrantes du client au serveur.
• Des commandes SQL sont insérées dans la saisie du plan de données
(par exemple, à la place du nom d’utilisateur ou du mot de passe) afin
d’exécuter des commandes SQL prédéfinies.
• Un exploit d’injection SQL réussi peut lire les données sensibles de la
base de données, modifier (insérer, mettre à jour ou supprimer) les
données de la base de données, exécuter des opérations
d’administration de la base de données (par exemple la fermer),
récupérer le contenu d’un fichier spécifique, et, dans certains cas,
envoyer des commandes au système d’exploitation.
• Par exemple, le formulaire Web d’un site Web peut demander le nom de
compte d’un utilisateur, puis l’envoyer à la base de données afin
d’extraire les informations de compte associées à l’aide de SQL
dynamique, comme ceci :
“SELECT * FROM users WHERE account = ‘“ +
userProvidedAccountNumber +”’;”
• Même si cela fonctionne pour les utilisateurs qui saisissent
correctement leur numéro de compte, cela laisse un passage aux
attaquants. Si, par exemple, quelqu’un décidait de fournir un numéro de
compte “‘ or ‘1’ = ‘1’”, cela donnerait une chaîne de requête comme
celle-ci :
“SELECT * FROM users WHERE account = ‘’ or ‘1’ = ‘1’;”
• Puisque ‘1’ = ‘1’ est toujours évalué comme TRUE, la base de données
renvoie les données de tous les utilisateurs au lieu d’un seul.
• La vulnérabilité à ce type d’attaque informatique est liée au fait que SQL ne
fait aucune distinction réelle entre le plan de contrôle et le plan de données.
Pour cette raison, les injections SQL fonctionnent surtout si un site Web utilise
SQL dynamique. De plus, les injections SQL sont très courantes avec les
applications PHP et ASP en raison de la prévalence des anciennes interfaces
fonctionnelles. Les applications J2EE et ASP.NET sont moins sensibles aux
injections SQL en raison de la nature des interfaces programmatiques
disponibles.
• Afin de vous protéger contre les attaques par injection SQL, appliquez le
modèle d’autorisation « least0privilege » à vos bases de données. Respectez
les procédures stockées (assurez-vous que ces procédures n’incluent pas de
SQL dynamique) et les instructions préparées (requêtes paramétrées). Le code
exécuté sur la base de données doit être suffisamment fort pour prévenir les
attaques par injection. Par ailleurs, validez les données saisies au niveau de
l’application à l’aide d’une liste blanche.

✓Attaque XSS (Cross-site scripting)
• Les attaques XSS utilisent des ressources Web tierces pour exécuter des
scripts dans le navigateur Web de la victime ou dans une application
pouvant être scriptée. Plus précisément, l’attaquant injecte un
JavaScript malveillant dans la base de données d’un site Web. Lorsque la
victime demande une page du site Web, le site Web transmet la page à
son navigateur avec le script malveillant intégré au corps HTML. Le
navigateur de la victime exécute ce script, qui envoie par exemple le
cookie de la victime au serveur de l’attaquant, qui l’extrait et l’utilise
pour détourner la session.
• Les conséquences les plus graves se produisent lorsque XSS sert à
exploiter des vulnérabilités supplémentaires. Ces vulnérabilités peuvent
non seulement permettre à un attaquant de voler des cookies, mais
aussi d’enregistrer les frappes de touches et des captures d’écran, de
découvrir et de collecter des informations réseau et d’accéder et de
contrôler à distance l’ordinateur de la victime.

• XSS peut être exploité avec VBScript, ActiveX et Flash, mais c’est
JavaScript qui est le plus largement touché, principalement en
raison de son omniprésence sur le Web.
• Pour se défendre contre les attaques XSS, les développeurs
peuvent assainir les données entrées par les utilisateurs dans leurs
requêtes HTTP avant de les renvoyer. Assurez-vous que toutes les
données sont validées, filtrées ou effacées avant de renvoyer quoi
que ce soit à l’utilisateur, par exemple les valeurs des paramètres
de requête lors de recherches. Convertissez les caractères spéciaux
tels que ?, &, /, <, > et les espaces en leurs équivalents codés HTML
ou URL. Offrez aux utilisateurs la possibilité de désactiver les
scripts côté client.
✓Attaque par écoute illicite (Snifing)
• Les écoutes clandestines sont le résultat d’une interception du trafic réseau.
Elles permettent à un attaquant d’obtenir des mots de passe, des numéros de
carte bancaire et d’autres informations confidentielles qu’un utilisateur envoie
sur le réseau. Elles peuvent être passives ou actives :
• Écoute clandestine passive – Un pirate détecte des informations en écoutant
la transmission de messages sur le réseau.
• Écoute clandestine active – Un pirate s’empare activement d’informations en
se faisant passer pour une unité amie et en envoyant des requêtes aux
transmetteurs. On appelle cela sonder, scanner ou saboter.
• Il est souvent plus important de détecter des écoutes passives que des
écoutes actives, car ces dernières exigent de l’attaquant qu’il apprenne à
connaître les unités amies en effectuant préalablement des écoutes passives.
• Le chiffrement des données est la meilleure contre-mesure contre les écoutes
clandestines.

