CISA Slides Domaine 5

Domaine 5
La Protection des actifs informationnels
1
Agenda
√ Recommandations, standards et frameworks de sécurité des actifs informationnels

√ Protection de la vie privée
√ Sécurité du Système d’Information
√ Gouvernance et Management de la Sécurité de l’Information
√ Audit du cadre de Management de la Sécurité de l’Information
√ Inventaire et classification des actifs
√ Sécurité du personnel et des tiers
√ Sécurité physique et environnementale
√ Contrôle d’accès logique /physique
√ Sécurité de l’infrastructure réseau
√ Sécurité du développement logiciel
√ Cryptographie
√ Informatique mobile, informatique pair-à-pair, messagerie instantanée, medias sociaux
√ Informatique dans le cloud et virtualisation
√ Fuite de données
√ Risques et mesures associées à la sécurité de l’informatique de l’utilisateur final
2
Agenda
√ Formation et sensibilisation
√ Méthodes et techniques d’attaque
√ Outils et techniques de test
√ Gestion des incidents de sécurité
√ Investigations forensiques informatiques
3
Objectif
 Le candidat à CISA doit :

 connaitre et comprendre les outils de gouvernance (politiques de sécurité ,
normes , procédures et contrôles) mis en place par l’entreprise pour assurer le
(CID) de ses actifs informationnels et doit pouvoir fournir l’assurance que ces
outils sont adéquats et efficaces ou pas;
 connaitre les technologies utilisées et les faiblesses possibles des contrôles

pouvant être exploités par les attaquants;
 connaitre les composants de la sécurité des réseaux , les problèmes d’accès

logiques et physiques et les principaux éléments de la gestion de la sécurité de
l’information;
 savoir qu’il faut un entretien adéquat des systèmes (SE et logiciels) : enlever les
services non utilisés et fermer les ports superflus et corriger les vulnérabilités.
4
Partie A
Sécurité des actifs informationnels et mesures de sécurité
5
Recommandations, standards et frameworks de sécurité
des actifs informationnels
6
Recommandations, standards et frameworks de sécurité
des actifs informationnels
 Beaucoup d’industries ont des standards qui peuvent être utilisés pour
comparer la sécurité au sein d’un secteur. Le standard PCI-DSSS est un
standard utilisé par toutes organisations qui collectent, stockent, traitent et
transfèrent les données de titulaires de cartes de crédit. La conformité à ce
standard n’est pas requise par la loi.
De nombreux standards existent dans le domaine de la santé, des finances,
de l’audit, des télécommunications, de l’énergie, … nécessitant souvent une
mise en conformité. Pour établir la conformité à tel ou tel standard, les
frameworks décrivent comment les organisations peuvent établir leur
conformité.
7
Protection de la vie privée
8
 Vie privée ou protection des données personnelles

Les données personnelles (PII : Personally Identifiable Information) correspondent à toute
information relative à une personne physique (Data subject) identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro d'identification ou à
un ou plusieurs éléments qui lui sont propres;
La plupart des organisations détiennent des informations personnelles concernant les
utilisateurs comme des numéros de sécurité sociale, des informations financières comme
les salaires et les informations bancaires, des informations à caractère médical,…La
confidentialité de ces informations doit être garantie.
Dans la plupart des pays ou des zones géographiques existent des lois dont l’objectif est de
protéger les informations à caractère personnel contre toute forme de compromission
durant tout leur cycle de vie (collecte, stockage, traitement, transport, accès, destruction,
…) susceptible d’engendrer des risques élevés pour leurs propriétaires. Ces lois visent
avant tout à protéger la confidentialité des données mais les données doivent aussi être
protégées en intégrité et disponibilité.
Donc pour une organisation, deux questions principales sont importantes :
Protection contre la collecte déraisonnable de données à caractère personnel;
Protection contre le manque d’application régulière de la loi concernant la collecte, le
stockage et la divulgation des données personnelles.
9
 L’OCDE
En 1980 l’OCDE a publié ses « Privacy Guidelines » revu en 2013. Depuis beaucoup de pays ont
développé leurs propres principes et législations basés sur les 8 principes de base de la Privacy de
l’OCDE :
Limitation de la collecte : les principes de licéïté, loyauté et transparence doivent être appliqués à
la collecte et au traitement des données personnelles;
Qualité des données : il doit exister une proportionnalité entre les données personnelles collectées
et la finalité du traitement;
Finalité du traitement : l’objet du traitement doit être spécifié à la collecte des données
personnelles;
Utilisation limitée : l’utilisation des données personnelles doit être limitée à l’objet du traitement
sauf consentement de la personne physique ou d’une autorité légale;
Mesures de sécurité : des mesures organisationnelles et techniques doivent être mises en place;
Principe d’ouverture : une politique de sécurité des données personnelles doit exister et être
accessible publiquement aux personnes physiques;
Participation individuelle : la personne physique doit avoir le droit d’obtenir du responsable de
traitement la confirmation qu’il détient bien des données le concernant et que ces dernières lui
soient communiquées dans un délai raisonnable, à un coût non excessif et sous un format
exploitable.
Responsabilité : le responsable du traitement est responsable de l’application des principes
10
ci-
dessus par la mise en œuvre appropriées.
 Les Etats-Unis
De multiples lois fédérales ou spécifiques à un Etat tentent de définir des droits
relatifs à la protection de la Privacy :
* Consumer Data Privacy, Medical and Educational Records;
* US Privacy Act (1974), Consumer Privacy Bill of Rights 2012, California
Consumer Privacy Act (CCPA 2018) closer to GDPR,
* Des propriétaires de données privées peuvent aussi établir des politiques
d’utilisation des données personnelles.
11
 L’Union européenne
Traditionnellement l’Union Européenne accorde une plus grande importance à la
protection des données à caractère personnel que les autres pays. La réglementation est
basée sur les Guidelines de l’OCDE sur la protection des données personnelles (publiées
en 1980 et revues en 2013), le World Intellectual Property Organization’s (WIPO)
Tribunal, la Directive 95/46/CE sur la protection des données personnelles (1995), la
Directive 2002/58/CE sur la protection de la vie privée dans le secteur des communications
électroniques vise à protéger de façon spécifique la vie privée sur Internet (modifiée en
2009), le Règlement Général sur la Protection des Données (2018).
Le RGPD (Règlement Général sur la Protection des Données)

Le Règlement européen entré en vigueur le 25 mai 2018 est considéré par beaucoup
comme un tournant de l’approche Privacy à la fois au niveau législatif et organisationnel.
Selon le RGPD les données personnelles de citoyens européens ne peuvent être collectées et
traitées que dans certaines circonstances et sous certaines conditions. Le RGPD prévient le
transfert des données personnelles des citoyens européens vers des pays tiers qui n’ont pas de
loi équivalente. 12
 Principes de protection des données personnelles du RGPD :

Licéïté, loyauté et transparence
Les données doivent être traitées de manière licite, loyale et transparente
au regard de la personne concernée.
Limitation de la finalité
Les données doivent être collectées pour des finalités déterminées, explicites et
légitimes, et ne pas être traitées ultérieurement d'une manière incompatible
avec ces finalités; le traitement ultérieur à des fins archivistiques dans
l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins
statistiques n'est pas considéré comme incompatible avec les finalités initiales
(limitation des finalités).
Minimisation des données
Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire
au regard des finalités pour lesquelles elles sont traitées.
13
 Principes de protection des données personnelles du RGPD : (suite)

Exactitude
Les données doivent être exactes et, si nécessaire, tenues à jour; toutes les
mesures raisonnables doivent être prises pour que les données à caractère
personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont
traitées, soient effacées ou rectifiées sans tarder (exactitude).
Limitation du stockage
Il n'est pas possible de conserver des données sur des personnes physiques dans
un fichier pour une durée indéfinie. Une durée de conservation précise doit être
fixée, en fonction du type d'information enregistrée et de la finalité du fichier.
Confidentialité et intégrité
Les données doivent être traitées de façon à garantir une sécurité appropriée
des données à caractère personnel, y compris la protection contre le traitement
non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine
accidentelle, à l'aide de mesures techniques 14
ou organisationnelles appropriées
(intégrité et confidentialité).
Sécurité du Système d’Information
15
 L'évolution des menaces est liée à la transformation des systèmes

d’information (et des réglementations) :
– Commerce électronique et communication directe avec le client;
– Travail à distance et disparition des barrières organisationnelles.
 Exposition à la malveillance (menaces d’origine humaine et

intentionnelles) :
– Virus;
– Attaque de déni de service;
– Intrusion /Accès non autorisé;
– Divulgation d’informations;
– Usurpation d’identité.
16
√ Exposition aux erreurs (menaces d’origine humaine et non intentionnelles) :

– Manque de sensibilisation;
– Audace;
– Inattention / Imprudence.
√ Quatre profils sont généralement définis :

– Ludique (sans profit);
– Cupide (pouvoir, argent);
– Terroriste (idéologique);
– Stratégique (économique, politique).
√ Quatre sources de risques :

– Interne-accidentel;
– Interne-volontaire;
– Externe-accidentel;
– Externe-délibéré.
17
√ Une activité profitable :

– Plusieurs milliards de dollars de « chiffre d’affaires .Selon les sources, équivalent aux
revenus de la drogue;
√ Une activité peu risquée :
– Seuls 5% des auteurs d’infraction sont condamnés;
– Identification difficile des personnes physiques impliquées.
√ Les auteurs « bénéficient» de la diversité des lois anti cybercriminalité :
– Absence d’une législation homogène.
√ Une activité technique simple :
– Très souvent les outils sont disponibles gratuitement sur internet;
– Certains groupes de pirates revendent des kits « Clefs en main ».
18
Gouvernance et Management de la
19
√ Introduction :
 Les actifs sont tous les biens de l’organisation qui ont de la valeur et qui
méritent donc d’être protégés : biens primaires : processus métiers,
informations et tous les biens qui les supportent : matériels, logiciels, réseaux,
personnel, locaux, organisation
 La sécurité de l’information est tout ce qui concerne la protection des actifs
 Le risque est la mesure de la menace à ces actifs
 Le risque management guide la sélection des mesures de sécurité
 Les mesures de sécurité adressent les niveaux de risque
20
√ Introduction :
 Concepts de Confidentialité, Intégrité et Disponibilité (Triade de la Sécurité)
– Les objectifs de la sécurité sont contenus dans la triade de sécurité qui est le
nom donné aux trois principes essentiels de sécurité : Disponibilité, Intégrité,
Confidentialité.
 Disponibilité
Propriété de l’information ou d’un système qui garantit qu’ils seront toujours

prêts au moment où les utilisateurs en auront le besoin.
 Intégrité
Propriété qui garantit une représentation exacte et inchangée de l’information
ou d’un système qui garantit qu’ils ne peuvent être modifiés que par les
utilisateurs ou les processus habilités.
 Confidentialité
Propriété de l’information selon laquelle une information n’est accessible qu’aux
personnes qui ont le « besoin d’en connaître ».
21
√ Introduction :
 Autres concepts de sécurité :
– En plus de la triade de sécurité on peut considérer une pléthore de concepts et
de principes de sécurité quand il s’agit de concevoir une politique de sécurité et
de déployer une solution de sécurité : Identification, Authentification,
Autorisation, Traçabilité, Imputabilité, Non-répudiation.
22
√ Gouvernance de la sécurité de l’information :

