Livret Stagiaire Formation Cyberdéfense 2022 PDF
Document Details
Uploaded by NonViolentParody8277
2022
Tags
Related
Summary
This document is a training manual for cybersecurity, covering the construction of a defense strategy. It analyzes various attack profiles and methods employed by different cyberattackers in various contexts. The document includes a brief overview of cyber threats to organizations in France, highlighting past attacks on corporations like Bouygues Construction. The manual also touches upon the different types and motives of attackers, such as nation-states, hacktivists, cybercriminals, script kiddies, and terrorists.
Full Transcript
Cyberdéfense Construction d’une stratégie de défense LIVRET STAGIAIRE Durée : 5 jours Version : 001 L’ESD academy Comment ouvrir ce document ? Pour...
Cyberdéfense Construction d’une stratégie de défense LIVRET STAGIAIRE Durée : 5 jours Version : 001 L’ESD academy Comment ouvrir ce document ? Pour ouvrir le manuel du candidat de manière optimale, veuillez cliquer sur le menu (trois points verticaux) et sélectionner "Ouvrir les commentaires du présentateur". Vous pouvez adapter la fenêtre et ainsi avoir les planches sur la gauche et le texte (commentaires) sur la droite. Fondée en 2015, l'ESD academy a pour mission d'apporter des formations, des certifications et un mastère en cybersécurité pour les organisations francophones et européenne. Notre objectif est clairement identifié, concurrencer les acteurs étrangers dans la formation et la reconnaissance en sécurité des systèmes d'information. Pour y arriver nous regroupons autour d'un label, des experts du domaine (étatiques et privés) pour de la création de contenu et l'enseignement. Partie d'un modèle startup, nous dépassons les 500 personnes formés en 2018 dans les domaines de l'offensif, défensif et de la gouvernance pour des clients stratégiques dans le secteur de la cybersécurité française. La liste des formateurs agréés ESD academy se trouve ici : https://esdacademy.eu/listeformateurs L’ESD academy Formations, diplômes, certifications en cybersécurité. L’ESD academy est une organisation créée en 2014 dont l’objectif est d’apporter des formations, des certifications et un mastère en cybersécurité MadeInFrance Vous pouvez retrouver la liste des formateurs officiels de l’ESD : https://esdacademy.eu/esd-formateurs/ Depuis notre création en 2014, l’ESD Cybersecurity Academy s’est imposée comme une référence incontournable dans le domaine de la cybersécurité. Forts de notre expérience et de notre engagement continu, nous avons pour mission de former les talents de demain, capables de répondre aux défis toujours croissants de la sécurité numérique. En 2023, nous avons franchi une étape majeure en célébrant notre 1000ème diplômé. Nos diplômés, qui occupent aujourd’hui des postes clés au sein des plus grands acteurs de la cybersécurité, font la fierté de notre académie. Notre mastère en cybersécurité, conçu conjointement avec la société AstonBySqli, est plus qu’une simple formation : c’est un diplôme d’État RNCP de niveau 7, reconnu sous le numéro RNCP36399. Cette collaboration unique garantit une formation à la pointe des besoins actuels du marché, alliant théorie rigoureuse et pratique immersive. Que vous choisissiez de nous rejoindre en ligne ou en présentiel, vous bénéficierez d’un accompagnement personnalisé, de ressources pédagogiques de pointe et d’un réseau professionnel solide. À l’ESD Cybersecurity Academy, nous ne formons pas seulement des experts en sécurité : nous façonnons les leaders de demain. La liste des formateurs agréés ESD academy se trouve ici : https://esdacademy.eu/esd- formateurs/ Sommaire 1. Introduction à la cybersécurité en France 2. Audit de la cybersécurité des systèmes d'information 3. Durcissement des infrastructures Windows 4. Une défense alignée aux attaques 1. Introduction à la cybersécurité en France 1) Introduction aux menaces pesant sur les organisations ces dernières années 2) Vision des dirigeants vis-à-vis de la cybersécurité 3) Présentation des différents corps d’état liés à la cybersécurité Française 4) Zoom sur l’ANSSI Introduction aux menaces pesant sur les organisations françaises ces dernières Tour d’horizon années Ces dernières années, les entreprises et les institutions ont été victimes de nombreux types d’attaques plus ou moins complexes à détecter et à arrêter. Même si les approches peuvent rester similaires, il existe un nombre important de variantes permettant ces attaques. Exemple d’attaque récente : Bouygues Construction (30 jan 2020). Les premières machines ont été infectées du côté de Toronto et Vancouver. L’attaque, selon d’autres sources serait partie d’Asie. Attaquant : Groupe Maze (Ransomware) Rançon : 10 000 000$ Introduction aux menaces pesant sur les organisations françaises ces dernières Quelques chiffres années 94% des malwares sont délivrés par email (Verizon) 34% des violations de données impliquent des acteurs internes (Verizon) Verizon est une importante entreprise de télécommunications américaine spécialisée dans les services mobiles Introduction aux menaces pesant sur les organisations françaises ces dernières Quelques chiffres années impactés que d’autres en fonction Certains secteurs d’activité peuvent être plus des informations détenues et échangées, en voici quelques exemples : ○ 43% des victimes sont des petites organisations (Verizon). ○ Les pertes estimées en 2019 pour le secteur des soins et de la santé sont de $25 milliards (SafeAtLast). ○ Les attaques sur les chaînes d’approvisionnement ont augmenté de 78% en 2019 (Symantec). ○ L’industrie avec le plus grand nombre d'attaques par ransomware est le secteur de la santé. Source: https://safeatlast.co/blog/ransomware-statistics/ Selon certaines périodes et évènements, certains secteurs sont plus ciblées que d’autres par les attaquants. Fin d’année 2020 : les institutions de justice Fin 2019 - Début 2020 : Le secteur de la santé (notamment durant la pandémie COVID-19) Introduction aux menaces