Académique Documents
Professionnel Documents
Culture Documents
CISA Slides Domaine 5
CISA Slides Domaine 5
1
Agenda
√ Formation et sensibilisation
√ Méthodes et techniques d’attaque
√ Outils et techniques de test
√ Gestion des incidents de sécurité
√ Investigations forensiques informatiques
3
Objectif
savoir qu’il faut un entretien adéquat des systèmes (SE et logiciels) : enlever les
services non utilisés et fermer les ports superflus et corriger les vulnérabilités.
4
Partie A
Sécurité des actifs informationnels et mesures de sécurité
5
Recommandations, standards et frameworks de sécurité
des actifs informationnels
6
Recommandations, standards et frameworks de sécurité
des actifs informationnels
Beaucoup d’industries ont des standards qui peuvent être utilisés pour
comparer la sécurité au sein d’un secteur. Le standard PCI-DSSS est un
standard utilisé par toutes organisations qui collectent, stockent, traitent et
transfèrent les données de titulaires de cartes de crédit. La conformité à ce
standard n’est pas requise par la loi.
De nombreux standards existent dans le domaine de la santé, des finances,
de l’audit, des télécommunications, de l’énergie, … nécessitant souvent une
mise en conformité. Pour établir la conformité à tel ou tel standard, les
frameworks décrivent comment les organisations peuvent établir leur
conformité.
7
Protection de la vie privée
8
Protection de la vie privée
L’OCDE
En 1980 l’OCDE a publié ses « Privacy Guidelines » revu en 2013. Depuis beaucoup de pays ont
développé leurs propres principes et législations basés sur les 8 principes de base de la Privacy de
l’OCDE :
Limitation de la collecte : les principes de licéïté, loyauté et transparence doivent être appliqués à
la collecte et au traitement des données personnelles;
Qualité des données : il doit exister une proportionnalité entre les données personnelles collectées
et la finalité du traitement;
Finalité du traitement : l’objet du traitement doit être spécifié à la collecte des données
personnelles;
Utilisation limitée : l’utilisation des données personnelles doit être limitée à l’objet du traitement
sauf consentement de la personne physique ou d’une autorité légale;
Mesures de sécurité : des mesures organisationnelles et techniques doivent être mises en place;
Principe d’ouverture : une politique de sécurité des données personnelles doit exister et être
accessible publiquement aux personnes physiques;
Participation individuelle : la personne physique doit avoir le droit d’obtenir du responsable de
traitement la confirmation qu’il détient bien des données le concernant et que ces dernières lui
soient communiquées dans un délai raisonnable, à un coût non excessif et sous un format
exploitable.
Responsabilité : le responsable du traitement est responsable de l’application des principes
10
ci-
dessus par la mise en œuvre appropriées.
Protection de la vie privée
Les Etats-Unis
De multiples lois fédérales ou spécifiques à un Etat tentent de définir des droits
relatifs à la protection de la Privacy :
* Consumer Data Privacy, Medical and Educational Records;
* US Privacy Act (1974), Consumer Privacy Bill of Rights 2012, California
Consumer Privacy Act (CCPA 2018) closer to GDPR,
* Des propriétaires de données privées peuvent aussi établir des politiques
d’utilisation des données personnelles.
11
Protection de la vie privée
L’Union européenne
Traditionnellement l’Union Européenne accorde une plus grande importance à la
protection des données à caractère personnel que les autres pays. La réglementation est
basée sur les Guidelines de l’OCDE sur la protection des données personnelles (publiées
en 1980 et revues en 2013), le World Intellectual Property Organization’s (WIPO)
Tribunal, la Directive 95/46/CE sur la protection des données personnelles (1995), la
Directive 2002/58/CE sur la protection de la vie privée dans le secteur des communications
électroniques vise à protéger de façon spécifique la vie privée sur Internet (modifiée en
2009), le Règlement Général sur la Protection des Données (2018).
15
Sécurité du Système d’Information
16
Sécurité du Système d’Information
18
Gouvernance et Management de la
Sécurité du Système d’Information
19
Gouvernance et Management de la
Sécurité du Système d’Information
√ Introduction :
Les actifs sont tous les biens de l’organisation qui ont de la valeur et qui
méritent donc d’être protégés : biens primaires : processus métiers,
informations et tous les biens qui les supportent : matériels, logiciels, réseaux,
personnel, locaux, organisation
20
Gouvernance et Management de la
Sécurité du Système d’Information
√ Introduction :
Concepts de Confidentialité, Intégrité et Disponibilité (Triade de la Sécurité)
– Les objectifs de la sécurité sont contenus dans la triade de sécurité qui est le
nom donné aux trois principes essentiels de sécurité : Disponibilité, Intégrité,
Confidentialité.
