Cours SupCom1 PDF
Document Details
Uploaded by HarmoniousLife6301
Université de Carthage
Tags
Related
Summary
This document provides an overview of information security, outlining key concepts such as different types of cyberattacks, vulnerabilities, and ways to address and mitigate these risks. It also covers the importance of cybersecurity policies and procedures.
Full Transcript
Sommaire La sécurité de SI 29/10/2024 Aperçu Les enjeux de la cybersécurité Protection des informations, qu’elles soient physiques ou électroniques, confidentielles ou non Protection des informations tout au long du cycle de vie (création, modification, collecte, stockage...
Sommaire La sécurité de SI 29/10/2024 Aperçu Les enjeux de la cybersécurité Protection des informations, qu’elles soient physiques ou électroniques, confidentielles ou non Protection des informations tout au long du cycle de vie (création, modification, collecte, stockage, suppression, etc.) Préserver la DIC Disponibilité Accessibilité en temps opportun : propriété des biens par les personnes autorisées Intégrité Propriété, exactitude et exhaustivité des biens et des informations Confidentialité 3 La propriété ne doit être accessible qu’aux personnes autorisées La traçabilité des données permet d’identifier qui a fait quoi, quand et comment ! Gestion de la sécurité de l’information Il s’agit de l’ensemble des mesures et moyens mis en œuvre pour protéger les différents actifs d’un système d’information contre les menaces menées par des moyens informatiques Vulnérabilité Menace Probabilité Risque -Protection insuffisante -Ddos -Degré d’impact -Indisponibilité, - Insuffisance des moyens - Hameçonnage de la menace : saturation, blocage de détection et de - Phishing sous -*Haut - Fraude traçabilité forme de lance -*Douleur - Vol, espionnage, - Comportement - Malware moyenne chantage imprudent -Intrusion -*Faible - Destruction des données/systèmes Une vulnérabilité exploitée constitue une menace et conduit à une cyberattaque ! Vulnérabilité ? Faiblesse d’un bien (conception, construction, installation, configuration ou utilisation). Matériel : Stockage non protégé, pas de calendrier de remplacement périodique,... Logiciel : Manque de mécanismes d’authentification,... Réseau : câblage médiocre, absence de preuve d’envoi/réception d’un message,... Personnel : Procédure de recrutement inadéquate, manque de sensibilisation à la sécurité, formation insuffisante à la sécurité Emplacement : manque de protection physique du bâtiment/portes et fenêtres, emplacement, etc. Organisation : Absence de procédure d’enregistrement (documentation Pv, etc.), absence de procédure disciplinaire en cas d’incident, absence de politique formelle sur l’utilisation des ordinateurs portables... Cyberattaques Cyberattaques Qu’est-ce qui a changé ? Développement technologique Vernissage & Exposition (les périmètres ne sont plus définis), Approche de sécurité basique et statique, le développement accru de la cybercriminalité (l’économie souterraine), Nouvelle motivation : géopolitique, espionnage, sponsoring d’État... Some statistics *Source: Agence Nationale de la Cyber Sécurité *Source: CHECK POINT SOFT WARE| SECURITY MID -YEAR REPORT 2023 Evolution des cyberattaques en Moyenne mondiale des attaques hebdomadaires par organisation Tunisie pour l’année 2023 et par secteur d’activité au 4e trimestre 2023 Bilan 2023 Le nombre d’attaques ne cesse de croître... Le secteur financier est le plus ciblé mais le mieux protégé Perte estimée à plus de 1,2 milliard de dinars Une plus grande notoriété au sein des entreprises ▪ Ransomware ▪ Conscience que la sécurité ne peut pas être ▪ Vol de données entièrement assurée par la technologie seule ▪ Paiement de la rançon ▪ Meilleure compréhension des risques potentiels ▪ Arrêt associés aux cyberattaques ▪ Dommages à l’image (non mesurables), ▪ Évolutions réglementaires et normes de sécurité plus strictes Cyber-attaque Une cyberattaque est tout type d’action offensive qui cible des systèmes informatiques, des infrastructures ou des réseaux, ou des ordinateurs personnels, en s’appuyant sur diverses méthodes pour voler, modifier ou détruire des données. Vol de données sensibles Maintenance d’accès indétectable Gain financier Impacts L’impact sur une entreprise après une cyberattaque peut être important et varié, en fonction de