Académique Documents
Professionnel Documents
Culture Documents
RÉPUBLIQUE DU CAMEROUN
FOTSO VICTOR DE BANDJOUN
REPUBLIC OF CAMEROON FOTSO VICTOR UNIVERSITY
Peace – Work - Fatherland INSTITUTE OF TECHNOLOGY
UNIVERSITÉ DE DSCHANG Département de Génie Informatique
UNIVERSITY OF DSCHANG Département of Computer Engineering
Scholae Thesaurus Dschangensis Ibi Cordum
BP 134, Bandjoun – Tél./Fax (237) 699 31 61 30 / 670 64 23 92
BP 96, Dschang (Cameroun) – Tél./Fax (237) 233 45 13 81 Website : http://www.univ-dschang.org/iutfv/
Website : http://www.univ-dschang.org.
E-mail : udsrectorat@univ-dschang.org /. E-mail : iutfv-bandjoun@univ-dschang.org
MEMBRES DU GROUPE
INTRODUCTION ...................................................................................................................... 3
CYBERATTAQUE .................................................................................................................... 4
I. OBJECTIFS DES CYBERATTAQUES ........................................................................ 4
1. Vol de données sensibles ......................................................................................... 4
2. Interruption des services .......................................................................................... 4
3. Espionnage industriel ............................................................................................... 4
4. Sabotage ................................................................................................................... 4
5. Profit financier ......................................................................................................... 4
6. Motivations politiques et militaires ......................................................................... 4
7. Attaques-tests ........................................................................................................... 5
II. SCENARIO D’ATTAQUES ....................................................................................... 5
III. LES CATEGORIES D’ATTAQUES .......................................................................... 5
IV. LES TYPES DE CYBERATTAQUES ....................................................................... 5
1. Attaques par déni de service (DoS) et par déni de service distribué (DDoS) .......... 5
2. Attaque de l’homme au milieu (MitM) .................................................................... 6
3. Ingénierie sociale ..................................................................................................... 6
4. Attaque par Drive by Download .............................................................................. 7
6. Attaque par injection SQL ....................................................................................... 7
7. Attaque par des logiciels malveillants ..................................................................... 8
V. LES TYPES D’ATTAQUANTS ................................................................................. 9
VI. EXEMPLES DE CYBERATTAQUES ....................................................................... 9
ESPIONNAGE VIA UN KEYLOGGER ................................................................................ 11
I. FONCTIONNEMENT DES KEYLOGGERS .............................................................. 11
1. Les keyloggers logiciels ......................................................................................... 11
2. Les keyloggers logiciels de type kernel ................................................................. 12
3. Les keyloggers materiels........................................................................................ 12
II. MOYENS DE DETECTION..................................................................................... 13
III. MOYENS DE DEFENSE ......................................................................................... 13
CYBERDETECTION .............................................................................................................. 14
I. DEFINITION ET OBJECTIFS ..................................................................................... 14
II. LES TYPES DE DETECTION ................................................................................. 14
1. Détection basée sur les anomalies.......................................................................... 14
2. Détection basée sur les signatures.......................................................................... 14
III. LES OUTILS DE DETECTIONS ............................................................................. 15
CYBERDEFENSE ................................................................................................................... 17
1
I. DEFINITION ET OBJECTIFS ..................................................................................... 17
II. LES METHODES DE CYBERDEFENSE ............................................................... 17
1. Surveillance et veille .............................................................................................. 17
2. Analyse des vulnérabilités ..................................................................................... 17
3. Gestion des accès ................................................................................................... 18
4. Formation et sensibilisation ................................................................................... 18
III. LES OUTILS DE CYBERDEFENSE ....................................................................... 18
1. Pare-feu (Firewall) ................................................................................................. 18
2. Systèmes de prévention d'intrusion (IPS) .............................................................. 18
3. Antivirus ................................................................................................................ 19
4. Cryptographie ........................................................................................................ 19
IV. LES ACTEURS DE LA CYBERDEFENSE ............................................................ 19
V. QUELQUES SOLUTIONS DE DEFENSE CONTRE CERTAINES ATTAQUES 20
1. Ping de la mort ....................................................................................................... 20
2. Phishing.................................................................................................................. 20
3. Injection SQL ......................................................................................................... 20
4. Attaque par mot de passe ....................................................................................... 21
5. Attaque par drive by download .............................................................................. 21
CYBER-RESILIENCE ............................................................................................................ 22
I. DEFINITION ET OBJECTIFS ..................................................................................... 22
II. METHODES DE CYBER-RESILIENCE................................................................. 22
III. OUTILS DE CYBER-RESILIENCE ........................................................................ 23
1. Systèmes de détection et de prévention des intrusions .......................................... 23
2. Planification de la continuité des activités (PCA) et plan de reprise d'activité
(PRA) ............................................................................................................................... 23
3. Sauvegardes régulières des données critiques ....................................................... 23
IV. LES ACTEURS DE LA CYBER-RESILIENCE ...................................................... 24
CAS PRATIQUE ..................................................................................................................... 25
1. KEYLOGGER LOGICIEL .................................................................................... 25
2. ATTAQUE PAR DICTIONNAIRE D’UN MOT DE PASSE Wi-Fi ................... 25
3. ATTAQUE PAR FORCE BRUTE D’UN MOT DE PASSE Wi-Fi ..................... 25
4. CHEVAL DE TROIE ............................................................................................ 25
CONCLUSION ........................................................................................................................ 26
WEBOGRAPHIE ..................................................................................................................... 27
2
INTRODUCTION
3
CYBERATTAQUE
5
• Attaques SYN flood : Ces attaques inondent un serveur avec un grand nombre de
demandes de connexion SYN, épuisant ses ressources et l'empêchant de répondre aux
demandes légitimes.
