Maîtriser les bases de la sécurité informatique au niveau organisationnel et technique.
Gestion des identités et des accès
Cryptologie
Contrôle des connaissances
Rôles et responsabilités
Gestion du risque
Normes ISO 27k
Norme PCI DSS
Guide d’hygiène informatique de l’ANSSI
RGPD et protection des données personnelles
Audits
Formation et sensibilisation
Contrôle des connaissances
Sécurisation des systèmes Linux
Sécurisation des systèmes Windows
Sécurisation des systèmes macOS
Sécurité des réseaux
Contrôle des connaissances
Concepts-clés
Sécurité du cloud privé
Sécurité du cloud public AWS
Sécurité du cloud public Azure
Talk sur la sécurité du cloud public
Contrôle des connaissances
Vulnérabilités applicatives
Pratiques de développement sécurisé
DevSecOps
Deux webinaires sur la sécurité du développement
Contrôle des connaissances
Préparation et reconnaissance
Scan et exploitation
Post-exploitation
Création et exploitation d'un virus trojan
Contrôle des connaissances
Travail en entreprise
Webinaire - La sagesse ancienne appliquée à la cybersécurité
Webinaire - Les premiers pas du nouveau RSSI
Webinaire - La gestion des crises cyber selon l'ANSSI
Un mot avant l'examen
Examen
Questionnaire de satisfaction
L’objectif des disciplines regroupées sous le nom de cybersécurité est de protéger les besoins en sécurité de l’information : disponibilité, intégrité, confidentialité et preuve.
Pour bien comprendre cela, analysons les termes introduits :
- Information : il s’agit d’un concept-clé, qui a fait l’objet d’intenses études théoriques, notamment à partir de la moitié du 20ème siècle, avec les travaux de Claude Shannon. La norme ISO 27000, référentiel international des termes et définitions autour de la sécurité, fait pourtant l’impasse sur cette notion. Dans le contexte de cet écrit, désignons l’information comme “élément de connaissance susceptible d'être représenté à l'aide de conventions pour être conservé, traité ou communiqué”. De façon plus pragmatique, cela indique le patrimoine de connaissances et savoir-faire d’une entreprise, qui peuvent être stockées sous forme de données électroniques, papier, ou même faire l’objet d’une transmission exclusivement orale.
- Disponibilité : propriété d'être accessible et utilisable à la demande par une entité autorisée. Il n’est pas immédiat d’associer ce critère à la sécurité, il est pourtant essentiel, notamment si on pense à des données de santé, dont l’indisponibilité en situation d’urgence peut potentiellement mener au décès d’un patient.
- Intégrité : propriété d'exactitude et de complétude. L’intégrité est touchée en cas d’altération illicite des données.
- Confidentialité : propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés. Ce critère est probablement le plus intuitif des quatre.
- Preuve : propriété permettant de retrouver, avec une confiance suffisante, les circonstances dans lesquelles l’information est traitée. Cette propriété englobe la traçabilité des actions menées, l’authentification des utilisateurs et l’imputabilité du responsable de l’action effectuée.
Pour mieux apprécier les besoins en sécurité, aussi appelés critères de sécurité, passons en revue des cas de violation :
Disponibilité :
- Attaque par déni de service, à travers laquelle le système ciblé n’est plus en mesure de répondre aux requêtes légitimes. Le cas le plus classique concerne un service web qui est rendu inutilisable, bombardé par du trafic malveillant, souvent généré par un ensemble d’ordinateurs, parfois plusieurs dizaines de milliers, contrôlés par l’attaquant (botnet)
- Suppression d’informations, résultant d’une action hostile délibérée ou juste d’une erreur humaine
- Incident hardware ou software qui met un système hors service, le rendant incapable de traiter les requêtes des utilisateurs
- Mauvaise configuration des droits d’accès, qui prive les utilisateurs légitime d’un accès à l’information
- Infection par un virus de type cryptolocker (rançongiciel), qui chiffre les données les rendant inutilisables et demande souvent une rançon pour la transmission d’une clé de déchiffrement
- Défaillance du processus de sauvegarde et restauration, avec comme résultat l’impossibilité de récupérer les informations qu’on croyait préservées
- Perte, vol ou destruction d’un support de stockage
- Défaillance d’un prestataire cloud, à l’issue d’un incident de sécurité à son niveau, ou même d’une faillite (lock-out)
Intégrité :
- Défacement de la page d'accueil d'un site web
- Altération du contenu d'une base de données, par un attaquant malveillant ou à la suite d'un incident informatique
- Maquillage des informations journalisées (logs) pour effacer les traces d’une action illicite
- Infection virale provoquée par un malware qui modifie les fichiers exécutables, dans le but de se propager
- Altération des données en transit sur le réseau résultant d’une attaque de type “man in the middle”, dans laquelle un attaquant intercepte les données et les modifie à la volée
Confidentialité :
- Compromission d’une boite de messagerie, par un attaquant externe, ou par un employé du service informatique abusant de ses droits d’administration
- Vol de données et publication de celles-ci sur un canal public
- Exposition de données sensibles résultant d’une mauvaise configuration des droits d’accès
- Consultation de documents sensibles oubliés dans l’imprimante ou, dans le même esprit, déposés dans une simple corbeille à papier plutôt que dans le destructeur de documents
- Exfiltration des données saisies au clavier par un cheval de Troie qui enregistre les frappes
- Transmission de documents sensibles au mauvais destinataire
- Interception de données en transit résultant d’une attaque de type “man in the middle”
- Communication d’un mot de passe à un attaquant qui utilise des techniques de phishing ou d'ingénierie sociale
- Mauvaise configuration d’une application web, qui permet un accès public à des données secrètes
Preuve :
- Manque de granularité dans les actions journalisées par un système ou une application, ne permettant pas de reconstruire la suite d’actions à l’origine d’un incident de sécurité
- Destruction des logs par un attaquant qui cherche à effacer ses traces
- Utilisation d’un compte utilisateur compromis afin de réaliser des actions malveillantes
- Compte générique partagé entre plusieurs personnes d’un même service, rendant impossible la corrélation entre action loguée et personne individuelle l’ayant réalisée
- Faille dans le mécanisme d’authentification d’une application, résultant dans une possibilité d’accès illicite
Retour d’expérience et réflexions pratiques
- Habituellement on traite une perte de disponibilité comme un incident de sécurité seulement si elle est vraiment significative (plusieurs systèmes touchés et/ou fort impact métier), ou si elle est d’origine malveillante (déni de service par exemple). Une microcoupure avec perte de quelques “pings” n’est pas considérée en général comme un incident de sécurité
- Le partage de la connaissance du mot de passe d’un compte d’administration générique se rencontre relativement souvent dans les services d’administration informatique. Si on ne peut pas traiter le problème à la racine avec des comptes nominatifs, il faut réfléchir à des mesures compensatoires pour conserver la traçabilité des actions, par exemple mettre en place un système de croisement des logs de plusieurs systèmes impliqués dans la connexion (postes de travail, serveur DHCP, pare-feu, etc.)
4 / 45