la nature et de l’ampleur de l’attaque, ainsi que de l’état de préparation de l’entreprise à y faire face Perte de clients/parts de marché Perte directe d’argent Perte de revenus /Sanctions Procédures judiciaires Atteinte à la réputation Vecteurs d’attaque Insider threats Vecteurs humains Phishing Exploiting vulnerabilities Vecteurs logiciels security Social engineering Vecteurs physiques Scams Malware Attaque de logiciels malveillants Un type de logiciel malveillant utilisé pour collecter des informations personnelles sur l’utilisateur sans son consentement Vous permet d’installer une série d’outils pour accéder à Généralement caché dans un Spyware distance à l’ordinateur piraté autre programme apparent Rootkit comme inoffensif qui effectue généralement une action Virus nuisible. Vecteur humain Keylogger Type de logiciel malveillant utilisé par les cybercriminels Ransomware pour dissimuler la présence Un logiciel informatique malveillant de type C&C, prenant d’autres logiciels malveillants ou des données en otage en les d’activités malveillantes sur un cryptant... Le pirate exige une système d’information rançon en échange d’une clé pour Trojan les déchiffrer. Type de logiciel malveillant qui se fait passer pour un programme légitime ou utile tout en effectuant des actions nuisibles à l’insu de l’utilisateur Attaque par force brute Une attaque par force brute est une tentative de déchiffrer un mot de passe ou un nom d’utilisateur, ou de trouver une page Web cachée ou la clé utilisée pour chiffrer un message Dans une attaque par force brute, le cybercriminel utilise des essais et des erreurs pour tenter de s’introduire dans un appareil, un réseau ou un site Web. An attacker using a dictionary Attaque de phishing Ingénierie sociale Il s’agit d’une pratique de manipulation psychologique humaine qui est utilisée pour obtenir « de manière invisible » des informations d’une personne ciblée. L’intention est de rediriger la victime vers un lien et de l’inciter à cliquer dessus. Contourner les fonctions Tri des données et informations Toutes les techniques d’ingénierie sociale sont basées sur les biais de sécurité pertinentes pour l’attaque cognitifs et psychologiques qui permettent à une personne de prendre une décision... Obtenir des informations ❑ Lieu de travail des utilisateurs ❑ Arnaque téléphonique ❑ Escroquerie en ligne Impact direct sur les clients Impact sur les données sensibles de l’entreprise + impact direct sur la réputation Attaque de phishing Phishing Il s’agit d’une technique frauduleuse utilisée par les pirates pour récupérer des Le phishing Spear informations sur la victime ou infecter ses classique phishing machines. L’intention est de rediriger la victime vers un lien et de l’inciter à cliquer dessus. Envoi d’e-mails + faux Campagne ciblant une entreprise très spécifique et sites pour voler les utilisant des moyens très données des clients sophistiqués Impact direct sur les clients Impact sur les données sensibles de l’entreprise + impact direct sur la réputation Attaque par ransomware Un logiciel informatique malveillant de type C&C, prenant des données en otage en les cryptant... Le pirate exige une rançon en échange d’une clé pour les déchiffrer. L’attaquant envoie des Le spam contourne le filtre La victime clique sur le lien spams/e-mails frauduleux anti-spam et arrive dans la Echec de l’antivirus malveillant boîte aux lettres L’attaquant tente de répondre au Envoi d’une notification de Le ransomware crypte les Le ransomware se connecte programme malveillant à d’autres demande de rançon données de la victime via son serveur C&C pour ordinateurs de l’entreprise donner des instructions Stealer attack Il s’agit d’une forme de cyberattaque où un logiciel malveillant est conçu pour voler des informations sensibles du PC infecté à partir du navigateur Web. Ces informations peuvent inclure des identifiants de connexion, des mots de passe, des informations de carte de crédit, des données personnelles et d’autres informations confidentielles. How to secure information? Qu’est ce qu’un SOC? Le Security Operations Center (SOC), ou Centre Opérationnel de Sécurité en français, est un élément central dans l'arsenal de la cybersécurité. En substance, le SOC est un hub stratégique dédié à la surveillance, à la détection, à l'analyse et à la réponse aux menaces informatiques