• Attaques teardrop : Elles exploitent une vulnérabilité dans le traitement des paquets
IP en envoyant des paquets fragmentés malformés, provoquant un crash du système
cible lors de leur réassemblage.
• Ping de la mort : Ce type d’attaque pingue un système cible avec des paquets IP dont
la taille est supérieure au maximum de 65 535 octets. Les paquets IP de cette taille ne
sont pas autorisés, le pirate les fragmente donc. Lorsque le système cible réassemble les
paquets, il peut subir des débordements de tampon et d’autres plantages.
• Botnets : Les botnets sont des réseaux d'ordinateurs infectés par des logiciels
malveillants, contrôlés à distance par un attaquant, et utilisés pour mener diverses
activités malveillantes telles que les attaques DDoS ou le vol de données.
2. Attaque de l’homme au milieu (MitM)
Une attaque de l’homme du milieu est un pirate qui s’insère dans les communications entre un
client et un serveur. Voici un type courant d’attaque de l’homme du milieu qui est
Le détournement de session
Dans ce type d’attaque MitM, un attaquant détourne une session entre un client de confiance et
un serveur réseau. L’ordinateur attaquant substitue son adresse IP au client de confiance
pendant que le serveur poursuit la session, croyant qu’il communique avec le client. Par
exemple, l’attaque pourrait se dérouler ainsi :
3. Ingénierie sociale
L'ingénierie sociale consiste à manipuler les individus pour leur faire divulguer
des informations confidentielles ou effectuer des actions qui compromettent la
sécurité. Cela peut inclure des techniques telles que la manipulation psychologique,
le phishing.
• Attaques phishing et spear phishing
L’hameçonnage consiste à envoyer des e-mails qui semblent provenir de sources
fiables dans le but d’obtenir des informations personnelles ou d’inciter les utilisateurs à faire
quelque chose. Cette technique combine ingénierie sociale et stratagème technique. Elle peut
impliquer une pièce jointe à un e-mail, qui charge un logiciel malveillant sur votre ordinateur.
6
Elle peut également utiliser un lien pointant vers un site Web illégitime qui vous incite à
télécharger des logiciels malveillants ou à transmettre vos renseignements personnels.
Le harponnage (spear phishing) est un hameçonnage très ciblé. Les attaquants
prennent le temps de mener des recherches sur leurs cibles et de créer des messages personnels
et pertinents. Pour cette raison, le harponnage peut être très difficile à identifier et encore plus
difficile à combattre.
• Attaques d'appâtage (baiting)
Les attaquants laissent des dispositifs USB infectés dans des endroits stratégiques, tels
que des parkings d'entreprise, en espérant que les employés les trouvent et les connectent à leurs
ordinateurs. Une fois connecté, le périphérique USB peut infecter l'ordinateur avec des logiciels
malveillants ou voler des informations sensibles.
• Attaques de prétexte (pretexting)
Les attaquants créent une histoire ou un scénario crédible pour tromper les victimes et
obtenir des informations sensibles. Par exemple, un attaquant peut se faire passer pour un
employé d'une entreprise ou un fournisseur de services et demander des informations
confidentielles sous prétexte de vérification des comptes ou de résolution de problèmes.
4. Attaque par Drive by Download
Les attaques par téléchargement furtif sont une méthode courante de propagation des
logiciels malveillants. Les pirates recherchent des sites Web non sécurisés et insèrent un script
malveillant dans le code HTTP ou PHP de l’une des pages. Ce script peut installer des logiciels
malveillants directement sur l’ordinateur d’un visiteur du site, ou rediriger celui-ci vers un site
contrôlé par les pirates. Des téléchargements furtifs peuvent survenir lors de la visite d’un site
Web ou de l’affichage d’un e-mail ou d’une fenêtre pop-up.
5. Attaque par mot de passe
Les mots de passe étant le mécanisme le plus couramment utilisé pour authentifier les
utilisateurs d’un système informatique, l’obtention de mots de passe est une approche d’attaque
courante et efficace. Le mot de passe d’une personne peut être obtenu en fouillant le bureau
physique de la personne, en surveillant la connexion au réseau pour acquérir des mots de passe
non chiffrés, en ayant recours à l’ingénierie sociale, en accédant à une base de données de mots
de passe ou simplement en devinant. Cette dernière approche – deviner – peut s’effectuer de
manière aléatoire ou systématique :
Les attaques par force brute consistent à adopter une approche aléatoire : essayer
différents mots de passe en espérant que l’un d’entre eux fonctionnera. Une certaine logique
peut être appliquée : essayer des mots de passe liés au nom de la personne, à son poste, à ses
passe-temps ou à des éléments similaires.
