Introduction à la cybersécurité

Questions and Answers

Quelle est la définition de la sécurité de l'information ?

La sécurité de l'information est l'ensemble des systèmes, des stratégies et des moyens techniques mis en place pour protéger un système informatique contre toute utilisation malveillante, violation, intrusion ou vol de données, tout en respectant la triade CID.

Quels sont les trois composants de la triade CID ?

Confidentialité, Intégrité, Disponibilité.

Définissez la confidentialité dans le contexte de la sécurité de l'information.

C'est la protection contre l'accès non autorisé aux informations.

Définissez l'intégrité dans le contexte de la sécurité de l'information.

C'est la protection contre la modification non autorisée des informations.

Définissez la disponibilité dans le contexte de la sécurité de l'information.

C'est la protection contre le déni d'accès aux informations.

Qu'est-ce que le Cube de McCumber ?

C'est un outil développé par John McCumber pour aider à gérer la protection des réseaux, des domaines et de l'Internet en considérant trois dimensions : les principes de sécurité (CID), les états de l'information (transmission, stockage, traitement) et les contre-mesures (technologie, politiques/pratiques, personnes).

Quelles sont les trois dimensions du Cube de McCumber ?

Principes de sécurité, États de l'information, Contre-mesures (C)

Quels sont les trois états de l'information définis dans le Cube de McCumber ?

Transmission (données en transit), Stockage (données au repos), Traitement (données en cours d'utilisation).

Quelles sont les trois catégories de contre-mesures définies dans le Cube de McCumber ?

Technologie, Politiques et bonnes pratiques, Personnes.

Quelle est la définition de la Cybersécurité ?

La Cybersécurité est la pratique qui consiste à protéger les systèmes critiques et les informations sensibles contre les attaques numériques.

La sécurité informatique couvre un spectre plus large que la cybersécurité, incluant la protection physique.

True (A)

Qu'est-ce qu'un Système d'Information (S.I.) ?

Un ensemble des ressources destinées à collecter, classifier, stocker, gérer et diffuser les informations au sein d'une organisation.

Qu'est-ce qu'une vulnérabilité en cybersécurité ?

Une faiblesse au niveau d'un bien (système, application, processus) qui peut être exploitée par une menace.

Qu'est-ce qu'une menace en cybersécurité ?

Une cause potentielle d'un incident qui pourrait entraîner des dommages sur un bien si elle se concrétisait en exploitant une vulnérabilité.

Qu'est-ce qu'un exploit en cybersécurité ?

Un outil ou une technique créé pour tirer parti d'une vulnérabilité spécifique dans un système informatique.

Qu'est-ce qu'un exploit zero-day ?

Un exploit qui cible une vulnérabilité inconnue du développeur du logiciel ou non encore corrigée. L'attaque survient le jour même (ou avant) où la vulnérabilité est rendue publique ou découverte par les défenseurs.

Qu'est-ce qu'une charge utile (payload) dans le contexte d'un exploit ?

Le programme malveillant (ex: ransomware, spyware) qui est délivré et exécuté sur le système cible une fois la vulnérabilité exploitée.

Qu'est-ce qu'une attaque en cybersécurité ?

Une action malveillante destinée à porter atteinte à la sécurité d'un bien (système, données).

Une attaque représente la concrétisation d'une _____, et nécessite l'exploitation d'une _____.

menace, vulnérabilité

Associez chaque type de menace liée à l'échange d'informations à sa description.

Interruption = Un atout du système devient indisponible (attaque contre la disponibilité). Interception = Une partie non autorisée obtient un accès à un atout (attaque contre la confidentialité). Modification = Une partie non autorisée modifie un atout (attaque contre l'intégrité). Fabrication = Une partie non autorisée insère de faux éléments dans le système (attaque contre l'authenticité).

Qu'est-ce qu'une attaque par Déni de Service Distribué (DDoS) ?

Une attaque informatique visant à rendre un service indisponible en submergeant la cible (serveur, réseau) avec une grande quantité de trafic provenant de multiples sources compromises.

