Cybersécurité : Attaques et Menaces

Questions and Answers

Quelle est la principale action d'un ransomware après son installation sur un ordinateur?

• Collecter et chiffrer les informations de l'entreprise. (correct)
• Envoyer des spams aux contacts de l'utilisateur infecté.
• Redémarrer l'ordinateur en boucle.
• Supprimer définitivement les données de l'entreprise.

Quel type de vulnérabilité le ver Stuxnet exploitait-il principalement?

• Les mots de passe faibles des utilisateurs.
• Les systèmes d'exploitation Windows infiltrés. (correct)
• Les réseaux Wi-Fi publics non sécurisés.
• Les navigateurs web obsolètes.

Quelle est une des définitions fondamentales du hacking?

• La configuration de réseaux informatiques sécurisés.
• L'exploitation des vulnérabilités d'un système pour obtenir un accès non autorisé. (correct)
• La création de nouveaux logiciels et applications.
• La réparation de systèmes informatiques endommagés.

Quelle est la motivation principale des pirates informatiques dits «black hat»?

L'enrichissement personnel. (B)

Quelle est la caractéristique principale des pirates informatiques «gray hat»?

Ils agissent dans une zone grise, révélant parfois des vulnérabilités sans autorisation. (A)

Quelle est la principale caractéristique des Script Kiddies?

Ils utilisent des outils trouvés sur Internet pour lancer des attaques. (D)

Quelle est la motivation principale des hacktivistes?

Le changement social ou politique. (A)

Quels sont les objectifs des cyberterroristes?

Créer la peur, la terreur et la violence. (D)

Quel est l'objectif principal d'une attaque DDoS (déni de service distribué) dans le contexte de l'IoT?

Désactiver des services Internet essentiels. (D)

Qu'est-ce que les informations personnelles identifiables (PII)?

Des informations permettant d'identifier un individu. (C)

Quel risque majeur est associé à la perte de confiance des clients en matière de cybersécurité pour une entreprise?

La perte de l'avantage concurrentiel. (A)

Quel est le rôle principal d'un centre opérationnel de sécurité (SOC)?

Fournir une large gamme de services de sécurité. (D)

Quelle est la principale tâche d'un analyste des alertes de niveau 1 dans un SOC?

Surveiller les files d'attente d'alertes de sécurité. (A)

Quel est le principal avantage d'utiliser un système de gestion des informations et des événements liés à la sécurité (SIEM)?

Collecter, filtrer et analyser les données de sécurité. (C)

Quelle est la signification d'une disponibilité de «cinq neufs» (99,999%) pour un réseau d'entreprise?

Le réseau est disponible 99,999% du temps. (C)

Quel est le rôle principal de la Red Team dans une stratégie de cybersécurité?

Imiter des attaquants pour trouver des vulnérabilités. (A)

Quelle est la principale différence entre la Red Team et la Blue Team?

La Red Team est chargée de simuler les attaques, tandis que la Blue Team se concentre sur la défense. (B)

Quel est le rôle de la Purple Team dans une stratégie de cybersécurité?

Superviser et optimiser l'exercice des équipes Red et Blue. (B)

Qu'est-ce qu'un Bug Bounty?

Une récompense pour la découverte de failles de sécurité. (D)

Quel est l'avantage principal d'un programme de Bug Bounty pour une entreprise?

Bénéficier d'un retour sur investissement amélioré en matière de sécurité. (D)

Flashcards

Piratage WiFi

Un hacker configure un point d'accès public ouvert sans fil non autorisé.

Rançongiciel (Ransomware)

Un logiciel malveillant qui chiffre les données et exige une rançon.

Hacking

Exploiter une vulnérabilité du système pour un accès non autorisé.

Hackers "white hat"

Experts en sécurité qui testent les systèmes pour identifier les failles.

Hackers "black hat"

Pirates informatiques malveillants qui pénètrent les systèmes pour des gains.

Hackers "gray hat"

Hackers qui révèlent les vulnérabilités sans autorisation, parfois à des fins publiques.

Script kiddies

Amateurs utilisant des outils disponibles en ligne pour lancer des attaques.

Hacktivistes

Hackers motivés par des causes sociales ou politiques.