en temps réel. Un Security Operations Center est une équipe hautement qualifiée suivant des définitions et des processus bien définis pour gérer les menaces et pour réduire les risques de sécurité. Qu’est ce qu’un SOC? Un Security Operations Centers (SOC) est conçu pour: Protéger les données et les actifs critiques Préparer la réponse aux cyber-urgences Aider pour assurer la continuité et la reprise efficace Renforcer l’infrastructure du métier Qu’est ce qu’un SOC? Le SOC a pour mission fondamentale d'assurer la sécurité des systèmes d'information d'une organisation. Il est le gardien vigilant, scrutant l'environnement numérique pour identifier toute activité suspecte, tout en travaillant de manière proactive pour minimiser les risques potentiels. Qu’est ce qu’un SOC? Le SOC se compose une équipe multidisciplinaire de professionnels de la sécurité informatique collabore pour garantir l'intégrité, la confidentialité et la disponibilité des données. Il opère de manière continue, 24 heures sur 24, 7 jours sur 7, pour anticiper, détecter et contrer les menaces, qu'elles soient internes ou externes. Pourquoi développer un SOC? Réduire les risques de l'Enterprise. Protéger le métier. Changer de la réponse réactive vers la mitigation proactive. Augmenter la visibilité sur l’environnement. Accomplir les exigences de conformité/légale. Les principales responsabilités du SOC ? Superviser, Analyser, Corréler & Escalader les évènements d’intrusion Développer une réponse appropriée; Protéger, Détecter, Répondre Conduire la Gestion d’Incident et les Investigation/Forensic Maintenir des relations avec la communauté de sécurité Assister les opérations en cas de crise Qu’est ce qu’un SOC? Un SOC…. Doit démontrer la conformité avec la règlementation Protéger la propriété intellectuelle et assurer la protection des données privées proprement Gérer les opérations de sécurité effectivement et efficacement Fournir une vue temps-réelle sur la situation actuelle de la sécurité Fournir une intelligence sur la sécurité et l’impact des menaces sur l’entreprise Permettre à l’entreprise de savoir Qui a Fait Quoi, Quand – et le prouver. Concevoir et Bâtir un SOC Il faut considérer plusieurs parties prenantes, des processus et des technologies nécessite une connaissance solide des besoins métiers et des ressources que l’IT peut déployer. People In-house staff Partners Customers Outsourced Providers Threat Analysis Compliance Mgmt Change Mgmt Risk Assessment Process Vulnerability Mgmt Identity & Access SLA Mgmt Incident Mgmt Log Management Compliance Reporting Event Correlation Threat Reporting Technology Identity & Vulnerability Scanners Ticketing System Change Tracking Desktop Mgmt Concevoir et Bâtir un SOC Des compétences: Analystes de Un Framework Sécurité, Responsable de opérationnel de Shift, SOC managers processus Un espace physique Bâtir un SOC implique plusieurs domaines Ressources Processus humaines Gouvernance Technologie Métriques Bâtir un SOC Processus À quoi ressemble le plan? Comment mesurons-nous les progrès et les objectifs? Quelle est la conception optimale des processus de base? (P. Ex. Gestion des incidents, tuning, etc.) Processus et amélioration continue Bâtir un SOC: Déterminer les processus Le nombre de processus et de procédures pour un SOC est déterminé par sa portée, le nombre de services offerts, le nombre de clients pris en charge et le nombre des différentes technologies utilisées. Un environnement SOC global établi peut avoir des dizaines voire des centaines de procédures. Au minimum, les procédures de base qui sont requises pour maintenir le SOC sont: Procédure de surveillance. Procédure de notification (courrier électronique, mobile, accueil, chat, etc.). Processus de notification et d'escalade. Transition des services quotidiens du SOC. Procédures de journalisation des Shifts. Procédures d'enregistrement des incidents. Procédure de surveillance de la conformité. Procédure de rédaction de rapport. Procédure de création d'un tableau de bord. Procédures d‘investigation (logiciels malveillants, etc.). Bâtir un SOC Gouvernance / Métriques Visibilité du tableau de bord et surveillance Politique, mesure et renforcement Gouvernance intégrée qui équilibre les opérations quotidiennes avec la planification stratégique Informer les parties prenantes Informer les employés Bâtir un SOC Technologie Architecture SIEM et cas d'utilisation Types de journaux et options de journalisation Intégration de plate-forme; ticketing.. Web Services pour les intégrer La technologie devrait améliorer l'efficacité et l'efficience Un SIEM ? Voici les principales caractéristiques et fonctions d'un SIEM : 1.Collecte des Données : Un SIEM collecte des données provenant de différentes sources au sein d'un environnement informatique, y compris les journaux d'événements, les alertes de sécurité, les logs système, les flux réseau, et plus encore. 