✓Attaque par mot de passe
• Les mots de passe étant le mécanisme le plus couramment utilisé pour authentifier les
utilisateurs d’un système informatique, l’obtention de mots de passe est une approche
d’attaque courante et efficace. Le mot de passe d’une personne peut être obtenu en fouillant
le bureau physique de la personne, en surveillant la connexion au réseau pour acquérir des
mots de passe non chiffrés, en ayant recours à l’ingénierie sociale, en accédant à une base de
données de mots de passe ou simplement en devinant.
Cette dernière approche – deviner – peut s’effectuer de manière aléatoire ou systématique :
• Les attaques par force brute consistent à adopter une approche aléatoire : essayer différents
mots de passe en espérant que l’un d’entre eux fonctionnera. Une certaine logique peut être
appliquée : essayer des mots de passe liés au nom de la personne, à son poste, à ses passe-
temps ou à des éléments similaires.
• Dans une attaque par dictionnaire, un dictionnaire des mots de passe courants est utilisé
pour tenter d’accéder à l’ordinateur et au réseau d’un utilisateur. Une approche consiste à
copier un fichier chiffré contenant les mots de passe, à appliquer le même chiffrement à un
dictionnaire des mots de passe couramment utilisés et à comparer les résultats.
• Pour vous protéger contre les attaques par dictionnaire ou par force brute, vous devez mettre
en œuvre une politique de verrouillage des comptes qui verrouillera un compte après
quelques tentatives infructueuses de saisie du mot de passe.
✓Attaque par mot de passe
• Le décryptage de mot de passe Wi-Fi est le processus d’identification du mot de
passe utilisé pour protéger un réseau sans fil. Voici quelques techniques de
décryptage de mot de passe :
• Piratage psychologique – L’agresseur manipule une personne qui connaît le mot de
passe pour le lui fournir.
• Attaques brutales – L’agresseur tente plusieurs mots de passe possibles pour tenter
de deviner le mot de passe. Si le mot de passe est un numéro à 4 chiffres, par
exemple, l’agresseur devra essayer chacune des 10 000 combinaisons. Les attaques
brutales impliquent généralement un fichier contenant une liste de mots. Il s’agit d’un
fichier texte contenant une liste de mots tirés d’un dictionnaire.
• Ensuite, un programme tente chaque mot et chaque combinaison commune.
• Du fait que les attaques brutales prennent du temps, l’identification des mots de
passe complexes dure beaucoup plus longtemps. Les outils pour le décryptage de
mots de passe par attaque brutale incluent Ophcrack, L0phtCrack, THC Hydra,
RainbowCrack et Medusa.

✓Empoisonnement par SEO
• Les moteurs de recherche comme Google fonctionnent en classant des
pages et en présentant les résultats pertinents en fonction des requêtes
de recherche des utilisateurs. En fonction de la pertinence du contenu
du site Web, celui-ci peut se situer plus haut ou plus bas sur la liste des
résultats de recherche.
• L’optimisation pour les moteurs de recherche ou SEO est un ensemble
de techniques utilisées pour améliorer le classement d’un site Web par
un moteur de recherche. Alors que de nombreuses entreprises légitimes
se spécialisent dans l’optimisation de sites Web pour mieux se
positionner, un utilisateur malveillant pourrait utiliser une SEO pour
créer un site Web malveillant qui apparaîtrait au sommet des résultats
de recherche. Cette technique est appelée empoisonnement par SEO.
✓Empoisonnement par SEO
• L’objectif le plus commun de l’empoisonnement par SEO est
d’augmenter le trafic vers des sites malveillants qui peuvent
héberger un malware ou effectuer un piratage psychologique.
• Pour forcer un site malveillant à se classer au sommet des résultats

de recherche, les agresseurs tirent parti des termes de recherche
populaires,

Activité

Correction

✓Qu'est-ce qu'une attaque mixte ?
• Les attaques mixtes sont des attaques qui utilisent plusieurs techniques
pour compromettre une cible. En utilisant plusieurs techniques
d’attaque différentes simultanément, les agresseurs disposent de
malware qui représentent un mélange de vers, de chevaux de Troie, de
logiciels espions, d’enregistreurs de frappe, de pourriels et de plans
d’hameçonnage.
• Cette tendance des attaques mixtes est révélatrice de malware plus
complexes et met les données des utilisateurs en grand danger.
• Le type d’attaque mixte le plus courant utilise des courriels, des
messages instantanés ou des sites légitimes pour distribuer des liens
dans lesquels un malware ou un logiciel espion est secrètement
téléchargé sur l’ordinateur.
✓Qu'est-ce qu'une attaque mixte ?
• Une autre attaque mixte commune utilise les attaques par déni de service distribuée
combinées à des e-mails d’hameçonnage. Tout d’abord, l’attaque par déni de service
distribuée est utilisée pour détraquer le site Web d’une banque populaire et envoyer des e-
mails aux clients de la banque en s’excusant pour la gêne occasionnée. L’e-mail dirige
également les utilisateurs vers un site d’urgence factice où leurs vraies informations de
connexion peuvent être volées.
• La plupart des vers informatiques les plus néfastes comme Nimbda, CodeRed, BugBear, Klez et
Slammer sont davantage catégorisés comme des attaques mixtes, comme indiqué ci-dessous :
• Certaines variantes de Nimbda ont utilisé les pièces jointes d’e-mail, les téléchargements de
fichier à partir d’un serveur Web compromis et le partage de fichiers Microsoft (par exemple,
des partages anonymes) comme méthodes de propagation.
• D’autres variantes de Nimbda ont été en mesure de modifier les comptes invités du système
pour fournir à l’agresseur ou au code malveillant des privilèges administratifs.
• Les récents vers Conficker et ZeuS/LICAT étaient également des attaques mixtes. Conficker a
utilisé toutes les méthodes de distribution classiques.

✓Attaque physique:
• C’est une attaque au niveau des infrastructures matérielles :
• Salles sécurisées,
• lieux ouverts au public,
• espaces communs de l’entreprise,
• postes de travail des personnels,
• etc.
• Le but peut être de voler du matériel, comme il peut aller à la
perturbation du bon fonctionnement des services de l’organisation.