pesant sur les organisations françaises ces dernières Différentes cibles en fonction des secteursannées d’activité les En fonction des différents objectifs visés par attaquants et de leurs profils, un certain nombre de secteurs d’activités ressortent comme étant principalement visés de par : ○ Le contenu de leurs systèmes d’information ○ Leur positionnement sur le marché national ou international ○ Leur implication géopolitique Source: https://www.hackmageddon.com/2019/12/18/november-2019-cyber-attacks-statistics/ Introduction aux menaces pesant sur les organisations françaises ces dernières L’évolution des systèmes d'information années fortement au développement Une autre composante entre en jeu et participe de nouvelles attaques : “L'évolution des systèmes d’information”. En voici quelques exemples : ○ Le Cloud ○ L’intégration de “IoT” ○ L’utilisation commune de terminaux mobiles au sein des organisations ○ L’expansion des réseaux sociaux ○ La mobilité et l'expérience utilisateur ○ L’externalisation des ressources ○ Etc. Introduction aux menaces pesant sur les organisations françaises ces dernières Les profils attaquants années Le croisement de l’ensemble des ces informations permet d’identifier et comprendre les différents profils d’attaquants, afin de mettre en place le/les mécanisme(s) de défense nécessaire(s) au sein des différentes organisations : Introduction aux menaces pesant sur les organisations françaises ces dernières États / Nations années Cette catégorie est la plus complexe de par les moyens financiers, les capacités de ciblage, ainsi que les compétences techniques mises à leur disposition. Leurs motivations principales sont : ○ Le cyberespionnage ○ La déstabilisation politique ○ Le sabotage Introduction aux menaces pesant sur les organisations françaises ces dernières Hacktivistes années Cette catégorie est basée sur des convictions fortes sans forcément avoir de moyens financiers et techniques importants, le ciblage est leur axe majeur. Leurs motivations principales sont : ○ Idéologiques ○ Dénonciation de faits ○ Atteinte à l’image Introduction aux menaces pesant sur les organisations françaises ces dernières Cybercriminels années différentes entités, avec des Les cybercriminels peuvent être appuyés par moyens financiers importants ainsi que de fortes connaissances et compétences techniques Cette catégorie a un objectif majeur : ○ Les gains financiers liés à leurs attaques Introduction aux menaces pesant sur les organisations françaises ces dernières Script Kiddies années “Néophytes” sans principales compétences en hacking essayant d'infiltrer des systèmes en se servant de programmes efficaces qu'ils ne comprennent pas forcément. Cette catégorie n’a pas forcément d’objectif précis (d’ou sa dangerosité) ○ Défi ○ Test ○ Amusement Introduction aux menaces pesant sur les organisations françaises ces dernières Terroristes années Cette dernière catégorie peut avoir, en fonction des groupes, des connaissances et des moyens financiers plus ou moins importants. La différence majeure avec les différents autres types d’attaquants est l’objectif principal de ces groupes : ○ La destruction ○ Le prosélytisme Prosélytisme: Désigne l'attitude de personnes cherchant à « susciter voire forcer l'adhésion » d'autres personnes à leur foi. Introduction aux menaces pesant sur les organisations françaises ces dernières État des lieux années Au vu des différents profils, certains groupes d’attaquants ont ces dernières années été mis en lumière de par les différents impacts qui ont pu être dégagés de leurs attaques La difficulté principale des différentes équipes de défense est le repérage et la mise en place de mécanismes de protection adaptés aux attaques des différents profils précédemment cités 1. Introduction à la cybersécurité en France 1) Introduction aux menaces pesant sur les organisations ces dernières années 2) Vision des dirigeants vis-à-vis de la cybersécurité 3) Présentation des différents corps d’état liés à la cybersécurité Française 4) Zoom sur l’ANSSI Vision des dirigeants vis-à-vis de la cybersécurité Introduction Les notions de cybersécurité ont été pendant longtemps associées uniquement à l’aspect informatique. Mais depuis plusieurs années — que cela soit mis en avant par le biais d’attaques sur des grands groupes, des secteurs d’activités spécifiquement ciblés, ou par divers médias —, la cybersécurité a pris une place forte dans les réflexions stratégiques des organisations. Cependant et malgré cela, beaucoup d’entre elles n’ont pas encore mis en place ce genre de réflexion au sein de leurs processus. Actuellement, on parle plutôt de SSI (Sécurité du Système d’Information) Les termes cybersécurité et Sécurité de l’information ont été dissociés pour différencier l’aspect technique et organisationnel. Vision des dirigeants vis-à-vis de la cybersécurité Tour d’horizon des problématiques Parmi ces différents sujets, plusieurs reviennent de manière assez constante : - Méconnaissance, non maîtrise du sujet, incompréhension : Les notions associées à la cybersécurité peuvent être très vastes et sont liées à des sujets techniques dont les dirigeants d’organisations n’ont aucune connaissance. La non compréhension de l’impact sur l’activité générée par une cyberattaque peut devenir très préjudiciable pour une organisation. Vision des dirigeants vis-à-vis de la cybersécurité Tour d’horizon des problématiques - Fonctions existantes déjà occupées (administrateur, responsable web, etc.) : Plusieurs des dirigeants ayant embauchés des profils comme des administrateurs systèmes et réseaux, des responsables web, des responsables bases de données, partent du principe que l’ensemble des éléments qui seront créés et mis en place par les équipes seront sécurisés sinon pourquoi les mettre en place ? Cela n’est malheureusement pas le cas et les connaissances ne sont souvent pas assez poussées sur les différents sujets de la cybersécurité en commençant par la notion de “Secure by Design”. Secure by Design : Sécurisé par