Pirates commandités par un État

Attaques par des pirates financés par des gouvernements.

Cyberterroristes

Pirates qui cherchent à créer la peur et le chaos via des attaques numériques.

Hackers suicides

Personnes qui démantèlent des infrastructures pour une cause, sans crainte des conséquences.

Attaque DDoS

Attaque qui rend un service indisponible en le surchargeant de requêtes.

PII

Ensemble des infos qui permettent d'identifier une personne.

SOC

Structure qui fournit des services de surveillance, gestion et solutions contre les menaces.

Red Team

Imite les attaquants pour trouver les failles et vulnérabilités.

Blue Team

Améliore les défenses fondées sur les vulnérabilités idéntifiées.

Purple Team

Fonction transitoire de superviser et d'optimiser l'exercice des équipes rouge et bleue.

Bug Bounty

Récompense proposée à qui trouve une faille de sécurité dans le système d'une entreprise.

Study Notes

Histoires de guerre

• Un pirate informatique configure un point d'accès public ouvert sans fil non autorisé, se faisant passer pour un réseau légitime.
• Un client se connecte au site web de sa banque, et le pirate informatique pirate sa session.
• Le pirate informatique obtient alors l'accès aux comptes bancaires du client.

Entreprises touchées par un ransomware

• Un employé reçoit un e-mail semblant provenir de son PDG, accompagné d'un fichier PDF.
• Un ransomware s'installe sur l'ordinateur de l'employé.
• Le ransomware collecte et chiffre les informations de l'entreprise.
• Le pirate informatique conserve les données jusqu'à ce qu'une rançon soit payée.

Pays Ciblés : Ver Stuxnet

• Les systèmes d'exploitation Windows ont été infiltrés.
• La cible était Step 7, un logiciel qui contrôle les automates programmables industriels.
• Le but était d'endommager les centrifugeuses dans les installations nucléaires.
• Le ver s'est propagé via des clés USB infectées insérées dans les automates.
• Un grand nombre de ces centrifugeuses ont été endommagées.

Le Hacking

• Le hacking consiste à exploiter les vulnérabilités d'un système.
• Il consiste aussi à compromettre les contrôles de sécurité pour accéder de façon non autorisée ou inappropriée aux ressources.
• Cela consiste également à modifier les caractéristiques d'un système ou d'une application pour atteindre un objectif autre que celui initialement prévu.
• Des personnes intelligentes dotées d'excellentes compétences informatiques ont la capacité de créer et d'exploiter le matériel/logiciel de l'ordinateur.
• Pour certains, le piratage est un simple passe-temps pour tester les limites du système.
• L'intention derrière le piratage peut être soit d'acquérir des connaissances, soit de mener des actions illégales.
• Certains piratent avec des intentions malveillantes, comme le vol de données commerciales, d'informations de cartes de crédit, ou de mots de passe d'e-mails.
• Le piratage peut entraîner une perte commerciale pour les entreprises.

Hacker « white hat »

• Ce sont des experts en sécurité informatique spécialisés dans les tests d'intrusion.
• Ils utilisent diverses méthodes pour sécuriser les systèmes d'information d'une entreprise.
• Ils sont des professionnels de la sécurité, luttant contre les pirates informatiques malveillants avec un arsenal technologique en constante évolution.

Hacker « black hat »

• Ce sont les "méchants" pirates informatiques, généralement appelés pirates.
• Le terme est souvent utilisé pour les pirates qui pénètrent dans les réseaux et les ordinateurs, ou qui créent des virus.
• Les pirates « black hat » ont toujours une longueur d'avance technologique sur les « white hat ».
• Ils réussissent souvent à trouver la voie d'accès la moins protégée, profitant des erreurs humaines ou de la paresse.
• Ils peuvent également mettre en place de nouveaux types d'attaques.
• Le terme "cracker" est utilisé pour désigner les pirates « black hat », motivés par l'argent.

Hacker « gray hat »

• Ces pirates informatiques n'utilisent pas leurs compétences pour servir leur intérêt personnel, mais n'agissent pas non plus dans la plus grande honnêteté.
• Un pirate informatique qui pénètre dans le système d'une entreprise pour révéler une vulnérabilité et en parler sur Internet peut agir dans l'intérêt des clients de l'entreprise.
• Cette action peut compromettre un système sans autorisation.
• Si le pirate exige de l'argent pour ne pas révéler la vulnérabilité, il devient un pirate « black hat ».