MÉTHODES DE DÉFENSE
Protection contre les cyberattaques
➢ Sécurité défensive:
• Mesurer les risques et déterminer les failles
• Elaboration d’une politique de sécurité
• Mise en œuvre des techniques de défenses
➢ Techniques
• Test d’intrusion/analyse de vulnérabilités
• Filtrage de paquets (pare-feu)
• Contrôle d’accès, IDS
• Détection de code malicieux (Virus, ver, trojan,…)
• Cryptographie: chiffrement, signatures numériques,…etc
• VPN, Ipsec, TLS/SSL, etc.
➢ Sécurité défensive:
✓ Le modèle "Zero Trust" est une stratégie de cybersécurité centrée sur les données
pour l'informatique d'entreprise qui part du principe qu'aucun utilisateur final,
aucun dispositif informatique, aucun service web ou aucune connexion réseau n'est
fiable, même lorsqu'une demande d'accès provient du périmètre du réseau de
l'entreprise
✓ Parce que les acteurs malveillants peuvent exister à la fois à l'intérieur et à
l'extérieur d'un réseau, le modèle "Zero Trust" soutient les principes suivants:
• Ne jamais faire confiance
• Toujours vérifier
• Appliquer le principe du minimum de privilège
➢ Sécurité offensive:
✓ C’est une approche proactive pour protéger les systèmes informatiques, les réseaux et les
individus contre les attaques
✓ Elle consiste à attaquer son propre système pour en découvrir les points faibles et y apporter
des solutions
✓ Types d’attaquants:
• Les White Hat (hackers bien intentionnés): utilisent leur talent de hacker dans le but de défendre les
entreprises, ce sont les professionnels de la sécurité informatique, les hackers éthiques qui attaquent,
dans un cadre légal bien défini, un système d'informations
• Les Gray Hat: sont à la frontière de l'illégalité comme le disent certains. Ils font des tests et préviennent
leur cible par rapport aux failles découvertes pour correction avec un préavis avant divulgation
• Les hackers sponsorisés : à l'heure de la cyber guerre, certains pays font souvent appel à ce groupe de
hackers pour attaquer un autre pays pendant que d'autres forment leurs propres éléments au besoin
• Les script kiddies qui ne sont pas toujours formés et ont des connaissances peu approfondies en terme de
sécurité et surtout de droit mais se contente de télécharger des outils sur internet pour faire leur test
• Les Black Hat (hackers mal intentionnés) très talentueux mais attaquent et cherchent à nuire. Dans le
jargon, ils sont appelés "crackers"
Security controls at different layers
Cryptography Firewall
7 Application S/MIME, PGP Host-based firewalls
6 Presentation Process layers
5 Session SSH Circuit proxy, application proxy
4 Transport SSL/TLS TCP/UDP port numbers Host-to-host layers
3 Network IPSec IP address, protocol type, ASN Internet layers
2 Data Link WPA2, L2TP MAC address

Network access
1 Physical layers
CRC Checksum FCS HMAC

• La défense contre les attaques informatiques comporte un
ensemble d’opérations de gérer et de diriger les différentes
incidences liées à la manipulation de l’outil informatique.
• La gestion des risques consiste en trois actions majeures :
1) Etudier les risques potentiels (identifier/mettre au jour ces
risques) ;
2) Imposer une politique de sécurité adéquates pour réduire ces
risques ;
3) Formation des utilisateurs à tous les niveaux.

1) Etudier les risques potentiels:
Cette phase consiste à faire un examen intégral de la m´méthodologie de
l´étude des risques informatique en vigueur. Cela se matérialise aux moyens :
• Définition de l’environnement: Définition des acteurs et leurs intérêts ; il s’agit
de préciser l’importance de la sécurité dans la stratégie de l’entreprise ; Type
de données impliquées ; Visibilité extérieure de la sécurité (importance pour
la clientèle, le public).
• Etude des menaces: Identifier la nature de la menace; accidentelles (désastre,
bugs...) ou intentionnelles (attaques, vols...); S’enquérir des sources de la
menace: personnel non autorisé, intrus, logiciel ; Localiser la menace :
Procédures manuelles, informatique (software, réseau, stockage, hardware),
infrastructure (concrète et abstraite).
• Etude des vulnérabilités - Etudes des faiblesses engendrées par l’exécution d’une menace.
• Etude des risques - Probabilité d’occurrence de ces menaces conduisant à une
vulnérabilité.
1) Etudier les risques potentiels:
• Estimation du risque et du plan stratégique : Le Risque (Coût des pertes
à court, moyen et long terme engendrées, Coût de la mise en place de la
contremesure tant au niveau logique que logistique, Comparer la perte
potentielle au coût de la contre-mesure) ; Plan stratégique (Planning de
l’implémentation avec prise en compte des besoins futurs en termes de
s´sécurité ou non, Planning du suivi de l’implémentation).
• Audit de sécurité: L’audit de sécurité consiste à s’appuyer sur un tiers de
confiance (de préférence une société spécialisée en sécurité
informatique) afin de valider les moyens de protection mis en œuvre, au
regard de la politique de sécurité. L’objectif de l’audit est de vérifier que
chaque règle de la politique de sécurité est correctement appliquée et
que l’ensemble des dispositions prises forme un tout cohérent.
2) Mise en place d’une politique de sécurité:
• Les mécanismes de sécurité mis en place peuvent gêner les utilisateurs et les
consignes et règles deviennent de plus en plus compliquées au fur et à mesure
que le réseau s’étend.
• Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas
empêcher les utilisateurs de développer les usages qui leur sont nécessaires,
et de faire en sorte qu’ils puissent utiliser le système d’information en toute
confiance.
• Il est nécessaire de définir dans un premier temps une politique de sécurité
dont la mise en œuvre s’effectue en quatre phases:
• Identifier les besoins en terme de sécurité, les risques informatiques pesant sur
l’entreprise et leurs éventuelles conséquences ;
• Elaborer des règles et des procédures à mettre en œuvre dans les différents services de
l’organisation pour les risques identifies ;
• Surveiller et détecter les vulnérabilités du système d’information et se tenir informé des
failles sur les applications et matériels utilisés;
• Définir les actions à entreprendre et les personnes à contacter en cas de détection d’une
menace.
3) Formation des utilisateurs:
• Il est de plus en plus admis que la sécurité est essentielle.
• Il est beaucoup plus simple de corrompre l’utilisateur et ce qui l’entoure
que l’algorithme de chiffrement utilisé comme par exemple :
• L’utilisateur ne connait pas les risques engendrés par la conservation de la liste
des mots de passe utilisés à côté de l’ordinateur;
• Il est souvent plus simple de s’introduire dans l’ordinateur de l’utilisateur afin de
retrouver le texte en clair (hacking, vol, . . . ) ;
• Il est possible de l’espionner, le pousser à la délation, pratiquer tout autre
technique dite de ”ingénierie sociale”, ...
• Il ne s’agira donc pas ici d’expliquer aux employés comment
fonctionnent les algorithmes qu’ils utiliseront, mais plutôt comment et
dans quelles conditions ils devront les utiliser en définissant des règles à
respecter.
POLITIQUE DE SÉCURITÉ INFORMATIQUE
• Une politique de sécurité est l’ensemble des orientations suivies par une
organisation en termes de sécurité.
• Elle est élaborée au niveau de système de pilotage (Direction), car elle
concerne tous les utilisateurs du système.
• La sécurité informatique de l’entreprise repose sur une bonne connaissance
des règles par les employés, grâce à des actions de formation et de
sensibilisation auprès des utilisateurs,
• Elle doit aussi aller au-delà de cela tout en couvrant les champs ci-après:
• Mise en place des correctifs ;
• Une stratégie de sauvegarde correctement planifiée ;
• Description de la sécurité (de l’infrastructure physique, des données informatiques, des
applications, du réseau) ;
• Plan en cas de sinistre (Un plan de reprise après incident) ;
• Sensibilisation du personnel aux nouvelles procédures,
• Sanctions en cas de manquements.
• Objectifs, Portée, Responsables ;
La politique de sécurité fixe les principaux paramètres, notamment les
niveaux de tolérance et les coûts acceptables. Voici quelques éléments
pouvant aider à définir une politique :
• Quels furent les coûts des incidents informatiques passés ?
• Quel degré de confiance pouvez-vous avoir envers vos utilisateurs
internes ?
• Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou
tellement forte qu’elle devient contraignante ?
• Y a-t-il des informations importantes sur des ordinateurs en réseaux ?
Sont-ils accessible de l’externe ?
• Quelle est la configuration du réseau et y a-t-il des services accessibles
de l’extérieur ?
• Les règles juridiques applicables à l’entreprise concernant la sécurité et
la confidentialité des informations (ex: loi ” informatique et liberté”, ...)
la politique de sécurité peut être d´découpée en plusieurs parties :
• Défaillance matérielle: Tout équipement physique est sujet à défaillance
(usure, vieillissement, défaut...) ; L’achat d’équipements de qualité et
standard accompagnés d’une bonne garantie avec support technique est
essentiel pour minimiser les délais de remise en fonction. Seule une
forme de sauvegarde peut cependant protéger les données.
• Défaillance logicielle: Tout programme informatique contient des bugs.
Une mise à jour régulière des logiciels et la visite des sites consacrés à ce
type de problèmes peuvent contribuer à en diminuer la fréquence.
• Accidents: (pannes, incendies, inondations...) Une sauvegarde est
indispensable pour protéger efficacement les données contre ces
problèmes; Disques RAID pour maintenir la disponibilité des serveurs ;
Copie de sécurité via le réseau (quotidienne) ; Copie de sécurité dans un
autre bâtiment (hebdomadaire).

