Cybersecurity Quiz: Ransomware and Data Protection

Questions and Answers

Quel est le montant de la rançon demandée par le groupe Maze ?

1 000 000$

5 000 000$

20 000 000$

10 000 000$ (correct)

Quel pourcentage des malwares est délivré par email, selon Verizon ?

85%

50%

75%

94% (correct)

Quel est le pourcentage des violations de données impliquant des acteurs internes, selon Verizon ?

15%

25%

45%

34% (correct)

Quel secteur d'activité a été le plus touché par les attaques de ransomware en 2019 ?

La santé (C)

Quelle est la perte estimée pour le secteur des soins et de la santé en 2019 due aux cyberattaques ?

25 milliards de dollars (B)

Quel est l'un des avantages du respect des règles dans une entité ?

Assurer la continuité des activités de l’entité (B)

À qui s'applique principalement l'instruction 901 ?

Aux administrations de l'État qui gèrent des systèmes d'information sensibles (B)

Quel est l'objectif principal de l'ANSSI ?

Protéger les informations d'état et de sécurité (A)

Quel type d'entité est exclu de l'application de l'instruction 901 ?

Entités ne gérant pas de systèmes d'information sensibles (C)

Quelle mesure est prise pour prévenir la compromission d'informations sensibles ?

Renforcer les politiques de sécurité (A)

Quelle est la fonction principale de la mention "Diffusion Restreinte" (DR) ?

Sensibiliser l'utilisateur à la discrétion lors de la manipulation des informations (B)

Quels types de documents peuvent être classés sous la mention "Diffusion Restreinte" ?

Documents relatifs à des projets ou des architectures techniques pour des systèmes d'information des administrations (A)

L'instruction 901 fixe des règles de protection pour quel type de systèmes d'information ?

Les systèmes d'information sensibles (D)

Quelles menaces sont abordées par l'instruction 901 concernant les systèmes d'information sensibles ?

Les menaces d'origine humaine et non humaine (D)

Quel est le principal objectif de l'instruction 901 ?

Définir les règles de protection appropriée des systèmes d'information sensibles (C)

Quelle caractéristique différencie les attaques terroristes des autres types d'attaquants ?

L'objectif principal de destruction ou prosélytisme (C)

Quel est l'impact majeur des attaques sur la vision des dirigeants concernant la cybersécurité ?

L'intégration de la cybersécurité dans la stratégie globale de l'organisation (B)

Pourquoi la catégorie de défi, test et amusement est-elle considérée comme dangereuse ?

Elle n'a pas d'objectif précis. (D)

Quel est le principal défi face aux différentes menaces en cybersécurité ?

Le repérage et la mise en place de mécanismes de protection adaptés (D)

Quel terme désigne l'attitude de chercher à influencer les autres à adhérer à une foi ?

Prosélytisme (C)

Comment la cybersécurité a-t-elle évolué dans la perception des organisations françaises ?

Elle est considérée comme une partie intégrante des stratégies globales. (A)

Quel est l'un des enjeux principaux de la cybersécurité pour les organisations ?

Assurer la protection des informations sensibles (B)

Quel a été un facteur déclencheur majeur de changement dans la perception de la cybersécurité ?

L'augmentation des attaques sur des grands groupes (C)

Quelle est la différence principale entre une session interactive et une session réseau ?

Une session interactive permet d'accéder à un shell ou à un bureau tandis qu'une session réseau permet d'accéder à une ressource distante. (C)

Quel est le principal avantage de l'utilisation d'un bastion d'administration ?

Le bastion d'administration permet de centraliser les connexions des administrateurs et de renforcer la sécurité. (D)

Quelle est la principale différence entre l'interdiction d'ouverture de session à distance et l'interdiction d'ouverture de session réseau ?

L'interdiction d'ouverture de session à distance bloque uniquement l'accès via RDP tandis que l'interdiction d'ouverture de session réseau bloque tous les types d'accès au réseau. (C)

Quelle est la méthode utilisée pour interdire les différents types d'ouverture de session à des utilisateurs ou des groupes d'utilisateurs ?

Des politiques de groupe (GPO) (B)

Quelle est la méthode recommandée pour sécuriser les tâches à privilèges ?