Qu'est-ce qu'une attaque de l'Homme du Milieu (MitM) ?

Une attaque où l'attaquant intercepte secrètement les communications entre deux parties sans qu'elles s'en rendent compte, pouvant potentiellement lire ou modifier les messages échangés.

Qu'est-ce que la Cyber Kill Chain ?

Un modèle (proposé par Lockheed Martin) qui décompose une cyberattaque en plusieurs étapes séquentielles, de la reconnaissance initiale aux objectifs finaux de l'attaquant.

Listez les 7 étapes de la Cyber Kill Chain de Lockheed Martin.

Reconnaissance, Armement (Weaponization), Livraison (Delivery), Exploitation, Installation, Commande et Contrôle (C2), Actions sur les objectifs.

Qu'est-ce que la défense en profondeur (Defense in Depth - DiD) ?

Une stratégie de cybersécurité qui utilise plusieurs couches de mécanismes de sécurité superposés pour protéger les actifs. Si une couche échoue, une autre est là pour contrer l'attaque.

Quel est le principe fondamental du modèle "Zero Trust" ?

Aucun utilisateur, dispositif ou connexion réseau n'est considéré comme fiable par défaut, même s'il se trouve à l'intérieur du périmètre réseau de l'entreprise. Chaque accès doit être vérifié.

Qu'est-ce qu'une Blue Team en cybersécurité ?

L'équipe responsable de la défense d'une organisation contre les cyberattaques. Elle utilise divers outils et techniques pour protéger, détecter et répondre aux incidents de sécurité.

Qu'est-ce qu'une Red Team en cybersécurité ?

Une équipe qui simule les tactiques et techniques des attaquants (adversaires) pour tester l'efficacité des défenses (Blue Team) d'une organisation.

Qu'est-ce qu'une Purple Team en cybersécurité ?

Une équipe ou fonction qui assure la collaboration et la communication entre la Red Team (attaque) et la Blue Team (défense) pour optimiser la cybersécurité globale.

Associez chaque type de hacker à sa description principale.

White Hat = Hacker éthique qui utilise ses compétences pour défendre les systèmes d'information dans un cadre légal. Black Hat = Hacker mal intentionné ('cracker') qui attaque les systèmes pour nuire ou pour un gain personnel illégal. Gray Hat = Hacker qui peut parfois violer la loi ou l'éthique mais n'a pas nécessairement les intentions malveillantes d'un Black Hat; peut révéler des failles publiquement. Script Kiddie = Individu utilisant des outils de piratage existants sans nécessairement comprendre leur fonctionnement, souvent peu expérimenté. Hacktiviste = Hacker agissant pour une cause politique ou sociale.

Quel critère complémentaire est souvent ajouté à la triade CID ?

La Preuve (ou Non-répudiation).

La _____ protège contre les dysfonctionnements et accidents involontaires, tandis que la _____ protège contre les actions malveillantes volontaires.

Sûreté, Sécurité

Donnez des exemples de mécanismes de sécurité techniques.

Anti-virus, Pare-feu (Firewall), Cryptographie, Contrôles d'accès logiques, Systèmes de détection d'intrusion (IDS/IPS).

Donnez des exemples de mécanismes de sécurité organisationnels.

Politiques de sécurité, Formation et sensibilisation des utilisateurs, Clauses contractuelles avec les partenaires, Capacité d'audit, Sécurité physique des locaux.

Flashcards

Confidentialité

La protection contre l'accès non autorisé aux informations.

Intégrité

La protection contre la modification non autorisée des informations.

Disponibilité

La protection contre le déni d'accès aux informations.

Le Cube de McCumber

Un outil pour aider à gérer la protection des réseaux, domaines et de l'Internet.

Transmission

Transfert de données entre systèmes d'information.

Stockage

Données au repos, telles que celles stockées en mémoire ou sur un disque dur.

Traitement

Réalisation d'opérations sur des données afin d'atteindre un objectif souhaité.

Politiques et bonnes pratiques

Contrôles administratifs, tels que les directives de gestion.

Technologie

Solutions logicielles et matérielles conçues pour protéger les systèmes d'information.