la politique de sécurité peut être d´découpée en plusieurs parties :
• Erreur humaine : Outre les copies de sécurité, seule une formation
adéquate du personnel peut limiter ce problème.
• Vol via des dispositifs physique (disques et bandes) : Contrôler l’accès à
ces équipements; ne mettre des disques amovibles, bandes... que sur
les ordinateurs où c’est essentiel. Mettre en place des dispositifs de
surveillances.
• Virus provenant de supports amovibles : Ce risque peut-être réduit en
limitant le nombre de ports USB et lecteur mémoires en service.
L’installation de programmes antivirus peut s’avérer une protection
efficace mais elle est coûteuse, diminue la productivité, et n´nécessite
de fréquentes mises à jour.
• Piratage et virus réseau : Cette problématique est plus complexe et
l’omniprésence des réseaux, notamment l’Internet, lui confère une
importance particulière.
LES ANTI-VIRUS
• Les antivirus sont des logiciels conçus pour identifier, neutraliser et
éliminer des logiciels malveillants (dont les virus informatique ne sont
qu’une catégorie).
• Ces derniers peuvent se baser sur l’exploitation de failles de sécurité, mais
il peut également s’agir de logiciels modifiant ou supprimant des fichiers,
que ce soit des documents de l’utilisateur stockés sur l’ordinateur infecté,
ou des fichiers nécessaires au bon fonctionnement de l’ordinateur (le plus
souvent ceux du systèmes d’exploitation).
• Il est intéressant de noter qu’une fois un fichier infecté, il ne l’est jamais
deux fois.
• Un virus est programmé de telle sorte qu’il signe le fichier dès qu’il est
contaminé. On parle ainsi de signature de virus. Cette signature consiste en
une suite de bits apposée au fichier. Cette suite, une fois décelée,
permettra de reconnaitre le virus.

LES ANTI-VIRUS
• Un logiciel antivirus vérifie les fichiers et courriers électroniques, les
secteurs de d´démarrage (afin de détecter les virus de boot), mais
aussi la mémoire vive de l’ordinateur, les médias amovibles (clefs
USB, CD, DVD, etc.), les données qui transitent sur les éventuels
réseaux (dont internet) . Différentes méthodes sont possibles :
• la signature virale: Les principaux antivirus du marché se concentrent sur des
fichiers et comparent alors la signature virale du virus aux codes à vérifier ;
• La méthode heuristique est la méthode la plus puissante, tendant à découvrir
un code malveillant par son comportement. Elle essaie de le détecter en
analysant le code d’un programme inconnu. Parfois de fausses alertes
peuvent être provoquées ;
• L’analyse de forme: repose sur du filtrage basé entre des règles rege-xp, mises
dans un fichier junk. Cette dernière méthode peut être très efficace pour les
serveurs de messagerie électronique,

LES SYSTÈMES DE DÉTECTION D’INTRUSION
(IDS)
• Un système de détection d’intrusion (ou IDS : Intrusion
Detection System) est un mécanisme destiné à repérer des
activités anormales ou suspectes sur la cible analysée (un
réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur
les tentatives réussies comme échouées des intrusions.
• Les IDS, les plus connus selon leurs différentes catégories sont :
• Les IDS réseau (NIDS) - Snort ; Bro ; Suricata ; Enterasys ; CheckPoint ;
Tipping point ; etc.
• Les IDS système (HIDS) - AIDE ; Chkrootkit ; DarkSpy ; Fail2ban ;
IceSword ; OSSEC ; Rkhunter ; Rootkit Unhooker; Tripwire ; etc.
• Les IDS hybride - Prelude; OSSIM ; etc.

