MANAGEMENT DE LA SECURITE DES SI

« La défense en profondeur »

© copyright – Août 2021

Présentation du Formateur

Issa brings his expertise gained from exposures to  PECB Accredited Trainer
ecosystems as diverse as IT companies, Network  VSAT&DCME Expert,
security, and Telecommunications .  ISO-IEC27001 LI
In his various capacities as Information Technology  ISO27005 risk manager
and Network Security Expert, he has demonstrated  ISO27032 LCM
valuable skills in IT Industry.  MEHARI (risk manager)
Issa holds a degree in Telecommunication,  PRINCE2®
Electronics.  ITILv3®
 pfsense & ALLOT ACTE
dialloissa@outlook.com  ISM (Scrum Master)
 COBIT®
+225 0789 797 209  DevOps
0556 500 200  CND
 CHFI
https://www.linkedin.com/in/issa-diallo-82820
0142/
Les consignes pour suivre la formation
PRESENTEZ VOUS …
 DISCLAIMER !

Le but est d’apprendre à vous proteger

et non de nuire au autres,

CAMPC et Moi même ne sommes

nullement responsible de vos actes
OBJECTIFS
 Être capable de présenter la norme ISO27001, les processus de sécurité qui lui
sont associés et la démarche de certification
 Savoir présenter la norme ISO 27002 et les mesures de sécurité
 Pouvoir comprendre les contextes d'implémentation des mesures de sécurité et
leur intégration dans l'organisation générale de la sécurité
 Apprendre à s'exercer à la sélection et l'approfondissement de mesures de
sécurité depuis l'appréciation des risques, les pièges à éviter et l’audit de ces
mesures
 Pouvoir disposer d'une vue globale des référentiels existants, des guides
d'implémentation ou des bonnes pratiques des mesures de sécurité
PREREQUIS

Culture générale dans le domaine l’information

PUBLIC
 Toute personne qui souhaite prendre connaissance management de la
sécurité des systèmes d’information (normes ISO 27001, 27002 … ),
améliorer leur maîtrise des mesures de sécurité de l'information et enrichir
leur connaissance des référentiels existants pour faciliter leur mise en
œuvre
 Opérationnels (techniques ou métiers) et auditeurs souhaitant améliorer
leur compréhension des mesures propres à la SSI
 RSSI souhaitant avoir un panorama des mesures, organiser leur plan
d'action, ou dynamiser les échanges avec les opérationnels
 Managers
Definition des Termes utilisés

Tous les termes employés durant cette formation peuvent être consultés dans le glossaire
SANS
À l’adresse suivante :

https://www.sans.org/security-resources/glossary-of-terms/
LES CYBERATTAQUES, UNE REALITE …

https://threatmap.checkpoint.com/
https://threatmap.fortiguard.com/
 MODULE #1 :

MANAGEMENT DE LA SECURITE DU SYSTEME D’INFORMATION

Agenda
 ISO 27001
 A BRIEF HISTORY OF ISO27K
 PLAN-DO-CHECK-ACT
 CONTROL CLAUSES
 IMPLEMENTATION PROCESS CYCLE
 BENEFITS
 INFORMATION SECURITY VISION
 WHO IS RESPONSIBLE?
 CORPORATE INFORMATION SECURITY POLICY
 PHYSICAL SECURITY
 PASSWORD GUIDELINES
 INTERNET USAGE
 E-MAIL USAGE
 SECURITY INCIDENTS
 RESPONSIBILITIES
ISO/IEC 27001 – JTC 1
• ISO/IEC 27001 EST UNE NORME DE SYSTÈME DE
GESTION DE LA SÉCURITÉ DE L'INFORMATION
(SMSI) PUBLIÉE PAR L’ISO & IEC.

• ELLE SPÉCIFIE LES EXIGENCES POUR ÉTABLIR,

METTRE EN ŒUVRE, EXPLOITER, SURVEILLER,
RÉVISER,MAINTENIR ET AMÉLIORER UN
SYSTÈME DE GESTION DE LA SÉCURITÉ DE
L'INFORMATION (SGSI) DOCUMENTÉ AU SEIN
D'UNORGANISATION

• ELLE EST CONÇUE POUR GARANTIR LA

SÉLECTION DE CONTRÔLES DE SÉCURITÉ
ADÉQUATS ET PROPORTIONNÉS AFIN DE
PROTÉGERLES ACTIFS INFORMATIONNELS
TRADUIT AVEC WWW.DEEPL.COM/TRANSLATOR
(VERSION GRATUITE)
SMSI - SCOPE
A brief history of ISO27k
1990’s
• Information Security Management Code of Practice produced by a UK government-
sponsored working group
• Became British Standard BS7799

2000’s
• Adopted by ISO/IEC
• Became ISO/IEC 17799 (later renumbered ISO/IEC 27002)
• ISO/IEC 27001 published & certification scheme started
Now
• Expanding into a suite of information security standards (known as “ISO27k”)
• Updated and reissued every few years
ISO 27001
• Concerns the management of information security, not just IT/technical security
• Formally specifies a management system
• Uses Plan, Do, Check, Act (PDCA) to achieve, maintain and improve alignment of
security with risks
• Covers all types of organizations (e.g. commercial companies, government agencies,
not-for-profit organizations) and all sizes
• Thousands of organizations worldwide have been certified compliant
La roue de deming (Plan-Do-Check-Act)
LA ROUE DE DEMING DANS UN
SMSI
CLAUSES DE CONTRÔLE
INFORMATION ORGANISATION OF ASSET HUMAIN RESOURCE
SECURITY POLICY INFORMATION SECURITY MANAGEMENT SECURITY