Disponibilité
√ Introduction :
Autres concepts de sécurité :
– En plus de la triade de sécurité on peut considérer une pléthore de concepts et
de principes de sécurité quand il s’agit de concevoir une politique de sécurité et
de déployer une solution de sécurité : Identification, Authentification,
Autorisation, Traçabilité, Imputabilité, Non-répudiation.
22
Gouvernance et Management de la
Sécurité du Système d’Information
24
Gouvernance et Management de la
Sécurité du Système d’Information
25
Gouvernance et Management de la
Sécurité du Système d’Information
26
Gouvernance et Management de la
Sécurité du Système d’Information
27
Gouvernance et Management de la
Sécurité du Système d’Information
28
Gouvernance et Management de la
Sécurité du Système d’Information
Perte financière;
Perte de productivité;
…
29
Gouvernance et Management de la
Sécurité du Système d’Information
Equation du risque ?
30
Gouvernance et Management de la
Sécurité du Système d’Information
31
Gouvernance et Management de la
Sécurité du Système d’Information
32
Gouvernance et Management de la
Sécurité du Système d’Information
33
Gouvernance et Management de la
Sécurité du Système d’Information
34
Gouvernance et Management de la
Sécurité du Système d’Information
√ Modèle du risque :
35
Gouvernance et Management de la
Sécurité du Système d’Information
36
Gouvernance et Management de la
Sécurité du Système d’Information
Organisation :
– Distribution des rôles et responsabilités au sein de l’organisation et en
informer tout le personnel;
– La sécurité est une responsabilité partagée par tous les membres de
l’équipe de direction.
Sensibilisation à la sécurité et formation :
– Employés nouveaux employés et utilisateurs des tierces parties;
– Formations, certifications, exercices et simulations, publications,
déclarations signées, audits, renforcement de règles,…
37
Gouvernance et Management de la
Sécurité du Système d’Information
38
Gouvernance et Management de la
Sécurité du Système d’Information
de l’IT;
Respect des règles d’autorisation d’accès écrites des utilisateurs aux
données; 39
Gouvernance et Management de la
Sécurité du Système d’Information
Règles d’accès aux données, aux applications, aux systèmes, aux locaux.
d’accès logique;
Tester les mesures de contrôle d’accès logique;
d’infractions rapportées;
Vérifier l’application des règles relatives aux mots de passe,
…
41
Gouvernance et Management de la
Sécurité du Système d’Information
42
Inventaire et classification des actifs
43
Inventaire et classification des actifs
√ Le contrôle efficace exige un inventaire détaillé des actifs informationnels. Une telle
liste constitue la première étape dans la classification des actifs et dans l’établissement du
niveau de protection devant être fourni à chaque actif.
44
Inventaire et classification des actifs
Tout élément d’actif important doit être répertorié et alloué à un responsable nominatif;
L’information doit être classifiée en fonction du besoin de sécurité (en DIC).
√ Classification de l’actif :
45
Inventaire et classification des actifs
46
Sécurité du personnel et des tiers
47
Sécurité du personnel et des tiers
√ L’objectif est de :
– Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de traitement;
– Assurer que les utilisateurs sont informés des risques et menaces concernant les informations;
– Assurer que les utilisateurs sont formés et sont équipés pour appliquer la politique de sécurité
lors de leurs activités normales;
– Minimiser les dommages en cas d’incident;
– Apprendre de ces incidents.
48
Sécurité du personnel et des tiers
√ Sélection du personnel
– Vérification des antécédents conformément aux lois et par rapport à la criticité de l’actif à
manipuler;
– Un processus de sélection pour les tierces parties;
– Un accord spécifiant les exigences de sécurité et les responsabilités de la tierce partie.
√ Pendant l’emploi
– Indiquer les responsabilités dans les fiches de poste;
– Sensibiliser les employés et les tierces parties;
– Respect de la politique de sécurité;
– Application d’un processus de discipline en cas de violation.