Dans une attaque par dictionnaire, un dictionnaire des mots de passe courants est utilisé
pour tenter d’accéder à l’ordinateur et au réseau d’un utilisateur. Une approche consiste à copier
un fichier chiffré contenant les mots de passe, à appliquer le même chiffrement à un dictionnaire
des mots de passe couramment utilisés et à comparer les résultats.
6. Attaque par injection SQL
7
L’injection SQL est devenue un problème courant qui affecte les sites Web exploitant
des bases de données. Elle se produit lorsqu’un malfaiteur exécute une requête SQL sur la base
de données via les données entrantes du client au serveur. Des commandes SQL sont insérées
dans la saisie du plan de données (par exemple, à la place du nom d’utilisateur ou du mot de
passe) afin d’exécuter des commandes SQL prédéfinies. Un exploit d’injection SQL réussi peut
lire les données sensibles de la base de données, modifier (insérer, mettre à jour ou supprimer)
les données de la base de données, exécuter des opérations d’administration de la base de
données (par exemple la fermer), récupérer le contenu d’un fichier spécifique, et, dans certains
cas, envoyer des commandes au système d’exploitation.
7. Attaque par des logiciels malveillants
Un logiciel malveillant peut être décrit comme un logiciel indésirable installé dans votre
système sans votre consentement. Il peut s’attacher à un code légitime et se propager, se cacher
dans des applications utiles ou se reproduire sur Internet. Voici quelques-uns des types de
logiciels malveillants les plus courants :
• Virus : Les virus sont des programmes informatiques malveillants qui se propagent en
infectant des fichiers ou des secteurs de démarrage d'un ordinateur. Ils peuvent se
répliquer et se propager à d'autres systèmes lors de l'exécution du programme infecté.
• Chevaux de Troie – Ce sont des programmes qui se cachent dans un programme utile
et qui ont généralement une fonction malveillante. Une différence majeure entre les
virus et les chevaux de Troie est que ces derniers ne se répliquent pas d’eux-mêmes. En
plus de lancer des attaques contre un système, un cheval de Troie peut établir une porte
dérobée qui peut être exploitée par des attaquants.
• Bombe logique – Il s’agit d’un type de logiciel malveillant ajouté à une application et
qui est déclenché par un événement spécifique, comme une condition logique ou une
date et une heure spécifiques.
• Vers – Ils diffèrent des virus en ce qu’ils ne s’attachent pas à un fichier hôte, ce sont
des programmes autonomes qui se propagent sur les réseaux et les ordinateurs. Les vers
se propagent généralement via les pièces jointes aux e-mails, le ver envoie une copie de
lui-même à chaque contact e-mail de l’ordinateur infecté. En plus de mener des activités
malveillantes, un ver qui se propage sur Internet et surcharge les serveurs de messagerie
peut entraîner des attaques par déni de service contre des nœuds du réseau.
• Rançongiciels (ransomware) – Il s’agit d’un type de logiciel malveillant qui bloque
l’accès aux données de la victime et menace de les publier ou de les supprimer à moins
qu’une rançon ne soit versée, un rançongiciel plus avancé utilisera une technique
appelée extorsion crypto virale, qui chiffre les fichiers de la victime de manière à les
rendre presque impossible à récupérer sans la clé de déchiffrement.
• Logiciels espions (spyware) – Ce sont des programmes installés pour recueillir des
informations sur les utilisateurs, leurs ordinateurs ou leurs habitudes de navigation. Ils
surveillent à votre insu tout ce que vous faites et envoient les données à un utilisateur
distant. Ils peuvent également télécharger et installer d’autres programmes malveillants
depuis Internet. Les logiciels espions fonctionnent comme les logiciels publicitaires,
mais il s’agit généralement d’un programme distinct qui s’installe à votre insu lorsque
vous installez une application gratuite.
8
V. LES TYPES D’ATTAQUANTS
• Script kiddies : Des individus sans compétences techniques approfondies qui utilisent
des outils et des techniques développés par d'autres pour mener des attaques basiques.
• Hackers professionnels : Des individus compétents et expérimentés qui utilisent leurs
compétences pour exploiter des vulnérabilités, souvent dans un but lucratif.
• Groupes de cybercriminels organisés : Des organisations criminelles structurées et
spécialisées dans des activités telles que le vol de données, le phishing ou le
ransomware.
• Hacktivistes : Des groupes ou des individus qui utilisent des techniques de piratage à
des fins politiques ou sociales, comme la divulgation d'informations confidentielles ou
la perturbation de sites web.
• Acteurs étatiques et agences de renseignement : Des gouvernements ou des entités
affiliées cherchant à mener des opérations de cyber espionnage, de sabotage ou de
désinformation.