Cybersecurité

La pratique qui consiste à protéger les systèmes critiques et les informations sensibles contre les attaques numériques.

Système d'Information (S.I.)

Ensemble des ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d'une organisation.

Vulnérabilité

Faiblesse au niveau d'un bien.

Menace

Cause potentielle d'un incident, qui pourrait entraîner des dommages sur un bien si cette menace se concrétisait.

Exploit

Un outil créé pour exploiter une vulnérabilité donnée.

Attaque

Action malveillante destinée à porter atteinte à la sécurité d'un bien.

Menace persistante évoluée

Attaque prolongée et ciblée par laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une longue période.

Fraude interne

Tromperie ou dissimulation intentionnelle dans le but d'obtenir un gain financier personnel.

Hameçonnage et ingénierie sociale

Tout contenu qui amène les utilisateurs à effectuer une action dangereuse, comme révéler des informations confidentielles ou télécharger un logiciel.

Virus

Programme informatique malveillant dont l'objectif est de perturber le fonctionnement normal d'un système informatique à l'insu de son propriétaire.

Homme du milieu (MitM)

Attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre puisse se douter que le canal de communication entre elles a été compromis.

Déni de service distribué

Attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser.

Cyber Kill Chain

Divise une cyberattaque en sept étapes pour identifier et contrer les menaces.

Reconnaissance

L'attaquant collecte des informations sur la cible.

Armement

Création d'un outil de cyberattaque (malware) destiné à exploiter les failles découvertes.

Livraison

Transmission de la charge utile via des méthodes comme le phishing ou des sites malveillants.

Exploitation

Activation de la charge utile pour pénétrer le système cible.

Installation

Mise en place d'un accès à distance pour maintenir une présence.

Command and Control (C2)

Contrôle à distance des systèmes compromis.

Défense en profondeur (DEP)

doctrine de Cybersécurité dans laquelle une série de mécanismes défensifs sont superposés afin de protéger des données et des informations précieuses.

Zero trust

Une stratégie de cybersécurité centrée sur les données pour l'informatique d'entreprise qui part du principe qu'aucun utilisateur final, aucun dispositif informatique, aucun service web ou aucune connexion réseau n'est fiable.

Blue Team

Utiliser les outils, protocoles, systèmes et autres ressources de sécurité pour protéger l'entreprise et identifier les failles dans ses capacités de détection.

Posture offensive

Une approche proactive pour protéger les systèmes informatiques, les réseaux et les individus contre les attaques.

White Hat (hackers bien intentionnés)

Utilisent leur talent de hacker dans le but de défendre les entreprises.

Hacktivistes

Agissent pour une cause souvent politique.

CID

Les 3 critères indispensables (Confidentialité, Intégrité, Disponibilité)

Preuve

Propriété d'un bien permettant de retrouver, avec une confiance suffisante, les circonstances dans lesquelles ce bien évolue.

Anti-virus

Mecanisme technique permettant de détecter toute attaque virale qui a déjà été identifiée par la communauté sécurité

Pare-feu

Équipement permettant d'isoler des zones réseaux entre-elles et de n'autoriser le passage que de certains flux seulement

Contrôles d'accès logiques

Mécanismes permettant de restreindre l'accès en lecture/écriture/suppression aux ressources aux seules personnes dument habilitées

Sûreté

Protections contre dysfonctionnements et accidents involontaires

Sécurité

Protection contre les actions malveillantes volontaires

Study Notes

• Cybersecurité 2024-2025 par Dr Maha Charfeddine.

Chapitre 1: Introduction à la sécurité informatique

• Introduction à la notion de sécurité.
• Compréhension de la cybersécurité.
• Connaissance des objectifs de la cybersécurité.

Notion de sécurité informatique

• La sécurité de l'information comprend les systèmes, stratégies et moyens techniques mis en place pour protéger un système informatique contre toute utilisation malveillante, violation, intrusion ou vol de données.
• La sécurité s'articule autour de la triade CID : Confidentialité, Intégrité, Disponibilité.
• Confidentialité : Protection contre l'accès non autorisé aux informations.
• Intégrité : Protection contre la modification non autorisée des informations.
• Disponibilité : Protection contre le déni d'accès aux informations.