Utiliser des postes d'administration dédiés (D)

Quel est le principal objectif de la gestion des autorisations d'ouverture de session ?

Renforcer la sécurité du système (A)

Quel est le rôle d'un serveur de rebond dans un bastion d'administration ?

Le serveur de rebond sert de point d'accès unique pour les administrateurs qui souhaitent se connecter à des serveurs à distance. (A)

Quels types d'ouverture de session peuvent être interdits par les GPO ?

Ouverture de session réseau, ouverture de session interactive locale, ouverture de session en service, ouverture de session en tâche, ouverture de session à distance (B)

Quel rôle joue un administrateur T2 dans la gestion des postes de travail?

Il administre les postes de travail des utilisateurs et les périphériques. (D)

Quelle est l'une des bonnes pratiques pour maintenir la sécurité dans une architecture en tier?

Établir des politiques de filtrage entre les sous-réseaux. (D)

Quel compte est spécifiquement un administrateur local des machines du tier 2?

t2-admin-jkhalfa (D)

Qu'est-ce qui ne doit pas être fait avec un compte administrateur T2?

Accéder à des machines tier 1. (A)

Comment le groupe GS_T2-Administrateurs est-il utilisé dans le tier 2?

Il est intégré au groupe Administrateurs des postes du tier 2. (B)

Quelle affirmation est exacte selon la stratégie de l'organisation?

La hiérarchie administrative doit être construite selon la stratégie de l'organisation. (A)

Dans un modèle de tiering, quel compte est l'administrateur de domaine?

t0-admin-jkhalfa (C)

Quelle mesure favorise l'étanchéité d'une architecture en tier?

Appliquer des politiques d'ouverture de sessions inter-couche. (A)

Flashcards

Rançon de Maze

Un montant de 10 000 000$ réclamé par le groupe Maze après une attaque ransomware.

Source de malware

94% des malwares sont livrés par email, selon Verizon.

Acteurs internes

34% des violations de données impliquent des acteurs internes selon Verizon.

Attaques sur la santé

Le secteur de la santé subit le plus grand nombre d'attaques par ransomware.

Pertes dans le secteur santé

Les pertes estimées pour le secteur des soins et de la santé en 2019 sont de 25 milliards de $.

Terroristes

Groupes visant la destruction ou le prosélytisme.

Prosélytisme

Attitude visant à convertir d'autres à sa foi.

Cybersécurité

Protection des systèmes et données informatiques.

Attaques ciblées

Incidents visant des secteurs spécifiques.

Mécanismes de protection

Systèmes mis en place pour contrer les attaques.

Vision des dirigeants

Perspectives des leaders sur la cybersécurité.

ANSSI

Agence Nationale de la Sécurité des Systèmes d'Information.

Stratégies organisationnelles

Plans des entreprises pour gérer la cybersécurité.

Diffusion Restreinte

Mention de protection pour les informations sensibles, non un niveau de classification.

Instruction 901

Règles de protection des systèmes d'information sensibles contre les menaces.

Systèmes d'information sensibles

Systèmes traitant des informations devant être protégées pour éviter des fuites.

Menaces d'origine humaine

Risques pour la sécurité liés à l'action des individus.

Respect des règles

Contribue à la continuité des activités et à la sécurité.

Administrateur T2

Gère les postes de travail et périphériques des utilisateurs dans le tier 2.

Architecture en tier 0

Modèle de sécurité qui isole les actifs critiques dans la première couche.

Politique d’ouverture de sessions

Règles gérant les connexions entre différentes couches de sécurité.

Filtrage des flux

Technique qui contrôle les communications entre sous-réseaux.

Hiérarchie administrative

Stratégie de gestion des comptes administratifs organisationnels par niveau.

Compte utilisateur standard (T2)

Type de compte utilisé pour les tâches courantes sans privilèges d'administration.

Groupe GS_T2-Administrateurs

Groupe contenant les comptes administratifs du tier 2, appliqué localement.

Compte administrateur de domaine (T0)

Compte avec des privilèges d'administration au niveau le plus élevé dans un domaine.

Ouverture de session interactive

Accès au bureau ou au shell via RDP, console ou KVM.