conception, en génie logiciel, signifie que le logiciel a été conçu dès la fondation pour être sécurisé Vision des dirigeants vis-à-vis de la cybersécurité Tour d’horizon des problématiques - Difficulté d'évolution de l'organisation globale (intégration de la cybersécurité dans la stratégie de l’organisation) : Comme vu précédemment, l’organisation intégrant la cybersécurité uniquement sur un plan technique aura des difficultés à comprendre les différents projets comme les notions d’analyse de risques ou d’intégration organisationnelle de la cybersécurité au sein de leurs processus métier. La cybersécurité doit avant tout s’intégrer dans la stratégie et la vision de l’organisation vis à vis de son évolution Vision des dirigeants vis-à-vis de la cybersécurité Tour d’horizon des problématiques - Incompréhension des préjudices réels et impacts business : De nombreux dirigeants d'organisations, en raison de différents facteurs, ne font pas systématiquement le lien entre les problèmes de cybersécurité et les impacts business qui pourraient en découler. La définition de cybersécurité est pour certains d’entre eux liée au côté purement informatique de l’organisation et non au business à proprement parler. Vision des dirigeants vis-à-vis de la cybersécurité Tour d’horizon des problématiques - Penser que cela ne se passe “que chez les autres” : C’est une fâcheuse tendance que certains dirigeants peuvent avoir : “La pluie tombe toujours ailleurs”. Ils partent alors du principe que leur organisation, de par ce qu’elles produisent, n’a pas vocation à intéresser les cybercriminels. C’est une erreur stratégique assez courante qui peut, en cas d’attaque, provoquer un dysfonctionnement important du fait de la non pro-activité de la cybersécurité. Étude psychologique du “mort kilométrique” https://psychologie-sociale.com/index.php/fr/experiences/influence-engagement-et-dissonance/257-le-phenomene-du-mort- kilometrique Vision des dirigeants vis-à-vis de la cybersécurité Tour d’horizon des problématiques - Structure organisationnelle et hiérarchique SI et SSI : Dans de nombreuses structures, la sécurité de l’information peut être associée au service SI directement sous la direction du DSI de l’organisation. Cela produit alors un problème de “juge et partie”, le budget de la sécurité pouvant être alors associé à ce service, la priorisation des actions à mener sur l’ensemble des projets pourrait se voir axée principalement sur le SI et non la sécurité. La sécurité de l’information, pour un bon fonctionnement indépendant et efficient doit avoir un lien direct avec la direction générale de l’organisation. Vision des dirigeants vis-à-vis de la cybersécurité Conclusion Le business des différentes organisations étant l’élément clé pour les dirigeants, il convient de mettre en oeuvre une approche de la cybersécurité en lien direct avec la stratégie de l’organisation, afin de créer un alignement et une compréhension claire et synthétique des différents risques encourus vis-à-vis des impacts qui pourraient en être dégagés. 1. Introduction à la cybersécurité en France 1) Introduction aux menaces pesant sur les organisations ces dernières années 2) Vision des dirigeants vis-à-vis de la cybersécurité 3) Présentation des différents corps d’état liés à la cybersécurité Française 4) Zoom sur l’ANSSI Présentation des différents corps d’état liés à la cybersécurité Française Introduction Depuis plusieurs années, l’État Français a renforcé l’ensemble de ses branches liées à la cybersécurité, de sorte à pouvoir intervenir et répondre aux différentes problématiques (lutte informatique défensive / lutte informatique offensive). https://www.zdnet.fr/actualites/le-commandement-cyber-prend-ses-quartiers-a-rennes-39891705.htm Présentation des différents corps d’état liés à la cybersécurité Française Tour d’horizon https://inhesj.fr/sites/default/files/articles/files/2020-01/communaute_cyber_fr_2020.pdf Présentation des différents corps d’état liés à la cybersécurité Française COMCYBER (Commandement de la cyberdéfense) Affilié au Ministère des Armées Assure la protection des SI sous la responsabilité des armées Définit les moyens RH, techniques et organisationnels nécessaires à la surveillance du réseau des armées Assure la lutte défensive mais également offensive +1000 cyber combattants en 2018 4400 visés pour 2025 Présentation des différents corps d’état liés à la cybersécurité Française DGA (Direction générale de l’armement) Affiliée au Ministère des Armées Maîtrise d’ouvrage des programmes d’armement En charge de concevoir les armes cyber Pour le renseignement ou au COMCYBER Présentation des différents corps d’état liés à la cybersécurité Française d’Informations) ANSSI (Agence Nationale de la Sécurité des Systèmes Affiliée au Premier ministre Autorité nationale en matière de cybersécurité Chargée de préserver la souveraineté de la France en matière de numérique Chargée de la prévention et des bonnes pratiques Chargée de la veille (CERT-FR) Réponse aux incidents informatiques visant les institutions sensibles (OIV, etc.) Son rôle principal est l’anticipation, détection de la menace et réponse aux incidents. L’ANSSI assure au niveau opérationnel et tactique la défense des systèmes numériques d’intérêt pour la nation. Présentation des différents corps d’état liés à la cybersécurité Française Ministère de l'intérieur Affilié au premier ministre Lutte contre la criminalité numérique (C3N & SDLC) Enquête sur les fraudes aux technologies de l’information (BEFTI) Conduit les investigations sur internet Lutte contre la cybermenace interne Pilote et coordonne la lutte contre la cybercriminalité Lutte contre la cybercriminalité visant les institutions, intérêts nationaux, acteurs économiques, collectivités publiques et particuliers (contrairement à l’ANSSI qui ne s’occupe pas des particuliers). Présentation des différents corps d’état liés à la cybersécurité Française Renseignements Renseignement tactique et conseil auprès des autorités dans leurs décisions (DRM) Investigation