PHYSICAL SECURITY
DISPONIBILI
TE ACCESS CONTROL

INFORMATION
INTEGRIT CONFIDENTIALIT
E E

INCIDENT MANAGEMENT SYSTEM DEVELOPMENT COMPLIANCE

& MAINTENANCE

COMMUNICATION & INCIDENT BUSINESS BUSINESS

OPERATIONS MANAGEMENT MANAGEMENT CONTINUITY CONTINUITY
CLAUSES DE CONTRÔLE

 Information security policy - management direction

 Organization of information security - management framework for implementation
 Asset management – assessment, classification and protection of valuable
information assets
 HR security – security for joiners, movers and leavers
 Physical & environmental security - prevents unauthorized access, theft,
compromise, damage to information and computing facilities, power cuts
CLAUSES DE CONTRÔLE
• Communications & operations management - ensures the correct and secure operation of
IT
• Access control – restrict unauthorized access to information assets
• Information systems acquisition, development & maintenance – build security into
systems
• Information security incident management – deal sensibly with security incidents that
arise
• Business continuity management – maintain essential business processes and restore any
that fail
• Compliance - avoid breaching laws, regulations, policies and other security obligations
 CYCLE DU
PROCESSUS DE
MISE EN ŒUVRE
D’UN SMSI
POURQUOI METTRE EN PLACE UN
SMSI ?
 ENGAGEMENT DÉMONTRABLE DE
L'ORGANISATION EN MATIÈRE DE SÉCURITÉ
 CONFORMITÉ LÉGALE ET RÉGLEMENTAIRE
 MEILLEURE GESTION DES RISQUES
 CRÉDIBILITÉ, CONFIANCE ET ASSURANCE
COMMERCIALES
 RÉDUCTION DES COÛTS
 ORIENTATION CLAIRE DES EMPLOYÉS ET
SENSIBILISATION ACCRUE
VISION DE LA SÉCURITÉ DE L'INFORMATION

VISION
L'ORGANISATION EST RECONNUE COMME UN LEADER DU SECTEUR DE LA
SÉCURITÉ DE L'INFORMATION.

MISSION
CONCEVOIR, METTRE EN ŒUVRE, EXPLOITER, GÉRER ET MAINTENIR UN
SYSTÈME DE GESTION DE LA SÉCURITÉ DE L'INFORMATION CONFORME AUX
NORMES INTERNATIONLES INCORPORANT LES BONNES PRATIQUES DE
SÉCURITÉ GÉNÉRALEMENT ACCEPTÉES.
QUI EST RESPONSABLE ?
 Comité de gestion de la sécurité de l'information
 Responsable de la sécurité de l'information/CISO
 Équipe de réponse aux incidents
 Équipe de continuité des activités
 Informatique, juridique/conformité, RH, risques et autres départements
 Comité d'audit

 Enfin, et surtout, vous

Information security is everyone’s responsibility

POLITIQUE DE SÉCURITÉ DE L'INFORMATION DE
L'ENTREPRISE

La politique doit être signée par le « PDG »

et
mandatée par la direction générale

Elle doit être également disponible sur

l'intranet de l’organisme
La Politique de sécurité
La définition d’une politique de sécurité est cruciale dans la définition d’un
programme de sécurité Informatique;
Elle doit couvrir tous les aspects de l’entreprise :

 Physique ( Camera de surveillance, CA, Salle machine ..)

 Technique ( Firewall, SIEM, …
 Administrative ( Process, organisation SOC … )
LA SECURITE PHYSIQUE

 Lire et suivre les politiques et procédures de sécurité

 Consultez le service d'assistance informatique pour obtenir des conseils sur
la plupart des questions de sécurité de l'information.

 Permettre à des visiteurs non autorisés d'entrer dans les locaux

 Apporter des armes, des matériaux dangereux/combustibles, des appareils
d'enregistrement, etc., en particulier dans les zones sécurisées.
 Utiliser des appareils informatiques personnels à des fins professionnelles,
sauf autorisation expresse de la direction.
LA SECURITE PHYSIQUE
LA SECURITE PHYSIQUE
BONNES PRATIQUE SUR LES MOTS DE PASSE

 Utilisez des phrases de passe longues et compliquées - des phrases entières si possible.
 Réservez vos phrases de passe les plus forts aux systèmes de haute sécurité (ne réutilisez pas la
même phrase de passe partout).
 Utilisez un gestionnaire de coffre-fort de mots de passe ( 1Password, Dashline ... )

 Utilisez des mots de passe courts ou faciles à deviner

 Écrire le mot de passe ou le stocker en texte clair
 Partager les mots de passe par téléphone ou par courrier
BONNES PRATIQUE SUR LES MOTS DE PASSE

CLIC TO SEE VIDEO

UTILISATION DE L’INTERNET

 utiliser les installations Internet de l'entreprise uniquement à des fins professionnelles légitimes
et autorisées

 Évitez les sites Web qui pourraient être classés comme obséquieux, racistes,
offensants ou illégaux - tout ce qui pourrait être embarrassant.
 N'accédez pas aux sites de vente aux enchères ou d'achat en ligne, sauf
autorisation de votre responsable.
 Ne piratez pas !
 Ne téléchargez pas de logiciels commerciaux ou d'autres documents protégés
par le droit d'auteur sans la licence appropriée et l'autorisation de votre
responsable.
 UTILISATION DE L’INTERNET