• Black hat : Des individus qui utilisent leurs compétences en piratage à des fins
malveillantes, telles que le vol de données, le sabotage ou la fraude.
• White hat : Des professionnels de la sécurité informatique qui utilisent leurs
compétences pour trouver et corriger des vulnérabilités dans les systèmes, souvent dans
un cadre éthique.
• Grey hat : Des individus qui agissent à la frontière entre le piratage éthique et le
piratage malveillant, parfois en utilisant des méthodes discutables pour atteindre leurs
objectifs.
• Hackers universitaires : Des étudiants ou des chercheurs qui utilisent leurs
compétences en piratage dans un cadre éducatif ou de recherche, souvent sous la
supervision d'un enseignant ou d'un mentor.
10
ESPIONNAGE VIA UN KEYLOGGER
Les keyloggers, également connus sous le nom de enregistreurs de frappe, sont des
programmes logiciels ou des dispositifs matériels conçus pour enregistrer et surveiller les
frappes de clavier effectuées sur un ordinateur ou un périphérique électronique.
Leurs principaux objectifs sont de capturer secrètement toutes les entrées de
clavier, y compris les mots de passe, les messages, les adresses électroniques et toute autre
information confidentielle saisie par l'utilisateur. Ces données enregistrées sont ensuite souvent
transmises à un tiers, tel qu'un pirate informatique, pour une utilisation frauduleuse, telle
que le vol d'identité, le piratage de comptes en ligne ou la collecte de renseignements
sensibles. Les keyloggers peuvent être installés à des fins malveillantes par des individus
cherchant à espionner ou à compromettre les activités en ligne d'une personne ou d'une
organisation ; ils font partie de la catégorie logiciel espion(spyware).
• Les keyloggers matériels sont rares, car il faut avoir eu un accès physique à l'appareil
visé pour installer le dispositif, qui prend la forme d'un petit boitier. Ils sont
pratiquement impossibles à utiliser sur smartphone et sur ordinateur, il est relativement
aisé de les détecter. Ce ne sont clairement pas les enregistreurs de frappe dont il faut le
plus se méfier, même s'il faut toujours rester vigilant.
11
Les keyloggers, en général, fonctionnent en enregistrant les frappes de clavier dans un
journal. Ce journal peut être récupéré par un individu malveillant, soit en le récupérant
manuellement, soit en l'envoyant automatiquement à une adresse spécifiée. De plus, le pirate
peut également interroger le keylogger en temps réel pour obtenir les données de frappe au fur
et à mesure qu'elles se produisent.
Sur Windows, les keyloggers exploitent le fonctionnement du système d'exploitation
qui gère les entrées du clavier. Ils peuvent accomplir cela en plaçant un hook, un type de
déclencheur, sur les fonctions de clavier du système. Ainsi, lorsque des frappes clavier sont
effectuées, elles sont interceptées par le keylogger avant d'être traitées normalement, ce qui
permet à celui-ci d'enregistrer les frappes dans son propre journal.
Ce hook peut être configuré de manière à surveiller de manière globale toutes les frappes
clavier ou à être injecté dans chaque processus actif pour une surveillance plus étendue.
2. Les keyloggers logiciels de type kernel
Les keyloggers de mode noyau opèrent à un niveau plus profond du système
d'exploitation Windows, leur permettant un accès privilégié pour surveiller et enregistrer les
activités du clavier. Pour ce faire, ils chargent un pilote (fichier .sys) dans le noyau du système.
Ce pilote installe des hooks sur les fonctions du système d'exploitation, interceptant les frappes
clavier avant même qu'elles ne soient traitées par les applications utilisateur. De plus, ces
keyloggers peuvent modifier des pilotes système légitimes pour enregistrer les frappes, offrant
une furtivité maximale en contournant les mesures de sécurité traditionnelles.
3. Les keyloggers materiels
Les keyloggers matériels sont des dispositifs physiques conçus pour intercepter les
frappes clavier d'un ordinateur. Ils se présentent souvent sous la forme d'une petite prise USB
discrète qui peut être insérée entre le clavier et l'ordinateur. Une fois connecté, le keylogger
matériel peut surveiller en temps réel toutes les frappes clavier effectuées, enregistrant chaque
touche pressée.
Ce type de dispositif fonctionne indépendamment du système d'exploitation de
l'ordinateur cible, ce qui signifie qu'il peut capturer les frappes clavier quel que soit le système
d'exploitation utilisé, que ce soit Windows, macOS, Linux, etc.
Une fois que le keylogger matériel a enregistré les frappes clavier, il dispose de
plusieurs façons de transmettre ces données au pirate. Par exemple, le pirate peut récupérer
physiquement le keylogger pour extraire les données enregistrées. Alternativement, certains
keyloggers matériels sont équipés de mémoire intégrée ou de cartes mémoire amovibles où les
données peuvent être stockées. Dans ce cas, le pirate peut simplement retirer la carte mémoire
ou connecter le keylogger à un ordinateur pour récupérer les données enregistrées.
Une autre méthode consiste à utiliser une clé USB pour transmettre les données.
