Vous êtes sur la page 1sur 23

Chapitre 1 

: Présentation des
attaques

Présenté par : Khaled KILANI


Objectifs du chapitre
À la fin de ce chapitre, les étudiants seront à même de :
1) Présenter le principe de présomption de violation
2) Décrire les vecteurs d’attaque
3) Décrire les chronologies des attaques
4) Identifier les ressources clés
5) Expliquer les stratégies de réponse aux incidents
6) Expliquer la conformité comme moteur de la sécurité
1) Présentation de la présomption de violation
Présomption de violation : Conservation de sécurité en supposant qu’une violation a eu
lieu ou va se produire sous peu.
La sécurité doit prendre en compte les acteurs hostiles externes et fournir une protection
contre les acteurs hostiles internes.
Vous devez vous poser plusieurs questions :
Comment protéger une ressource donnée contre les compromissions externes ?
Comment protéger d’autres ressources si cette ressource est compromise ?
Comment protéger cette ressource si d’autres ressources protégées sont compromises ?
Comment protéger cette ressource si elle est compromise ?
 
1) Présentation de la présomption de
violation.
2) Vecteurs d’attaque
• Les attaquants emploient diverses méthodes pour détecter une vulnérabilité
dans les défenses d’une organisation et enfreindre sa sécurité:
• Attaques contre les applications : Ces attaques visent à exploiter des
vulnérabilités dans les applications.
• Attaques contre les systèmes d’exploitation : Ces attaques impliquent
l’exploitation de vulnérabilités dans un système d’exploitation serveur ou
client.
• Attaques contre l’infrastructure de virtualisation : Ce type d’attaque
permet à un attaquant d’accéder au contenu de machines virtuelles ou de
compromettre leur sécurité.
2) Vecteurs d’attaque
• Programmes malveillants : Il existe plusieurs types de programmes malveillants,
notamment ceux-ci :
 Virus : Programme malveillant autopropageable qui infecte des ordinateurs.
 Chevaux de Troie : Type de programme malveillant qui permet à un attaquant d’accéder à
distance au système infecté.
 Rançongiciels (« ransomware »): Nouveau type de programme malveillant de plus en plus
prolifique qui chiffre les données importantes. Les organisations doivent verser une rançon aux
auteurs du programme pour obtenir les clés de déchiffrement.
 Hameçonnage (« phishing ») : Attaque au cours de laquelle un individu installe par
inadvertance un programme malveillant sur son ordinateur après avoir ouvert un e-mail ou un
site web spécialement conçu. L’hameçonnage est un e-mail qui tente de convaincre un grand
nombre de destinataires d’effectuer une action, comme ouvrir un e-mail ou visiter un site web
qui déclenche une infection.
2) Vecteurs d’attaque
 L’harponnage (« spear phishing ») : cible un individu spécifique. Dans une
attaque par harponnage, l’e-mail est adressé à un utilisateur cible et semble
provenir d’une personne qu’il connaît, comme un collègue ou un supérieur.
 Piratage psychologique. Cette attaque tente de convaincre le personnel d’une
organisation d’octroyer des autorisations d’accès. Un attaquant peut par exemple
contacter le support technique d’une organisation pour faire une demande de
réinitialisation de mot de passe pour un compte privilégié.
2) Vecteurs d’attaque
Les motivations de l’attaquant entrent généralement dans les catégories suivantes :
• Attaques à but lucratif. Un attaquant peut par exemple collecter des
informations de carte de crédit pour les revendre au plus offrant. Les rançongiciels
sont un autre type d’attaque à but lucratif.
• Attaques destructrices. Ces attaques tentent délibérément de détruire
l’infrastructure d’une organisation ou d’effacer ses données importantes dans le
but de lui porter atteinte.
2) Vecteurs d’attaque
3) Chronologie d’une attaque
La chronologie d’une attaque décrit les différentes étapes d’une attaque.
Les détails de chaque attaque sont différents. Ils dépendent des spécificités de la
méthodologie de l’attaquant et de la configuration des systèmes et de
l’infrastructure ciblés par l’attaquant.
La plupart des attaques suivent une chronologie en trois phases :
 Recherche et préparation
 Élévation de privilège
 Exfiltration des données
3) Chronologie d’une attaque
Recherche et préparation
Les attaquants effectuent des opérations de reconnaissance sur l’organisation cible.
Ils peuvent notamment collecter des informations accessibles au public sur le
personnel et les systèmes de l’organisation.
Par exemple, les attaquants peuvent examiner les profils publiés sur les sites web
des réseaux sociaux professionnels pour trouver l’identité des employés d’une
organisation cible. Ils peuvent également découvrir les systèmes en place dans
l’organisation cible en passant en revue les compétences des employés du service
informatique de l’organisation dévoilées publiquement sur ces mêmes sites.
3) Chronologie d’une attaque
Élévation de privilège
Au cours de la phase d’élévation de privilège, l’attaquant obtient un accès privilégié
à l’infrastructure, aux logiciels et aux services de l’organisation cible. L’hôte
compromis d’origine est utilisé comme tremplin pour obtenir le contrôle complet
des ressources cibles. Il s’agit notamment des attaques de type pass-the-hash.
3) Chronologie d’une attaque
Exfiltration des données
L’exfiltration continue des données constitue la phase finale de nombreuses
attaques. Au cours de cette phase, un attaquant déplace les données des systèmes sur
lesquels elles résident vers un emplacement externe qu’il contrôle.
4) Identification des ressources clés