CLIC TO SEE VIDEO – SITE MARCHAND

CLIC TO SEE VIDEO – CHEVAL DE TROIE

UTILISATION DES E-MAILS
LES INCIDENTS DE SECURITE
LES INCIDENTS DE SECURITE
RESPONSABILITIES

 Veillez à ce que votre PC reçoive les mises à jour et les correctifs antivirus
 Verrouillez votre clavier (Windows-L) avant de laisser votre PC sans surveillance, et
déconnectez-vous à la fin de la journée
 Stockez vos informations précieuses (documents papier, CD, clés USB, etc.) en toute
sécurité, sous clé
 Effectuez régulièrement des sauvegardes de vos informations Remplissez vos
obligations en matière de sécurité :
o Respectez les lois sur la sécurité et la confidentialité, les droits d'auteur et les
licences, les accords de non-divulgation et les contrats
o Respectez les politiques et procédures de l'entreprise

 Restez à jour en matière de sécurité de l'information : visitez la zone de sécurité

de l'intranet lorsque vous avez un moment.
 MODULE #2 :

GESTION DES RISQUES IT

Le mythe du Risque Zéro ( 0 )

Rien n’est sécurisé à 100%

La défense en profondeur :
 Sécurité en couche
 Durcissement
 Veille et sensibilisation
Agenda
 VOCABULAIRES ET DEFINITIONS
 Risque
 Menace
 Vulnerabilité
 Impact
 EF = Exposure Factor ( Facteur d’exposition )
 SLE = Single-loss expectancy 
 ARO = Annual Rate Occurence
 ALE = Annual Lost Exposure
 ROI
Risque en sécurité de l’information

Risque de sécurité de l'information :

Possibilité qu'une menace puisse exploiter une vulnérabilité

d'un actif et causer ainsi un préjudice à l'organisation

Mesuré par combinaison de :

• Probabilité d'occurrence ou vraisemblance ou potentialité
de l'évènement
• Impact ou conséquence ou préjudice
• Impact : Sécurité de l'information
• Conséquence : processus métier
Risque en sécurité de l’information
Analyse de risque

Risque = Menace X Vulnérabilité X Impact

Risque = Probabilité X Impact

La vulnérabilité représente les facteurs intrinsèques ou faiblesses d’un

système qui le rendent sensible ou fragile devant un ou plusieurs types de
menace.
Quand la menace se concrétise par un évènement explicite, la
vulnérabilité contribue à augmenter la gravité des impacts.
Analyse de risque - Exemples de vulnérabilités:

 Protection insuffisante des points

d’importance vitale (PIV)
 Non mise à jour des logiciels
 Sécurité insuffisante d’un site
chimique
 Existence de portes dérobées
 Absence de détection de la menace
par explosifs
 Localisation de répartiteur haute
tension dans le sous-sols inondables
Analyse de risque - Exemples de vulnérabilités:

 Protection insuffisante des données

sensibles
 Co-localisation du site de secours
 Personnel non formé
 Fournisseur unique de prestations
essentielles, etc.
Gestion du risque

La gestion du risque analyse les évènements

susceptibles de se produire et leurs possibles
conséquences avant de décider :
 ce qui pourrait être fait,
 dans quels délais
 à quel moment,
pour réduire les risques à un niveau acceptable.
Gestion du risque
Appréciation du risque

Définir l'approche d'appréciation du risque

 Définir une méthodologie d’appréciation du risque
(Mehari, Ebios, ISO 27005)
 Décrire les critères d’acceptation des risques

Démarche d'identification des risques

 Identifier les actifs ou biens (et leur propriétaire)
 Identifier les menaces sur ces actifs
 Identifier les vulnérabilités qui pourraient être
exploitées par une menace
 Identifier les impacts d’une perte de
Confidentialité, Intégrité et Disponibilité
Démarche d'analyse et d'évaluation des risques

 Évaluer l'impact sur l'organisation et son métier des

pertes sur les actifs
 Évaluer la probabilité d’occurrence des défaillances de
sécurité
 Estimer les niveaux de risque
 Décider si le risque est acceptable
Traitement du risque - Types de traitement

 Accepter le risque (prendre le risque)

• en toute connaissance de cause
• de façon objective
 Éviter ou refuser le risque
 Transférer le risque (Assureurs, Fournisseurs)
 Appliquer les mesures de sécurité appropriées
Traitement du risque

Sélectionner les objectifs de sécurité et les mesures de sécurité

 En fonction des résultats de l’appréciation des risques
 Utiliser l’Annexe A de l’ISO 27001 et l’ISO 27002
 Pas de mesure obligatoire (même si certaines sont, de fait, incontournables)
 En puisant dans cette liste, sûr de ne rien oublier d’important
 Possible de choisir d’autres mesures de sécurité (si absentes de l’annexe A)
PSSI ( Politique de Sécurité du SI )
Préparer la Déclaration d’Applicabilité (DdA) :

 Objectifs de sécurité sélectionnés

 Mesures de sécurité retenues (raison de leur sélection)
 Mesures de sécurité effectivement mises en place
 Mesures de sécurité non retenues (raison de leur mise à l’écart)

DdA permet de vérifier que l’on n’a rien oublié

EF = Exposure Factor (Facteur d’Exposition) 

Le facteur d'exposition (EF) est représenté par l'impact du risque sur l'actif, ou par le
pourcentage d'actif perdu.

Par exemple:
 si la valeur de l'actif est réduite de deux tiers ( 2/3 ), la valeur du facteur
d'exposition est de 0,66.
 Si l'actif est complètement perdu, le facteur d'exposition est de 1.
SLE = Single-loss expectancy (L'espérance de perte unique ) 

C’est la valeur monétaire attendue de l'occurrence d'un risque sur un actif. Elle est
liée à la gestion et à l'évaluation des risques. L'espérance de perte unique est
exprimée mathématiquement comme suit : Où le facteur d'exposition est représenté
par l'impact du risque sur l'actif, ou le pourcentage d'actif perdu.