Certains keyloggers matériels sont conçus pour apparaître comme des clés USB normales
lorsqu'ils sont connectés à un ordinateur. Le pirate peut alors récupérer périodiquement le
keylogger ou le connecter à un ordinateur avec un logiciel de récupération automatique pour
extraire les données enregistrées.
12
II. MOYENS DE DETECTION
Pour détecter un keylogger, nous pouvons utiliser plusieurs méthodes :
• Analyse antivirus/antimalware : Utilisez des logiciels antivirus et antimalware de
confiance pour rechercher les programmes malveillants, y compris les keyloggers, sur
votre système.
• Analyse des processus en cours d'exécution : Utilisez le Gestionnaire des tâches (sous
Windows) ou l'Équivalent sur d'autres systèmes d'exploitation pour examiner les
processus en cours d'exécution sur votre ordinateur. Recherchez des processus suspects
ou inconnus qui pourraient être des keyloggers.
• Analyse des ports réseau : Utilisez des outils de surveillance réseau pour identifier les
connexions suspectes ou non autorisées établies par votre ordinateur. Les keyloggers
doivent transmettre les données enregistrées à un serveur distant, donc repérer des
activités inhabituelles sur les ports réseau peut être un signe de présence de keylogger.
• Analyse des fichiers système : Recherchez des fichiers suspects ou inconnus dans les
répertoires système de votre ordinateur. Les keyloggers peuvent être dissimulés dans
des fichiers système apparemment innocents.
• Vérifier les équipements connectés (Advanced IP Scanner : Cet outil peut scanner
votre réseau local pour détecter tous les appareils connectés, vous permettant de vérifier
s'il y a des dispositifs non autorisés.)
13
CYBERDETECTION
I. DEFINITION ET OBJECTIFS
La cyberdétection, également connue sous le nom de détection d'intrusion
informatique, désigne le processus de surveillance et d'identification des activités suspectes ou
malveillantes dans les systèmes informatiques et les réseaux. Cette surveillance proactive vise
à détecter les violations de sécurité, les tentatives d'intrusion et les comportements anormaux
qui pourraient indiquer une cyberattaque imminente ou en cours.
• Explication de la notion de cyberdétection
La cyberdétection implique l'utilisation d'outils, de technologies et de techniques pour
surveiller en temps réel les activités réseau, les journaux d'événements, le trafic réseau, les
comportements des utilisateurs et d'autres données pertinentes. L'objectif est de repérer les
signaux faibles ou les indicateurs de compromission qui pourraient indiquer une tentative
d'accès non autorisé ou une exploitation de vulnérabilités.
• Objectifs de la cyberdétection dans un environnement numérique
➢ Identifier les tentatives d'intrusion et les comportements suspects.
➢ Réduire le temps de détection des cyberattaques pour limiter les dommages
potentiels.
➢ Améliorer la visibilité sur les activités du réseau et des systèmes pour une
meilleure gestion des risques.
➢ Faciliter une réponse rapide et efficace aux incidents de sécurité pour minimiser
l'impact sur les opérations commerciales et les données sensibles.
14
III. LES OUTILS DE DETECTIONS
Chaque organisation dispose d'une équipe de sécurité qui analyse le système
manuellement pour détecter les menaces. Étant donné que les menaces deviennent de plus en
plus complexes, les analystes de sécurité utilisent des outils de détection pour automatiser le
processus de détection et de réponse aux menaces.
Dans le passé, l'organisation utilisait la gestion des informations et des événements de
sécurité (SIEM) et l'analyse du trafic réseau (NTA) pour la détection des menaces. Comme ces
techniques traditionnelles présentaient certaines lacunes. Aujourd'hui, les entreprises
investissent davantage dans les solutions EDR et XDR. Continuez à lire pour en savoir plus à
leur sujet.
• SIEM
Cette solution de sécurité collecte des données de sécurité dans l'ensemble de
l'entreprise pour détecter les vulnérabilités du système et les menaces potentielles avant qu'elles
ne perturbent les opérations commerciales. Cette solution est toujours utilisée parmi les
organisations pour la cybersécurité, mais comme elle ne réalise pas une analyse approfondie
des événements de sécurité. Et aussi ne fournit jamais une histoire d'attaque significative ; les
organisations ont besoin de solutions plus puissantes. Les entreprises avec un SIEM traditionnel
n'ont aucun outil de réponse aux menaces.
• NTA
Il s'agit d'un processus de surveillance de la disponibilité et de l'activité du réseau pour
détecter les anomalies liées au fonctionnement et à la sécurité. Les organisations ont besoin de
NTA pour obtenir l'historique et l'analyse en temps réel des données réseau. NTA détecte
également les logiciels malveillants et les virus dans le réseau. NTA détecte efficacement les
menaces uniquement dans un silo spécifique comme un réseau. Il ne sera pas en mesure de
détecter les menaces qui se déplacent entre les silos.