numérique sur terrain (DRM) Renseignement stratégique sur les menaces externes et enjeux du secteur de la défense (DGSE, DRSD) Renseignement et enquêtes douanières : cyberdouane (DNRED) Prévention et répression des actes portant atteinte à l’économie, à l’industrie et à la recherche scientifique du pays (DGSI) 1. Introduction à la cybersécurité en France 1) Introduction aux menaces pesant sur les organisations ces dernières années 2) Vision des dirigeants vis-à-vis de la cybersécurité 3) Présentation des différents corps d’état liés à la cybersécurité Française 4) Zoom sur l’ANSSI Présentation des différents corps d’état liés à la cybersécurité Française Introduction L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret en juillet 2009. Rattaché au secrétariat général de la défense et de la sécurité nationale (SGDSN). Autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. L'ANSSI remplace la Direction centrale de la sécurité des systèmes d'information, créée par décret en juillet 2001. Présentation des différents corps d’état liés à la cybersécurité Française Les missions de l’ANSSI L'agence assure la mission d'autorité nationale en matière de sécurité des systèmes d'information. À ce titre, elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l'État et de vérifier l'application des mesures adoptées. Dans le domaine de la défense des systèmes d'information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l'État. Présentation des différents corps d’état liés à la cybersécurité Française Les missions de l’ANSSI L’ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV). Elle est chargée de la promotion des technologies, des produits et services de confiance, des systèmes et des savoir-faire nationaux auprès des experts comme du grand public. Elle contribue ainsi au développement de la confiance dans les usages du numérique. Son action auprès de différents publics comprend la veille, la réaction, le développement de produits pour la société civile, l’information et le conseil, la formation ainsi que la labellisation de produits et de prestataires de confiance. Les secteurs médical, sanitaire, énergétique et bancaire sont des OIV Présentation des différents corps d’état liés à la cybersécurité Française - Les Visas Détails sur les différentes activités liées à l’ANSSI Les solutions de cybersécurité sont nombreuses et variées, mais toutes n’offrent pas le même niveau d’efficacité, de robustesse et de confiance. Les Visas de sécurité que délivre l’ANSSI permettent d’identifier facilement les plus fiables d’entre elles et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée. Présentation des différents corps d’état liés à la cybersécurité Française - Les Visas Détails sur les différentes activités liées à l’ANSSI Les Visas de sécurité ANSSI répondent à 3 objectifs : ○ Des objectifs réglementaires (pour répondre aux règlements nationaux ou européens qui imposent l’utilisation de solutions garantissant un niveau de robustesse éprouvé). ○ Des objectifs contractuels (pour répondre aux donneurs d’ordres publics ou privés qui exigent que les solutions utilisées aient préalablement obtenu un Visa de sécurité ANSSI). ○ Des objectifs commerciaux (pour permettre à un fournisseur de produits ou à un prestataire de services, ainsi qu'aux utilisateurs finaux de ces solutions, de se démarquer de la concurrence par la garantie d'un certain niveau de robustesse). Présentation des différents corps d’état liés à la cybersécurité Française - Les Visas (Certifications) Détails sur les différentes activités liées à l’ANSSI La certification est l’attestation de la robustesse de produits qui ont été éprouvés lors de tests d’intrusion par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel permettant de répondre de la meilleure manière aux besoins de sécurité des utilisateurs, et de tenir compte des évolutions technologiques. Présentation des différents corps d’état liés à la cybersécurité Française - Les Visas (Certifications) Détails sur les différentes activités liées à l’ANSSI Objectifs de la certification : ○ En tant qu’utilisateur : en choisissant un produit certifié, vous êtes assuré qu’il offre des fonctionnalités et un niveau de sécurité éprouvés. ○ En tant que développeur de solutions numériques : la certification d’un produit vous permet d’accéder à de nombreux marchés de cybersécurité en France et à l’international. Il existe 2 types de certifications : ○ La certification critères communs (CC) ○ La certification de sécurité de premier niveau (CSPN) LA CERTIFICATION DE SÉCURITÉ DE PREMIER NIVEAU (CSPN) : Elle a été mise en place par l’ANSSI pour proposer une alternative aux évaluations CC, dont le coût et la durée peuvent être un obstacle. Elle permet d’attester de la résistance du produit face à un niveau d’attaque donné. Elle prend la forme de tests effectués en temps et charge contraints (typiquement 2 mois, 25 à 35 jours/homme), nécessitant un investissement modéré. LA CERTIFICATION CRITÈRES COMMUNS (CC) : Il s’agit d’un standard internationalement reconnu s’inscrivant dans des accords de reconnaissance multilatéraux. Les CC permettent d'atteindre différents niveaux d'assurance dans la sécurité du produit en considérant d’une part son environnement et les processus de développement associés et d’autre part, sa résistance face à un niveau d’attaque donné. Présentation des différents corps d’état liés à la cybersécurité Française - Les Visas (Qualification) Détails sur les différentes activités liées à l’ANSSI Attestant de leur conformité aux exigences réglementaires, techniques, et de sécurité promues par l’ANSSI, la qualification est la recommandation par l’État français de produits ou de services de cybersécurité éprouvés et approuvés par l’ANSSI. La qualification atteste de la robustesse du produit, de la compétence du prestataire de services et garantit l’engagement du fournisseur de produits ou services au respect de critères de confiance. La qualification a pour objectif de mettre à disposition de l’administration