49
Sécurité du personnel et des tiers
50
Sécurité physique et environnementale
51
Sécurité physique et environnementale
52
Sécurité physique et environnementale
55
Sécurité physique et environnementale
56
Sécurité physique et environnementale
√ Localisation :
– Lorsqu’une entreprise choisit de s’établir dans un bâtiment, certains choix doivent absolument
être considérés dont :
La visibilité ;
Les considérations locales ;
Les moyens d’accès (transport);
Les menaces naturelles.
57
Sécurité physique et environnementale
58
Sécurité physique et environnementale
59
Sécurité physique et environnementale
60
Contrôle d’accès logique/physique
61
Contrôle d’accès logique/physique
√ Introduction :
62
Contrôle d’accès logique/physique
√ Introduction :
63
Contrôle d’accès logique/physique
√ Introduction :
– Le contrôle d’accès va autoriser ou interdire l’accès des sujets aux objets;
– Le contrôle des accès définit la politique, les procédures et les outils à implanter pour garantir la
Disponibilité, l’Intégrité et la Confidentialité de toute information de
l’organisation;
– La Politique de contrôle des accès (Access Control Policy) est une déclaration formelle de haut
niveau qui doit être approuvée et supportée par la Direction Générale. Elle définit :
Les objectifs de l’organisation en matière de contrôle d’accès :
– Gérer et contrôler l’accès logique et/ou physique aux actifs informationnels;
– Prévenir les accès non autorisés;
– Détecter les activités non autorisées.
Le champ d’application :
– Personnel et parties externes (Fournisseurs, sous-traitants, clients, consultants , auditeurs, agents
d’entretien,….).
Qui est responsable de son application;
Les processus par lesquels elle sera implantée : processus AAA
(Authentication-Autorization-Accounting).
64
Contrôle d’accès logique/physique
– La mise en place d’un contrôle dans une dimension peut compenser un manque dans
une autre dimension.
65
Contrôle d’accès logique/physique
66
Contrôle d’accès logique/physique
67
Contrôle d’accès logique/physique
68
Contrôle d’accès logique/physique
69
Contrôle d’accès logique/physique
√ Méthodes d’authentification :
– Le processus d’authentification est basé sur n’importe lequel des trois facteurs suivants :
Une chose que vous savez;
Une chose que vous possédez;
Une chose que vous êtes.
70
Contrôle d’accès logique/physique
√ Méthodes d’authentification :
– Le processus d’authentification est basé sur n’importe lequel des trois facteurs suivants :
Une chose que vous savez
– Mot de passe à usage multiple : mot de passe, passphrase, code PIN, …
– Mot de passe à usage unique : HOTP (HMAC-Based One-Time-Passord), SSO (Single-
Sign-On),..
Une chose que vous possédez
– Carte mémoire, intelligente;
– Smartphone;
– Client de messagerie;
– Token soft, hard;
– Clé cryptographique, …
Une chose que vous êtes
– Biométrie
Utilisation d’une caractéristique physique pour authentifier un utilisateur :
balayage du doigt, balayage de l’iris, balayage de la paume, balayage de la face,
empreinte vocale, …
– Le processus d’authentification est dit fort s’il met en œuvre au moins deux facteurs sur
trois. Exemples : mot de passe avec smartphone, carte à puce avec code pin, …
71
Contrôle d’accès logique/physique
Le modèle de Contrôle d’accès basé sur le rôle (RBAC : Role-Based Access Control);
Le modèle de contrôle d’accès basé sur des règles (Rule-Based Access Control)
Le modèle de contrôle d’accès basé sur des attributs (Attribute- Rule-Based Access
Control)
– Un modèle de contrôle d’accès est un cadre dictant comment les SUJETS accèdent aus
aux OBJETS.
72
Contrôle d’accès logique/physique
73
Contrôle d’accès logique/physique
74
Contrôle d’accès logique/physique
75
Contrôle d’accès logique/physique
76
Contrôle d’accès logique/physique
77
Contrôle d’accès logique/physique
78
Contrôle d’accès logique/physique
79
Contrôle d’accès logique/physique
80
Sécurité de l’infrastructure réseau
81
Sécurité de l’infrastructure réseau
√ Introduction :
– La sécurité des télécommunications et des réseaux englobe :
Les infrastructures, les méthodes de transmission, les formats de transport, les
mesures de sécurité utilisés pour garantir :
– L’Intégrité;
– La Disponibilité;
– L’Authentification;
– La Confidentialité.