Le Cube de McCumber

• Le Cube de McCumber est un outil développé par John McCumber pour gérer la protection des réseaux, des domaines et de l'Internet.
• Le cube a trois dimensions : Confidentialité, Intégrité et Disponibilité (principes de sécurité), les états de l'information et les contre-mesures.
• Les états de l'information sont de trois types: transmission (données en transit), stockage (données au repos), et traitement (opérations sur les données).
• Les contres-mesures, ou mesures de protection de la cybersécurité, sont constituées des compétences et disciplines de sécurité.
• Elles consistent en: politiques et bonnes pratiques, sensibilisation des personnes et technologie.

Comprendre la Cybersécurité

• La cybersécurité est la pratique qui consiste à protéger les systèmes critiques et les informations sensibles contre les attaques numériques.
• Les archives des organismes médicaux, du gouvernement, des entreprises et des institutions financières regorgent d'informations personnelles, ce qui rend la cybersécurité essentielle.
• Les entreprises peuvent être victimes de vol de données, d'effacement de données ou de fraude.

Différences entre sécurité et cybersécurité

• La cybersécurité se concentre sur la protection contre les cyberattaques et les menaces numériques, notamment les données, les réseaux et les systèmes.
• La sécurité informatique couvre un spectre plus large, incluant la protection physique des appareils et infrastructures.
• L'objectif principal de la cybersécurité est de défendre contre les attaques cybernétiques et de protéger les informations en ligne.
• La sécurité informatique vise à sécuriser l'ensemble du système informatique contre toute forme de perturbation ou d'accès non autorisé.

Terminologie: Système d'Information (S.I.)

• Ensemble de ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d'une organisation.
• Le S.I. doit permettre et faciliter la mission de l'organisation.
• Le système d'information d'une organisation contient un ensemble d'actifs (biens): les actifs primordiaux et les actifs supports.
• La sécurité du S.I. consiste donc à assurer la sécurité de l'ensemble de ces biens.
• Une mauvaise cybersécurité peut impacter : les finances, l'image et la réputation, les enjeux juridiques ou réglementaires, ou l'organisation.

Notion de vulnérabilité

• Vulnérabilité : faiblesse au niveau d'un bien (conception, réalisation, installation, configuration ou utilisation du bien).
• Exemples : emplacement situé dans une zone inondable, travail non surveillé des équipes extérieures, utilisation de logiciels ou systèmes d'exploitation non supportés, absence de mises à jour régulières.

Notion de menace

• Menace : cause potentielle d'un incident pouvant entraîner des dommages à un bien si elle se concrétise.
• Exemples : code malveillant ou pirate volant des documents, perte de service causant l'inondation, stagiaire mal intentionné usurpant l'identité.

Notion d'exploit

• Exploit : outil créé pour exploiter une vulnérabilité.
• Si on considère que la faille est une fenêtre ouverte sur le système, l'exploit est la corde ou l'échelle qu'utilise le voleur pour atteindre cette fenêtre.
• Lorsque les exploits sont utilisés pour installer des programmes malveillants, le programme malveillant est appelé charge (payload).
• Exploits zero-day : exploits inconnus qui sont créés immédiatement après qu'une vulnérabilité a été découverte.

Notion d'attaque

• Attaque : action malveillante destinée à porter atteinte à la sécurité d'un bien.
• Une attaque nécessite l'exploitation d'une vulnérabilité.
• Exemples : attaques par logiciel malveillant, déni de service (DDoS), attaque de l'homme au milieu (MitM).
• Cas pratique : Contournement de l'authentification dans l'application VNC

Menaces liées aux échanges d'informations

• Interruption : Un atout du système est détruit ou devient indisponible ou inutilisable. C'est une attaque portée à la disponibilité.
• Interception : Une tierce partie non autorisée obtient un accès à un atout. C'est une attaque portée à la confidentialité.
• Modification : Une tierce partie non autorisée obtient accès à un atout et le modifie de façon (presque) indétectable. Il s'agit d'une attaque portée à l'intégrité.
• Fabrication : Une tierce partie non autorisée insère des contrefaçons dans le système. C'est une attaque portée à l'authenticité.