et des opérateurs dits d’importance vitale (OIV) des produits et services qui répondent à leurs besoins en matière de sécurité des systèmes d’information. https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/ Différence certification / Qualification La certification va permettre de montrer la qualité d’un service / produit (principalement dans un but marketting) https://www.ssi.gouv.fr/administration/produits-certifies/ La qualification permettra plutôt d’être habilité à travailler avec des OIV, etc.. https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/ Présentation des différents corps d’état liés à la cybersécurité Française - Les Visas (Qualification) Détails sur les différentes activités liées à l’ANSSI Objectifs de la qualification : ○ En tant qu’utilisateur de produits ou services qualifiés : la qualification apporte l’assurance de choisir des solutions dont le niveau de sécurité et de confiance a été vérifié. C’est la garantie de recourir à des solutions recommandées par l’État et utilisées par l’administration française, les OIV et les entreprises des secteurs les plus sensibles. ○ En tant que fournisseur de produits ou services : la qualification permet d’accéder à des marchés réglementés français et européens et procure un avantage concurrentiel face aux acteurs du marché de la cybersécurité français et internationaux. Présentation des différents corps d’état liés à la cybersécurité Française - Les Visas (Qualification) Détails sur les différentes activités liées à l’ANSSI Pour les produits, il existe 3 niveaux de qualification qui attestent chacun d’un niveau de sécurité et du respect de critères de confiance : ○ Élémentaire, standard, renforcé Pour les services, il existe plusieurs familles selon le cadre réglementaire : ○ Audit, réponse aux incidents, détection des incidents, informatique en nuage et services de confiance numérique (certification électronique, horodatage électronique, validation et conservation de signatures et cachets électroniques, envoi de recommandés électroniques). https:/ssi.gouv.fr/entreprise/qualifications/qualification-de-produit/ Présentation des différents corps d’état liés à la cybersécurité Française - Les Visas (Parcours utilisateur) Détails sur les différentes activités liées à l’ANSSI Présentation des différents corps d’état liés à la cybersécurité Française Détails sur les différents activités liés à l’ANSSI -PSSIE Parmi les différentes missions associées à l’ANSSI, le développement de la PSSIE (POLITIQUE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION DE L’ÉTAT) est un axe majeur où l’ANSSI intervient de par son expertise en matière de prévention et de réaction aux attaques cyber. Présentation des différents corps d’état liés à la cybersécurité Française Détails sur les différents activités liés à l’ANSSI -PSSIE La PSSIE s’applique à tous les systèmes d’information des administrations de l’État : ministères, établissements publics sous tutelle d’un ministère, services déconcentrés de l’État et autorités administratives indépendantes. La PSSIE concerne l’ensemble des personnes physiques ou morales intervenant dans ces systèmes d’information, qu’il s’agisse des administrations de l’État et de leurs agents ou bien de tiers agissant au nom et pour le compte des administrations de l’État (prestataires ou sous-traitants) et de leurs employés. Présentation des différents corps d’état liés à la cybersécurité Française - RGS Détails sur les différentes activités liées à l’ANSSI Le Référentiel général de sécurité (RGS) est le cadre réglementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens. Le Référentiel général de sécurité (RGS), a pour objet le renforcement de la confiance des usagers dans les services électroniques mis à disposition par les autorités administratives et s’impose ainsi à elles comme un cadre contraignant tout en étant adaptable et adapté aux enjeux et besoins de tout type d’autorité administrative. Présentation des différents corps d’état liés à la cybersécurité Française - RGS Détails sur les différentes activités liées à l’ANSSI Indirectement, le Référentiel général de sécurité s’adresse à l’ensemble des prestataires de services qui assistent les autorités administratives dans la sécurisation des échanges électroniques qu’elles mettent en œuvre, ainsi qu’aux industriels dont l’activité est de proposer des produits de sécurité. De façon générale, pour tout autre organisme souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le Référentiel général de sécurité se présente comme un guide de bonnes pratiques conformes à l’état de l’art. Présentation des différents corps d’état liés à la cybersécurité Française - RGS Détails sur les différentes activités liées à l’ANSSI Le Référentiel général de sécurité propose : ○ D’une part, une méthodologie orientée autour de la responsabilisation des autorités vis-à-vis de leurs systèmes d’information, à travers la démarche d’homologation. ○ D’autre part, des règles et bonnes pratiques que doivent mettre en œuvre les administrations lorsqu’elles recourent à des prestations spécifiques : certification et horodatage électroniques, audit de sécurité. https://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_Corps_du_texte.pdf Présentation des différents corps d’état liés à la cybersécurité Française - Ebios RM Détails sur les différentes activités liées à l’ANSSI EBIOS Risk Manager (EBIOS RM) est la méthode d’appréciation et de traitement des risques numériques publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) avec le soutien du Club EBIOS. EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. Présentation des différents corps d’état liés à la cybersécurité Française - Instruction 901 Détails sur les différentes activités liées à l’ANSSI Cette instruction interministérielle définit les objectifs et les règles relatifs à la protection des systèmes d’information sensibles, notamment ceux traitant des informations portant la mention “Diffusion Restreinte”. La mention Diffusion