82
Sécurité de l’infrastructure réseau
Vulnérabilités d’authentification
Vulnérabilités d’implémentation
Vulnérabilités de configuration
83
Sécurité de l’infrastructure réseau
Attaque directe
Attaque directe
Cible
Attaquant
Attaque indirecte
Attaquant Cible
Attaque Attaque
Système intermédiaire
84
Sécurité de l’infrastructure réseau
√ Mesures de sécurité :
– Défense en profondeur;
– Filtrage par firewall;
– IPS/IDS;
– Antivirus;
– Filtrage web;
– Cloisonnement du réseau en zones de confiance;
– Contrôle d’accès;
– Utilisation de protocoles réseaux sécurisés (SSH, HTTPS, …);
– Chiffrement;
– Tunnel (VPNs,…);
– Haute disponibilité;
– Prévention de la fuite d’informations sensibles;
– Redondance de ressources (Alimentation, RAID,…);
– Monitoring;
– Durcissement des configurations;
– Patch Management;
85
– …
Sécurité de l’infrastructure réseau
86
Sécurité du développement logiciel
87
Sécurité du développement logiciel
√ Introduction :
– La sécurité des systèmes d’information devient de plus en plus importante. En
effet :
La plupart des attaques profitent d’une vulnérabilité dans un logiciel pour
porter atteinte à la sécurité du système d’information (DIC) et impacter
l’organisation :
– Accès non autorisé aux données;
– Altération des données et du logiciel;
– Indisponibilité des données et du logiciel.
Plus la sécurité est introduite tardivement dans le cycle en « V » de
développement des applications plus elle sera complexe et coûteuse à
introduire pour l’entreprise.
88
Sécurité du développement logiciel
√ Introduction : (suite)
– Cycle en « V » de développement des applications :
89
Sécurité du développement logiciel
90
Sécurité du développement logiciel
91
Sécurité du développement logiciel
92
Sécurité du développement logiciel
93
Sécurité du développement logiciel
Conception;
Développement; 6
Phase de 3
maintenance Phase de
Essai; conception
Mise en œuvre;
5 4
Maintenance; Phase de mise
en oeuvre
Phase de
développement
5
Elimination Phase d’essai
94
Sécurité du développement logiciel
95
Sécurité du développement logiciel
96
Cryptographie
97
Cryptographie
√ Définition :
– Chiffrer un texte en clair c’est le transformer / le crypter en un texte sécurisé grâce un code;
– L’émetteur chiffre un texte et le destinataire doit le déchiffrer pour le comprendre;
– Le cryptage assure la confidentialité des données transmises (ou stockées);
– Le cryptage à lui seul n’assure pas l’intégrité et la non répudiation. Il doit être couplé avec
d’autres moyens.
√ Eléments clés des systèmes de cryptage :
– Algorithme de chiffrement : fonction de codage des données;
– Clé de chiffrement : information utilisée par l’algorithme de chiffrement;
– Plus la clé est longue, plus le chiffrement est puissant et plus difficile à casser;
– Cryptographie : art du chiffrement et du déchiffrement;
– Cryptanalyse : art consistant à casser les algorithmes de chiffrement pour démonter leurs
faiblesses:
– Cryptologie : Cryptographie + Cryptanalyse.
√ Différents systèmes cryptographiques : chiffrement symétrique,
chiffrement asymétrique, fonction de hashage.
98
Cryptographie
√ Chiffrement symétrique :
– Utilisation d’une même clé (clé secrète) pour l’émetteur et le récepteur;
– Exemples : DES , 3DES, AES, …
99
Cryptographie
100
Cryptographie
101
Cryptographie
102
Cryptographie
√ Composants de la PKI :
– Certificat X509 utilisateur :
Produit par une entité fiable;
Associe la clé publique à l’identité de l’utilisateur;
Signé par une autorité de confiance (AC).
– Autorité de certification (AC) :
Atteste de l’authenticité du propriétaire d’une clé publique.
– Autorité d’enregistrement (AE) :
Vérifie et enregistre les demandes de certificats es utilisateurs.
– Liste de certificats révoqués (CRL) :
Contient la liste identifiants des certificats révoqués.