(IDS)
Il existe trois grandes familles distinctes d’IDS :
• les NIDS (Network Based Intrusion Detection System), qui
surveillent l’état de la sécurité au niveau du réseau ;
• les HIDS (HostBased Intrusion Detection System), qui surveillent
l’état de la sécurité au niveau des hôtes. Les HIDS sont
particulièrement efficaces pour déterminer si un hôte est
contaminé et les NIDS permettent de surveiller l’ensemble d’un
réseau contrairement à un HIDS qui est restreint à un hôte.
• les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des
alertes plus pertinentes.

(IDS)
Un NIDS (IDS réseau) se découpe en trois grandes parties :
• la capture,
• les signatures et,
• les alertes.

(IDS)
Un NIDS (IDS réseau) :
• La Capture :
• Sert à la récupération de trafic réseau. En général cela se fait en temps réel, bien
que certains NIDS permettent l’analyse de trafic capturé précédemment.
• La plupart des NIDS utilisent la bibliothèque standard de capture de paquets
libpcap.
• Le fonctionnement de la capture d’un NIDS est de copier tout paquet arrivant au
niveau de la couche liaison de données du système d’exploitation. Une fois ce
paquet copié, il lui est appliqué un filtre BPF (Berkeley Packet Filter),
correspondant à l’affinage de ce que l’IDS cherche à récupérer comme
information.
• Le trafic analysé n’est pas forcément égal à celui du trafic entrant, étant donné
que la libpcap agit à une couche en dessous du pare-feu (qui agit au niveau
réseau).
(IDS)
2) Les Signatures:
• Les bibliothèques de signatures (approche par scénario) rendent la
démarche d’analyse similaire à celle des anti-virus quand ceux-ci s’appuient
sur des signatures d’attaques.
• Le NIDS est efficace s’il connaît l’attaque, mais inefficace dans le cas
contraire.
• Les outils commerciaux ou libres ont évolué pour proposer une
personnalisation de la signature afin de faire face à des attaques dont on
ne connaît qu’une partie des éléments.
• Les outils à base de signatures requièrent des mises à jour très régulières.

(IDS)
3) Les alertes:
• Les alertes sont généralement stockées dans les journaux du système.
• Il existe une norme qui permet d’en formaliser le contenu, afin de permettre à
différents éléments de sécurité d’inter-opérer. Ce format s’appelle IDMEF (pour
Intrusion Detection Message Exchange Format) décrit dans la RFC 4765.
• Le format IDMEF est popularisé par le projet Prelude, qui offre une
infrastructure permettant aux IDS de ne pas avoir à s’occuper de l’envoi des
alertes.
• Cela permet aux IDS de n’avoir qu’à décrire les informations qu’ils connaissent
et ”Prelude” se charge de les stocker pour permettre une visualisation humaine
ultérieure.
(IDS)
Les HIDS (IDS machine):
• Les HIDS, (pour Host based IDS), signifiant ”Système de détection
d’intrusion machine” sont des IDS dédiés à un matériel ou système
d’exploitation.
• Généralement, contrairement à un NIDS, le HIDS récupère les informations
qui lui sont données par le matériel ou le système d’exploitation.
• Il y a pour cela plusieurs approches :
1. Signatures,
2. Comportement (statistiques) ou
3. Délimitation du périmètre avec un système d’ACL (Access Control List).
• Un HIDS se comporte comme un daemon ou un service de fond standard
sur un système hôte qui détecte une activité suspecte en s’appuyant sur
une norme.

(IDS)
Les HIDS (IDS machine):
Si les activités s’éloignent de la norme, une alerte est générée. La
machine peut être surveillée sur plusieurs points :
• Activité de la machine : nombre et listes de processus ainsi que
d’utilisateurs, ressources consommées, ...
• Activité de l’utilisateur : horaires et durée des connexions,
commandes utilisées, messages envoyés, programmes activés,
dépassement du périmètre d´défini...
• Activité malicieuse : d’un ver, virus ou cheval de Troie.

LES PARE-FEU (FIREWALL)
• Un pare-feu (parfois appelé coupe-feu, garde-barrière, barrière de
sécurité, ou encore firewall.
• Est un logiciel et/ou un matériel permettant de faire respecter la
politique de sécurité du réseau, celle-ci définissant quels sont les
types de communications autorisés sur ce réseau informatique.
• Le pare-feu a pour objectif principal de surveiller et contrôler les
applications et les flux de données (paquets), en empêchant les
connexions non-autorisées sur un réseau informatique ou autres.