 La gouvernance de l’organisation est l’ensemble des responsabilités exercées par
le Board et le Management Exécutif en vue de fournir une orientation stratégique, de
s’assurer que les objectifs sont atteints, que les risques sont gérés et les ressources de
l’organisation sont utilisées rationnellement;
 La gouvernance de la sécurité de l’information est :
– Un sous-ensemble de la gouvernance globale de l’organisation. Elle fournit une
orientation stratégique aux activités de sécurité et s’assure que les objectifs sont
atteints, que les risques sont gérés et les ressources informationnelles sont utilisées
rationnellement;
– Pour réaliser une gouvernance efficace de la sécurité de l’information, le Top
Management doit établir et maintenir un cadre pour guider le développement et la
management d’un programme de sécurité de l’information global qui supporte les
objectifs métiers;
– Le programme de sécurité de l’information combine un ensemble de mesures
organisationnelles, techniques et structures de management pour garantir la
confidentialité, l’intégrité et la disponibilité de l’information basées sur les exigences
métiers et une appréciation des risques . 23
√ Management de la sécurité de l’information :

 Le management du risque la sécurité de l’information est l’ensemble des
activités coordonnées visant à piloter et à contrôler l’organisation vis-à-vis du
risque;
 Le management du risque de sécurité de l’information nécessite un partenariat
avec tous les niveaux de personnel, les entités fonctionnelles et
opérationnelles, l’IT, la conformité, les partenaires, les fournisseurs de service,
les services de l’Etat,…;
 Le management du risque de sécurité de l’information est un processus
continu.
24
√ Le processus de management des risques de sécurité de l’information est

l’application systématique de politiques, procédures et pratiques de
management aux activités d’appréciation des risques, de traitement des
risques, d’acceptation des risques, de communication des risques, de
surveillance et de revue des risques;
Le processus de management des risques de sécurité de l’information est :
* partie intégrante du cadre organisationnel de management des risques;
* intégré à la culture et aux pratiques;
* adapté aux processus métiers de l’organisme.
25
√ Processus de management des risques de sécurité de l’information

(Cf norme ISO 27005)
26
√ Concepts fondamentaux du risque :

 Menace ? :
– Cause possible d’un évènement non désiré (redouté) pouvant nuire à un
système ou à l’organisation. Une menace cible un actif possédant une ou
plusieurs vulnérabilité(s) susceptible(s) être exploitée(s);
– Evènement, danger potentiel pouvant impacter un actif et finalement avoir
un impact métier fort sur l’entreprise en termes financiers, image de marque,
perte de productivité., non respect de ses obligations légales, réglementaire,
contractuelles;
– L’origine des menaces peut-être Accident, Erreur ou Malveillance.
27

 Vulnérabilité ? :
– Représente le degré d’exposition aux menaces, la fragilité (faille, faiblesse)
d’un actif face aux menaces. La fragilité peut-être intrinsèque à l’actif
(Exemple : Manipulation psychologique d’un individu) ou résulter d’une
faiblesse dans les mesures de sécurité en place ;
– Elle rend possible les actes de malveillance passive (atteinte à la
confidentialité) ou active (atteinte à l’intégrité ou à la disponibilité des
informations ou des systèmes). Elle représente une opportunité d’attaque.
28

 Impact ? :
– Dommages, conséquences que la perte de Confidentialité, d’Intégrité et de
Disponibilité causées par la réalisation de la menace peut avoir sur l’actif si la
menace se réalise :
 Atteinte à l’image de marque;
 Perte financière;
 Pénalités : responsabilité civile, pénale;
 Perte de productivité;
 …
29

 Risque ? :
– Potentiel de perte ou de préjudice pour l’entreprise;
– La combinaison d’une Menace exploitant une ou plusieurs Vulnérabilités
d’un actif (ressource) donné :
RISQUE = MENACE * VULNERABILITES
 Equation du risque ?
Niveau de Risque = Probabilité d’Occurrence de la Menace * Impact

Potentiel
30

 Mesure de sécurité ?
Tout moyen susceptible de modifier le risque. Une mesure de sécurité peut agir soit
sur la probabilité d’occurrence de la menace soit sur son impact potentiel soit sur
les deux. Il existe trois catégories de mesures de sécurité pouvant être ventilés en
six types.
Catégories : organisationnelles, techniques/logiques, physiques.
Types : préventives, détectives, correctives, de reprises, dissuasives,
compensatoires.
31

 Exemples de mesures de sécurité réparties par catégories et par types
32

 Risque résiduel ?
Risque Résiduel = Risque Estimé – Efficacité des mesures de

sécurité
33
√ Relations entre les concepts fondamentaux du risque :
34
√ Modèle du risque :
35
√ Eléments clés du management de la sécurité du système d’information :

 Champ d’application de la sécurité de l’information :
– Pour atteindre les objectifs de la sécurité de l’information sont concernés tous
les employés , la direction, les fournisseurs de services et partenaires
externes.
 Engagement et soutien du top management :
– Exprimer formellement la stratégie de sécurité de l’organisation;
– Communiquer clairement son appui à sa mise en œuvre;
– Mettre en place et maintenir un programme de sécurité de l’information.
 Politiques et Procédures :
– Documents de sécurité qui doivent être approuvés;
– Ils doivent être révisés et adaptés périodiquement en prenant en compte
l’efficacité des mesures, le coût et l’impact des mesures de sécurité sur
l’activité et les effets des évolutions technologiques.
36
 Organisation :
– Distribution des rôles et responsabilités au sein de l’organisation et en
informer tout le personnel;
– La sécurité est une responsabilité partagée par tous les membres de
l’équipe de direction.
 Sensibilisation à la sécurité et formation :
– Employés nouveaux employés et utilisateurs des tierces parties;
– Formations, certifications, exercices et simulations, publications,
déclarations signées, audits, renforcement de règles,…
37

 Contrôle et conformité :
– Évaluation régulière de l’efficacité des programmes de sécurité par des auditeurs;
– La conformité se décline en 3 volets :
* Le respect des lois et réglementations: licences logiciels, propriété intellectuelle, règles
de manipulation des fichiers contenant des informations touchant la confidentialité des
personnes;
* La conformité des procédures en place au regard de la politique de sécurité de
l’organisation, c’est-à-dire quels dispositifs ont été mis en place pour assurer les
objectifs définis par la Direction Générale;
* L’efficacité des dispositifs de traçabilité et de suivi des procédures en place,
notamment les journaux d’activités, les pistes d’audit, les enregistrements de
transaction.
 Gestion des incidents sécurité :
– Evènements affectant les propriétés de Disponibilité-Intégrité-Confidentialité (DIC) de
l’information.
38
√ Audit du cadre de management de la sécurité de l’information :

L’audit du cadre de management de la sécurité de l’information implique l’audit du cadre de
management lui-même, l’audit de l’accès logique, l’utilisation de techniques d’évaluation de
la sécurité et l’utilisation de techniques d’enquête.
 Audit du cadre de management de la sécurité de l’information
– Les éléments essentiels à revoir sont la révision de :
 Politiques, procédures et normes écrites;
 La mise en œuvre du plan de formation et de sensibilisation des
utilisateurs à la sécurité de l’information;

 La classification des données et de l’attribution du droit de propriété;
 Responsabilités des Custodians;
 La communication de la Charte informatique aux nouveaux utilisateurs
de l’IT;
 Respect des règles d’autorisation d’accès écrites des utilisateurs aux
données; 39
 Audit du cadre de management de la sécurité de l’information (suite)

– Les éléments essentiels à revoir sont la révision de :
 L’application de la procédure de check-out;
 Règles d’accès aux données, aux applications, aux systèmes, aux locaux.
 Audit de l’accès logique

– Lors de l’évaluation des mesures de sécurité relatives au contrôle d ‘accès
logique l’auditeur doit :
 Obtenir une compréhension générale des risques de sécurité de
l’information de l’entreprise (revue de la documentation et des résultats

de l’appréciation des risques);
 Evaluer la pertinence des mesures de sécurité relatives au contrôle
d’accès logique;
 Tester les mesures de contrôle d’accès logique;
 Evaluer l’environnement de sécurité (comparer les pratiques observées
aux normes de sécurité et à celles utilisées par d’autres entreprises).

40
 Utilisation de techniques pour tester la sécurité de l’information

– Différentes techniques de test peuvent être utilisées par l’auditeur comme :
 Utiliser un échantillon de cartes ou de clés d’accès et tenter d’accéder à
plus d’informations que ce qui est autorisé;

 Utiliser un échantillon de terminaux et vérifier qu’ils figurent bien dans
l’inventaire et qu’ils sont identifiés;

 Tenter de cracker les mots de passe d’un échantillon d’utilisateurs;
 Tenter d’accéder aux transactions informatiques et aux données pour
lesquelles il n’est pas autoriser. Les tentatives doivent être infructueuses

et identifiés dans les rapports de sécurité;
 Vérifier que le suivi est fait par les administrateurs des tentatives
d’infractions rapportées;
 Vérifier l’application des règles relatives aux mots de passe,
 …
41
 Utilisation de techniques d’enquête

– Les techniques d’enquête comprennent entre autres les investigations forensics
après un crime informatique, la protection de la preuve et de la chaine de
possession (Chain Of Custody). L’auditeur vérifiera que les investigations pour
collecter les preuves sont conduites de façon légale et que la chaine de
possession de la preuve est bien respectée.
42
Inventaire et classification des actifs
43
√ Le contrôle efficace exige un inventaire détaillé des actifs informationnels. Une telle
liste constitue la première étape dans la classification des actifs et dans l’établissement du
niveau de protection devant être fourni à chaque actif.
La première étape dans la classification des actifs et dans l’établissement du niveau de

protection devant être fourni pour chaque actif informationnel doit inclure :
 Une identification claire et distincte de l’actif;