103
Cryptographie
√ Protocoles cryptographiques :
– Utilisés lors de transactions par mail et par Internet pour garantir :
La confidentialité et l’intégrité des données;
La non-répudiation;
L’authentification.
√ Exemples de protocoles :
– SSL/TLS : Protocole cryptographique pour les communications client-serveur :
Authentification du client par un certificat plus services de chiffrement et d’intégrité;
– HTTPS : permet la sécurisation des pages web pour le commerce électronique, la consultation
de sites bancaires,…c’est du HTTP sécurisé par SSL;
– SSH : Telnet sécurisé;
– S/MIME : Mail sécurisé;
– IPsec : Protocole de sécurité de niveau 3. Utilisé pour l’établissement de tunnels VPN lorsque
la communication passe à travers un réseau publique (Internet). S’appuie sur 3 protocoles : IKE,
AH et ESP :
En fonction des besoins de sécurité, AH et ESP peuvent être mis en œuvre en deux modes :
– Mode transport : les données sont soient authentifiées, soit chiffrées (ESP)
– Mode Tunnel : données de l’entête IP et les données utiles sont chiffrées.
104
Informatique mobile, informatique pair-à-pair, messagerie
instantanée, medias sociaux
105
Informatique mobile, informatique pair-à-pair, messagerie instantanée, medias sociaux
√ Informatique mobile :
– L’informatique mobile se réfère aux appareils qui sont transportés ou déplacés dans le
cadre leur utilisation normale. Exemples : smartphones, tablettes, ordinateurs portables,
périphériques de stockage USB, appareils photo numériques, …
– En outre certaines entreprises encouragent les membres de leur personnel à utiliser
leurs propres appareils mobiles à des fins professionnelles ce qui ajoute un niveau de
complexité supplémentaire pour protéger ces appareils.
– Les mesures de sécurité suivantes peuvent réduire le risque de divulgation des données
sensibles stockées sur ces appareils mobiles. Cependant beaucoup d’entre peuvent être
protégés par des solutions de gestion de terminaux mobiles (MDM : Mobile Device
Management) et des conteneurs sécurisés (espace chiffré et authentifiés dans l’appareil
mobile personnel et d’entreprise utilisé pour séparer les données sensibles des données
personnelles) :
Enregistrement des appareils;
Répérage;
Sécurité physique;
Stockage des données;
Détection et contrôle antivirus;
Chiffrement;
Conformité;
106
Informatique mobile, informatique pair-à-pair, messagerie instantanée, medias sociaux
107
Informatique mobile, informatique pair-à-pair, messagerie instantanée, medias sociaux
√ Informatique pair-à-pair :
– Les réseaux pair-à-pair sont utilisés presque exclusivement pour le partage de fichiers;
– En informatique pair-à-pair l’utilisateur ne se branche pas à un serveur en particulier.
En général la connexion est établie entre deux pairs;
– Avant d’autoriser le pair-à-pair les entreprises doivent évaluer les risques par rapport
aux avantages. Les risques liés à cette technologie sont les fuites d’informations, le vol
d’information, la perte de productivité, les sanctions légales et réglementaires,
problèmes de licences, l’atteinte à l’image de marque,… résultant de menaces suivantes
: introduction de codes malveillants, introduction de contenus protégés sur le réseau de
l’entreprise, utilisation excessive du pair-à-pair sur le lieu de travail,…
– Les mesures de sécurité que les entreprises peuvent implémenter afin de prévenir ces
risques sont à la fois organisationnelles et techniques : élaborer des politiques et des
normes, former et sensibiliser les utilisateurs, limiter ou bloquer l’utilisation du pair-à-
pair, déployer des solutions antivirus, empêcher l’installation de clients pair-à-pair,…
108
Informatique mobile, informatique pair-à-pair, messagerie instantanée, medias sociaux
√ Messagerie instantanée :
– La messagerie instantanée est un outil collaboratif permettant à un utilisateur de
communiquer en temps réel par un réseau via Internet, c’est-à-dire de discuter et
d’obtenir des réponses rapides plutôt que d’échanger un grand nombre d’e-mails. Les
risques associés à cette technologie sont les fuites d’informations, le vol d’information,
la perte de productivité,… résultant de menaces suivantes : introduction de codes