2.Agrégation et Normalisation : Les données collectées sont agrégées et normalisées pour permettre une analyse cohérente. Cela implique la normalisation des formats de données afin de les rendre compatibles et comparables. 3.Corrélation des Événements : Un SIEM analyse les données à la recherche de schémas, de corrélations et de tendances qui pourraient indiquer des activités malveillantes. Il relie les événements apparemment isolés pour obtenir une image plus complète. 4.Alertes et Notifications : En cas de détection d'un événement suspect ou d'une activité anormale, le SIEM génère des alertes et des notifications pour informer les équipes de sécurité. 5.Stockage et Archivage : Les données collectées sont stockées de manière sécurisée pour permettre une analyse rétrospective, la conformité réglementaire et la gestion des incidents. 6.Rapports et Tableaux de Bord : Les SIEM génèrent des rapports et des tableaux de bord qui fournissent une vue d'ensemble de l'état de la sécurité, des tendances d'activité, et des détails sur les incidents. 7.Réponse aux Incidents : Les SIEM peuvent faciliter la réponse aux incidents en fournissant des informations détaillées sur les menaces, en automatisant certaines actions de réponse, et en aidant à la récupération après un incident. Les bons pratiques Authentification multifactorielle Multi-factor authentication (MFA) is a security method that requires more than one authentication method from different categories to verify a user's identity. It enhances account security by requiring the presentation of multiple forms of proof of identity, making it more difficult for attackers to compromise accounts. Facteur de ✓ Mot de passe connaissance ✓ PIN ✓ Token connecté Facteur de ✓ Jeton non possession connecté ✓ Empreinte Facteur digitale d’inhérence ✓ Rétine ✓ Voix Protection contre les logiciels malveillants et mises à jour de sécurité Les mises à jour de version apportent généralement de nouvelles fonctionnalités et corrigent également les vulnérabilités de sécurité Installez une solution antivirus et mettez-la à jour régulièrement Appliquer des mises à jour importantes ou critiques Signalement des événements de sécurité de l’information La gestion des incidents de sécurité doit être conforme au processus de gestion des incidents de sécurité Tout incident de sécurité de l’information doit être signalé Ne prenez jamais d’initiative personnelle pour enquêter ou résoudre Utilisation des services de messagerie Les services de messagerie électronique sont considérés comme les premiers points d’entrée pour les cybercriminels, car ils offrent un moyen direct de communiquer avec les utilisateurs et contiennent souvent des informations sensibles Les services de messagerie sont des outils de travail, ils ne doivent être utilisés qu’à des fins professionnelles N’ouvrez pas les pièces jointes d’un message provenant d’une source douteuse Méfiez-vous des emails qui contournent les canaux habituels, comme un devis joint qui parvient au mail du DSI au lieu de celui du service achats Ne modifiez jamais l’historique et les lignes d’objet des e-mails en cas de Réponse ou de Redirection Ne transmettez pas, en texte brut, des pièces jointes contenant des informations « confidentielles » ou « secrètes » Prenez votre temps et ne répondez jamais à un e-mail urgent avant d’avoir vérifié Une navigation en toute sécurité La navigation dite saine permet aux utilisateurs de renforcer leur vie privée en ligne et de réduire le risque d’exposition à des menaces potentielles. Ne jamais transmettre ou publier sur Internet ou les réseaux sociaux (Facebook, Linkedin, Twitter, Instagram, etc.) des informations classées « Internes », « Confidentielles » ou « Secrètes » Refuser les offres de téléchargement via Internet, notamment