Amateurs «Script kiddies»

• Ils sont appelés « script kiddies » (hackers néophytes).
• Ils ont peu ou pas de compétences.
• Ils utilisent des outils ou des instructions trouvées sur Internet pour lancer des attaques.
• Certains script kiddies font partie de la catégorie relativement récente des pirates «green hat».
• Ils rassemblent des pirates amateurs, curieux et avides de connaissances.
• Ils pourraient un jour devenir de véritables pirates informatiques.

Hacktivistes

• Ces pirates aspirent au changement social.
• Certains hacktivistes tentent d’exposer des abus ou de faire avancer une cause politique ou religieuse.
• Lors du Printemps arabe, ils ont permis à des groupes menacés de communiquer et d'accéder à des pages web censurées.

Pirates soutenus par un Etat

• Les gouvernements réalisent l'importance d'une bonne position sur le web militairement.
• On disait autrefois que celui qui commande la mer ou les airs commande le monde.
• Maintenant, il s'agit de commander le cyberespace.
• Les pirates financés par des États ciblent les civils, les entreprises et les gouvernements.

Cyberterroristes

• Ces pirates, motivés par des croyances religieuses ou politiques, tentent de créer la peur et le chaos.
• Ils perturbent les infrastructures critiques.
• Ils sont dangereux et possèdent un vaste éventail de compétences et d'objectifs.
• Leur but ultime est de faire régner la peur, la terreur et la violence.

Suicide Hackers

• Ces personnes visent à démanteler des infrastructures essentielles pour une cause.
• Ils n'ont pas peur d'aller en prison ou d'autres formes de punition.

L'Internet des objets (IoT): est-il protégé ?

• Micrologiciel
• Failles de sécurité
• Mise à jour avec un correctif

Attaque par déni de service (DDoS)

• Attaque contre Dyn, un fournisseur de nom de domaine.
• Elle a impacté de nombreux sites web.
• Des webcams, des systèmes d'enregistrement vidéo, des routeurs et d'autres appareils IoT ont formé un botnet.
• Ce botnet contrôlé par un hacker a créé une attaque DDoS désactivant des services Internet essentiels.

Informations Personnelles Identifiables (PII) et Informations Personnelles (Médicales Protégées) (PHI)

• PII inclut les informations qui identifient un individu (nom, numéro de sécurité sociale, date de naissance, etc.).
• Ces informations sont vendues sur le dark web.
• Elles peuvent créer de faux comptes, tels que des cartes de crédit ou des prêts.
• Les PHI appartiennent à la catégorie des PII.
• Elles servent à créer et gérer les dossiers médicaux informatisés (EMRs).
• Elles sont réglementées par la loi HIPAA (Health Insurance Portability and Accountability Act).
• En Tunisie, le Conseil des ministres du 3 mars 2022 a réussi à instaurer les bases de l’e-santé, en adoptant des projets de décrets.

Perte de l'avantage concurrentiel

• Le hacking peut entraîner une perte de l'avantage concurrentiel.
• Cela implique un espionnage industriel dans le cyberespace.
• La perte de confiance des clients survient lorsqu'une entreprise est incapable de protéger leurs données.

Politiques et sécurité nationale

• Le hacking peut être une attaque motivée par des préoccupations en matière de sécurité nationale.
• Le ver Stuxnet visait à entraver l'enrichissement de l'uranium en Iran.
• En 2021, un hacker a publié les PII de collaborateurs du FBI et du département de la sécurité intérieure des États-Unis.
• La guerre cybernétique est une piste sérieuse.
• Internet est devenu indispensable pour toute activité industrielle, commerciale et financière.
• Son interruption peut détruire l'économie d'un pays et la sécurité de ses citoyens.

Le centre opérationnel de sécurité moderne SOC

• Les centres opérationnels de sécurité (SOC) fournissent une large gamme de services : surveillance, gestion, lutte contre les menaces, sécurité hébergée.
• Ils peuvent être une structure interne ou avoir des éléments sous-traités.
• Les éléments principaux sont : personnes, processus, technologie.