• EDR
La détection et la réponse aux menaces au niveau de l'endpoint est un outil avancé de
détection et de prévention des menaces. Xcitium EDR aide une organisation à surveiller en
temps réel tous les endpoints connectés à une organisation. Il permet aux analystes de sécurité
de garder un œil sur les endpoints, et s'il y a une activité suspecte, EDR déclenche un
mécanisme de réponse. Il contient automatiquement la menace et empêche une attaque de se
produire d'un côté. D'un autre côté, il alerte également les professionnels de la sécurité pour
examiner une menace potentielle sur un endpoint et y répondre.
• XDR
Cela signifie Extended Detection and Response, un nouvel outil de cybersécurité qui
combine les fonctionnalités de toutes les solutions de sécurité traditionnelles telles que NTA et
SIEM. Il collecte des données du réseau, du cloud, du système, des endpoints, du réseau, de
l'email et d'autres ressources. Xcitium XDR utilise l'intelligence artificielle et l'intelligence des
menaces pour détecter les menaces et mettre en évidence l'histoire complète de l'attaque. Les
équipes de sécurité bénéficient d'une visibilité des menaces de haut niveau grâce à Xcitium
XDR.
15
• IDS
Un IDS (Intrusion Detection System) est un système de détection d'intrusion qui
surveille et analyse le trafic réseau ou les événements sur un système informatique à la
recherche de signes d'activité malveillante ou suspecte. Il fonctionne en examinant le trafic
réseau, les journaux d'événements ou d'autres sources de données pour identifier les
comportements anormaux ou les modèles caractéristiques des attaques.
• ANTIVIRUS
La détection avec un antivirus est une méthode de sécurité informatique qui vise à
identifier et à éliminer les logiciels malveillants, tels que les virus, les chevaux de Troie,
les vers, les ransomwares, et autres menaces similaires, sur un système informatique.
Les antivirus fonctionnent en utilisant plusieurs techniques de détection pour identifier
les programmes malveillants, notamment :
➢ Signatures : Les antivirus utilisent des bases de données de signatures de logiciels
malveillants connus. Lorsqu'ils analysent les fichiers sur un système, ils les
comparent à ces signatures pour trouver des correspondances. Si un fichier
correspond à une signature connue, il est identifié comme malveillant.
➢ Analyse heuristique : En plus des signatures, les antivirus utilisent des méthodes
d'analyse heuristique pour détecter les logiciels malveillants qui ne correspondent
pas aux signatures connues. Cette technique analyse le comportement des
programmes pour identifier les caractéristiques suspectes, telles que les tentatives
de modification de fichiers système ou les activités réseau suspectes.
➢ Surveillance du comportement : Certains antivirus surveillent en temps réel le
comportement des programmes sur un système pour détecter les activités suspectes.
Par exemple, un antivirus peut détecter un programme qui tente de modifier de
nombreux fichiers en même temps, ce qui pourrait indiquer une activité
malveillante.
➢ Analyse basée sur le cloud : Certains antivirus utilisent des services cloud pour
analyser les fichiers sur un système. Les fichiers sont envoyés à des serveurs distants
où ils sont analysés à l'aide de techniques avancées, puis renvoyés avec le résultat
de l'analyse.
➢ Protection en temps réel : Les antivirus peuvent fournir une protection en temps
réel en surveillant activement les activités sur un système et en bloquant les logiciels
malveillants dès qu'ils sont détectés.
16
CYBERDEFENSE
I. DEFINITION ET OBJECTIFS
La cyberdéfense est un ensemble de mesures et de stratégies mises en place pour
protéger les systèmes informatiques, les réseaux et les données contre les cyberattaques et les
menaces en ligne. Dans un monde de plus en plus connecté, où les cybermenaces sont
devenues monnaie courante, la cyberdéfense est devenue une priorité essentielle pour les
organisations, les gouvernements et les individus.
• Importance de la cyberdéfense
La cyberdéfense est cruciale pour garantir la confidentialité, l'intégrité et la disponibilité
des données sensibles et des infrastructures critiques. Les cyberattaques peuvent avoir des
conséquences désastreuses, allant de la perte financière à la compromission de la sécurité
nationale. En investissant dans la cyberdéfense, les organisations et les gouvernements peuvent
réduire les risques d'attaques et protéger efficacement leurs actifs numériques.
• Objectifs de la cyberdéfense
Les principaux objectifs de la cyberdéfense sont de prévenir les cyberattaques, de détecter
les activités malveillantes le plus tôt possible, de répondre aux incidents de sécurité de manière
rapide et efficace, et de minimiser les dommages potentiels causés par les cybermenaces. En
adoptant une approche proactive et multi-facettes, la cyberdéfense vise à renforcer la résilience
des systèmes informatiques face aux menaces cybernétiques.
17
3. Gestion des accès
➢ Appliquer le principe du moindre privilège pour limiter les accès des utilisateurs et des
applications aux ressources sensibles.
➢ Mettre en œuvre des mécanismes d'authentification forte (comme l'authentification à
deux facteurs) pour renforcer la sécurité des comptes utilisateur.
➢ Surveiller et auditer régulièrement les accès aux systèmes et aux données pour détecter
les comportements suspects.