Menaces courantes

• Virus : perturbe le fonctionnement normal d'un système informatique à l'insu de son propriétaire.
• Hameçonnage & ingénierie sociale : contenu amenant les utilisateurs à effectuer une action dangereuse.
• Fraude interne : tromperie ou dissimulation intentionnelle pour obtenir un gain financier personnel.
• Déni de service distribué : rend un service indisponible.
• Menace persistante évoluée : attaque prolongée et ciblée par laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une longue période.
• Homme du milieu (MitM) : intercepte les communications entre deux parties.
• Attaque sophistiquée sur les objets connectés.

Objectifs de la Cybersécurité

• Le modèle Lockheed Martin Cyber Kill Chain divise une cyberattaque en sept étapes, permettant aux professionnels de la cybersécurité d'identifier et de contrer les menaces.
• Les étapes sont: reconnaissance, armement, livraison, exploitation, installation, command and control (C2), actions sur les objectifs.
• La défense en profondeur (DEP) est une doctrine de Cybersécurité dans laquelle une série de mécanismes défensifs sont superposés afin de protéger les données et les informations précieuses.
• Le modèle "Zero Trust" est une stratégie de cybersécurité centrée sur les données, qui suppose qu'aucun utilisateur final, dispositif, service web ou connexion réseau n'est fiable.

Exercices de défense

• Blue Team utilise les outils, protocoles, systèmes et autres ressources de sécurité pour protéger l'entreprise et identifier les failles dans ses capacités de détection.
• Exemples : recherche DNS pour identifier des domaines suspects, analyse du trafic réseau, audits, etc.

Posture offensive

• La posture offensive est une approche proactive pour protéger les systèmes informatiques, en attaquant son propre système pour en découvrir les points faibles et y apporter des solutions.
• Différents types d'attaquants : White Hat (hackers bien intentionnés), Gray Hat, hackers sponsorisés, script-kiddies, Black Hat (hackers mal intentionnés), hacktivistes.
• Exemples d'activités de simulation d'attaque : test d'intrusion, ingénierie sociale, interception des communications, clonage des cartes d'accès

Comparatif des deux approches (Red Team/Blue Team)

• Identifier les erreurs de configuration et les lacunes dans la protection offerte par les solutions de sécurité existantes.
• Renforcer la sécurité du réseau afin de détecter les attaques ciblées et de réduire le temps de propagation.
• Développer les compétences et la maturité des fonctions de sécurité de l'entreprise.

Purple team

• L'équipe Purple Team assure la collaboration entre la Red Team (attaque) et la Blue Team (défense), optimisant ainsi la cybersécurité.
• Permet de coordonner les deux équipes, améliorer les stratégies de défense et former la Blue Team.

L'évaluation CID(P)

• Pour évaluer le niveau de sécurité d'un bien du S.I., il faut considérer trois critères indispensables : Confidentialité, Intégrité, Disponibilité plus la preuve
• Pour être correctement sécurisé, il faut auditer son niveau de Confidentialité, Intégrité, Disponibilité plus la preuve.
• Les niveaux peuvent être fort, moyen ou faible.

Sûreté vs. Sécurité

• Sûreté se concentre sur la protection contre les dysfonctionnements et accidents involontaires.
• Sécurité vise à protéger contre les actions malveillantes volontaires.

Mécanismes de sécurité

• Les mécanismes de sécurité sont des outils pour atteindre les besoins de Confidentialité, Intégrité et Disponibilité, tels que :
  • Anti-virus et dispositifs de détection d'intrusion
  • Cryptographie
  • Pare-feu
  • Contrôles d’accès logiques et physiques
  • Politique de sauvegarde, reprise et continuité des activités
  • Capacité d'audit
  • Clauses contractuelles avec les partenaires
  • Formation et sensibilisation
  • Tests d’intrusion
  • Assurance