Restreinte (DR) n'est pas un niveau de classification mais une mention de protection. Son objectif principal est de sensibiliser l'utilisateur à la nécessaire discrétion dont il doit faire preuve dans la manipulation des informations couvertes par cette mention. https://www.ssi.gouv.fr/guide/recommandations-pour-les-architectures-des-systemes-dinformation-sensibles-ou-diffusion- restreinte/ Exemple de document à diffusion restreinte : Document projet, cahier des charges, document d’architecture technique pour des SI des administrations de l’état Présentation des différents corps d’état liés à la cybersécurité Française - Instruction 901 Détails sur les différentes activités liées à l’ANSSI L'instruction 901 fixe les règles de protection appropriée des systèmes d’information sensibles contre toutes les menaces, qu’elles soient d’origine humaine ou non. Le respect des règles contribue à : ○ Assurer la continuité des activités de l’entité ○ Prévenir la compromission d’informations sensibles ○ Protéger l’image de l’entité ○ Assurer la sécurité des personnes et des biens Présentation des différents corps d’état liés à la cybersécurité Française - Instruction 901 Détails sur les différentes activités liées à l’ANSSI L’instruction s’applique : ○ Aux administrations de l’État qui mettent en œuvre des systèmes d’information sensibles ; ○ Aux entités publiques ou privées soumises à la réglementation relative à la protection du potentiel scientifique et technique de la nation (PPST) qui mettent en œuvre des systèmes d’information sensibles ; ○ Aux entités publiques ou privées qui mettent en œuvre des systèmes d’information à Diffusion Restreinte. Note : Les administrations de l’État au sens de la présente instruction sont les administrations centrales, les établissements publics nationaux, les services déconcentrés de l’État et les autorités administratives indépendantes. http://circulaires.legifrance.gouv.fr/index.php?action=afficherCirculaire&hit=1&retourAccueil=1&r=39217 Présentation des différents corps d’état liés à la cybersécurité Française - Autres instructions Détails sur les différentes activités liées à l’ANSSI L’ANSSI participe activement au développement d’autres instructions interministérielles : ○ Instruction 1300 : relative à la protection des informations relevant du secret de la défense nationale ○ Instruction 2100 : portant sur la protection des informations classifiées de l’Organisation du traité de l’Atlantique nord (OTAN) dans le cadre de la réglementation française ○ Instruction 2102 : portant sur la protection des informations classifiées de l’Union européenne (UE) dans le cadre de la réglementation française Présentation des différents corps d’état liés à la cybersécurité Française - Guides de bonnes pratiques Détails sur les différentes activités liées à l’ANSSI L’ANSSI élabore des guides de bonnes pratiques pour implémenter des technos ou processus de manière sécurisée https://www.ssi.gouv.fr/administration/bonnes-pratiques/ Présentation des différents corps d’état liés à la cybersécurité Française - Homologation de sécurité Détails sur les différentes activités liées à l’ANSSI Son objectif est de trouver un équilibre entre le risque acceptable et les coûts de sécurisation, puis de faire arbitrer cet équilibre, de manière formelle, par un responsable qui a autorité pour le faire. L’homologation de sécurité permet à un responsable, en s’appuyant sur l’avis des experts, de s’informer et d’attester aux utilisateurs d’un système d’information que les risques qui pèsent sur eux, sur les informations qu’ils manipulent et sur les services rendus, sont connus et maîtrisés. Présentation des différents corps d’état liés à la cybersécurité Française - Homologation de sécurité Détails sur les différentes activités liées à l’ANSSI Le principe d’une homologation de sécurité est de vérifier que la sécurité n’a pas été oubliée avant la mise en place du système d’information et d’appliquer les mesures de sécurité nécessaires et proportionnées. La démarche est semblable à un audit de sécurité mais pour le milieu administratif et militaire. Pour faciliter la mise en œuvre de la démarche d’homologation, l’ANSSI a édité “le guide de l’homologation de sécurité en neuf étapes”. https://www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples/ https://www.ssi.gouv.fr/actualite/pour-homologuer-votre-systeme-dinformation-suivez-le-guide/ Présentation des différents corps d’état liés à la cybersécurité Française - Homologation de sécurité Détails sur les différentes activités liées à l’ANSSI Étape N°1 : Quel système d’information dois-je homologuer et pourquoi ? Étape N°2 : Quel type de démarche dois-je mettre en œuvre ? Étape N°3 : Qui contribue à la démarche ? Étape N°4 : Comment s’organise-t-on pour recueillir et présenter les informations ? Étape N°5 : Quels sont les risques pesant sur le système ? Étape N°6 : La réalité correspond-elle à l’analyse ? Étape N°7 : Quelles sont les mesures de sécurité supplémentaires à mettre en œuvre pour couvrir ces risques ? Étape N°8 : Comment réaliser la décision d’homologation ? Étape N°9 : Qu’est-il prévu pour maintenir la sécurité et continuer de l’améliorer ? Étape no 1 : Quel système d’information dois-je homologuer et pourquoi ? Définir le référentiel réglementaire applicable et délimiter le périmètre du système à homologuer. Étape no 2 : Quel type de démarche dois-je mettre en œuvre ? Estimer les enjeux de sécurité du système et en déduire la profondeur nécessaire de la démarche à mettre en œuvre. Étape no 3 : Qui contribue à la démarche ? Identifier les acteurs de l’homologation et leur rôle (décisionnaire, assistance, expertise technique, etc.). Étape no 4 : Comment s’organise-t-on pour recueillir et présenter les informations ? Détailler le contenu du dossier d’homologation et définir le planning. Étape no 5 : Quels sont les risques pesant sur le système ? Analyser les risques pesant sur le système en fonction du contexte et de la nature de l’organisme et fixer les objectifs