Module de régionale 1

. Kill Chain
+ la Kill Chain : des mécanismes à suivre pour crée une arme et attaquer par cette arme, série
d'étapes devant être franchies par un attaquant afin d'atteindre son objectif

- Reconnaissance : l’attaquant doit connue sa cible

- Armement : crée une arme pour attaquer la cible
- Livraison : livrer larme en emails par exemple
- Exploitation : larme exploite les vulnérabilités
- Installation : larme Install un point d’Access
- Access et contrôle : ouvrir un canal utilisable par l’attaquant
- Attaque : foug chiwawa

. Gestion des incidents

- Planification : crée un plan efficace
- Détection : détecter et gérer les incidents
- Evaluation : évaluer et catégoriser les incidents
- Répondre aux incidents : les bons outils pour arrêter les incidents
- Apprentissage : le résultat de tous les actions déjà fait pour être contre les incidents

. Réponse aux incidents, procédure du 800-61 R2 du NIST :

- Préparation : préparé l’organisation d’être prêt a minimiser les impacts des incidents
- Détection et analyse : gérer, détecter et analyser les incidents
- Répondre aux incidents : les actions médiates, et les outils efficaces pour arrêter les incidents
et met les service ente tat de fonctionnement normal
- Activités post incidents : le résumé de toutes les actions faire pour bien arrêter l’incident

. Menace persistant avancé APT

- Les menaces persistantes avancé : est une Cyberattaque, les pirates travailles ensemble avec
des outils avancés est resté dans les systèmes pendant une longue période

. Caractéristiques des APT

- Plus dangereux que les menaces traditionnelles
- Des cibles de grande valeur
- Attaque bien organisée

. Threat Hunting
- Est une activité de Cyberdéfense, il s’agit d’un processus de recherche proactive à travers les
réseaux pour détecter et isoler les menaces

. Objectif de Thret Hunting

- Surveillé les activités d’un réseau
- Détecter les activités malveillantes
 - Sécuriser les donnés d’une entreprise

. Chasse structurée
+ basé sur le MITRE ATT&CK Framework
- La chasse structurée est la méthodologie la plus proactive du Threat Hunting.
- Après avoir précisé un comportement, le chasseur essaye de localiser des modèles de
menaces en surveillant les activités sur le système.

. Chasse non structurée

- Ce type de Threat Hunting peut découvrir de nouveaux types de menaces ou de menaces qui
ont pénétré l'environnement dans le passé et sont maintenant en sommeil.
- Le chasseur de menaces peut enquêter sur les données historiques dans la mesure où les
limites de sauvegarde des données le permettent

+ MITRE ATT&CK Framework : fournit une mine d'informations techniques pour les
chasseurs en guidant le processus de chasse avec des techniques de détection.

Définition d’un plan de réponse aux incidents :

✓ Un plan de réponse aux incidents est un guide pour gérer les problèmes
informatiques ou de sécurité, détaillant les étapes à suivre pour résoudre l'incident et
éviter qu'il se reproduise.

Pourquoi la planification de la réponse aux incidents est-elle

importante ?
• Fournit un processus standard pour la réponse aux incidents
• répondre rapide et efficace
• Prépare les équipes pour les scénarios clés
• Protège les informations sensibles

Plan de réponse aux incidents :

. Préparation :
✓ le point de départ pour déterminer les outils et les ressources nécessaire pour bien réagir
contre les incidents
. Identification :
✓ L’identification des incidents s’effectue grâce à la surveillance des réseaux et systèmes
informatiques
. Blocage :
✓ limiter les dommages causés par l'incident de sécurité actuel et d'empêcher tout autre
dommage
. Eradication :
✓ à trouver et éliminer la cause profonde de l’incident
. Récupération :
✓ restaurer et de remettre tous les systèmes et appareils en état de fonctionnement complet
 . Apprentissage :
✓ Extraire les leçons qui peuvent aider à améliorer le plan de réponse pour les prochains à
l'incident.

Les étapes de l’automatisation de la réponse aux incidents :

. Créer le plan de réponse convenable au réseau à sécuriser
. Identifier et classer les incidents
. Automatiser les actions de réponses aux incidents
. Évaluer et affiner continuellement le processus d’automatisation
. Développer des modelés de réponses automatisées matures

Technologies d’automatisation :
✓ AlienVault
✓ Solar Winds
✓ TheHiv

Les mesures pour protéger notre entreprise avant une attaque :

- Utilisation de pare-feu et de logiciels antivirus
- Mises à jour régulières
- Sauvegardes régulières des données
- Cryptage des données
- On doit partitionner le réseau

Les mesures pour protéger notre entreprise durant une attaque :

- Isoler et contenir l'attaque
- Alerter les parties concernées
- Analyser l'incident
- Activer le plan de réponse aux incidents

Les mesures pour protéger notre entreprise après une attaque :

- Mettre à jour les politiques de sécurité
- Surveillance continue
- Tests de pénétration et audits de sécurité
- Analyse post-incident : Menez une analyse post-incident approfondie pour comprendre les
failles qui ont permis à l'attaque de se produire. Identifiez les lacunes dans vos défenses et
prenez des mesures pour les combler.