Types de pare-feu:
• Pare-feu sans état (stateless firewall) : regarde chaque paquet
indépendamment des autres et le compare à une liste de règles
préconfigurées.
• Pare-feu à états (stateful firewall) : vérifie que chaque paquet est bien
la suite d'un précédent paquet et la réponse à un paquet dans l'autre
sens.
• Pare-feu applicatif : Vérifie la complète conformité du paquet à un
protocole attendu.
• pour ouverture de ports dynamique (FTP)
• contre ceux qui utilisent un tunnel TCP pour contourner le filtrage par ports.
• mais couteux en ressource
Un firewall peut être configuré à de nombreux niveaux :
• Niveau des adresses IP : on peut lui faire accepter les flux de données
provenant d’une plage d’adresses, ou même d’une adresse
uniquement.
• Niveau des noms de domaine : il est également possible d’empêcher
l’accès à certaines adresses Internet.
• Niveau des protocoles : pour empêcher tout transfert FTP, tout accès
Telnet, ou encore pour éviter le surf sur Internet (HTTP).
• Niveau des ports : pour supprimer le FTP, on peut refuser les
connexions sur le port 21.
• Niveau des mots ou phrases : semblable aux expressions régulières, il
est possible de refuser les paquets dont le contenu renferme des
séquences de lettres données.
• Au fil des années, comme les attaques informatiques et les attaques du réseau sont
devenues plus sophistiquées, de nouveaux types de pare-feu ont été élaborés pour
répondre à différents objectifs dans la protection d'un réseau. Voici une liste des types de
pare-feu courants :
• Pare-feu de la couche réseau : filtrage basé sur les adresses IP sources et de destination
• Pare-feu de la couche transport : filtrage basé sur les ports de données sources et de
destination et filtrage basé sur les états de connexion
• Pare-feu de la couche application : filtrage basé sur les applications, les programmes ou
les services
• Pare-feu pour applications sensibles au contexte : filtrage basé sur l'utilisateur, l'appareil,
le rôle, le type d'application et le profil de la menace
• Serveur proxy : filtrage des demandes de contenu Web comme les URL, les domaines, les
médias, etc.
• Serveur proxy inverse : placé à l'avant des serveurs Web, les serveurs proxy inverses
protègent, masquent, déchargent et distribuent l'accès aux serveurs Web
• Pare-feu NAT (traduction d'adresses de réseau) : cache ou masque les adresses privées
des hôtes du réseau
• Pare-feu propre à un hôte unique : filtrage des ports et des appels de service du système
sur le système d'exploitation d'un seul ordinateur
Il existe 3 modèles de firewalls :
• Les firewalls Bridge : Ce format de mur de feu a l’apparence d’un simple
câble réseau, sans machine spécifique. Il est invisible et indétectable pour
un pirate, son adresse MAC ne circulant jamais sur le réseau.
• Les firewalls hardware - Ils sont souvent assimilés à des boites noires,
l’accès à leur code étant difficile. Ils sont facilement intégrables au réseau ;
leur administration est souvent simplifiée et leur niveau de sécurité est
assez élevé, mais les mises à jour dépendent entièrement du constructeur
et en raison de l’architecture hardware, peu de modifications sont
autorisées.
• Les firewalls logiciels - Ces pare-feu existent autant sous forme
commerciales que sous forme gratuites. La forme commerciale facile à
configurer mais au dépit du niveau de sécurité et la forme libre est plus
flexibles avec plus d’options, mais ça demande de bonnes connaissances en
réseau afin de les configurer finement sans abaisser le niveau de sécurité.
ZONE DÉMILITARISÉE - DMZ
DMZ
LAN
Internet
Parefeu

ZONE DÉMILITARISÉE - DMZ
• Les services courants comme le serveur web, serveur FTP,
gestionnaire de domaines (DNS) ... doivent être accessibles de
l’extérieur suivant certains critères bien précis.
• Ces ouverture même contrôlées en font des trous de securite
potentiels, ils doivent donc être places dans un endroit "moins
sécurisé" que l'on appelle DMZ.
• Une de ces machines mise dans la DMZ, si elle était attaquée, ne
pourrait en aucune manière accéder au réseau interne (à cause du
pare-feu).
• Suivant la politique de sécurité décide, le réseau interne doit pouvoir
accéder librement aux services extérieurs ou non.
• Dans le cas négatif, la mise en place de relais applicatifs pourrait alors
être mis en œuvre via une autre machine sous placée dans la DMZ
(SQUID, delegate, FWTK)

CHIFFREMENT
• Vos données doivent toujours être chiffrées. Vous pensez ne pas

avoir de secrets, ni de choses à cacher, alors pourquoi utiliser le
chiffrement, dites-vous ? Peut-être pensez-vous que vos
données ne sont importantes pour personne. Vous vous
trompez certainement.
• Êtes-vous prêt à montrer toutes vos photos et tous vos
documents à des étrangers ? Êtes-vous prêt à partager avec vos
amis les informations financières stockées sur votre ordinateur ?
Souhaitez-vous fournir les mots de passe de votre e-mail et de
vos comptes au public ?

CHIFFREMENT
• Cela peut empirer si l’application malveillante infecte votre ordinateur
ou votre terminal mobile et vole des informations potentiellement
utiles, comme les numéros de compte, les mots de passe et d’autres
documents officiels.
• Ce type d’informations peut mener à l’usurpation d’identité, à la

fraude ou à une demande de rançon. Les cybercriminels peuvent
décider de simplement chiffrer vos données pour les rendre
inutilisables jusqu’à ce que vous payez la rançon.

CHIFFREMENT
• Qu’est-ce que le chiffrement ? Le chiffrement est un processus
de conversion des informations en un format non accessible en
lecture pour une partie non autorisée. Seule une personne
fiable et autorisée, dotée du code secret ou du mot de passe
peut déchiffrer les données et accéder à leur format original.
• Le chiffrement proprement dit n’empêche pas l’interception des

données par un tiers. Le chiffrement ne peut qu’empêcher une
personne non autorisée à visionner ou à accéder au contenu.
• Des programmes sont utilisés pour chiffrer des fichiers, des
dossiers et même des disques entiers.