SLE (Single-loss expectancy) = Asset value (AV) X Exposure Factore (EF)  

Le facteur d'exposition (EF) est représenté par l'impact du risque sur l'actif, ou par le pourcentage d'actif
perdu. Par exemple, si la valeur de l'actif est réduite de deux tiers, la valeur du facteur d'exposition est de
0,66. Si l'actif est complètement perdu, le facteur d'exposition est de 1.
ALE = Annual Lost Exposure ( Esperance de Perte annuelle ) 
L'espérance de perte annuelle (ALE) est le produit du taux d'occurrence annuel
(ARO) et de l'espérance de perte unique (SLE). Elle s'exprime mathématiquement
comme suit

ALE = ARO (Annual Rate of Occurrence) x SLE Single-loss expectancy

Supposons qu'un actif soit évalué à 100 000 XOF et que le facteur d'exposition (FE) de cet actif soit de 25 %.
L'espérance de perte unique (SLE) est donc de 25 %*100 000 XOF, soit 25 000 XOF.

L'espérance de perte annualisée est le produit du taux d'occurrence annuel (ARO) et de l'espérance de perte unique.
ALE = ARO * SLE

Pour un taux annuel de survenance de 1,

l'espérance de perte annualisée est de 1 * 25 000 XOF, soit 25 000 XOF.

Pour un ARO de 3, l'équation est : ALE = 3 * 25 000 XOF. Par conséquent : ALE = 75 000 XOF.
ROI = Return On Investment Lost Exposure (Retour su investissement) 

Le retour sur investissement (ROI) ou retour sur coûts (ROC) est un rapport entre le revenu net (sur une
période) et l'investissement (coûts résultant de l'investissement de certaines ressources à un moment
donné).

Un ROI élevé signifie que les gains de l'investissement se comparent favorablement à son coût.
En tant que mesure de performance, le ROC est utilisé pour évaluer l'efficacité d'un investissement ou
pour comparer les efficacités de plusieurs investissements différents. En termes économiques, c'est une
façon de mettre en relation les bénéfices et le capital investi.
EXERCICES

Calculs d'évaluation des risques en matière de

sécurité informatique :
SLE, ALE et ARO - QCM et feuille de travail
QCM#01

Une entreprise identifie un nouveau risque sur son réseau et souhaite

connaître la probabilité qu'il soit exploité chaque année. Elle est convaincue
que son réseau est protégé, mais pense qu'il existe des failles qui
permettent de compromettre le risque au moins une fois tous les 20 ans.
Qu'est-ce que le taux annuel d'occurrence (TAE) ?
A.1
B.0.5
C. 10
D.0.05
QCM#02
Une organisation est en train de décider si elle veut acheter un nouveau
système de base de données, mais elle est préoccupée par les coûts du
risque. Le nouveau système lui coûtera 20 000 dollars. Une fois qu'il sera
opérationnel, elle estime que le risque le plus élevé pour le système
entraînerait une perte de 40 % des bénéfices. Quelle est l'espérance de
perte unique du système de base de données.

A. $5,000
B. $8,000
C. $10,000
D. $20,000
QCM#03
Vous évaluez les risques d'une entreprise et vous avez des raisons de croire
qu'elle a sous-estimé le coût annuel d'un risque. Le risque se produit au
moins une fois tous les cinq ans et, chaque fois qu'il se produit, il coûte 50
000 $ à l'entreprise. Quelle est l'espérance de perte annuelle de ce
risque ?

A. $10,000
B. $20,000
C. $30,000
D. $50,000
Atelier

Analyse de risque dans le cadre du système

d’information
Étude de cas :
Utilisation d’un portable par un chercheur
Utilisation du portable lors de ses déplacements :

 Le disque dur contient des résultats de recherche et des informations stratégiques (courriels échangés avec
des partenaires industriels, rapport de recherche, projet de brevet)
 Ce chercheur se déplace régulièrement à l’étranger et utilise son ordinateur dans des endroits publics exposés
(aéroports, gares, hôtels...)
 La seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur
PROJET

 Définir les actifs

 Identifier les risques
 Evaluer les risques
 Traiter les risques Travail individuel ou en groupes Restitution

Définition des critères Echelle de valorisation des actifs

 0 (valeur négligeable) : les effets ne sont pas décelables

 1 (valeur faible) : affecte essentiellement des éléments de confort
 2 (valeur significative) : affaiblit la performance de l’unité
 3 (valeur élevée) : affecte l’organisme 4 (valeur critique) : mets en danger les missions
essentielles de l’organisme
Critères d'évaluation des risques

Cinq niveaux dans les critères d’évaluation du risque : 1.Risques

nuls (vert : 0)
2.Risques négligeables (Jaune : 1-2) 4.Risques graves (Rouge : 5-6)
3.Risques significatifs (Rose : 3-4) 5.Risques vitaux (Bordeaux : 7-8)
En résumé

Exigences de sécurité Objectifs de Mesures de

sécurité sécurité

 ISO 27001 est une norme certifiante pour la mise en place d’un SMSI
 ISO 27002 est la description détaillée des mesures de sécurité de l’annexe A de l’ISO
27001
 ISO 27005 : Guide de mise en œuvre de la partie appréciation des risques de la sécurité de
l'information de l'ISO 27001
 MODULE #3 :

IDENTIFICATION DES MENACES DE CYBERSECURITE & CONTRE-

MESURES
Introduction à la sécurité informatique
PLAN
Introduction
Le triangle d’or
AAA