Ouverture de session réseau

Accès à une ressource distante comme un partage de fichiers.

GPO

Outil pour gérer les autorisations d'ouverture de session pour les utilisateurs.

Interdire l'accès réseau

Restriction d'ouverture de session réseau pour des utilisateurs spécifiques.

Bastion d'administration

Serveur sécurisé pour effectuer des tâches administratives à privilèges.

Serveur de rebond

Serveur à travers lequel les administrateurs s'authentifient pour accès distant.

Tâche planifiée

Lancer des tâches avec un login de domaine à des moments définis.

Interdire le RDP

Empecher l'ouverture de session distante via RDP pour certains utilisateurs.

Study Notes

Cyberdéfense - Livret Stagiaire

• Durée du stage: 5 jours
• Version du livret: 001
• Organisme: L'ESD academy
• Comment ouvrir le document: Cliquer sur le menu (trois points verticaux) ; sélectionner "Ouvrir les commentaires du présentateur".

Formations, Diplômes, Certifications en Cybersécurité

• Création de l'organisation: 2014
• Objectif principal: Apporter des formations, certifications et un mastère en cybersécurité aux organisations francophones et européennes.
• Concurrencer les acteurs étrangers: Objectif de l'organisation de concurrencer les acteurs étrangers dans ce domaine.
• Partenaires: Experts du domaine (étatiques et privés)
• Nombre de personnes formées en 2018: Plus de 500
• Domaines de formation: offensif, défensif et gouvernance

ions, Diplômes, Certifications en Cybersécurité

• Création de l'organisation: 2014
• Objectif principal: Apporter des formations, certifications et un mastère en cybersécurité aux organisations francophones et européennes.
• Concurrencer les acteurs étrangers: Objectif de l'organisation de concurrencer les acteurs étrangers dans ce domaine.
• Partenaires: Experts du domaine (étatiques et privés)
• Nombre de personnes formées en 2018: Plus de 500

Liste des formateurs agréés: Dispo sur le site web https://esdacademy.eu/listeformateurs.

Introduction à la cybersécurité en France

• Introduction aux menaces: Présentation des menaces pesant sur les organisations ces dernières années.
  • Types d'attaques variés et complexes
  • Nombreuses variantes des attaques.
• Exemples d'attaques récentes:
  • Bouygues Construction (janvier 2020): Initialement infectées du côté de Toronto et Vancouver.
  • Utilisant le ransomware Maze
  • Rançon de 10 000 000 USD

Quelques Chiffres

• Pourcentage de malwares via email: 94% (Verizon)
• Pourcentage de violations de données par des acteurs internes: 34% (Verizon)
• Secteurs d'activité ciblés: Organisations dans le secteur des soins et de la santé, les institutions de justice, etc.
• Augmentation des attaques sur les chaînes d'approvisionnement: 78% en 2019(Symantec)
• Secteur le plus impacté par les ransomwares: Le secteur santé.
• Les petites organisations touchées par les cyberattaques: 43%. (Verizon)
• Les estimations de 2019 pour le secteur de la santé touchée par les cyberattaques : 25 milliards USD (SafeAtLast)

L'évolution des systèmes d'information

• L'intégration du “IoT”: Évolution des systèmes d'information
• Utilisation de terminaux mobiles dans les organisations: Évolution des systèmes d'information
• Expansion des réseaux sociaux dans les organisations: Évolution des systèmes d'information
• Mobilité et expérience utilisateur: Évolution des systèmes d'information
• Externalisation des ressources: Évolution des systèmes d'information et autres aspects.

États / Nations

• Motivations des attaques (États/Nations): Cyberespionnage, déstabilisation politique, sabotage.

Hacktivistes

• Motivations des attaques (Hacktivistes): Idéologiques, dénonciation de faits, atteinte à l'image.

Cybercriminels

• Motivations des attaques (Cybercriminels): Gains financiers.

Script Kiddies

• Motivations des attaques (Script Kiddies): Défi, test, amusement.

Terroristes

• Motivations des attaques (Terroristes): Impacts potentiels sur l'organisation

États des lieux

• Profils d'attaquants: Différents groupes d'attaquants ayant des impacts differents.
• Détection et adaptation des mécanismes de défense: Difficile à repérer et adapter, difficulté à repérer les différents profils d'attaquant.