 Sa valeur relative pour l’organisation;
 Son emplacement;
 Sa classification de sécurité/risque;
 Son groupe d’actifs (lorsque les actifs font partie d’un système d’information
plus grand);
 Son propriétaire.
44
√ L’objectif est d’assigner un niveau de sensibilité et de maintenir le niveau de protection

adapté à chaque actif d’information en accord avec la politique de sécurité :
 Tout élément d’actif important doit être répertorié et alloué à un responsable nominatif;
 L’information doit être classifiée en fonction du besoin de sécurité (en DIC).
√ Classification de l’actif :
 Information publique (brochures)

 Information privée (politiques internes, procédures, bulletins d’informations, …)
 Information sensible (états financiers non publiés, secrets d’entreprise,…).
45
√ Les procédures de classification des informations doivent être définies et couvrir la

manipulation de tout type d’information sous forme physique et électronique et pour
les différentes activités de lecture, copie, stockage, transmission et destruction.
√ Les procédures de classification sont une mesure de contrôle pour :

 définir le niveau de contrôle d’accès qui doit être appliqué sur l’actif;
 éviter la perte, la divulgation et la suppression des actifs car les utilisateurs sont
bien informés de leur degré de sensibilité;
 Réduire le risque et le coût de surprotection ou sous-protection.
46
Sécurité du personnel et des tiers
47
√ Plus de 35% des incidents de sécurité proviennent de l’intérieur de l’entreprise et

sont initiés par des personnes de confiance (l'employé négligent ou malveillant, le
tiers négligent ou malveillant, l’agent infiltré);
√ Employés et utilisateurs des tierce parties;
√ L’objectif est de :
– Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de traitement;
– Assurer que les utilisateurs sont informés des risques et menaces concernant les informations;
– Assurer que les utilisateurs sont formés et sont équipés pour appliquer la politique de sécurité
lors de leurs activités normales;
– Minimiser les dommages en cas d’incident;
– Apprendre de ces incidents.
48
√ Sélection du personnel
– Vérification des antécédents conformément aux lois et par rapport à la criticité de l’actif à
manipuler;
– Un processus de sélection pour les tierces parties;
– Un accord spécifiant les exigences de sécurité et les responsabilités de la tierce partie.
√ Pendant l’emploi
– Indiquer les responsabilités dans les fiches de poste;
– Sensibiliser les employés et les tierces parties;
– Respect de la politique de sécurité;
– Application d’un processus de discipline en cas de violation.
49
√ Résiliation ou changement d’emploi

– Concerne le départ d’un employé ou le changement d’une tierce partie;
– Récupérer les équipements et supprimer tous les accès.
√ Suppression des droits d’accès

– Les accès logiques;
– Les accès physiques;
– Leurs inscriptions;
– Leurs adresses mail et autres;
– Leur suppression de toute documentation;
– Il faut changer les mots de passe qu’ils ont connus;
– Informer le reste du personnel , les directions et la direction de la sécurité des départs.
50
Sécurité physique et environnementale
51
√ La sécurité physique fournit des techniques pour protéger :

– Les installations physiques à l’extérieur du périmètre de la salle des serveurs :
 Bâtiments;
 Equipements;
 Systèmes;
 Médias;
 …
– Les ressources humaines…
52
√ Différents types de menaces :
(*) CVC : Chauffage, Ventilation et Climatisation.

HVAC : Heating, Ventilation and Air Conditioning). 53
√ Trois types de mesures de sécurité :

– Organisationnelles
 Contrôles du personnel;
 Contrôles des tiers;
 Tests et formation;
 Procédures en cas d’urgence;
 Support de stockage;
 Gardiens et chiens.
– Techniques
 Dispositifs de contrôle d’accès aux installations;
 Vidéosurveillance (CCTV*);
 Dispositifs de détection du feu;
 Extincteurs;
 Détection des intrusions physiques;
 Contrôles CVC;
 Électricité statique.
(*) CCTV : Closed-Circuit Television. 54

√ Trois types de mesures de sécurité :

– Physiques
 Modèle de défense par couches;
 Prévention du crime par la conception de l’environnement (CPTED*);
 Localisation du site;
 Aspects sécuritaires de la construction;
 Aspects sécuritaires des installations;
 Clôtures;
 Piliers;
 Éclairage;
 Portes;
 Verrous.
(*) CPTED : Crime Prevention Through Environmental Design.

Est une approche du prevention du crime fondée sur trois principes complémentaires :
le renforcement de la territorialité, le contrôle d’accès naturel et la surveillance
naturelle.
55
√ Modèle de défense en couches :

– Localisation du centre de traitement de l’information / Salle informatique (Data
Center)
 Pour prévenir les problèmes :
– Problèmes de feu
 Pas au dernier étage.
– Problèmes d’inondation
 Pas au sous sol;
 Pas à côté ou en-dessous des salles de bains.
– Problèmes de contrôle d’accès (zone d’accès public)
 Pas au rez-de-chaussée;
 Pas à côté des escaliers ou des ascenseurs;
 Pas à côté des salles de bains.
– Protection des menaces externes
 Au centre du bâtiment, pas de murs extérieurs, pas de fenêtres, un
seul point d’accès contrôlé (Exemple : Mantrap).
56
√ Localisation :
– Lorsqu’une entreprise choisit de s’établir dans un bâtiment, certains choix doivent absolument
être considérés dont :
 La visibilité ;
 Les considérations locales ;
 Les moyens d’accès (transport);
 Les menaces naturelles.
√ Aspects sécuritaires de la construction :

– Murs et divisions;
– Plafonds et planchers;
– Eléments d’infrastructures;
– Portes et fenêtres;
– Chauffage, ventilation et climatisation;
– Détection et extinction des feux;
– Alimentation électrique;
– Conduites de liquide et de gaz;
– Eclairage d’urgence.
57
√ Audit des mesures de sécurité environnementales :

– Le premier souci de l’auditeur des SI doit être de déterminer le risque
environnemental en évaluant l’emplacement du centre de traitement. Les éléments
à haut risque requièrent davantage de contrôles;
– Les procédures de test ci-après doivent être appliquées à tout stockage hors site et
installations de traitement :
 Vérification des détecteurs d’eau et de fumée :
– Vérification de leur présence dans la salle de traitement.
 Vérification des extincteurs portables :
– Vérification de leur visibilité;
– Vérification de leur inspection annuelle.
 Vérification des systèmes d’extinction des incendies :
– Révision de la documentation;
– Vérification que le système a été inspecté et testé au cours de l’année dernière.
 Vérification de l’inspection régulière par l’inspecteur du service d’incendie ou l’assureur;
– Vérification de la disponibilité du copie du rapport.
 Vérification des murs, planchers et plafonds de la salle de traitement :
– Vérification dans la documentation que la cote de résistance des murs au feu des murs est d’au moins deux heures.
 Vérification des protecteurs de surtension électriques :
– Vérification de leur présence.
58
√ Audit des mesures de sécurité environnementales : (suite)

– Les procédures de test ci-après doivent être appliquées à tout stockage hors site et
installations de traitement :
 Vérification de la redondance du chemin d’alimentation électrique du centre de traitement :
– Vérification de leur présence et de leur placement.
 Vérification de la documentation et du test du plan de continuité d’activité :
– Vérification de l’existence du plan, des rapports de test et de maintien en conditionnelle opérationnelle du plan.
 Vérification des chemins de câbles :
– Vérification que les câbles sont placés dans des panneaux et des gaines de protection résistantes à l’eau.
 Vérification du système d’alimentation sans coupure (groupe électrogène) :
– Vérification de la dernière date de test et révision des rapports de test.
 Vérification des plans d’évacuation d’urgence :
– Vérification que les plans sont documentés, ont été testés et sont affichés dans toutes les installations.
 Vérification de l’humidité et de la température :
– Vérification que centre de traitement a été régulièrement visité pour déterminer si l‘humidité et la température sont
adéquates.
– Si l’emplacement appartient à un tiers un droit d’audit contractuel sera nécessaire.
59
√ Audit de l’accès physique :

– L’auditeur des SI doit effecteur une visite du site informatique afin qu’il puisse
avoir une compréhension et une perception générale de l’installation vérifiée;
– Le site informatique mais aussi toutes les installations de stockage hors site
doivent être inclus dans cette visite;
– Comme pour l’audit des mesures de sécurité environnementales si l’emplacement
appartient à un tiers un droit d’audit contractuel sera nécessaire;
– La visite doit commencer par la revue des limites de l’accès physique:
 Contrôle des employés, des visiteurs, des intrus.
– Pour une sécurité appropriée les chemins d’accès physiques doivent aussi être
évalués :
 Les portes d’entrée;
 Les portes de sortie d’urgence;
 Les fenêtres et les murs en verre;
 Les murs amovibles et les bureaux modulaires à cloison,…
60
Contrôle d’accès logique/physique
61
√ Introduction :
– Le contrôle des accès est au cœur de la sécurité de l’information;

– Il aide à créer des niveaux d’accès aux ressources du systèmes d’information : c’est la
défense de première ligne;
– Au centre du contrôle d’accès se trouvent les notions de d’Accès, de Sujet et d’Objet :
 Accès :
– Définit ce que les Sujets peuvent faire avec les Objets : les ressources auxquelles ils
peuvent accéder et les opérations qu’ils peuvent effectuer;
– L’accès représente la circulation de l’information entre les sujets et les objets.
 Sujet :
– Entité active qui demande un accès à un Objet : peut être un utilisateur, un programme.
 Objet :
– Entité passive qui contient de l’information : peut être un ordinateur, un fichier, un
répertoire, une base de données.
62
√ Introduction :
– Modèle du SUJET qui accède à l’OBJET
63
√ Introduction :
– Le contrôle d’accès va autoriser ou interdire l’accès des sujets aux objets;
– Le contrôle des accès définit la politique, les procédures et les outils à implanter pour garantir la
Disponibilité, l’Intégrité et la Confidentialité de toute information de
l’organisation;
– La Politique de contrôle des accès (Access Control Policy) est une déclaration formelle de haut
niveau qui doit être approuvée et supportée par la Direction Générale. Elle définit :
 Les objectifs de l’organisation en matière de contrôle d’accès :
– Gérer et contrôler l’accès logique et/ou physique aux actifs informationnels;
– Prévenir les accès non autorisés;
– Détecter les activités non autorisées.
 Le champ d’application :
– Personnel et parties externes (Fournisseurs, sous-traitants, clients, consultants , auditeurs, agents
d’entretien,….).
 Qui est responsable de son application;
 Les processus par lesquels elle sera implantée : processus AAA
(Authentication-Autorization-Accounting).
64
√ Approche multidimensionnelle du contrôle d’accès :
– Les organisations implémentent des contrôles d’accès en utilisant une stratégie de