Types de collaborateurs

• D'après le SANS Institute, les collaborateurs d'un SOC occupent quatre types de postes : Analyste des alertes de niveau 1, Gestionnaire des incidents de niveau 2, Expert/Chasseur de niveau 3, Responsable du centre opérationnel.

Processus d'un SOC

• Un analyste de niveau 1 commence par surveiller les files d'attente d'alertes de sécurité.
• L'incident peut être transmis aux enquêteurs ou être désigné comme une fausse alerte.

Technologie SOC

• Systèmes de gestion des informations et des événements liés à la sécurité : collection, filtrage, détection, analyse, implémentation mesures préventives, traitement des futurs dangers.

Sécurité professionnelle et sécurité gérée

• Les entreprises peuvent implémenter un centre opérationnel de sécurité professionnel.
• Le SOC peut être une solution interne ou externalisée.

Sécurité et disponibilité

• Les réseaux d'entreprises doivent être fonctionnels en permanence.
• La disponibilité est mesurée en minutes d'interruptions par an.
• Un réseau disponible 99,999% du temps correspond à une disponibilité à "cinq neufs".
• Il faut trouver un compromis entre sécurité poussée et fonctionnement efficace de l'entreprise.

Red Team et Blue Team

• Pour les entreprises , ce modèle permet d'augmenter les chances de se prémunir contre les menaces.
• La Red Team imite les attaquants (hackers).
• La Blue Team utilise ses compétences pour s'en défendre.
• La Red Team se concentre sur le "Pentest & Ethical Hacking".
• Elle consiste en une équipe extérieure imitant un attaquant, trouvant les backdoors et vulnérabilités.
• Elle utilise des techniques telles que l'exploitation de vulnérabilités et l'ingénierie sociale.
• Elle effectue des simulations d'attaque pour vérifier la qualité et les défenses en place.

Blue Team

• Elle identifie les vulnérabilités possibles.
• Elle améliore les mécanismes de défense.
• Contrairement à la Red Team, elle est au courant des défenses actuelles.
• Elle analyse continuellement l'activité suspicieuse.
• Elle effectue des audits de sécurité, analyse des logs, ingénierie inverse et élabore des scénarios de risque.
• Elle est organisée et focalisée sur les détails.
• Elle recommande un SOC (Security Operations Center) et s'appuie sur des outils SIEM.
• Une infrastructure efficace implique la collaboration des deux équipes pour une vision globale de la cybersécurité.

Purple Team

• Elle n'est pas permanente, et sert à superviser l'exercice des équipes rouge et bleue.
• Elle est constituée d'analystes ou de responsables de la sécurité.
• Elle devient superflue si les équipes rouge et bleue fonctionnent bien.
• Les objectifs sont de travailler aux côtés des deux équipes, avoir une vue d'ensemble, assumer les responsabilités et analyser les résultats et les actions correctives.

Prime aux bogues (Bug Bounty)

• La transformation digitale en I4.0 expose les entreprises à de plus en plus de menaces.
• En 2022, le marché mondial de la cybersécurité représente 6 000 Milliards d'euros.
• Auparavant, les tests de hacking étaient effectués par des prestataires d'audit.
• La cyberdéfense propose des récompenses (Bug Bounty) aux personnes trouvant des failles de sécurité.
• Cela permet de multiplier le nombre de hackers travaillant sur le sujet, 24h/24 et 7j/7.
• On passe d'une logique de moyens à une logique de résultats, d'un diagnostic ponctuel à un audit continu.
• Cela engendre plus de ressources, plus de créativité et un meilleur retour sur investissement.

Entreprises qui utilisent le Bug Bounty

• La filiale d'Alphabet a lancé le VRP de Bug Bounty en 2010, concernant toutes les propriétés web de Google.
• Les banques (Western Union), les constructeurs automobiles (Tesla) et les compagnies aériennes (United Airlines) mettent leurs systèmes à l'épreuve.
• En 2013, Microsoft et Facebook créèrent l'Internet Bug Bounty.
• Les géants du web peuvent gérer un Bug Bounty, toutefois ce n'est pas le cas pour toutes les entreprises qui choisissent de passer par des plateformes spécialisées.