CHIFFREMENT
Cryptographie:
• contre les écoutes : Il faut chiffrer les données
• de machine-à-machine de manière applicative : ssh, ssl, etc.
• de machine-à-réseau ou de réseau-à-réseau : tunnel, VPN
• contre les usurpations d'identité : Il faut authentifier
• Gestion de certificats
• Challenge dans les protocoles

AUTRES MÉCANISMES DE DÉFENSE
• Signature numérique: données ajoutées pour vérifier l'intégrité ou l'origine
des données.
• Bourrage de trafic : données ajoutées pour assurer la confidentialité,
notamment au niveau du volume du trafic.
• Notarisation : utilisation d’un tiers de confiance pour assurer certains
services de sécurité.
• Contrôle d’accès : vérifie les droits d’accès d’un acteur aux données.
N'empêche pas l'exploitation d'une vulnérabilité.
• Journalisation ("logs") : Enregistrement des activités de chaque acteurs.
Permet de constater que des attaques ont eu lieu, de les analyser et
potentiellement de faire en sorte qu'elles ne se reproduisent pas.
• Analyse des vulnérabilité ("security audit") : identification des points de
vulnérabilité du système. Ne détecte pas les attaques ayant déjà eu lieu, ou
lorsqu'elles auront lieu.

• Authentification forte : Authentifier un acteur peut se faire en
utilisant une ou plusieurs de ses éléments.
• Ce qu'il sait. Par ex. : votre mot de passe, date anniversaire
• Ce qu'il a. Par ex. : une carte à puce
• Ce qu'il est. Par ex. : la biométrie (empreinte digitale, oculaire ou vocale)
• Contrôle du routage : sécurisation des chemins (liens et équipements
d'interconnexion).
• Contrôle d'accès aux communications : le moyen de communication
n'est utilisé que par des acteurs autorisés. Par VPN ou tunnels.
• Horodatage : marquage sécurisé des instants significatifs .
• Certification : preuve d'un fait, d'un droit accordé.
• Distribution de clefs : distribution sécurisée des clefs entre les entités
concernées.
• Voici des outils utilisés pour détecter et empêcher les incidents de
sécurité :
• SIEM : un système de gestion des événements et des informations de
sécurité (SIEM) est un logiciel qui collecte et analyse les alertes et les
registres de sécurité, ainsi que d'autres données historiques et en
temps réel provenant des périphériques sur le réseau.
• DLP : un logiciel de prévention des pertes de données (DLP) est un
logiciel ou un système matériel conçu pour éviter le vol de données
sensibles ou la fuite de ces données d'un réseau. Un système DLP
peut se concentrer sur l’autorisation d’accès aux fichiers, l’échange de
données, la copie des données, la surveillance des activités de
l’utilisateur, et bien plus encore.

AUTHENTIFICATION À DEUX FACTEURS

AUTHENTIFICATION À DEUX FACTEURS
• Les services en ligne populaires, comme Google, Facebook, Twitter,
LinkedIn, Apple et Microsoft, utilisent une authentification à
deux facteurs pour renforcer la sécurité des connexions aux comptes.
Outre le nom d’utilisateur et le mot de passe, ou le modèle ou le
numéro d’identification personnelle (PIN), l’authentification à
deux facteurs nécessite un second jeton, comme :
• un objet physique (une carte de crédit, une carte ATM, un téléphone
ou un porte-clé) ;
• un balayage biométrique (une empreinte digitale ou palmaire et une
reconnaissance vocale ou faciale).
• Même avec une authentification à deux facteurs, les pirates peuvent
toujours obtenir l’accès à vos comptes en ligne, notamment par le
biais d’attaques d’hameçonnage, de programmes malveillants et de
piratage psychologique.

BALAYAGE DES PORTS (NMAP)
• Le balayage des ports est un processus de sondage d’un ordinateur,
d’un serveur ou d’un autre hôte de réseau pour détecter les ports
ouverts.
• Dans le domaine des réseaux, un identifiant appelé numéro de port
est attribué à chaque application exécutée sur un périphérique.
• Ce numéro de port est utilisé sur les deux extrémités de la
transmission pour que les bonnes données soient transmises vers
l’application adéquate.
• Il est possible d’utiliser le balayage des ports de manière malveillante
en tant qu’outil de reconnaissance pour identifier le système
d’exploitation et les services exécutés sur un ordinateur ou sur un
hôte.
• Un administrateur réseau peut également l’utiliser de façon
inoffensive pour vérifier les politiques de sécurité du réseau.
• Afin d’évaluer le pare-feu de votre propre réseau d’ordinateurs, ainsi que la
sécurité de vos ports, vous pouvez utiliser un outil de balayage des ports
comme Nmap pour détecter tous les ports ouverts sur votre réseau.
• Le balayage des ports peut être considéré comme un précurseur d’une attaque
réseau et ne doit pas, par conséquent, être effectué sur des serveurs publics
sur Internet ou sans permission sur un réseau d’entreprise.
• Pour effectuer le balayage des ports d'un ordinateur sur votre réseau
domestique local avec Nmap, téléchargez et lancez un programme tel que
Zenmap, fournissez l'adresse IP cible de l'ordinateur que vous souhaitez
analyser et choisissez un profil de balayage par défaut, puis appuyez sur Scan
(Balayer).
• Le balayage Nmap présentera un rapport de tous les services en cours
d’exécution (p. ex., services Web, services de messagerie, etc.) et les numéros
des ports.

• Le balayage d’un port entraîne habituellement l’une des
trois réponses suivantes :
• Ouvert ou Accepté : l'hôte répond en indiquant qu'un service est en
attente de requête sur le port.
• Fermé, Refusé ou Pas en attente de requête : l'hôte répond en
indiquant que les connexions au port seront refusées.
• Filtré, Ignoré ou Bloqué : il n'y avait aucune réponse de la part de
l'hôte.