Défense en Profondeur (Defense-in-Depth-Strategy) qui repose sur plusieurs couches
de contrôles d’accès;
– Le contrôle d’accès est composé de trois dimensions :

 Physique;
 Logique/technique;
 Organisationnelle (Administrative).
– La meilleure manière d’assurer un contrôle d’accès efficace est d’implémenter des

contrôles dans les trois dimensions afin de créer de la redondance;
– La mise en place d’un contrôle dans une dimension peut compenser un manque dans
une autre dimension.
65
√ Approche multidimensionnelle du contrôle d’accès :
66
√ Services de contrôle d’accès :

– Le contrôle d’accès doit mettre en place des règles fonctionnelles;
– Ces règles s’appuient sur les processus IAAI :

 I : Identification;
 A : Authentification;
 A : Autorisation;
 I : Imputabilité.
67

 Identification :
– Un Sujet doit s’identifier avant d’avoir accès à un Objet;
– Identification = manière pour le Sujet de revendiquer une identité spécifique;
– Identification basée sur un mécanisme simple : nom d’utilisateur, @IP,
@MAC, Certificat numérique,…;
– Identification # Authentification.
 Authentification :
– Processus de vérification de l’identité d’un Sujet;
– Authentification = étape la plus importante du contrôle d’accès;
– C’est l’étape à laquelle le système vérifie que le Sujet à travers son identité
est bien celui qu’il prétend être;
– Il existe trois facteurs d’authentification.
68

 Autorisation :
– Définition de droits d’accès;
– Le contrôle d’accès doit déterminer si un Sujet a le droit ou pas d’accéder à l’objet concerné;
– Pour ce faire il s’appuie sur une matrice de contrôle d’accès à double entrée : liste des
objets, liste des Sujets, Droits des utilisateurs sur chaque Objet (Ex : Lecture, Ecriture,
Exécution);
– L’affectation des droits d’accès (privilèges) aux Sujets est fondée sur les principes
suivants :
 Besoin d’En Connaître;
 Moindre privilège (privilège minimum pour permettre au Sujet d’effectuer ses
tâches).
 Imputabilité :
– Possibilité d’imputer une action à une identité (Sujet);
– S’appuie sur les journaux d’exploitation qui enregistrent les évènements générés par les
Sujets.
69
√ Méthodes d’authentification :
– Le processus d’authentification est basé sur n’importe lequel des trois facteurs suivants :
 Une chose que vous savez;
 Une chose que vous possédez;
 Une chose que vous êtes.
70
√ Méthodes d’authentification :
– Le processus d’authentification est basé sur n’importe lequel des trois facteurs suivants :
 Une chose que vous savez
– Mot de passe à usage multiple : mot de passe, passphrase, code PIN, …
– Mot de passe à usage unique : HOTP (HMAC-Based One-Time-Passord), SSO (Single-
Sign-On),..
 Une chose que vous possédez
– Carte mémoire, intelligente;
– Smartphone;
– Client de messagerie;
– Token soft, hard;
– Clé cryptographique, …
 Une chose que vous êtes
– Biométrie
 Utilisation d’une caractéristique physique pour authentifier un utilisateur :
balayage du doigt, balayage de l’iris, balayage de la paume, balayage de la face,
empreinte vocale, …
– Le processus d’authentification est dit fort s’il met en œuvre au moins deux facteurs sur
trois. Exemples : mot de passe avec smartphone, carte à puce avec code pin, …
71
√ Modèles de contrôle d’accès :

– Il existe cinq modèles principaux de contrôle d’accès aux données :
 Le modèle de Contrôle d’accès Discrétionnaire (DAC : Discretionary Access Control);
 Le modèle de Contrôle d’accès obligatoire (MAC : Mandatory Access Control);
 Le modèle de Contrôle d’accès basé sur le rôle (RBAC : Role-Based Access Control);
 Le modèle de contrôle d’accès basé sur des règles (Rule-Based Access Control)
 Le modèle de contrôle d’accès basé sur des attributs (Attribute- Rule-Based Access
Control)
– Un modèle de contrôle d’accès est un cadre dictant comment les SUJETS accèdent aus
aux OBJETS.
72
√ Gestion du cycle de provisionning des Identités et des Accès :

– Le cycle de vie comprend les phases suivantes :
 Le provisionning
– Implique la détermination des exigences organisationnelles besoin d’en
connaître, moindre privilège) et la mise en place des droits d’accès
appropriés.
 L’authentification
– Implique la vérification de l’identité des utilisateurs.
 L’autorisation
– Implique l’octroi de droits d’accès aux utilisateurs.
73
√ Gestion du cycle de provisionning des Identités et des Accès :

– Le cycle de vie comprend les phases suivantes :
 La revue
– Implique la mise en œuvre de contrôles manuels, automatiques afin de
décider du maintien, de la modification, de la révocation des droits d’accès
suite à certains événements : mobilité, départ de l’organisation.
 La révocation
– Implique la suppression des droits d’accès après la revue quand ceux-ci ne
sont plus légitimes.
 Le deprovisioning
– Implique la suppression des identités et des droits d’accès qui leur sont
associés
74
√ Technologies de contrôle d’accès :

 Single Sign-On (SS0)
– Single Sign-On permet à plusieurs systèmes d’utiliser un serveur d’authentification
central. Cela permet aux utilisateurs de s’authentifier une seule fois et d’accéder à
de multiples et différents systèmes. Cela permet aussi aux administrateurs de
sécurité d’ajouter, modifier ou supprimer les privilèges des utilisateurs à partir d’un
système central.
 Directory Management
– Gestion centralisée des informations relatives à une entité via Active Directory,
LDAP,…
 Federated Identity Management (FIM)
– La fédération d’identités donc se réfère à une un ensemble de standards, de politiques et de
technologies utilisés par différentes organisations afin qu'elles puissent fédérer leurs
systèmes de management d'identité et permettre aux applications d'accepter leurs
informations d'identification tout en conservant leur autonomie. Chaque organisation gère
son propre référentiel d’identification et de vérification. La fédération d’identités crée des
relations de confiance entre les domaines de sécurité de plusieurs organisations.
75
√ Technologies de contrôle d’accès : (suite)

 Credentials Management Systems
– Les systèmes de gestion des credentials permettent de protéger les informations
d’identification/authentification des utilisateurs. Les fonctions offertes par ces
systèmes comprennent notamment :
 La génération sécurisée des passwords;
 Le stockage sécurisé des passwords;
 L’authentification multi-facteurs pour le déverrouillage des credentials,…
 Identity as a Service (IDaaS)
– Est un service Cloud qui apporte des fonctions de Gestion des Identités et des
Accès aux systèmes dans les locaux de l’organisation ou dans le Cloud. Exemples
de solutions IdaaS : Okta, Sailpoint, ...
– Il combine les fonctions de : administration, provisioning des comptes,
authentification, autorisation, reporting.
76
√ Technologies de contrôle d’accès : (suite)

 LDAP
– LDAP (Lightweight Directory Access Protocol) est protocole client/serveur (TCP/389) utilisé
pour gérer des annuaires c’est-à-dire pour accéder à des bases d’informations comme Active
Directory ou DNS contenant des informations sur les utilisateurs d’un réseau. Ces annuaires
suivent le standard d’annuaire X.500;
– Exemples d’application de LDAP :
 Un protocole de diffusion de données : annuaire LDAP de type pages blanches pour
contacter les personnes;
 Une passerelle entre applications permettant l'échange de données entre applications
incompatibles, par exemple les carnets d'adresses propriétaires MS Exchange et Lotus
Notes;
 Un protocole de service pour les systèmes d'exploitation, les applications ou les
services Internet : annuaire LDAP comme solution centralisée d’authentification
des utilisateurs utilisée par les systèmes d’exploitation, les applications pour assurer
l'authentification et gérer les droits d'accès aux ressources réseau.
77
√ Attaques au contrôle d’accès :

– Les attaques au contrôle d’accès sont le fait de menaces mises en œuvre par des agents menaçants
dans le but de leur donner un accès non autorisé aux objets. Elles s’appuient sur l’exploitation de
vulnérabilités présentes dans les mécanismes de contrôle d’accès.
 Attaques les plus fréquentes :
– Attaque par agrégation d’accès;
– Attaques aux mots de passe :
 Par dictionnaire;
 Par Brute Force;
 Birthday attack;
 Attaque par Rainbow Table;
 Attaque par Sniffing.
– Attaques par spoofing :
 Email spoofing;
 Phone number spoofing.
78
√ Attaques au contrôle d’accès :

 Attaques les plus fréquentes :
– Attaques par Social Engineering :
 Phishing :
Forme de social engineering consistant à inciter les utilisateurs à communiquer des informations
confidentielles, ouvrir une pièce ou cliquer sur un lien.
 Spear Phishing :
Phishing ciblant une catégorie d’employés dans une organisation. Exemple
l’attaque en 2011 contre le Ministère de l’Economie en France.
 Whaling :
Phishing contre le Top Management : CEOs, Présidents,…
 Vishing :
Variante de Phishing utilisant le système téléphonique comme vecteur d’attaque.
 Attaques aux SmartCards
– Attaques en Déni de Service.
79
√ Meilleures pratiques contre les attaques au contrôle d’accès :

 Contrôler l’accès physique aux systèmes;
 Contrôler l’accès électronique aux fichiers passwords;
 Chiffrer les fichiers passwords par Hashing;
 Définir une Politique de mots de passe forte;
 Masquer les mots de passe;
 Déployer une authentification multi-facteurs;
 Utiliser des mesures de verrouillage de compte;
 Afficher un message donnant des informations (date, heure, username, @IP) sur le dernier Logon réussi (last Logon
Notification);
 Séparation et rotation des fonctions;
 Appliquer les principes de « Moindre privilège » et de « Besoin d’en connaître »;
 Utilisation de protocoles réseau sécurisés;
 Procédure de Check-Out (désenregistrement);
 Revue périodique des habilitations;
 Essai d’intrusion : contournement des mécanismes d’authentification, test de crackage de mots de passage,…
 Sensibiliser les utilisateurs.
80
Sécurité de l’infrastructure réseau
81
√ Introduction :
– La sécurité des télécommunications et des réseaux englobe :
 Les infrastructures, les méthodes de transmission, les formats de transport, les
mesures de sécurité utilisés pour garantir :
– L’Intégrité;
– La Disponibilité;
– L’Authentification;
– La Confidentialité.
Dans les transmissions à travers des réseaux et medias de communication :