Le mythe de la sécurité
Rien n’est sécurisé à 100%
La défense en profondeur :
 Sécurité en couche
 Durcissement
 Veille et sensibilisation
AAA

C’est un protocole qui réalise (3) fonctions

 Authentication
 Authorization
 Accounting ( la traçabilité )
Etat des lieux
 Sécurité offensive
 Le dilemme de la défensive
Introduction à la Sécurité Informatique

PLAN

 Rappel : CIA
 Le rôle La sécurité de l’information
 Les menaces
 L’interet d’avoir une politique de sécurité
 Les mesure de securité
Rappel : CIA
La sécurité de l’information

La sécurité de l’information consiste à La protection des données et

informations de n’importe quel accès non autorisé (Intérieur ou
Extérieur)
Protéger l’information de :
 Modification ou altération
 Vol et injection
Les menaces

Application Accès non

malveillante autorisé

Dysfonctionnement Social
malveillante Engineering
Mesures de sécurité
Il existe plusieurs mesures de sécurité, mais les plus basique restent :

 Veille et sensibilisation
 Authentification
 Softwares (Anti-Malware…)
 Backups ( sauvegardes )
 Chiffrement ( PGP … )

Pensez comme un hacker !

Types de Hackers

 White Hat Hackers

 Black Hat Hackers
 Grey Hat Hackers
Architecture Réseau et Modèle OSI

Plan
 Le modèle OSI
 Les couches OSI
 TCP / IP
 IPv4 et IPv6
 L’Encapsulation
Types de virus informatique
QU’EST-CE QU’UN VIRUS
INFORMATIQUE ?

•LE TERME « VIRUS INFORMATIQUE » DÉCRIT UN

CODE OU UN PROGRAMME DESTINÉ À CAUSER DES
DÉGÂTS CONSIDÉRABLES À UN SYSTÈME
INFORMATIQUE À L’INSU DE SON UTILISATEUR. SON
BUT EST D’AFFECTER LES PERFORMANCES D’UN PC
ET DE SE RÉPANDRE VERS D’AUTRES
PÉRIPHÉRIQUES. VOUS LE RETROUVEREZ LE PLUS
SOUVENT CACHÉ DANS UN PROGRAMME OU UN
FICHIER. 
vers (worms)

Les vers sont des malwares dangereux. Si un 

virus informatique a besoin d’être activé pour
fonctionner, ces derniers sont tout à fait
autonomes. En se servant d’un réseau
informatique, ils peuvent contaminer tous les
ordinateurs qui y sont connectés. Pour cela, ils
exploitent les failles existantes.
Une fois installés dans un PC, les vers se
multiplient avant d’infecter un autre appareil.
Généralement, pour ralentir le périphérique
infesté. Toutefois, certains de ces programmes
malveillants peuvent supprimer vos données ou les
voler.
 Adware

Les adwares ne sont pas à proprement parlé, des virus. En effet, ce sont
des programmes que vous installez vous-même dans votre machine après
avoir pris connaissance de leurs effets. Cependant, ils peuvent devenir
rapidement une nuisance. Cela tient au fait qu’ils vous envoient
constamment des publicités.
Les adwares sont généralement inoffensifs. Ces programmes réalisent ou
sur le registre des sites internet que vous avez consultés. Ils peuvent ainsi
vous proposer des publicités adaptées à vos besoins selon l’analyse de
votre historique de navigation. Cependant, certains logiciels peuvent
désactiver votre antivirus rendant votre PC vulnérable aux virus
informatiques.
RANSOMWARE

•PARMI LES LOGICIELS MALVEILLANTS

, VOUS RETROUVEREZ LES
RANSOMWARE. CES DERNIERS
INFECTENT VOTRE PC AVANT D’EN
CRYPTER LES INFORMATIONS
IMPORTANTES. PARFOIS, ILS
VERROUILLENT COMPLÈTEMENT
VOTRE MACHINE. ENSUITE, LES
PIRATES VOUS AYANT ENVOYÉ LE
VIRUS, VOUS RÉCLAMENT UNE
RANÇON CONTRE VOS DONNÉES. SI
VOUS NE CÉDEZ PAS AU CHANTAGE,
CES DERNIÈRES SERONT
DÉFINITIVEMENT SUPPRIMÉES.
Rootkits

Le rootkit est un programme permettant aux

hackers de pénétrer. Ils peuvent même les
contrôler par ce biais. À la base, il est utilisé pour
effectuer de loin la maintenance des appareils.
Toutefois, il peut être utilisé de manière
malveillante, notamment pour la mise en place de
virus informatiques ou pour le vol de données
sensibles.
Les rootkits sont difficiles à repérer. D’ailleurs, ils
ont été conçus dans ce but. Pour les localiser, vous
devrez surveiller manuellement votre système et
employer très souvent des correctifs pour les
neutraliser.
Cheval de Troie

Parmi les virus informatiques, vous devez

vous méfier du Cheval de Troie. Le plus
souvent, ou un programme inoffensif.
Cependant, une fois que vous l’avez installé,
il s’attaquera au système de votre ordinateur.
Sans que vous vous en rendiez compte, il
modifiera votre appareil. Il entreprendra
également des actions dangereuses sans que
vous ne le sachiez.
Les malwares
Le terme « malware » désigne des logiciels dangereux qui
s’attaquent aux systèmes de votre ordinateur. Ils sont très
dangereux, car Ils sont également un problème pour les
smartphones et les tablettes.
Le modèle TCP/IP
Le modèle TCP/IP est dérivé de l'ARPANET et deviendra
plus tard connus sous le nom de worldwide interne, ce
modèle à été développé par le Ministère Américain de la
défense ( DOD = Departement Of Defense )
¨
IPv4 et IPv6
Scalable
Et la panique arrive …
Adressage insuffisant
Remplacement IPv6 : 128 bits -> IPSec
IPv4 : 32 bits
L’Encapsulation
Définition :
,,,,,,,,,,,,,,,,,,,,,
LAB : IPV6
Définition :
,,,,,,,,,,,,,,,,,,,,,
Protocoles et Ports