malveillants, écoute illégale, utilisation excessive de la messagerie instantanée sur le
lieu de travail,…
– Les mesures de sécurité que les entreprises peuvent implémenter afin de prévenir ces
risques sont à la fois organisationnelles et techniques : élaborer des politiques et des
normes, former et sensibiliser les utilisateurs, limiter ou bloquer l’utilisation de la
messagerie instantanée, déployer des solutions antivirus, chiffrer le trafic,…
109
Informatique mobile, informatique pair-à-pair, messagerie instantanée, medias sociaux
√ Medias sociaux :
– La technologie des medias sociaux permet de diffuser des contenus par les réseaux
sociaux à l’aie d’Internet.;
– Les medias sociaux diffèrent des medias traditionnels par le niveau d’interaction entre
les utilisateurs et il existe de nombreux medias sociaux : Youtube, Facebook, Twitter,
LinkedIn,…
– Les entreprises utilisent les medias sociaux pour accroitre la reconnaissance de la
marque, les ventes, la satisfaction des clients. Cependant il existe des risques associés à
leur utilisation. Les risques liés à cette technologie sont les fuites d’informations, le vol
d’information, la perte de productivité, les sanctions légales et réglementaires, l’atteinte
à l’image de marque,… résultant de menaces suivantes : introduction de codes
malveillants, l’exposition de l’entreprise et de ses clients, le phishing ciblant les clients
ou les employés, …
– Les mesures de sécurité que les entreprises peuvent implémenter afin de prévenir ces
risques sont à la fois organisationnelles et techniques : élaborer des politiques et des
normes, former et sensibiliser les utilisateurs, utiliser la technologie de filtrage de
contenu pour bloquer ou limiter l’accès à des sites de medias sociaux, déployer des
solutions antivirus, surveiller l’utilisation de la marque,…
110
Informatique dans le cloud et virtualisation
111
Informatique dans le cloud et virtualisation
114
Informatique dans le cloud et virtualisation
√ Virtualisation
Le besoin de plus évolutivité, de souplesse et de rationalisation des coûts
ont entrainé le développement du recours à des systèmes virtualisés dans les
Data Centers et à leur utilisation par des fournisseurs de services cloud;
La virtualisation consiste à utiliser des techniques pour créer une abstraction
de matériels physiques.
√ Hyperviseur
Un hyperviseur est une plateforme de virtualisation permettant de faire
fonctionner en même temps plusieurs Systèmes d’Exploitation sur une même
machine physique.
115
Informatique dans le cloud et virtualisation
2 – L’hyperviseur de virtualisation;
116
Informatique dans le cloud et virtualisation
117
Informatique dans le cloud et virtualisation
119
Informatique dans le cloud et virtualisation
120
Fuite de données
√ Fuite de données :
– Fondamentalement la fuite de données implique le transfert non autorisé
d’informations sensibles ou propriétaires d’un réseau interne vers le monde extérieur.
– Malgré les contrôles communs de prévention des fuites de données comme
l’identification des actifs, leur classification et la définition et la mise en oeuvre de
règles de manipulation; les entreprises subissent encore des fuites d’informations
sensibles.
– Les mesures de sécurité que les entreprises peuvent implémenter afin de prévenir ces
risques sont à la fois organisationnelles et techniques : élaborer des politiques de
classification et de manipulation des actifs, acquérir des solutions techniques de
prévention des fuites de données (DLP : Data Leak Prevention) adressant les données
au Repos, en Transit et sur les EndPoints, former et sensibiliser les utilisateurs, …
121
Risques et mesures de sécurité associés à la sécurité de
l’informatique de l’utilisateur final
122
Risques et mesures de sécurité associés à la sécurité de
l’informatique de l’utilisateur final
123
Partie B
Gestion des évènements de sécurité
124
Formation et sensibilisation
125
Formation et sensibilisation
126
Méthodes et techniques d’attaque de système d’information
127
Méthodes et techniques d’attaque de système d’information
Comprendre les méthodes, les techniques et les exploits aide l’auditeur des
systèmes d’information à comprendre le contexte de l’organisation et les
risques auxquels elle est exposée.