– Privés;
– Publics.
82
√ Menaces à la sécurité des réseaux :

– Les attaques réseau s’appuient sur différents types de vulnérabilités :
Vulnérabilités des protocoles réseau
Vulnérabilités d’authentification
Vulnérabilités d’implémentation
Vulnérabilités de configuration
83
√ Menaces à la sécurité des réseaux :

– Les attaques réseau peuvent être directes ou indirectes :
 Attaque directe
Attaque directe
Cible
Attaquant
 Attaque indirecte
Attaquant Cible
Attaque Attaque
Système intermédiaire
84
√ Mesures de sécurité :
– Défense en profondeur;
– Filtrage par firewall;
– IPS/IDS;
– Antivirus;
– Filtrage web;
– Cloisonnement du réseau en zones de confiance;
– Contrôle d’accès;
– Utilisation de protocoles réseaux sécurisés (SSH, HTTPS, …);
– Chiffrement;
– Tunnel (VPNs,…);
– Haute disponibilité;
– Prévention de la fuite d’informations sensibles;
– Redondance de ressources (Alimentation, RAID,…);
– Monitoring;
– Durcissement des configurations;
– Patch Management;
85
– …
√ Audit de la sécurité de l’infrastructure réseau :

– Lors de l’audit de la sécurité de l’infrastructure réseau l’auditeur des SI doit :
 Revoir les diagrammes réseaux logiques, physiques (LAN, WLAN, WAN, MAN);
 Revoir les plans d’adressages IP;
 S’assurer que les politiques, standards, baselines, directives et procédures existent et ont été distribuées au
personnel et à l’administration du réseau;
 Identifier les personnes affectées à la sécurité opérationnelle du réseau et s’assurer qu’elles ont les
connaissances et les compétences requises;
 Déterminer si un processus de gestion des vulnérabilités systèmes et réseaux a été définie et implémenté
(identification et correction des vulnérabilités);
 Si l’infrastructure réseau est externalisée revoir le Plan d’Assurance Sécurité annexé au contrat afin de
s’assurer que des dispositions de sécurité pour garantir la disponibilité et la qualité du service existent;
 Vérifier que les procédures d’administration du réseau existent et sont à jour;
 Examiner le support de transmission utilisé dans le réseau LAN et vérifier qu’il est protégé contre les écoutes;
 Revoir la conception la conception des réseaux LAN et WAN afin de s’assurer qu’ils sont suffisamment
résilients pour garantir la continuité des activités en cas de perturbation;
 Effectuer des tests d’intrusion internes, externes.
86
Sécurité du développement logiciel
87
√ Introduction :
– La sécurité des systèmes d’information devient de plus en plus importante. En
effet :
 La plupart des attaques profitent d’une vulnérabilité dans un logiciel pour
porter atteinte à la sécurité du système d’information (DIC) et impacter
l’organisation :
– Accès non autorisé aux données;
– Altération des données et du logiciel;
– Indisponibilité des données et du logiciel.
 Plus la sécurité est introduite tardivement dans le cycle en « V » de
développement des applications plus elle sera complexe et coûteuse à
introduire pour l’entreprise.
88
√ Introduction : (suite)
– Cycle en « V » de développement des applications :
89
√ Menaces à la sécurité des logiciels :

– Les menaces aux logiciels durant la phase de conception, de développement et
d’exploitation incluent :
 Dépassement de la mémoire tampon (Buffer Overflow);
 Injection de code (SQL Injection);
 Cross-site scripting;
 Fuzzing;
 Codes malicieux : RAT, Cheval de Troie, Porte dérobée (Backdoor), Key
Logger, Virus, Bombe logique, Ver, …
90
√ Sécurité des logiciels :

– Pour sécuriser les logiciels on peut donc :
 Soit développer des dispositifs pour sécuriser l’environnement des
logiciels : pare-feu, authentification, IPS/IDS, antivirus, chiffrement,
durcissement et patch des systèmes d’exploitation, contrôles d’accès
physiques,… afin d’empêcher les attaquants d’exploiter les vulnérabilités
présentes dans les logiciels;
 Soit développer des logiciels qui intègrent les exigences de sécurité à partir
du stade initial (principe de Security By Design)et à toutes les phases du
cycle de vie d’une application (conception, programmation, test, évaluation)
et qui respectent les bonnes pratiques de développement logiciel.
91
√ Sécurité des logiciels : (suite)

– D’une façon générale la sécurité des logiciels ne peut être assurée qu’à travers
l’application de la Politique de Sécurité qui exprime non seulement les exigences
de sécurité globales de l’organisation mais aussi spécifiques à chaque composante
du système d’information (logiciels, données, systèmes, matériels, réseaux, locaux,
personnel);
– La sécurité des logiciels est un compromis avec les fonctionnalités des logiciels et
leur facilité d’utilisation :
92
√ Processus de développement des logiciels :

– Le cycle de vie de développement de l’application est une technique structurée de
gestion de projet qui améliore le contrôle des gestionnaires sur les projets en
divisant les tâches complexes en tâches maîtrisables;
– La segmentation des projets en phases permet aussi de pourvoir réviser
éventuellement les phases du projet avant l’affectation des ressources aux tâches
suivantes;
– Le nombre de tâches d’un projet est fonction des caractéristiques du projet et de la
méthodologie employée par les gestionnaires du projet.
93
√ Processus de développement des logiciels : (suite)

– Cependant un projet typique de développement d’application inclut les phases
suivantes :
1
 Initiation; Phase
7 d’initiation 2
 Planification; Phase
d’élimination
Phase de
planification
 Conception;
 Développement; 6
Phase de 3
maintenance Phase de
 Essai; conception
 Mise en œuvre;
5 4
 Maintenance; Phase de mise
en oeuvre
Phase de
développement
5
 Elimination Phase d’essai
94
√ Processus de développement des logiciels : (suite)

– Dans chaque phase les activités liées à la sécurité sont réalisées afin d’avoir
l’assurance que la sécurité est prise en compte au sein de l’application en
développement;
– L’intégration de la sécurité tôt dans le cycle de vie de développement de
l’application permet de baser toutes les décisions ultérieures sur les besoins de
l’organisation en matière de sécurité;
– La qualité d’une application dépend de la qualité des processus de développement
et de maintenance mis en oeuvre.
95
√ Processus de développement des logiciels :

– La mise en œuvre d’un processus de développement permet de :
 Produire des applications de qualité qui satisfont les exigences des clients;
 De respecter le budget alloué et l’échéancier.
– Avec le temps une succession de modèles de développement ont émergé :

 Modèle simpliste;
 Modèle en cascade;
 Modèle en spirale;
 Modèle de développement d’analyse conjointe (JAD : Joint Analysis
Development Model);
 Modèle de développement rapide (RAD : Rapid Application Development
Model);
 Modèle Agile;
 Modèle DevOps, Modèle DevSecOps;
 Modèle Orienté Objet.
96
Cryptographie
97
Cryptographie
√ Définition :
– Chiffrer un texte en clair c’est le transformer / le crypter en un texte sécurisé grâce un code;
– L’émetteur chiffre un texte et le destinataire doit le déchiffrer pour le comprendre;
– Le cryptage assure la confidentialité des données transmises (ou stockées);
– Le cryptage à lui seul n’assure pas l’intégrité et la non répudiation. Il doit être couplé avec
d’autres moyens.
√ Eléments clés des systèmes de cryptage :
– Algorithme de chiffrement : fonction de codage des données;
– Clé de chiffrement : information utilisée par l’algorithme de chiffrement;
– Plus la clé est longue, plus le chiffrement est puissant et plus difficile à casser;
– Cryptographie : art du chiffrement et du déchiffrement;
– Cryptanalyse : art consistant à casser les algorithmes de chiffrement pour démonter leurs
faiblesses:
– Cryptologie : Cryptographie + Cryptanalyse.
√ Différents systèmes cryptographiques : chiffrement symétrique,
chiffrement asymétrique, fonction de hashage.
98
Cryptographie
√ Chiffrement symétrique :
– Utilisation d’une même clé (clé secrète) pour l’émetteur et le récepteur;
– Exemples : DES , 3DES, AES, …
√ Chiffrement asymétrique : clé publique et clé privée :

– L’émetteur et le récepteur disposent chacun d’une bi-clé : une clé publique et une clé
privée reliées entre elles;
– L’émetteur chiffre avec la clé publique du destinataire et ce dernier déchiffre avec sa clé
privée;
– On parle de systèmes à clés publiques. Exemple : RSA.
99
Cryptographie
√ Algorithme de hachage (H) :

– H (M=message) = résumé ou condensé du message;
– Exemples d’algorithmes de hachage : MD2 , MD4 , MD5, SHA1, SHA2,
SHA3, …
√ Signature électronique assure :

– La non-répudiation : l’expéditeur ne peut nier avoir envoyer le message;
– L’intégrité des données : tout changement du message donnera deux condensés
– de messages différents;
– L’authentification : l’émetteur est le seul à avoir la clé privée;
– Signature électronique : chiffrement avec la clé privée du hash(message).
100
Cryptographie
√ Infrastructure à clés publiques (PKI) :

– Une PKI est composée d’un ensemble de serveurs, de logiciels et de procédures dédiés à la
gestion du cycle de vie des certificats X509 contenant des clés publiques;
– Une infrastructure à clés publiques fournit des garanties permettant de faire a priori
confiance à un certificat signé par une autorité de certification grâce à un ensemble de
services. Ces services sont les suivants :
 Enregistrement des utilisateurs (ou équipement informatique) ;
 Génération de certificats ;
 Renouvellement de certificats ;
 Révocation de certificats ;
 Publication de certificats ;
 Publication des listes de révocation (comprenant la liste des certificats révoqués) ;
 Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accèdent à
l'ICP) ;
 Archivage, séquestre et recouvrement des certificats (option).
101
Cryptographie
√ Infrastructure à clés publiques (PKI) :