Plan

 Introduction
 Ports et services
 Pourquoi sécuriser les ports
 Lab : Protocoles et ports
Protocoles et Ports

 Processus de communication
 Services
 Une porte vers l’OS
 UDP et TCP
 Inbound et Outbound

Socket
 192.168.1.47:80
 192.168.4.54:23001
Fermeture des ports non nécessaire
Ports et Services
Port Number Protocol Application
20, 21 TCP FTP
25 TCP SMTP
53 UDP, TCP DNS
67, 68 UDP DHCP
69 UDP TFTP
80 TCP HTTP (WWW)
110 TCP POP3
161 UDP SNMP
443 TCP SSL
88 TCP Kerberos
16,384 – 32, 767 UDP RTP, base Voice (VOIP)
and video
Sécurité des Ports

Identification des Identification des Recherche de

ports services vulnérabilité Exploitation
associées
LAB : Protocoles et Ports

Capture sous
linux
Exercice : 10 Questions ( QCM )
Switchs, Routeurs et Switchs Multicouches

Plan
 Switchs
 Routeurs
 Switchs multicouches
 Lab : Simulation réseau
LES SWITCHS

 COMMUTATEUR
 PONT
 COUCHE 2
 TABLE ADRESSES MAC
 VULNÉRABILITÉS
Routeurs

Couche 3
Routage de paquets
Protocoles de routage Vulnérabilités
Swicths multicouches

MLS
Commutation basée sur Ethernet
Couche 3
La différence : L’ exécution physique
LAB : Simulation Réseau
Load Balancer, Proxy et Passerelle

Plan
 Introduction
 Load Balancers
 Les Passerelles
 Proxy
 Lab : Déploiement squid et Dashboard LB
Introduction

 Faire une bonne Etudes des besoins

 Analyser l’architecture existant
 Flexibilité de l’architecture
 Besoins -> Solution -> Transition
 Evolution ?
Les Load Balancers

 Meilleure performance
 Tolérance aux pannes
 Temps de réponse optimisé
Les Passerelles
Proxy
LAB: Déploiement squid et Dashboard LB
Les Firewalls

Plan:
 Introduction
 Fonctions
 Illustration
 Lab: Les Firewalls (exple avec pfsense)
Introduction

 Point de passage obligatoire ( Entrant/Sortant)

 Transition entre deux réseaux
 Existent aussi bien en Hardware comme Software
 Politique de sécurité -> Filtres
Fonctions d’un Firewall

 Packet Filter
 Proxy Firewalls ( parefeu applicatif ou passerelle )
 Stateful Packet Inspection
Illustration
LAB : Déploiement Firewall pfSense

https://www.pfsense.org/
Les WAF (Web Application Firewalls)

Plan:
 Introduction
 Illustration du rôle d’un WAF
 Lab: WAF
Introduction

 Firewall Application
 Fonctionne avec le protocole HTTP
 Règles
 Proxy  Client
 WAF  Application Web
 Reverse Proxy
Illustration du fonctionnement d’un WAF
LAB : WAF

Exemple de WAF:

 VULTURE ( Open Source )

 BARRACUDA
 Rohde & Schwarz (DenyALL)
Les Systèmes de détection d’intrusion

Plan:
 Introduction
 Types d’IDS
Les Systèmes de détection d’intrusion
Introduction

 Un Système de détection d’intrusion (IDS)

 Mécanisme destiné à repérer des activités anormales ou
suspectes sur la cible analysée
 Toutes les tentatives réussies et/ou échouées
Les Systèmes de détection d’intrusion
Types d’IDS

 NIDS (Network-base IDS )

 HIDS (Host-base IDS )
 IDS Hybride ( NIDS + HIDS )
Signature based IDS
AD (Anomaly Detection) IDS
IPS (Intrusion Prevention System)

 Système de prévention d'intrusion Permet de

prendre des mesures afin de diminuer les
impacts d'une attaque
 Un IDS actif, il détecte un balayage automatisé
UTM (Unified Threat Management) et URL Filtering

Plan:
 Definition du URL Filtering
 UTM
 Quelques produits UTM du marché
 Lab: UTM et URL Filtering
Définition du URL Filtering

Filtrage d’URL
Trafic WEB
Menaces
Signatures
UTM (Unified Threat Management)

 Parefeu avec des fonctionnalités avancées

 Anti-Spam
 Anti-Virus et EDR (Endpoint Detection and Response)
 IDS et IPS
Quelques produits UTM du marché
Lab: UTM et URL Filtering
Les VPN ( Virtual Private Network)

Plan:
 Définition
 Caractéristiques
 Illustration
 Lab: VPN
Définition

Appelé également « Tunnels »

Sécurité
Cryptage des communications
Types de VPN
PPTP ( Point-to-point Tunneling Protocol)-> TCP + Tunnel GRE
Avantages :
- facilite à mettre en place
- Transmission très rapide
- Compatible sur la plupart des appareils mobiles

Inconvénients:
- Il peut être facilement bloqué par les FAI

L2TP (Layer 2 Tunneling Protocol)-> se base sur IPsec

Avantages :
- facilite à mettre en place
Inconvénients:
- Beaucoup plus lent

VPN SSL
Les Caractéristiques d’un VPN

Joindre des hôtes et réseaux distants en un seul réseau privé.