• Chaque organisation a des ressources critiques. Il faut déterminer les ressources


qui sont essentielles pour l’organisation et faire en sorte qu’elles bénéficient de la
protection la plus complète.
• le niveau de protection des ressources clés soit proportionnel à l’intérêt qu’elles
présentent pour votre organisation. Une approche consiste à effectuer une analyse
des coûts-avantages.
• Une approche consiste à effectuer une analyse des coûts-avantages.
Exemple : Un serveur de BD hébergeant l’ensemble des enregistrements des
clients constitue une ressource clé pour une organisation qu’un serveur Microsoft
SharePoint hébergeant des documents sur la politique interne.
4) Identification des ressources clés

Les attaquants qui ciblent les réseaux Windows tentent souvent de compromettre les ressources
suivantes :
• Contrôleurs de domaine AD DS : un attaquant qui compromet un DC peut obtenir le contrôle de
tous les comptes utilisés dans le domaine, et ainsi s’octroyer l’accès à n’importe quel serveur joint au
domaine dans l’organisation.
• Serveurs de base de données : un attaquant qui compromet un serveur de BD peut accéder au
contenu de chaque BD hébergée sur le serveur.
• Hôtes de virtualisation. Si un hôte de virtualisation est incorrectement configuré, un attaquant qui
parvient à le compromettre peut accéder au contenu de toutes les machines virtuelles hébergées sur
cet hôte.
• Serveurs de messagerie. Un attaquant qui compromet un serveur de messagerie peut accéder à
toutes les communications stockées sur ce serveur. C’est par exemple ce qui s’est passé quand des
attaques dirigées contre les partis politiques américains ont engendré la divulgation au public de
données de messagerie.
4) Identification des ressources clés

• Serveurs de fichiers et SharePoint. Un attaquant qui compromet un serveur de


fichiers ou SharePoint peut accéder à tous les fichiers et contenus stockés sur ce
serveur.
5) Stratégies de réponse aux incidents

Une stratégie de réponse aux incidents est une liste de contrôle ou un ensemble de
procédures que vous devez suivre quand vous détectez une violation de la sécurité.
Les stratégies de réponse aux incidents de votre organisation doivent tenir compte
de plusieurs facteurs, notamment :
• Quelles stratégies d’enquête employer pour déterminer la gravité de la
violation ? Selon le secteur d’activité dans lequel vous travaillez ou si vous
soupçonnez l’implication de personnes au sein de votre organisation, il peut être
nécessaire de faire appel aux services d’un tiers pour mener l’enquête.
• Quand impliquer la police ? Certains scénarios nécessitent l’intervention de la
police. Dans ce cas, il peut vous être demandé de ne pas réparer les serveurs
compromis pour permettre à la police de réaliser une analyse criminalistique.
5) Stratégies de réponse aux incidents

• Quand faire une annonce publique ? Certaines organisations doivent informer le


public après une violation de la sécurité, notamment si celle-ci porte sur les
informations confidentielles de ses clients.
Remarque : Il est recommandé que les décisions concernant l’annonce publique soient
prises avec l’aide des conseillers juridiques de l’organisation, une telle annonce pouvant
faire l’objet de poursuites de la part des représentants de la clientèle dont les données
ont peut-être été exposées.
• Quand répondre aux problèmes techniques entourant la violation à court terme et à
long terme ?
Face à certaines violations, il suffit de réimager les serveurs impactés et de renforcer
la protection du système contre le code malveillant condamnable. Dans d’autres
scénarios, il peut être nécessaire de déployer une infrastructure entièrement nouvelle.
5) Stratégies de réponse aux incidents
6) Conformité comme moteur de la sécurité
• Pour protéger votre organisation contre les attaques menées par des employés
malveillants, vous devez mettre en place des contrôles de sécurité efficaces.
• Ces contrôles sont également nécessaires d’un point de vue légal pour éviter que le
gouvernement ne sanctionne votre organisation s’il estime qu’elle ne respecte pas
les exigences en matière de conformité.
• La réglementation sur la conformité stipule les contrôles de sécurité à mettre en
œuvre pour encadrer certains types de données, notamment les informations
personnelles et les données médicales.
• Dans d’autres secteurs d’activité, les organisations doivent se conformer à des
règlements imposant des contrôles de sécurité sur les transactions par carte bancaire.
6) Conformité comme moteur de la sécurité
La réglementation sur la conformité peut imposer les exigences suivantes :
• Exigences en matière de stockage, de chiffrement et de protection des données.
Par exemple, les algorithmes de chiffrement et les longueurs de clé à utiliser pour
protéger les données sont spécifiés.
• Exigences en matière de contrôle d’accès. Par exemple, vous pouvez être obligé
d’utiliser l’authentification à deux facteurs pour authentifier les comptes
autorisant l’accès aux données.
• Exigences en matière d’audit. Par exemple, il peut vous être demandé d’auditer
tous les accès à des types de données spécifiques.
Certaines organisations sont soumises à des audits de conformité. Au cours de ces
inspections, un tiers examine la configuration des serveurs et de l’infrastructure
pour vérifier que l’infrastructure est conforme aux exigences de sécurité établies.
6) Conformité comme moteur de la sécurité

Vous aimerez peut-être aussi