– Certificat numérique X509 (« Digital Certificate ») :
 Un certificat numérique X509 appelé aussi certificat électronique est un fichier numérique au
format X509 établit par une autorité (Tiers) de confiance (Autorité de Certification) qui
établit de façon formelle la relation existante entre une clé publique et son propriétaire
(utilisateur, machine);
 Un certificat numérique X509 peut être vu comme une carte d’identité numérique. Il est utilisé
principalement pour identifier et authentifier une personne physique ou morale, mais aussi pour
chiffrer des échanges;
 Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité
numérique.
 Le standard le plus utilisé pour la création des certificats numériques est le X.509
 X.509 est une norme spécifiant les formats pour les certificats à clé publique, les listes de
révocation de certificat, les attributs de certificat, et un algorithme de validation du chemin de
certification, définie par l’Union Internationale des Télécommunications (UIT) .
102
Cryptographie
√ Composants de la PKI :
– Certificat X509 utilisateur :
 Produit par une entité fiable;
 Associe la clé publique à l’identité de l’utilisateur;
 Signé par une autorité de confiance (AC).
– Autorité de certification (AC) :
 Atteste de l’authenticité du propriétaire d’une clé publique.
– Autorité d’enregistrement (AE) :
 Vérifie et enregistre les demandes de certificats es utilisateurs.
– Liste de certificats révoqués (CRL) :
 Contient la liste identifiants des certificats révoqués.
103
Cryptographie
√ Protocoles cryptographiques :
– Utilisés lors de transactions par mail et par Internet pour garantir :
 La confidentialité et l’intégrité des données;
 La non-répudiation;
 L’authentification.
√ Exemples de protocoles :
– SSL/TLS : Protocole cryptographique pour les communications client-serveur :
Authentification du client par un certificat plus services de chiffrement et d’intégrité;
– HTTPS : permet la sécurisation des pages web pour le commerce électronique, la consultation
de sites bancaires,…c’est du HTTP sécurisé par SSL;
– SSH : Telnet sécurisé;
– S/MIME : Mail sécurisé;
– IPsec : Protocole de sécurité de niveau 3. Utilisé pour l’établissement de tunnels VPN lorsque
la communication passe à travers un réseau publique (Internet). S’appuie sur 3 protocoles : IKE,
AH et ESP :
 En fonction des besoins de sécurité, AH et ESP peuvent être mis en œuvre en deux modes :
– Mode transport : les données sont soient authentifiées, soit chiffrées (ESP)
– Mode Tunnel : données de l’entête IP et les données utiles sont chiffrées.
104
Informatique mobile, informatique pair-à-pair, messagerie
instantanée, medias sociaux
105
Informatique mobile, informatique pair-à-pair, messagerie instantanée, medias sociaux
√ Informatique mobile :
– L’informatique mobile se réfère aux appareils qui sont transportés ou déplacés dans le
cadre leur utilisation normale. Exemples : smartphones, tablettes, ordinateurs portables,
périphériques de stockage USB, appareils photo numériques, …
– En outre certaines entreprises encouragent les membres de leur personnel à utiliser
leurs propres appareils mobiles à des fins professionnelles ce qui ajoute un niveau de
complexité supplémentaire pour protéger ces appareils.
– Les mesures de sécurité suivantes peuvent réduire le risque de divulgation des données
sensibles stockées sur ces appareils mobiles. Cependant beaucoup d’entre peuvent être
protégés par des solutions de gestion de terminaux mobiles (MDM : Mobile Device
Management) et des conteneurs sécurisés (espace chiffré et authentifiés dans l’appareil
mobile personnel et d’entreprise utilisé pour séparer les données sensibles des données
personnelles) :
 Enregistrement des appareils;
 Répérage;
 Sécurité physique;
 Stockage des données;
 Détection et contrôle antivirus;
 Chiffrement;
 Conformité;
106
√ Informatique mobile : (suite)

– Les mesures de sécurité suivantes peuvent réduire le risque de divulgation des données
sensibles stockées sur ces appareils mobiles. Cependant beaucoup d’entre peuvent être
protégés par des solutions de gestion de terminaux mobiles (MDM : Mobile Device
Management) et des conteneurs sécurisés (espace chiffré et authentifiés dans l’appareil
mobile personnel et d’entreprise utilisé pour séparer les données sensibles des données
personnelles) :
 Approbation;
 Politique d’utilisation acceptable;
 Authentification, autorisation et imputabilité sur le réseau;
 Transmission sécurisée;
 Repérage par géolocalisation;
 Effacement et verrouillage à distance;
 Assistance à distance.
107
√ Informatique pair-à-pair :
– Les réseaux pair-à-pair sont utilisés presque exclusivement pour le partage de fichiers;
– En informatique pair-à-pair l’utilisateur ne se branche pas à un serveur en particulier.
En général la connexion est établie entre deux pairs;
– Avant d’autoriser le pair-à-pair les entreprises doivent évaluer les risques par rapport
aux avantages. Les risques liés à cette technologie sont les fuites d’informations, le vol
d’information, la perte de productivité, les sanctions légales et réglementaires,
problèmes de licences, l’atteinte à l’image de marque,… résultant de menaces suivantes
: introduction de codes malveillants, introduction de contenus protégés sur le réseau de
l’entreprise, utilisation excessive du pair-à-pair sur le lieu de travail,…
– Les mesures de sécurité que les entreprises peuvent implémenter afin de prévenir ces
risques sont à la fois organisationnelles et techniques : élaborer des politiques et des
normes, former et sensibiliser les utilisateurs, limiter ou bloquer l’utilisation du pair-à-
pair, déployer des solutions antivirus, empêcher l’installation de clients pair-à-pair,…
108
√ Messagerie instantanée :
– La messagerie instantanée est un outil collaboratif permettant à un utilisateur de
communiquer en temps réel par un réseau via Internet, c’est-à-dire de discuter et
d’obtenir des réponses rapides plutôt que d’échanger un grand nombre d’e-mails. Les
risques associés à cette technologie sont les fuites d’informations, le vol d’information,
la perte de productivité,… résultant de menaces suivantes : introduction de codes
malveillants, écoute illégale, utilisation excessive de la messagerie instantanée sur le
lieu de travail,…
normes, former et sensibiliser les utilisateurs, limiter ou bloquer l’utilisation de la
messagerie instantanée, déployer des solutions antivirus, chiffrer le trafic,…
109
√ Medias sociaux :
– La technologie des medias sociaux permet de diffuser des contenus par les réseaux
sociaux à l’aie d’Internet.;
– Les medias sociaux diffèrent des medias traditionnels par le niveau d’interaction entre
les utilisateurs et il existe de nombreux medias sociaux : Youtube, Facebook, Twitter,
LinkedIn,…
– Les entreprises utilisent les medias sociaux pour accroitre la reconnaissance de la
marque, les ventes, la satisfaction des clients. Cependant il existe des risques associés à
leur utilisation. Les risques liés à cette technologie sont les fuites d’informations, le vol
d’information, la perte de productivité, les sanctions légales et réglementaires, l’atteinte
à l’image de marque,… résultant de menaces suivantes : introduction de codes
malveillants, l’exposition de l’entreprise et de ses clients, le phishing ciblant les clients
ou les employés, …
normes, former et sensibiliser les utilisateurs, utiliser la technologie de filtrage de
contenu pour bloquer ou limiter l’accès à des sites de medias sociaux, déployer des
solutions antivirus, surveiller l’utilisation de la marque,…
110
Informatique dans le cloud et virtualisation
111
√ Informatique dans le cloud :

– Pour des raisons diverses (économie, recentrage sur les activités cœur de métier,
sécurité, continuité d’activité,…) les entreprises ont tendance à externaliser dans le
cloud tout ou partie de leurs systèmes d’information. Les principaux modèles services
cloud sont l’IaaS, le PaaS, le Saas. Ils peuvent être déployés selon les modèles
suivants : Cloud public, Cloud privé, Cloud hybride, Cloud communautaire;
– Avant de recourir à l’externalisation de leurs activités les entreprises doivent identifier,
évaluer les risques et les traiter de façon à les réduire à des niveaux résiduels
acceptables. Pour les entreprises les risques liés au recours au cloud sont
essentiellement les risques liés à la mutualisation de leurs avec celles des autres clients
du fournisseur de services cloud, la perte de contrôle de leurs activités, la défaillance
du fournisseur de services coud, les sanctions légales et réglementaires, l’atteinte à leur
image de marque,…
risques sont à la fois organisationnelles et techniques : élaborer des politiques,
contractualiser la responsabilité du fournisseur de services en annexant au contrat une
annexe sécurité (Plan d’Assurance Sécurité) et en incluant dans le corps du contrat une
clause d’audit, une clause de confidentialité et une clause de réversibilité, piloter la
relation avec chaque fournisseur, demander au fournisseur de fournir une preuve de son
niveau de sécurité (certification ISO,…), réaliser périodiquement des audits sécurité du
fournisseur, … 112
√ Informatique dans le cloud : (suite)

* Il existe trois grands modèles de services cloud :
– Infrastructure-as-a-Service (IaaS)
 Les modèles IaaS fournissent aux clients des ressources informatiques basiques. Cela
inclut des serveurs, du stockage, des hyperviseurs et dans certains cas du réseau. Les
clients installent, maintiennent et exploitent les systèmes d’exploitation et les
applications. Les fournisseurs de services cloud sont responsables de la maintenance de
l’infrastructure;
– Platform-as-a-Service (PaaS)
 Les modèles PaaS fournissent aux clients une plateforme de développement comprenant
des matériels, des logiciels et des applications choisis parmi une liste fournie par le
fournisseurs de services. Le fournisseur de services est responsable de la maintenance de
la plateforme et de l’infrastructure;
– Software-as-a-Service (SaaS)
 Les modèles SaaS fournissent des applications totalement fonctionnelles accessibles
avec navigateur web. Exemples : Gmail de Google, Salesforce, SAP, Oracle, Adobe,….
Le fournisseur de services est responsable de la maintenance des applications et de toute
l’infrastructure. 113
√ Informatique dans le cloud : (suite)