Fournit :
 L’authentification
 Intégrité des données
 Confidentialité
 Aussi ‘’l’auditabilité’’ (Traçabilité)
Illustration du fonctionnement d’un VPN
LAB : VPN
IPsec

Plan:
 Définition
 Caractéristiques
 Le protocole AH
 Le protocole ESP
IPsec

 Définition :

IPSec (Internet Protocol Security )

Utilisation de la cryptographie
Garantir l’authentification, l’intégrité, le contrôle d’accès et la
confidentialités des données
Caractéristiques IPsec

Permet de garantir :
- La confidentialité des données
- L’intégrité des donnés
- L’authentification de l’origine des données
- L’anti-rejeu
Le protocole AH (Authentication Header)

Le protocole AH est définit

dans la RFC 2402
Le protocole ESP (Encapsulating Security Payload)

Le protocole AH est définit

dans la RFC 2406
VLAN (Virtual Local Area Network)

Plan:
 Définition VLAN
 Caractéristiques des VLANs
VLAN (Virtual Local Area Network)
Définition VLAN

Réseau local virtuel

Regroupe des réseaux Logiques et indépendants
Sécurité (pas totale ) -> s’affranchir des limitations de l’architecture physique
Segmentation logique
Isolation VLAN :
- Par adresse MAC
- Par port
- Par adresse IP
- Par protocole
Caractéristiques VLANS

Améliorer la gestion du réseau

Optimiser la bande passante
Séparer les flux ( réduire les risques de congestion)
Gain en sécurité ( information encapsulé à un niveau supplementaire
NAT et PAT

Plan:
 Définition NAT
 Définition PAT
 Illustration
NAT (Network Address Translation)

Faire correspondance des adresses IP à d’autres @ IP

Exemple : Intranet  Extranet
Adresse IP Unique
Pallier à l’épuisement des adresses IPv4
Gain en Sécurité ( caché les @ internes de l’entreprise )
Complexité pour le hackers ( sorte de proxy )
PAT (Public Address Translation)

Fonctionnement dans l’autre sens que le NAT

Une seule adresse IP publique avec plusieurs
serveurs dans le réseau

Illustration
DMZ (Demilitarized Zone)
Accès par le public
Isolation  Contrôle des flux
Les serveurs WEB

Introduction :

- Services ( site web, streaming … )

- Fournit un accès à différentes ressources
- Continuellement connecté
- Connection à travers différents ports
- Vulnérabilités (récupération de la version des services ) !

Attention aux versions des services que vous faites tourner sur vos serveurs
publiques !
La VoIP

 ,,,,,,,,,,,,,,,
Le Cloud Computing

 ,,,,,,,,,,,,,,,
La virtualisation

 ,,,,,,,,,,,,,,,
Procol Analyser

 ,,,,,,,,,,,,,,,
CND Approaches : Preventive Approaches

Access Control Firewall

Admission Control NAC & NAP

Preventive
Approaches Cryptographic Application Ipsec & SSL

Biometric Security Biometric

CND Approaches: Reactive Approaches

IDS

Reactive Security Monitoring SIEM

Approaches
TRS & IPS
DoS & DDos
CND Approaches: Retrospective Approaches

Protocol Analyser
Fault Finding
Traffic Monitors

Retrospective CSIRT
Security Forensics
Approaches CERT

Post Mortem Analysis Legal/Risk Assessor

Top Network Attacks
 MODULE #4 :

CADRES LEGALES & REGLEMENTAIRES

 RGPD
(Règlement Général pour la Protection des Données)
Aussi appelé GDPR en Anglais.
 Qu’est-ce que le RGPD ?
Le Règlement sur la protection des données personnelles (RGPD) est entré en vigueur le
25 mai 2018. Ce règlement européen succède en France à Loi Informatique et Libertés
pour encadrer juridiquement la collecte, le stockage et l’utilisation de nos données. 
 Données personnelles génériques

 prénom, nom,  adresse IP,

 prénom, nom,  photo,
 genre,  posts sur réseaux
 adresse physique,  sociaux
Données personnelles sensibles

 données de santé,
 origines raciales ou ethniques,
 sexualité,
 opinions politiques,
 croyances religieuses
 Données personnelles biométriques
 ADN,
 Empreintes digitales,
 Données issues de reconnaissance faciale
et de la rétine
PERSONALLY IDENTIFIABLE INFORMATION (PII)

UNE INFORMATION QUI PEUT SERVIR À

RECONNAITRE UN INDIVIDU OU À
L’IDENTIFIER DANS UN CERTAIN
CONTEXT.

(EX : VOS DONNÉES DE LOCALISATION

SUR GOOGLE MAPS)
Consentement de l’individu

Le consentement est primordial;

Le GDPR vise à redonner le pouvoir et la libre utilisation des
données aux individus.
 Choix
Avoir le choix de ne pas communiquer ses données, sans
subir de préjudices (toutefois l’utilisateur peut ne plus avoir
accès au service ou à l’intégralité du service).
 But explicite
Le but de la récolte des données doit être mentionné explicitement à
l’utilisateur (ex : “vos données seront utilisées pour l’envoi de
newsletter”).
 Consentement explicite

Son consentement doit être intelligible par une “action déclarative”

de sa part, sans ambiguïté (ex : Je suis d’accord pour que mes
données soient réutilisées pour…)
 Transparence
L’utilisateur peut accéder à tout moment à ses données.
 Les acteurs du RGPD

Les principaux acteurs sont:

 Le “Data Controller”
 Le “Data Processor”
 Le “Data Protection Officer”
 Le “Data Protection Authority”
 Data Controller

C’est l’organisation qui collecte et devient responsable de la donnée

collectée vis-à-vis de la CNIL.