de sécurité. Étape no 6 : La réalité correspond-elle à l’analyse ? Mesurer l’écart entre les objectifs et la réalité. Étape no 7 : Quelles sont les mesures de sécurité supplémentaires à mettre en œuvre pour couvrir ces risques ? Analyser et mettre en œuvre les mesures nécessaires à la réduction des risques pesant sur le système d’information. Identifier les risques résiduels. Étape no 8 : Comment réaliser la décision d’homologation ? Accepter les risques résiduels : l’autorité d’homologation signe une attestation formelle autorisant la mise en service du système d’information, du point de vue de la sécurité. Étape no 9 : Qu’est-il prévu pour maintenir la sécurité et continuer de l’améliorer ? Mettre en place une procédure de révision périodique de l’homologation et un plan d’action pour traiter les risques résiduels et les nouveaux risques qui apparaîtraient. https://www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples/ Présentation des différents corps d’état liés à la cybersécurité Française - Homologation de sécurité Détails sur les différentes activités liées à l’ANSSI Une fois le projet achevé, l’autorité d’homologation sera en mesure de signer en dernier lieu l’attestation formelle qui autorise la mise en service du système d’information, du point de vue de la sécurité. La réglementation rend obligatoire l’homologation pour les systèmes d’information traitant d’informations classifiées de défense (IGI 1300) et ceux permettant des échanges entre une autorité administrative et les usagers, ou entre autorités administratives (RGS). EXERCICE 1 Identification du besoin de sécurité Sommaire 1. Introduction à la cybersécurité en France 2. Audit de la cybersécurité des systèmes d'information 3. Durcissement des infrastructures Windows 4. Une défense alignée aux attaques 2. Audit de la cybersécurité des systèmes d'information 1) Principe d’audit SSI 2) Séquencement d’un audit de la sécurité de l’information 3) Auditer et Identifier les écarts vis-à-vis d'un référentiel 4) Restitution des points stratégiques du rapport en CODIR Principe d’audit SSI Introduction Un audit SSI est une vue à un instant T de tout ou partie d’un système d’information permettant de comparer l’état du SI à un référentiel. L’audit répertorie les points forts et surtout les points faibles, et dresse en finalité une série de recommandations pour corriger les faiblesses. Un audit peut être réalisé conjointement à une analyse de risque et contient parfois des tâches annexes (test d’intrusion, campagne de phishing, etc.). Beaucoup mélangent les notions de sécurité informatique et de sécurité de l’information. Cette situation peut mener à une incompréhension des mesures de sécurité qui pourraient en découler. Il est donc important de comprendre les besoins et objectifs de l’entreprise vis-à-vis de cet audit. Principe d’audit SSI Introduction Plusieurs types d’audit existent, ceux-ci peuvent avoir 2 approches : Audit technique ○ Audit d’architecture / code / configuration ○ Test d’intrusion Audit organisationnel ○ Audit de conformité ○ Audit de maturité La sécurité d’une organisation repose sur les audits techniques mais aussi organisationnels Les audits organisationnels permettent d’intégrer la cybersécurité dans la stratégie de l’organisation en solidifiant tous les maillons de la chaine (Humains et processus) L’audit de conformité permet d’attester de la conformité/respect d’obligation légale et contractuelle d’un périmètre par rapport à un référentiel L’audit de maturité permettra lui d’évaluer la maturité des processus de l’organisation en se basant sur les bonnes pratique d’un référentiel SSI Principe d’audit SSI ISO 19011 Selon la norme ISO 19011:2018, l’audit est « un processus systématique, indépendant et documenté en vue d’obtenir des preuves d’audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits ». Un audit est donc basé sur la preuve (elles peuvent être des documents, journaux, traces systèmes, constatations, ….) Toutes les méthodes d’audit s’inspirent de la norme ISO 19011. La norme présente la méthodologie, la préparation, la réalisation, la clôture, les compétences humaines requises et les lignes directrices de l’audit. Principe d’audit SSI ISO 19011 Principe d’audit SSI Utilité d’un audit Un audit de sécurité part généralement d’un besoin plus ou moins précis : ○ Audit d’évaluation de conformité en rapport à une norme (ISO) ○ Audit d’évaluation de conformité en rapport à réglementation (RGPD, PCI-DSS, HDS, …) ○ Audit d’évaluation de la sécurité pour initier un état des lieux ○ Audit d’évaluation suite à une demande cliente, partenaire, prestataire, etc … L’objectif de l’audit est le point central permettant de cadrer par la suite le périmètre, les parties prenantes, le cadre légal et la méthodologie En fonction du périmètre, l’audit devra être cadré légalement, notamment si celui-ci intervient sur un périmètre tierce (Organisation / SI d’un prestataire, partenaire, etc …) Principe d’audit SSI Cadre légal La clause d’auditabilité, entre un client et un prestataire, autorise l’audit du prestataire par le client Clause d’auditabilité Le Client peut réaliser ou faire réaliser par toute entité de son choix soumis à un accord de confidentialité, une fois par année sous réserve que la mission d'audit n'ait pas d'objet autre que de s'assurer du respect par le Fournisseur des obligations qui lui incombent au titre du Contrat. Le Client s'engage à avertir le Fournisseur par écrit de toute mission d'audit avec un préavis minimum de 30 jours en lui communiquant l'objet de la mission, la durée envisagée de la mission et le nom des auditeurs missionnés. Le Fournisseur s'engage à collaborer de bonne foi et sans réserve avec tout auditeur ainsi désigné. Si les conclusions du rapport d’audit révèlent des non-conformités par rapport aux obligations incombant au Fournisseur dans le cadre du Contrat, le Fournisseur devra prendre les mesures nécessaires pour y remédier dans les délais convenus par les représentants des Parties amenés à se