* Pour ces trois modèles de services cloud quatre modes de déploiement sont
possibles :
– Cloud public : les ressources cloud sont mutualisées entre plusieurs organisations;
– Cloud privé : les ressources cloud sont dédiées à une organisation;
– Cloud hybride : mixte entre le cloud public et le cloud privé;
– Cloud communautaire : est un effort collaboratif dans lequel une infrastructure est
partagée entre plusieurs organisations appartenant à communauté spécifique et ayant
des préoccupations communes (sécurité, conformité, …). Exemple : le cloud
communautaire « Transactions de paiement » entre la SOCGEN et LBP en France.
114
√ Virtualisation
Le besoin de plus évolutivité, de souplesse et de rationalisation des coûts
ont entrainé le développement du recours à des systèmes virtualisés dans les
Data Centers et à leur utilisation par des fournisseurs de services cloud;
La virtualisation consiste à utiliser des techniques pour créer une abstraction
de matériels physiques.
√ Hyperviseur
Un hyperviseur est une plateforme de virtualisation permettant de faire
fonctionner en même temps plusieurs Systèmes d’Exploitation sur une même
machine physique.
115
√ Les composants d’un environnement de traitement virtualisé sont :
1 – Le serveur ou tout autre produit matériel : la machine Hôte;
2 – L’hyperviseur de virtualisation;
3 - La machine « Invité » pouvant être un OS, un switch, un routeur, un

firewall, …) résidant sur la machine Hôte sur laquelle un hyperviseur a
été installé.
116
√ Deux méthodes existent pour déployer un environnement de

traitement virtualisé
1 – Bare metal ou virtualisation native (Type 1) : se produit quand l’hyperviseur est
installé directement sur l’équipement hardware sans OS Hôte;
Exemples : ESX Server de VmWare, Hyper-V de Microsoft,…
2 – Hosted virtualisation (Type 2) : se produit quand l’hyperviseur s’exécute au
sommet de l’OS Hôte (Linux, Windows, MacOs);
Exemples : VmWare Server et VmWare Workstation, Hyper-V et Virtual PC de
Microsoft, VirtualBox d’Oracle,…
117
√ Liste de risques élevés représentatifs de la majorité des

systèmes virtualisés
1 – Rootkits s’installant eux-mêmes comme hyperviseurs sous l’OS rendant possible
l’interception des requêtes de l’OS invité (login, password,…). L’antivirus peut ne
pas détecter cela car il est installé sous l’OS;
2 – Configuration par défaut ou mauvaise configuration de l’hyperviseur concernant
l’isolation des ressources (CPU, mémoire, espace disque, stockage). Cela peut
conduire à des accès non autorisés aux ressources : un OS Invité pourrait injecter un
malware dans la mémoire d’un autre OS Invité ou de l’OS Hôte.
3 – Contraitrement aux installations « Bare Metal » les produits « Hosted
Virtualization » ont rarement le contrôle de l’accès à l’hyperviseur. Donc quiconque
peut lancer une application sur l’OS Hôte peut exécuter l’hyperviseur.
4 – Les snpashots/images des environnements Invités contiennent des informations
sensibles (comme des passwords, données personnelles, des données présentes en
RAM au moment ou le snpashot a été fait) comme un disque dur physique.
118
√ Mesures de sécurité types

1 – Les hyperviseurs et les images des OS Invités doivent être configurés en
appliquant les bonnes pratiques de sécurité : appliquer le durcissement des
composants virtuels comme pour les dispositifs physiques : serveur, switch, routeur,
firewall, …
2 – Les communications de management de l’hyperviseur doivent être protégées
par un réseau de management dédié;
3 – L’hyperviseur doit être patché chaque fois qu’un vendeur publie un correctif;
4 – L’infrastructure virtualisée doit être synchronisée avec un serveur de temps de
confiance;
5 – Les matériels physiques non utilisés doivent être déconnectés du système Hôte;
119
√ Mesures de sécurité types

6 – Tous les services hyperviseur comme le clipboard, le partage de fichiers entre
l’OS Hôte et l’OS Invité doivent être désactivés à moins que cela soit nécessaire;
7 – Les capacités d’inspection de OS Hôte doivent être activées pour pouvoir
monitorer la sécurité de chaque OS Invité. Les services de sécurité de
l’hyperviseur peuvent permettre le monitoring de sécurit même si l’OS Invité est
compromis;
8 – Les capacités d’inspection de OS Hôte doivent être activées pour pouvoir
monitorer la sécurité de l’activité s’établissant entre les OS Invités;
9 – Le monitoring de l’intégrité des fichiers doit être utilisé pour détecter les
signes de compromission.
120
Fuite de données
√ Fuite de données :
– Fondamentalement la fuite de données implique le transfert non autorisé
d’informations sensibles ou propriétaires d’un réseau interne vers le monde extérieur.
– Malgré les contrôles communs de prévention des fuites de données comme
l’identification des actifs, leur classification et la définition et la mise en oeuvre de
règles de manipulation; les entreprises subissent encore des fuites d’informations
sensibles.
risques sont à la fois organisationnelles et techniques : élaborer des politiques de
classification et de manipulation des actifs, acquérir des solutions techniques de
prévention des fuites de données (DLP : Data Leak Prevention) adressant les données
au Repos, en Transit et sur les EndPoints, former et sensibiliser les utilisateurs, …
121
Risques et mesures de sécurité associés à la sécurité de
l’informatique de l’utilisateur final
122
Risques et mesures de sécurité associés à la sécurité de
l’informatique de l’utilisateur final
√ Risques et mesures de sécurité associés à la sécurité de l’utilisateur final :

– Les principaux risques liés à l’informatique de l’utilisateur final résultent d’une
absence ou d’une défaillance dans les mécanismes suivants :
 Authentification;
 Autorisation;
 Imputabilité des accès;
 Chiffrement.
– L’Auditeur doit s’assurer de l’existence de politiques, procédures relatives à
l’informatique de l’utilisateur final : inventaire et criticité des applications,
classification des données, contrôle d’accès approprié, logging des accès, chiffrement,
…
123
Partie B
Gestion des évènements de sécurité
124
Formation et sensibilisation
125
Formation et sensibilisation
 Les utilisateurs sont le « maillon faible » de la sécurité du système

d’information. Afin d’adresser la menace « erreur » à laquelle les utilisateurs
peuvent être exposée l’élaboration et la mise en œuvre d’un programme de
sensibilisation et formation permettra de réduire/d’éliminer leurs
vulnérabilités : absence de connaissances, de compétences, comportements
inappropriés, …
 La sensibilisation et la formation sont souvent confondues mais elles ont des
objectifs différents en réalité. La sensibilisation vise à changer le
comportement de l’utilisateur. Par exemple rappeler aux utilisateurs de ne
pas partager leurs comptes ou écrire leurs mots de passe,…La formation a
pour but de lui apporter un ensemble de connaissances et de compétences.
Par exemple former les personnes de l’équipe Help Desk à ouvrir, modifier et
fermer un ticket ou former les ingénieurs réseaux à configurer un routeur,…
126
Méthodes et techniques d’attaque de système d’information
127
√ Les risques naissent des vulnérabilités et les méthodes d’attaque exploitent

ces vulnérabilités et peuvent avoir une origine interne ou externe.
 Comprendre les méthodes, les techniques et les exploits aide l’auditeur des
systèmes d’information à comprendre le contexte de l’organisation et les
risques auxquels elle est exposée.
128
√ Facteurs de risque de fraude

Trois éléments clés constituent le triangle de la fraude :
* La motivation du fraudeur : financière,…
* L’opportunité : méthode par laquelle le crime est commis, …
* La justification de crime : aider ma famille, mon employeur me traite mal, …
129
√ Problèmes et expositions aux crimes informatiques

Les ordinateurs sont utilisés de manière frauduleuse : obtenir de l’argent, voler des
données, …
Les actes criminels engendrent de nombreuses dommageables sur les entreprises :
perte financière, atteinte à l’image de marge, non-conformité légale, réglementaire, et
contractuelles, impact opérationnel, …
Les sources de risques informatiques sont souvent les mêmes que celles qui exploitent
des expositions physiques : hackers, scripts kiddies, employés, anciens employés,
pays, organisations criminelles, le personnel intérimaire, les tierce-parties : vendeurs,
visiteurs, consultants,…
130
 Menaces et sécurité d’Internet

Attaques actives : brute force, déni de service, phishing, e-mail spoofing,…
Attaques passives : écoute du trafic réseau,
Malware
Virus, vers, bombes logiques, chevaux de troie, rootkits, APT, hoaxes, pranks,
O-Day exploits, …
131
Outils et techniques de test
132
L’auditeur des systèmes d’information peuvent mettre en oeuvre différentes

techniques pour tester la sécurité.
√ Techniques de test des mesures de sécurité courantes

* Constituer un échantillon de cartes de terminaux et de tenter des accès non
autorisés;
* Identifier les terminaux par revue de leur inventaire;
* Tenter un accès à partir d’un échantillon de Ids de logons des employés en
devinant leurs mots de passe;
* Vérifier avec les propriétaires des ressources IT que les droits d’accès ont été
donnés en respectant le principe du besoin-d’en-connaître;
* Tenter un accès non autorisé à un système et vérifier qu’il a été enregistré dans
les logs et reporté;
* Tenter de bypasser, désactiver les mesures de sécurité existantes, …
133
√ Test d’intrusion réseau

Test d’intrusion interne, externe, en boite noire, en boite blanche, …
Phases d’un test d’intrusion :
134
√ Threat intelligence
La Threat Intelligence (ou Cyber Threat Intelligence) est une discipline basée sur des
techniques du renseignement, qui a pour but la collecte et l'organisation de toutes les
informations liées aux menaces du cyber-espace afin de dresser un portrait des attaquants
ou de mettre en exergue des tendances (secteurs d'activités touchés, méthodes utilisées,
etc). Ce profilage de la menace permet de mieux se défendre et d'anticiper au mieux les
différents incidents en permettant une détection aux prémices d'une attaque d'envergure.
Les moyens de collecte des informations sont divers :
* Renseignements Open Source (exemple : site OSINT);
* Flux de données commerciaux et communautaires;
* Média sociaux;
* Renseignements d'origine humaine et capacité d'analyse et de corrélation;
* Informations provenant du Deep et Dark web :
Le Deep web désigne la partie non indexée des pages du web. Le Dark web est une partie
du Deep web qui permet aux utilisateurs de naviguer anonymement via le réseau TOR ou
une chaine de Proxies par exemple.
135
Outils et techniques de monitoring de la sécurité
136
√ Systèmes de détection d’intrusion

N-IDS (Network-Intrusion Detection System) et H-IDS(Host-Intrusion Detection
System)
√ Systèmes de prévention d’intrusion (Host ou Network)

N-IPS (Network-Intrusion Prevention System) et H-IPS (Host-Intrusion Prevention
System)
Les HIPS/IDS : analysent les informations contenues dans les logs des hôtes pour
prévenir ou détecter d’éventuelles actions suspectes.
Les NIDS/IPS : collectent et analysent des flux réseaux pour prévenir et détecter
d’éventuelles attaques en utilisant une base de signatures d’attaques et en effectuant
une analyse comportementale.
137
√ Systèmes SIEM (Security Information & Event Management)

Les IDS ont été longtemps la première mesure de sécurité détective utilisée par les
organisations. Bien que l’importance des IDS n’a pas faibli, les organisations apprécient
beaucoup que d’autres sources de données puissent fournir des informations pertinentes;
Le SIEM est le premier outil utilisé pour faciliter la centralisation, la surveillance des
journaux de sécurité et la corrélation d’évènements venant de sources disparates. Le but de la
corrélation est de mieux comprendre le contexte afin d’arriver à une plus grande
compréhension du risque au sein de l’organisation dû aux activités constatées par les
différentes plateformes de sécurité. Exemples de solutions SIEM : Splunk, Snort, IBM
QRadar, Ossec,… et de détecter très tôt les attaques;
Bien que certains SIEMs sont livrés avec des alertes pré - configurées qui recherchent des
données corrélées particulières; il est possible de créer des règles de corrélation customisées
afin d’augmenter leurs performances.
138
√ Systèmes SIEM (Security Information & Event Management) (suite)