Vision des dirigeants vis-à-vis de la cybersécurité

• Association de la cybersécurité à l'informatique: Les dirigeants associent généralement la cybersécurité à l'aspect informatique
• Problèmes: Méconnaissance, maitrise du sujet, incompréhension des préjudices réels et impacts business, tendance à penser que les problèmes ne "se passe que chez les autres"

Structure organisationnelle

• Service sécurité associée au DSI et non à la direction générale: Problème de responsabilité et de priorisation
• Développement de la sécurité de l'information indépendant : Nécessité d'un lien fort avec la direction générale.

Conclusion (généralités)

• L'alignement du business avec la cybersécurité: Importance d'intégrer la cybersécurité dans la stratégie générale de l'organisation

1. Introduction à la cybersécurité en France

• 3. Présentation des différents corps d'état liés à la cybersécurité Française: Présentation des différents corps d'état (COMCYBER, DGA, ANSSI, etc.).

COMCYBER

• Domaine: Ministère des Armées
• Rôle: Protection des SI, définition des moyens RH, techniques et organisationnels nécessaires à la surveillance du réseau des armées, lutte défensive et offensive.
• Caractéristiques: 1000 + cyber combattants en 2018 ; 4400 visés pour 2025

DGA

• Domaine: Ministère des Armées
• Rôle: Conception des armes cyber, renseignement (renseignement ou au COMCYBER)
• Responsabilité: Maîtrise d'ouvrage des programmes d'armement

ANSSI

• Domaine: Premier ministre
• Rôle: Autorité nationale en matière de cybersécurité, préservation de la souveraineté numérique, prévention et bonnes pratiques, veille (CERT-FR), incidents sur systèmes sensibles.

Autres corps d'état

• Présentation(s) des autres corps d'Etat: Détailed pour chaque corps d'Etat.

4. Zoom sur l'ANSSI

• Création de l'ANSSI: Juillet 2009
• Rattachement: au SGDSN (Secrétariat général de la défense et de la sécurité nationale)
• Rôle principal: Assister le Premier ministre, lutte défensive & offensive.
• Remplacement de la Direction centrale de la sécurité des systèmes d'information: Décret de Juillet 2001.

3. Durcissement Windows

• 1) Sécurité des droits d'administration : Présentation des menaces potentielles liées aux droits d'administration, des scénarios d'attaque (ransomware, etc.) et des solutions de mitigation (restriction d'accès, comptes MSA, LAPS).

Windows, Durcissement des postes et Serveurs

• Objectifs: Présentation de techniques pour renforcer la sécurité d'administration des postes et serveurs Windows (bitlocker, TPMS, LSA, etc.).

Durée des session : gestion de session

• Gestion de session: Définition des différents types d'ouverture de session, possibilité d'interdire les différents types lors (via GPO)

3. Durcissement Windows, Durcissement des protocoles réseaux

• Authentification d'un système Windows, 2 protocoles d'authentification(NTLM & Kerberos): Présentation des protocoles d'authentification NTLM et Kerberos, les différents éléments composants, ainsi que les stratégies de sécurisation

4. Journalisation et surveillance avancée, Journalisation de systèmes systèmes.

• Journalisation et surveillance avancée, DLP: Technique DLP pour la protection des données, les différents types de données (in motion, in rest, in use).
• Solutions de DLP: FSRM, Systèmes de surveillance WMI.

5. Audit d'architecture et plan contre-mesures

• Étude de cas, différents groupes de hacker Présentation de la méthodologie et des étapes des attaques APT au travers de la matrice MITRE ATT&CK

Ressources

• Références à différents sites & documentation : liens internet, articles, etc.
• Crédits: ESDacademy, @esd_academy, J. Khalfa, A. Jawor.

Description

Testez vos connaissances sur les ransomwares et les violations de données. Ce quiz aborde diverses questions liées à la cybersécurité, y compris le montant des rançons et l'impact des cyberattaques sur différents secteurs. Mettez à l'épreuve votre compréhension des règles et des mesures de protection des informations sensibles.