4. Formation et sensibilisation
➢ Sensibiliser tous les utilisateurs aux risques de sécurité informatique et aux bonnes
pratiques de sécurité.
➢ Organiser des sessions de formation régulières sur la sécurité informatique et la
gestion des mots de passe.
➢ Mettre à disposition des utilisateurs des ressources pédagogiques (documents, vidéos,
simulations) pour les aider à reconnaître et à éviter les menaces.
En mettant en œuvre ces méthodes de cyberdéfense, les organisations peuvent renforcer leur
posture de sécurité et réduire les risques d'attaques informatiques. Il est essentiel de maintenir
une approche proactive et en constante évolution pour faire face aux menaces émergentes et
protéger efficacement les systèmes et les données sensibles.
18
3. Antivirus
• Définition : Les logiciels antivirus et anti-malware sont des programmes conçus pour
détecter, prévenir et éliminer les logiciels malveillants, tels que les virus, les vers, les
chevaux de Troie et les ransomwares, sur les systèmes informatiques.
• Objectif : Les antivirus et anti-malware protègent les appareils contre les infections en
analysant les fichiers et les processus à la recherche de signatures ou de comportements
suspects. Ils contribuent à maintenir la sécurité en empêchant la propagation des
logiciels malveillants et en éliminant les menaces existantes.
4. Cryptographie
• Définition : La cryptographie est l'art de sécuriser les communications et les données
en les rendant illisibles pour les personnes non autorisées. Elle utilise des techniques de
chiffrement pour protéger les informations sensibles contre l'interception et la
manipulation.
• Objectif : La cryptographie est utilisée pour garantir la confidentialité, l'intégrité et
l'authenticité des données échangées sur les réseaux. Elle permet de sécuriser les
communications et les transactions en ligne, en garantissant que seules les parties
autorisées peuvent accéder aux informations et les comprendre.
Ces outils de cyberdéfense constituent des composantes essentielles des stratégies de sécurité
informatique, visant à protéger les systèmes et les données contre les cybermenaces. En
combinant ces outils avec des pratiques de sécurité solides et une surveillance continue, les
organisations peuvent renforcer leur posture de sécurité et réduire les risques d'attaques
informatiques.
19
meilleures pratiques en matière de cybersécurité, de détecter et de répondre aux
cybermenaces, ainsi que de sensibiliser le public aux risques liés à la sécurité
informatique.
• CISA (Cybersecurity and Infrastructure Security Agency) - L'agence américaine
CISA est responsable de renforcer la résilience du secteur public et privé des États-Unis
face aux menaces cybernétiques. Elle fournit des conseils, des alertes et des services de
réponse aux incidents pour protéger les infrastructures critiques et les réseaux
informatiques du pays.
• NSA (National Security Agency) - La NSA est une agence de renseignement
américaine chargée de collecter et d'analyser des informations de renseignement
électronique pour la défense nationale et la sécurité des États-Unis. Elle joue un rôle
crucial dans la surveillance et la protection des réseaux informatiques sensibles.
• CERT (Computer Emergency Response Team) - Les CERT sont des équipes
spécialisées dans la réponse aux incidents informatiques. Ils coordonnent les efforts de
réponse en cas d'attaques informatiques majeures, fournissent des conseils techniques
et des recommandations pour atténuer les risques de sécurité.
3. Injection SQL
20
Afin de vous protéger contre les attaques par injection SQL, appliquez le modèle
d’autorisation « least privilege » à vos bases de données. Respectez les procédures
stockées (assurez-vous que ces procédures n’incluent pas de SQL dynamique) et les
instructions préparées (requêtes paramétrées). Le code exécuté sur la base de données
doit être suffisamment fort pour prévenir les attaques par injection.
4. Attaque par mot de passe
Pour vous protéger contre les attaques par dictionnaire ou par force brute, vous
devez mettre en œuvre une politique de verrouillage des comptes qui verrouillera un compte
après quelques tentatives infructueuses de saisie du mot de passe. Ces bonnes pratiques de
verrouillage des comptes vous permettront de faire cela correctement.
5. Attaque par drive by download
Pour vous protéger contre les téléchargements furtifs, actualisez vos navigateurs
et systèmes d’exploitation et évitez les sites Web susceptibles de contenir des codes
malveillants. Limitez-vous aux sites que vous utilisez habituellement, tout en gardant à
l’esprit que même ces sites-là peuvent être piratés. Ne conservez pas un trop grand nombre
de programmes et d’applications inutiles sur votre machine. Plus vous avez de plug-ins,
plus nombreuses sont les vulnérabilités qui peuvent être exploitées par des téléchargements
furtifs.
21
CYBER-RESILIENCE
I. DEFINITION ET OBJECTIFS
La cyber-résilience fait référence à la capacité d’une entité à fournir en permanence
le résultat escompté, malgré les cyberattaques. Cette approche reconnaît que les attaques
cybernétiques sont inévitables et que la résilience est essentielle pour garantir la continuité des
opérations et la sécurité des données. La cyber résilience met l’accent sur les contrôles
préventifs, détectifs et réactifs dans un environnement de technologie de l’information afin
d’évaluer les lacunes et d’améliorer la posture de sécurité globale de l’entité.