C’est vous !
 Data Protection Officer

C’est la personne désignée au sein du “Data Controller” afin de

réguler et monitorer l’utilisation des données personnelles.
 Data Protection Authority
C’est l’autorité nationale en charge de la mise en place et du
respect du RGPD, à savoir
 L' APDP au BENIN,
 l’ARTCI en côte d’ivoire
 La CNIL en France,
 le CNPD au Luxembourg,
 …
En tant qu’entreprise, suis-je concerné ?
Sont concernés, toutes les entreprises qui :
 commercialisent des produits et services au sein de l’UE
 possèdent des bureaux en zone UE
 développent des sites internet et applications mobiles disponibles dans
des langues de la zone UE
 affichent des prix de vente en devises de l’UE
 possèdent des noms de domaine provenant de l’UE Un

critère coché et le RGPD s’applique.

La réglementation est obligatoire si l’entreprise :

 récolte et gère régulièrement des données clients

 a plus de 250 salariés
 manipule des données clients pour le compte de clients B2B (de plus de 250
personnes)
 récolte et gère des données sensibles et biométriques
 récolte des données qui pourraient mettre en danger les droits et libertés des
individus Un

critère coché et le RGPD s’applique.

Impact sur le “Product Management”

Le RGPD appliqués au Product Management :

 “Protection by Design”
 “Privacy by default”
“Protection by Design”

Chaque nouvelle fonctionnalité traitant des données personnelles ou permettant d’en traiter
doit garantir dès sa conception et lors de chaque utilisation, le plus haut niveau possible de
protection des données.
“Privacy by default” Passage du “Big Data” avec la récolte
maximale de données à la “Data Minimisation”. Les données
personnelles récoltées doivent donc être adéquates, pertinentes
et limitées uniquement aux besoins du business de l’entreprise.
Les questions à se poser (1/3) ❏ Qui récolte les données ? ❏
Qui est le “Data Controller” ? ❏ Qui est le “Data Processor” ?
❏ Quelle est la liste des données récupérées ? ❏ Les données
récupérées sont-elles proportionnées par rapport à l’utilisation
finale ? ❏ De quelles données ai-je réellement & strictement
besoin ? ❏ A quoi chaque donnée va-t-elle servir ?
Les questions à se poser (2/3) ❏ Où sont stockées les données ?
❏ Combien de temps seront-elles stockées ? ❏ Quelles sont les
données stockées ? ❏ Les personnes dont on récupère des
données sont-elles informées ? Ont-elles donné leur
consentement ? ❏ De quelle façon les utilisateurs vont
consentir au traitement de leurs informations personnelles ?
Les questions à se poser (3/3) ❏ Comment les personnes
peuvent accéder à leurs données, les modifier, les exporter ou
les supprimer ? ❏ Comment et quand les données sont-elles
rafraichies ? ❏ Qui accède aux données ? ❏ A quels profils
d’utilisateurs sont destinées les données traitées ? ❏ Des
sociétés externes ont-elles également accès aux données ? Si
oui, dans quels pays ?
Mise en conformité RGPD en 6 étapes
/1 Désigner un pilote

Désigner un chef d’orchestre qui exercera une mission

d’information, de conseil et de contrôle en interne : le délégué à
la protection des données (DPD, ou DPO en anglais).
/2 Cartographier

Recenser de façon précise vos traitements de données

personnelles. L'élaboration d'un registre des traitements vous
permet de faire le point.
 /3 Prioriser

Identifier les actions à mener pour vous conformer aux

obligations. Prioriser ces actions au regard des risques que font
peser vos traitements sur les droits et les libertés des personnes
concernées.
 /4 Gérer les risques

Pour chaque traitement de données personnelles impliquant un

risque élevé pour les droits et libertés des personnes concernées
= une analyse d'impact sur la protection des données (PIA).
 /5 Organiser

Imaginer l’ensemble des événements qui peuvent survenir au

cours de la vie d’un traitement.
 /6 Documenter

Constituer et regrouper la documentation nécessaire. Les

actions et documents réalisés à chaque étape doivent être ré-
examinés et actualisés régulièrement pour assurer une
protection des données en continu.
Liste d’actions concrètes (1/2) ❏ Nommer un “Data Protection
Officer” ❏ Tenir un registre numérique actualisé de tous les
traitements de données personnelles ❏ Préconiser le
chiffrement ou la pseudonymisation des données les plus
sensibles ❏ Mettre en conformité les formulaires à destination
des clients pour récupérer leur consentement sur l’utilisation de
leurs données personnelles pour un usage précis
Liste d’actions concrètes (2/2) ❏ Demander la mise en conformité des
sous-traitants ❏ Mettre à jour les contrats des sous-traitants ❏ Mettre en
place une charte de bonnes pratiques de l’utilisation des données
personnelles à destination des collaborateurs ❏ Mettre en place une
procédure d’escalade auprès de la CNIL et une communication de crise et
d’informations en cas de violation de données personnelles
Liste d’actions concrètes (3/3) ❏ Montrer sa “bonne foi” en
mettant en place un mapping des données récupérées et traitées
(= registre numérique) et surtout ❏ Se montrer coopératif en
cas de contrôle par la CNIL ❏ Faire un Privacy Impact
Assessment (PIA) ❏ Modifier vos CGU/CGV et mentions
légales en intégrant un “Privacy Policies” en conséquence ❏
Idéalement stocker les données en zone UE
MERCI !