Caractéristiques des systèmes SIEM :
139
√ Systèmes SIEM (Security Information & Event Management) (suite)

Architecture de principe d’un système SIEM :
140
Gestion des incidents de sécurité
141
√ Les objectifs de la gestion des incidents de sécurité sont de :
– Assurer que les incidents de sécurité sont enregistrés, résolus et qu’un reporting
adéquat est mis en place (ITIL);
– Etablir une capacité formelle de réponse à un incident;
– Minimiser les dommages causés par les incidents reliés à la sécurité;
– Récupérer et apprendre des incidents de sécurité.
142
√ Un évènement est un fait qui n’impacte aucune propriété de sécurité de l’actif

(Exemple : Alerte suite à la détection d’un scan de port par un IPS).
√ Un incident de sécurité est un évènement qui porte atteinte à une ou plusieurs
propriétés de sécurité (D, I, C) et qui impacte négativement l’organisation :
impacts financiers, de réputation, légaux et réglementaires, opérationnels, …;
Un incident de sécurité est l’expression du risque résiduel;
Un incident de sécurité récurrent (dont la cause n’a pas encore été identifiée) est
appelé problème.
√ La réponse à un incident de sécurité doit être centralisée et coordonnée :

– Mettre en place des rôles et des responsabilités clés (coordinateur, une équipe qui gère les
incidents , des experts ,…);
– Affecter les moyens de réponse aux incidents (procédures, outils);
– Former et sensibiliser le personnel à la nécessité de signaler tout type d’incident (une
faiblesse , une menace, un dysfonctionnement, une personne louche,…);
– Informer le personnel sur les menaces récentes et leur modes opératoires.
143
√ Les menaces à la sécurité des actifs à la sécurité des actifs informationnels peuvent
être :
– Accidentelles (pannes, incendie, séïsme,…);
– Erreurs (inattention, incompétence,…;
– Malveillances (intentionnelles d’origine interne ou externe):
 Divulgation d’informations confidentielles;
 Déni de service;
 Sabotage;
 Infection virale;
 Ramsonware,…
144
Investigations forensiques informatiques
145
 Les investigations forensiques informatiques sont étroitement liées à la gestion

d’incidents de sécurité mais à la différence du processus de gestion des incidents de
sécurité dédié à l’identification, au confinement et au traitement des incidents de
sécurité, le processus d’investigation forensique informatique (Digital Forensics) est
axé sur la recherche de preuves en rapport avec des crimes ou cybercrimes
informatiques commis. En effet, les investigations forensiques informatiques sont une
branche la science forensique qui utilise des connaissances scientifiques pour collecter,
analyser, documenter des preuves numériques liées à un crime ou à cybercrime
informatique pour les utiliser devant un tribunal. Le but final est de comprendre ce qui
s’est passé, quand cela s’est passé et qui l’a fait;
 L’expression Digital Forensics est très largement utilisée comme synonyme
d’investigations informatiques mais elle doit couvrir tous les équipements susceptibles
de stocker ou de transmettre des données numériques comme des ordinateurs, des
équipements réseau, des tablettes, des téléphones cellulaires, des caméras numériques,
des IOT, des supports amovibles (CDs, DVDs, SDs Cards, disques USB, bandes de
backup, disques externes…).
 Une preuve comprend tout ce qui est présenté devant les tribunaux pour prouver la
véracité ou la fausseté d’un fait ou d’une question.
146
 Chaine de possession (Chain of Custody)

 La chaine de possession est une partie intégrante du processus d’investigation
forensique informatique. Son but ultime est de garantir l’intégrité de la preuve depuis sa
collecte jusqu’à sa présentation devant un tribunal afin qu’elle puisse être recevable;
La chaîne de possession, dans les contextes juridiques, est la documentation
chronologique ou la trace écrite qui enregistre la séquence de la garde, du contrôle, du
transfert, de l'analyse et de la disposition des preuves physiques ou numériques;
 Une chaîne de possession démontre :
* Comment la preuve a-t-elle été découverte;
* Qui a obtenu la preuve;
* Où et quand a-t-elle été obtenue ?;
* Comment la preuve a-t-elle été analysée ?;
* Comment la preuve a-t-elle été préservée ?;
* Qui avait le contrôle ou qui était en possession de la preuve ?;
* Quelle était la preuve ?.
147
 Le processus Digital Forensics doit préserver la « scène de crime » et les preuves afin
d’éviter l’altération non intentionnelle soit des données soit de l’environnement des données.
Principe de Locard : « In forensics science, Locard's principle holds that the perpetrator of a
crime will bring something into the crime scene and leave with something from it, and that
both can be used as forensics evidence”. Le Dr. Edmond Locard (1877–1966), pionnier de la
science forensics, est connu sous le nom du Sherlock Holmes de Lyon;
Il y a de nombreuses directives encadrant les investigations forensiques informatiques :
Guide to Integrating Forensic Techniques into Incident Response du NIST Forensic
Examination of Digital Evidence : A Guide for Law Enforcement de l’US Departement Of
Justice, Standards and Principles de l’International Organization of Computer Evidence
(IOCE), Standards and Principles du Scientific Working Group on Digital Evidence
(SWGDE), ACPO Good Practice Guide for Digital Evidence de l’Association of Chief
Police Officers (ACPO).
148
 Toutes les directives décomposent le processus d’investigation forensique informatique en plusieurs

phases (cf processus de Edmond Locard) :
* Phase 1 - Identification des preuves
* Phase 2 – Saisie et acquisition des preuves
* Phase 3 – Préservation des preuves
* Phase 4 - Examen et analyse des preuves
* Phase 5 – Rédaction du rapport d’investigation
* Phase 6 - Présentation des preuves
 Les investigations forensiques peuvent être catégorisées en fonction de la source de collecte des
données numériques :
* Mémoire vive : RAM;
* Mémoire de stockage secondaires fixes ou amovibles : DDs, CDs, DVDs, Clés USBs, Tapes;
* Equipements amovibles : téléphones cellulaires, tablettes, IOTs, caméras numériques,,…;
* Bases de données;
* Logiciels;
* Réseau.
149
 Plusieurs outils matériels et logiciels peuvent être utilisés par les investigateurs
forensiques en support au processus d’investigation forensique :
* Write Blockers;
* Media Sterilization Systems;
* EnCase software :
* Outil de référence.
* Forensics Tool Kit (FTK);
* AutoPSY Software, …
150
Sources
 CISA Review Manual 27th Edition
 Norme ISO/CEI 19011 : 2018
 Norme ISO/CEI 27002 : 2022
 Norme ISO/CEI 27005 : 2022
 Norme ISO/CEI 22301 : 2012
151
Merci pour votre attention
E-Mail : nlabani@nl-consulting.fr
Mobile : + 33 6 25 57 58 14
152
153

CISA Slides Domaine 5

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CISA Slides Domaine 5

Transféré par

Droits d'auteur :

Formats disponibles

Domaine 5

La Protection des actifs informationnels

√ Recommandations, standards et frameworks de sécurité des actifs informationnels

 Le candidat à CISA doit :

 connaitre les technologies utilisées et les faiblesses possibles des contrôles

 connaitre les composants de la sécurité des réseaux , les problèmes d’accès

 Vie privée ou protection des données personnelles

Le RGPD (Règlement Général sur la Protection des Données)

 Principes de protection des données personnelles du RGPD :

 Principes de protection des données personnelles du RGPD : (suite)

 L'évolution des menaces est liée à la transformation des systèmes

 Exposition à la malveillance (menaces d’origine humaine et

√ Exposition aux erreurs (menaces d’origine humaine et non intentionnelles) :

√ Quatre profils sont généralement définis :

√ Quatre sources de risques :

√ Une activité profitable :

 La sécurité de l’information est tout ce qui concerne la protection des actifs

 Le risque est la mesure de la menace à ces actifs

 Le risque management guide la sélection des mesures de sécurité

 Les mesures de sécurité adressent les niveaux de risque

Propriété de l’information ou d’un système qui garantit qu’ils seront toujours

√ Gouvernance de la sécurité de l’information :

√ Management de la sécurité de l’information :

√ Le processus de management des risques de sécurité de l’information est

√ Processus de management des risques de sécurité de l’information

√ Concepts fondamentaux du risque :

√ Concepts fondamentaux du risque :

√ Concepts fondamentaux du risque :

 Pénalités : responsabilité civile, pénale;

√ Concepts fondamentaux du risque :

RISQUE = MENACE * VULNERABILITES

Niveau de Risque = Probabilité d’Occurrence de la Menace * Impact

√ Concepts fondamentaux du risque :

√ Concepts fondamentaux du risque :

√ Concepts fondamentaux du risque :

Risque Résiduel = Risque Estimé – Efficacité des mesures de

√ Relations entre les concepts fondamentaux du risque :

√ Eléments clés du management de la sécurité du système d’information :

√ Eléments clés du management de la sécurité du système d’information :

√ Eléments clés du management de la sécurité du système d’information :

√ Audit du cadre de management de la sécurité de l’information :

 La mise en œuvre du plan de formation et de sensibilisation des

utilisateurs à la sécurité de l’information;

 Responsabilités des Custodians;

 La communication de la Charte informatique aux nouveaux utilisateurs

 Audit du cadre de management de la sécurité de l’information (suite)

 Audit de l’accès logique

l’information de l’entreprise (revue de la documentation et des résultats

 Evaluer l’environnement de sécurité (comparer les pratiques observées

aux normes de sécurité et à celles utilisées par d’autres entreprises).

 Utilisation de techniques pour tester la sécurité de l’information

plus d’informations que ce qui est autorisé;

l’inventaire et qu’ils sont identifiés;

 Tenter d’accéder aux transactions informatiques et aux données pour

lesquelles il n’est pas autoriser. Les tentatives doivent être infructueuses

 Utilisation de techniques d’enquête

La première étape dans la classification des actifs et dans l’établissement du niveau de

 Une identification claire et distincte de l’actif;

√ L’objectif est d’assigner un niveau de sensibilité et de maintenir le niveau de protection

 Information publique (brochures)

√ Les procédures de classification des informations doivent être définies et couvrir la

√ Les procédures de classification sont une mesure de contrôle pour :

√ Plus de 35% des incidents de sécurité proviennent de l’intérieur de l’entreprise et