128
Méthodes et techniques d’attaque de système d’information
129
Méthodes et techniques d’attaque de système d’information
130
Méthodes et techniques d’attaque de système d’information
Malware
Virus, vers, bombes logiques, chevaux de troie, rootkits, APT, hoaxes, pranks,
O-Day exploits, …
131
Outils et techniques de test
132
Outils et techniques de test
134
Outils et techniques de test
√ Threat intelligence
La Threat Intelligence (ou Cyber Threat Intelligence) est une discipline basée sur des
techniques du renseignement, qui a pour but la collecte et l'organisation de toutes les
informations liées aux menaces du cyber-espace afin de dresser un portrait des attaquants
ou de mettre en exergue des tendances (secteurs d'activités touchés, méthodes utilisées,
etc). Ce profilage de la menace permet de mieux se défendre et d'anticiper au mieux les
différents incidents en permettant une détection aux prémices d'une attaque d'envergure.
Les moyens de collecte des informations sont divers :
* Renseignements Open Source (exemple : site OSINT);
* Flux de données commerciaux et communautaires;
* Média sociaux;
* Renseignements d'origine humaine et capacité d'analyse et de corrélation;
* Informations provenant du Deep et Dark web :
Le Deep web désigne la partie non indexée des pages du web. Le Dark web est une partie
du Deep web qui permet aux utilisateurs de naviguer anonymement via le réseau TOR ou
une chaine de Proxies par exemple.
135
Outils et techniques de monitoring de la sécurité
136
Outils et techniques de monitoring de la sécurité
Les HIPS/IDS : analysent les informations contenues dans les logs des hôtes pour
prévenir ou détecter d’éventuelles actions suspectes.
Les NIDS/IPS : collectent et analysent des flux réseaux pour prévenir et détecter
d’éventuelles attaques en utilisant une base de signatures d’attaques et en effectuant
une analyse comportementale.
137
Outils et techniques de monitoring de la sécurité
138
Outils et techniques de monitoring de la sécurité
139
Outils et techniques de monitoring de la sécurité
140
Gestion des incidents de sécurité
141
Gestion des incidents de sécurité
– Assurer que les incidents de sécurité sont enregistrés, résolus et qu’un reporting
adéquat est mis en place (ITIL);
142
Gestion des incidents de sécurité
143
Gestion des incidents de sécurité
√ Les menaces à la sécurité des actifs à la sécurité des actifs informationnels peuvent
être :
– Accidentelles (pannes, incendie, séïsme,…);
– Erreurs (inattention, incompétence,…;
– Malveillances (intentionnelles d’origine interne ou externe):
Divulgation d’informations confidentielles;
Déni de service;
Sabotage;
Infection virale;
Ramsonware,…
144
Investigations forensiques informatiques
145
Investigations forensiques informatiques
146
Investigations forensiques informatiques
147
Investigations forensiques informatiques
Le processus Digital Forensics doit préserver la « scène de crime » et les preuves afin
d’éviter l’altération non intentionnelle soit des données soit de l’environnement des données.
Principe de Locard : « In forensics science, Locard's principle holds that the perpetrator of a
crime will bring something into the crime scene and leave with something from it, and that
both can be used as forensics evidence”. Le Dr. Edmond Locard (1877–1966), pionnier de la
science forensics, est connu sous le nom du Sherlock Holmes de Lyon;
Il y a de nombreuses directives encadrant les investigations forensiques informatiques :
Guide to Integrating Forensic Techniques into Incident Response du NIST Forensic
Examination of Digital Evidence : A Guide for Law Enforcement de l’US Departement Of
Justice, Standards and Principles de l’International Organization of Computer Evidence
(IOCE), Standards and Principles du Scientific Working Group on Digital Evidence
(SWGDE), ACPO Good Practice Guide for Digital Evidence de l’Association of Chief
Police Officers (ACPO).
148
Investigations forensiques informatiques
149
Investigations forensiques informatiques
Plusieurs outils matériels et logiciels peuvent être utilisés par les investigateurs
forensiques en support au processus d’investigation forensique :
* Write Blockers;
* Media Sterilization Systems;
* EnCase software :
* Outil de référence.
* Forensics Tool Kit (FTK);
* AutoPSY Software, …
150
Sources
CISA Review Manual 27th Edition
Norme ISO/CEI 19011 : 2018
Norme ISO/CEI 27002 : 2022
Norme ISO/CEI 27005 : 2022
Norme ISO/CEI 22301 : 2012
151
Merci pour votre attention
E-Mail : nlabani@nl-consulting.fr
Mobile : + 33 6 25 57 58 14
152
153