Ses objectifs sont :
• Garantir la continuité des opérations malgré les incidents de sécurité
➢ Assurer que les activités essentielles de l'organisation ne sont pas interrompues en
cas d'incident de sécurité majeur.
➢ Mettre en place des mécanismes de secours et des plans d'action pour maintenir les
opérations critiques pendant les crises.
• Réduire l'impact des attaques cybernétiques sur les activités et les données
sensibles
➢ Minimiser les dommages potentiels causés par les attaques en mettant en place des
mesures de prévention, de détection et de réponse appropriées.
➢ Protéger les données sensibles et les actifs stratégiques de l'organisation contre les
pertes ou les compromissions.
• Assurer la capacité de récupération rapide après une cyberattaque
➢ Développer des plans de reprise d'activité (PRA) et des plans de continuité des
activités (PCA) pour permettre une récupération rapide après une cyberattaque.
➢ Mettre en place des procédures de restauration des systèmes et des données afin de
minimiser les temps d'arrêt et de rétablir les opérations normales le plus rapidement
possible.
• Renforcer la confiance des clients, des partenaires et des parties prenantes dans la
sécurité de l'organisation
➢ Démontrer l'engagement de l'organisation envers la sécurité et la résilience en
mettant en œuvre des mesures efficaces de cyber-résilience.
➢ Communiquer de manière transparente sur les efforts déployés pour protéger les
données et les actifs de l'organisation, renforçant ainsi la confiance des parties
prenantes.
22
2. Non-persistance : Générez et conservez des ressources selon vos besoins ou pour une
durée limitée. Réduisez l’exposition à la corruption, à la modification ou à la
compromission.
3. Restriction de privilèges : Limitez les privilèges en fonction des attributs des
utilisateurs et des éléments du système, ainsi que des facteurs environnementaux.
4. Réalignement : Minimisez les connexions entre les services critiques et non critiques,
réduisant ainsi la probabilité qu’une défaillance des services non critiques ait un impact
sur les services critiques.
5. Segmentation : Définissez et séparez les éléments du système en fonction de leur
criticité et de leur fiabilité.
6. Intégrité prouvée : Vérifiez si les éléments critiques du système ont été corrompus.
7. Imprévisibilité : Apportez des modifications de manière aléatoire et inattendue.
Accroître l’incertitude d’un adversaire quant aux protections du système qu’il peut
rencontrer, ce qui rend plus difficile pour lui de déterminer la ligne de conduite
appropriée.
8. Surveillance analytique : Surveillez et détectez les actions et les conditions
défavorables en temps opportun et de manière exploitable.
• PRA : Processus qui définit les étapes à suivre pour restaurer les opérations normales
après un incident, en minimisant les interruptions et les pertes de données.
3. Sauvegardes régulières des données critiques
• Solutions de sauvegarde automatique : Des outils qui permettent de sauvegarder
régulièrement les données critiques sur des supports de stockage sécurisés, garantissant
ainsi leur récupération en cas de sinistre.
• Stratégies de sauvegarde hiérarchisées : Définition de priorités pour la sauvegarde
des données en fonction de leur criticité et de leur fréquence de modification.
23
IV. LES ACTEURS DE LA CYBER-RESILIENCE
Nous pouvons citer quelques acteurs de cyber-résilience comme :
• CERT/CC (Computer Emergency Response Team Coordination Center) : Un
centre de coordination des équipes d'intervention en cas d'urgence informatique, basé à
l'Université Carnegie Mellon, qui fournit une assistance aux organisations confrontées
à des incidents de sécurité informatique.
24
CAS PRATIQUE
1. KEYLOGGER LOGICIEL
4. CHEVAL DE TROIE
25
CONCLUSION
WEBOGRAPHIECONC
En conclusion, il est crucial de reconnaître que le paysage cybernétique actuel est
LUSION
marqué par une constante évolution des menaces et des attaques, telles que l'espionnage via les
keyloggers et autres vecteurs d'attaque sophistiqués. Face à cette réalité, la détection précoce,
la résilience et la défense cybernétique sont devenues des impératifs absolus pour les individus,
les entreprises et les gouvernements. Cependant, la cybersécurité est une responsabilité
WEBOGRAPHIECONC
partagée, nécessitant une collaboration étroite entre les secteurs public et privé, ainsi qu'une
LUSION
sensibilisation et une éducation constantes. En investissant dans des technologies de pointe, des
stratégies de gestion des risques et des plans de réponse aux incidents robustes, nous pouvons
renforcer notre posture de sécurité et mieux nous préparer aux défis à venir. En fin de compte,
la protection de nos données, de nos infrastructures et de notre vie privée dans le cyberespace
WEBOGRAPHIECONC
est un objectif commun qui exige un engagement continu et une action collective.
LUSION
26
WEBOGRAPHIE
WEBOGRAPHIE
Ce rapport tire ses sources bibliographiques essentiellement sur Internet et de notre expérience
personnelle.
27