Retour

Les bases de la cybersécurité > Les bases de la sécurité de l'information

Les bases de la cybersécurité

Maîtriser les bases de la sécurité informatique au niveau organisationnel et technique.

Les bases de la sécurité de l'information

     Présentation

     Introduction

     Gestion des identités et des accès

     Cryptologie

     Contrôle des connaissances

Gouvernance, gestion des risques et conformité

     Rôles et responsabilités

     Gestion du risque

     Normes ISO 27k

     Norme PCI DSS

     Guide d’hygiène informatique de l’ANSSI

     RGPD et protection des données personnelles

     Audits

     Formation et sensibilisation

     Contrôle des connaissances

Sécurité système et réseau

     Sécurisation des systèmes Linux

     Sécurisation des systèmes Windows

     Sécurisation des systèmes macOS

     Sécurité des réseaux

     Contrôle des connaissances

Sécurité du cloud

     Concepts-clés

     Sécurité du cloud privé

     Sécurité du cloud public AWS

     Sécurité du cloud public Azure

     Talk sur la sécurité du cloud public

     Contrôle des connaissances

Sécurité dans le développement

     Vulnérabilités applicatives

     Pratiques de développement sécurisé

     DevSecOps

     Deux webinaires sur la sécurité du développement

     Contrôle des connaissances

Sécurité offensive

     Préparation et reconnaissance

     Scan et exploitation

     Post-exploitation

     Création et exploitation d'un virus trojan

     Contrôle des connaissances

Matériel supplémentaire

     Travail en entreprise

     Webinaire - La sagesse ancienne appliquée à la cybersécurité

     Webinaire - Les premiers pas du nouveau RSSI

     Webinaire - La gestion des crises cyber selon l'ANSSI

     Un mot avant l'examen

     Examen

     Questionnaire de satisfaction

Critères D, I, C, P

L’objectif des disciplines regroupées sous le nom de cybersécurité est de protéger les besoins en sécurité de l’information : disponibilité, intégrité, confidentialité et preuve.

Pour bien comprendre cela, analysons les termes introduits :

- Information : il s’agit d’un concept-clé, qui a fait l’objet d’intenses études théoriques, notamment à partir de la moitié du 20ème siècle, avec les travaux de Claude Shannon. La norme ISO 27000, référentiel international des termes et définitions autour de la sécurité, fait pourtant l’impasse sur cette notion. Dans le contexte de cet écrit, désignons l’information comme “élément de connaissance susceptible d'être représenté à l'aide de conventions pour être conservé, traité ou communiqué”. De façon plus pragmatique, cela indique le patrimoine de connaissances et savoir-faire d’une entreprise, qui peuvent être stockées sous forme de données électroniques, papier, ou même faire l’objet d’une transmission exclusivement orale.

- Disponibilité : propriété d'être accessible et utilisable à la demande par une entité autorisée. Il n’est pas immédiat d’associer ce critère à la sécurité, il est pourtant essentiel, notamment si on pense à des données de santé, dont l’indisponibilité en situation d’urgence peut potentiellement mener au décès d’un patient. 

- Intégrité : propriété d'exactitude et de complétude. L’intégrité est touchée en cas d’altération illicite des données.

- Confidentialité : propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés. Ce critère est probablement le plus intuitif des quatre.

- Preuve : propriété permettant de retrouver, avec une confiance suffisante, les circonstances dans lesquelles l’information est traitée. Cette propriété englobe la traçabilité des actions menées, l’authentification des utilisateurs et l’imputabilité du responsable de l’action effectuée.

 

Pour mieux apprécier les besoins en sécurité, aussi appelés critères de sécurité, passons en revue des cas de violation :

 

Disponibilité :

- Attaque par déni de service, à travers laquelle le système ciblé n’est plus en mesure de répondre aux requêtes légitimes. Le cas le plus classique concerne un service web qui est rendu inutilisable, bombardé par du trafic malveillant, souvent généré par un ensemble d’ordinateurs, parfois plusieurs dizaines de milliers, contrôlés par l’attaquant (botnet)

- Suppression d’informations, résultant d’une action hostile délibérée ou juste d’une erreur humaine

- Incident hardware ou software qui met un système hors service, le rendant incapable de traiter les requêtes des utilisateurs

- Mauvaise configuration des droits d’accès, qui prive les utilisateurs légitime d’un accès à l’information

- Infection par un virus de type cryptolocker (rançongiciel), qui chiffre les données les rendant inutilisables et demande souvent une rançon pour la transmission d’une clé de déchiffrement

- Défaillance du processus de sauvegarde et restauration, avec comme résultat l’impossibilité de récupérer les informations qu’on croyait préservées

- Perte, vol ou destruction d’un support de stockage

- Défaillance d’un prestataire cloud, à l’issue d’un incident de sécurité à son niveau, ou même d’une faillite (lock-out)

 

Intégrité :

- Défacement de la page d'accueil d'un site web

- Altération du contenu d'une base de données, par un attaquant malveillant ou à la suite d'un incident informatique

- Maquillage des informations journalisées (logs) pour effacer les traces d’une action illicite

- Infection virale provoquée par un malware qui modifie les fichiers exécutables, dans le but de se propager

- Altération des données en transit sur le réseau résultant d’une attaque de type “man in the middle”, dans laquelle un attaquant intercepte les données et les modifie à la volée

 

Confidentialité :

- Compromission d’une boite de messagerie, par un attaquant externe, ou par un employé du service informatique abusant de ses droits d’administration

- Vol de données et publication de celles-ci sur un canal public

- Exposition de données sensibles résultant d’une mauvaise configuration des droits d’accès

- Consultation de documents sensibles oubliés dans l’imprimante ou, dans le même esprit, déposés dans une simple corbeille à papier plutôt que dans le destructeur de documents

- Exfiltration des données saisies au clavier par un cheval de Troie qui enregistre les frappes

- Transmission de documents sensibles au mauvais destinataire

- Interception de données en transit résultant d’une attaque de type “man in the middle”

- Communication d’un mot de passe à un attaquant qui utilise des techniques de phishing ou d'ingénierie sociale

- Mauvaise configuration d’une application web, qui permet un accès public à des données secrètes

 

Preuve :

- Manque de granularité dans les actions journalisées par un système ou une application, ne permettant pas de reconstruire la suite d’actions à l’origine d’un incident de sécurité

- Destruction des logs par un attaquant qui cherche à effacer ses traces

- Utilisation d’un compte utilisateur compromis afin de réaliser des actions malveillantes

- Compte générique partagé entre plusieurs personnes d’un même service, rendant impossible la corrélation entre action loguée et personne individuelle l’ayant réalisée

- Faille dans le mécanisme d’authentification d’une application, résultant dans une possibilité d’accès illicite

 

 

Retour d’expérience et réflexions pratiques

 

- Habituellement on traite une perte de disponibilité comme un incident de sécurité seulement si elle est vraiment significative (plusieurs systèmes touchés et/ou fort impact métier), ou si elle est d’origine malveillante (déni de service par exemple). Une microcoupure avec perte de quelques “pings” n’est pas considérée en général comme un incident de sécurité

- Le partage de la connaissance du mot de passe d’un compte d’administration générique se rencontre relativement souvent dans les services d’administration informatique. Si on ne peut pas traiter le problème à la racine avec des comptes nominatifs, il faut réfléchir à des mesures compensatoires pour conserver la traçabilité des actions, par exemple mettre en place un système de croisement des logs de plusieurs systèmes impliqués dans la connexion (postes de travail, serveur DHCP, pare-feu, etc.)


4 / 45

4 / 45