MEILLEURES PRATIQUES DE SÉCURITÉ
• De nombreuses organisations nationales et professionnelles ont publié des listes des bonnes
pratiques de sécurité. Ci-après une liste de quelques bonnes pratiques de sécurité :
• Effectuer une évaluation des risques : connaître la valeur de ce que vous protégez vous aidera à
justifier les dépenses liées à la sécurité.
• Créer une politique de sécurité : créez une politique qui présente clairement les règles, les postes,
les charges et les attentes de l'entreprise.
• Mesures de sécurité physique : limitez l'accès aux salles de mise en réseau et aux emplacements
des serveurs, et à ce qui implique des mesures d'extinction des incendies.
• Mesures de sécurité des ressources humaines : une enquête approfondie doit être faite sur les
employés en vérifiant leurs antécédents.
• Effectuer et tester les sauvegardes : effectuez régulièrement des sauvegardes et testez la
récupération des données à partir des sauvegardes.
• Maintenir les correctifs de sécurité et les mises à jour : mettez régulièrement à jour le serveur, le
client, ainsi que les systèmes d'exploitation et les programmes des périphériques réseau.
• Utiliser des contrôles d'accès : configurez les rôles des utilisateurs et les niveaux de privilège, ainsi
qu'une authentification rigoureuse des utilisateurs.
• Tester régulièrement la réponse en cas d'incident : employez une équipe responsable de la gestion
des incidents et testez les scénarios de réponses urgentes.

MEILLEURES PRATIQUES DE SÉCURITÉ
• Implémenter un outil de surveillance, d'analyse et de gestion du
réseau : choisissez une solution de sécurité qui s'intègre avec d'autres
technologies.
• Implémenter des appliances de sécurité du réseau : utilisez des routeurs,
des pare-feu et d'autres appliances de sécurité de nouvelle génération.
• Implémenter une solution de sécurité complète pour les terminaux :
utilisez des logiciels antimalware et antivirus professionnels.
• Former les utilisateurs : formez les utilisateurs et les employés aux
procédures sécurisées.
• Crypter les données : cryptez toutes les données sensibles de
l'entreprise, notamment les e-mails.

GUIDE SUR LA SÉCURITÉ

• La technologie est en évolution permanente. Cela implique que
les cyberattaques évoluent également.
• De nouvelles vulnérabilités et méthodes d’attaque sont
découvertes continuellement. La sécurité devient une
préoccupation importante des entreprises à cause de la
réputation qui en résulte et de l’impact financier provenant des
brèches dans la sécurité.
• Les attaques ciblent des réseaux critiques et des données
sensibles.
• Les entreprises devront avoir des plans pour anticiper les failles,
les gérer et reprendre leurs activités.
• Toutes ces informations doivent être compilées dans un guide sur la sécurité, soit
un ensemble de demandes reproductibles (rapports) comparées à des sources de
données d'événements de sécurité qui conduisent à la détection d'un incident et
à la réponse appropriée. Le guide sur la sécurité doit, de préférence, réaliser les
actions suivantes :
• Détecter les machines infectées par les malwares
• Détecter les activités suspectes dans le réseau
• Détecter les tentatives irrégulières d'authentification
• Décrire et comprendre le trafic entrant et sortant
• Fournir des informations récapitulatives, dont les tendances, les statistiques et les
décomptes
• Offrir des statistiques et des mesures utilisables et faciles d'accès
• Faire correspondre les événements avec toutes les sources de données
pertinentes

Cours Cybersécurité

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Cybersécurité

Transféré par

Droits d'auteur :

Formats disponibles

Département Génie informatique

2ème année GI2-S3

Pr. Khalid BOURAGBA

Sécurité informatique K.BOURAGBA 2

• Augmentation des échanges sur Internet :

Hacher Non-répudiation Gestion des risques

Base de sécurité Zone démilitarisée

Hash Non-repudiation Risk management

Security baseline Demilitarized zone

• La cybersécurité consiste en l’effort continu pour protéger les

Sécurité informatique K.BOURAGBA 9

Sealed document Log files

Sécurité informatique K.BOURAGBA 12

Sécurité informatique K.BOURAGBA 13

Sécurité informatique K.BOURAGBA 14

Sécurité informatique K.BOURAGBA 15

Sécurité informatique K.BOURAGBA 16

Catégories de problèmes de sécurité:

Une équation simple :

Risque=Menace × Vulnérabilité × Actif (ou Coût)

▪ Menace : ce contre quoi on veut se défendre (DoS,...)

Une autre définition:

▪ Risque: C’est la probabilité qu’une menace exploite une vulnérabilité.

Cycle de vie d’une vulnérabilité:

• Le cycle de vie d’une vulnérabilité débute par sa découverte.

Origines d’une menace:

Sécurité informatique K.BOURAGBA 27

✓Menaces externes pour la sécurité

Sécurité informatique K.BOURAGBA 28

Attaque=motivation(objectif) + méthode + vulnérabilité

Une attaque peut être perpétrée de l’intérieur ou de l’extérieur de

Sécurité informatique K.BOURAGBA 36

Sécurité informatique K.BOURAGBA 38

Sécurité informatique K.BOURAGBA 43

Sécurité informatique K.BOURAGBA 44

Sécurité informatique K.BOURAGBA 45

Sécurité informatique K.BOURAGBA 46

Sécurité informatique K.BOURAGBA 47

Sécurité informatique K.BOURAGBA 48

Sécurité informatique K.BOURAGBA 50

Sécurité informatique K.BOURAGBA 51

Sécurité informatique K.BOURAGBA 52

Sécurité informatique K.BOURAGBA 53

Sécurité informatique K.BOURAGBA 57

Sécurité informatique K.BOURAGBA 58

Sécurité informatique K.BOURAGBA 59

Sécurité informatique K.BOURAGBA 60

Sécurité informatique K.BOURAGBA 61

Sécurité informatique K.BOURAGBA 63

Sécurité informatique K.BOURAGBA 66

Sécurité informatique K.BOURAGBA 68

Sécurité informatique K.BOURAGBA 70

Sécurité informatique K.BOURAGBA 72

• Pour forcer un site malveillant à se classer au sommet des résultats

Sécurité informatique K.BOURAGBA 74

Sécurité informatique K.BOURAGBA 75

Sécurité informatique K.BOURAGBA 76

Sécurité informatique K.BOURAGBA 78

Sécurité informatique K.BOURAGBA 79

6 Presentation Process layers

5 Session SSH Circuit proxy, application proxy

4 Transport SSL/TLS TCP/UDP port numbers Host-to-host layers

3 Network IPSec IP address, protocol type, ASN Internet layers

2 Data Link WPA2, L2TP MAC address