gratuitement Limitez les informations partagées en ligne et réfléchissez bien avant de partager des informations personnelles en ligne, notamment sur les réseaux sociaux Ajustez les paramètres de confidentialité pour contrôler qui peut voir les données publiées Identification/authentification Les comptes d’accès sont personnels et doivent être protégés de manière adéquate pour assurer la sécurité des informations et des ressources qu’ils permettent d’atteindre Ne jamais communiquer, échanger ou divulguer des comptes d’accès Refuse offers to download via the Internet, especially free of charge Limitez les informations partagées en ligne et réfléchissez bien avant de partager des informations personnelles en ligne, notamment sur les réseaux sociaux Ajustez les paramètres de confidentialité pour contrôler qui peut voir les données publiées Politique de nettoyage du bureau et de l’écran de verrouillage protéger adéquatement les informations électroniques mises à leur disposition Appliquer la politique de nettoyage des bureaux pour ne pas laisser les documents sensibles accessibles à des utilisateurs externes Assurez-vous que les sessions système et/ou d’application sont verrouillées ou fermées En cas d’absence Bons pratiques L’humain est le premier obstacle aux cyberattaques La sécurité est la Un mauvais clic peut détruire responsabilité de tous toute la sécurité de l’entreprise Chacun d’entre nous est responsable, protecteur et participe activement à aider les autres à se protéger QUIZ Qu'est-ce que signifie l'acronyme "SOC" en cybersécurité ? a) Service d'Ordinateurs Centralisés b) Centre Opérationnel de Sécurité c) Système d'Opérations Cryptographiques Sommaire Quel est le rôle principal d'un SOC ? a) Développer des logiciels de sécurité b) Surveiller, détecter et répondre aux menaces de sécurité c) Gérer les ressources humaines de l'informatique Quelle est la fonction du SIEM dans un SOC ? a) Analyser les performances des serveurs b) Gérer les incidents de sécurité c) Agréger et normaliser les données de sécurité QUIZ Pourquoi un SOC fonctionne-t-il 24/7 ? a) Parce que c'est une tendance à la mode b) En raison de la nature imprévisible des attaques de sécurité c) Pour économiser de l'énergie Sommaire Quelle est la principale raison d'implémenter la corrélation d'événements dans un SOC ? a) Améliorer la vitesse de connexion Internet b) Identifier des schémas ou des relations significatifs entre les événements c) Réduire la consommation d'énergie des serveurs Qu'est-ce qu'un ransomware ? A) Un logiciel qui collecte des informations sur les habitudes de navigation B) Un programme qui chiffre les fichiers d'un utilisateur et demande une rançon pour les déchiffrer C) Un virus qui se propage via les e-mails D) Un outil qui permet de surveiller les frappes de clavier QUIZ Quelle est la principale fonction d'un keylogger ? A) Crypter les données de l’utilisateur B) Enregistrer les frappes de clavier pour voler des informations sensibles C) Détruire les fichiers sur un disque dur D) Bloquer l’accès à Internet Sommaire Qu'est-ce qu'un ver informatique (worm) ? A) Un virus qui se lie à un programme spécifique pour se propager B) Un programme autonome qui se réplique pour se propager à travers les réseaux C) Un logiciel qui enregistre les frappes de l’utilisateur D) Un fichier qui envoie des spams Quelle est la principale différence entre un virus et un ver ? A) Un virus nécessite l’intervention de l’utilisateur pour se propager, alors qu’un ver se propage automatiquement B) Un ver détruit les fichiers, tandis qu’un virus crypte les données C) Un virus cible les réseaux sociaux, alors qu’un ver cible les sites de e-commerce D) Un ver est plus lent qu'un virus dans la propagation QUIZ Qu'est-ce qu'un stealer ? A) Un logiciel conçu pour voler des informations personnelles, comme des mots de passe et des identifiants B) Un programme qui supprime les fichiers système C) Un virus qui crypte les fichiers Sommaire D) Un type de rançongiciel Comment un Trojan (cheval de Troie) infecte-t-il un système ? A) Il se propage automatiquement via les réseaux B) Il se cache dans un programme apparemment légitime et s’installe une fois que l’utilisateur exécute ce programme C) Il enregistre les frappes de clavier pour voler des données D) Il chiffre les fichiers de l’utilisateur et demande une rançon