prononcer sur le rapport d’audit, sans frais supplémentaire pour le Client et sans préjudice de ses autres droits. Si les conclusions de certains audits contiennent des recommandations tendant à la modification ou à l’amélioration des règles des procédures auditées, la mise en oeuvre de ces recommandations pourra faire l’objet d’un avenant entre les Parties. Principe d’audit SSI Autres clauses Clause Résiliation ○ Les possibilités du client de rompre le contrat (cadrée via les délais de communication, modalités, etc..) Clause de confidentialité ○ Sont indiquées par le client les clauses qu’il considère comme minimales au regard de la confidentialité des données Clause de réversibilité ○ Les possibilités du client à l’issue du contrat, de récupérer ou reprendre l’exploitation des données confiées à un tiers doivent être détaillés 2. Audit de la cybersécurité des systèmes d'information 1) Principe d’audit SSI 2) Séquencement d’un audit de la sécurité de l’information 3) Auditer et Identifier les écarts vis-à-vis d'un référentiel 4) Restitution des points stratégiques du rapport en CODIR Séquencement d’un audit SSI Les étapes clés d’un audit de sécurité Un audit de la sécurité de l’information comprend en général les étapes suivantes : ○ Étape 1 : Planification ○ Étape 2 : Réalisation de l’audit ○ Étape 3 : Rapport ○ Étape 4 : Suivi des recommandations Séquencement d’un audit SSI Étape 1 : La planification Lors de la phase initiale de planification, plusieurs points importants sont à observer : ○ Étudier et intégrer les objectifs et enjeux de l’audit ○ Fixer les différents rôles et responsabilités applicables à l’audit ○ Identifier le périmètre et les différentes obligations légales et normatives applicables sur celui-ci ○ Préparer les échelles de notations ○ Définir une stratégie de coordination pour les échanges à venir ○ Lister les contraintes applicables à l’audit et/ou au périmètre à auditer ○ Définir le référentiel à utiliser ○ Préparer les documents d’audit antérieur Séquencement d’un audit SSI Étape 1 : La planification A la sortie de cette étape, nous devrions pouvoir obtenir l’ensemble des informations suivantes : ○ Les objectifs de l’audit ○ Le périmètre et l’étendue de l’audit ○ Les dossiers d’audits précédents et leurs recommandations ○ Le budget de l’audit (Ressources humaines, matérielles et autres nécessaires à l’audit) ○ L’effort en heures de travail et durée estimée de l’audit ○ La correspondance avec l’audité ○ Le programme d’audit Séquencement d’un audit SSI Étape 1 : La planification L’étape de planification termine souvent par une réunion de démarrage où l’ensemble des acteurs sont présents afin d’expliquer et fournir les détails sur : ○ Les objectifs de l’audit ○ Le périmètre ○ Les acteurs et leurs rôles au sein de cet audit ○ Les personnes concernées par le/les rapport(s) intermédiaire(s) ○ L’élaboration et la validation des calendriers avec les différentes parties ○ Questions / réponses sur le déroulement de l’audit Séquencement d’un audit SSI Étape 2 : La réalisation de l’audit Il s’agit de l’étape dite de “Terrain”, des points et questions lors de cette phase peuvent ressortir en fonction des éléments qui seront mis à la disposition de l’auditeur. Il existe 4 axes majeurs permettant de mener un audit, ces différents axes peuvent être couplés afin de fournir une légitimité plus forte à l’audit en cours : ○ L’observation ○ Le(s) questionnaire(s) ○ Le(s) entrevue(s) ○ L'échantillonnage Observation : Visite de l’entité, datacenter, périmètre en question Questionnaire : Questionnaire basé sur un référentiel qui sera adressé directement aux parties concernés (Responsable métier, RSSI, DSI, etc.) Entrevues : Échanges sur le périmètre avec les parties concernées (souvent complémentaire au questionnaire) Échantillonnage : Récupération de “preuves” (Documents, procédure, capture d’écran, etc.) Séquencement d’un audit SSI Étape 2 : La réalisation de l’audit Durant cette phase d’audit, les écarts peuvent être communiqués à l’audité au fur et à mesure de leur constatation par l’auditeur. Parallèlement, l’auditeur peut également communiquer les écarts à la fin des échanges (en restitution à chaud). Une telle démarche vise à réduire les situations conflictuelles et les effets de surprise lors de la remise du projet de rapport. Les procès-verbaux de ces réunions devront être conservés dans le dossier d’audit. Séquencement d’un audit SSI Etape 3 : Le rapport Le rapport d’audit est un document obligatoire fourni par le prestataire réalisant l’audit. Ce document contient l’ensemble des informations qui ont permis de réaliser l’audit ainsi que les résultats, en particulier les points suivants : ○ Une synthèse, compréhensible par des non experts ○ Un tableau synthétique des résultats de l’audit ○ Une partie énonçant les écarts et des recommandations ○ Des KPI (si générés par l’outil) pour mesurer numériquement les écarts et définir les priorités Séquencement d’un audit SSI Etape 3 : Le rapport La livraison du rapport peut être découpée en deux phases : Pré-livraison : ○ L'auditeur communique le résultat à l’entité auditée afin de recueillir ses commentaires (confirmation des éléments, cohérence des résultat, confirmation de l’audité). ○ Le résultat est étudié lors d’une réunion de clôture où sont présents l’auditeur et les responsables de l’entité auditée, permettant de s’assurer qu’aucun élément n’est resté incompris ou a été mal interprété (permettant à l’audité de formuler ses commentaires). Séquencement d’un audit SSI Etape 3 : Le rapport Livraison finale : ○ Suivant la réunion de clôture, le rapport final comprenant les commentaires de l’audité est produit pour être présenté à la direction de l'entité. Le rapport d’audit contient au minimum les parties suivantes : Objectifs et périmètre de l’audit Bilan et synthèse de l’audit Écarts et constatations Recommandations Commentaires de l’entité Remarques générales Approbation & signature des responsables de l’entité Séquencement d’un audit SSI Etape 3 : Le rapport Objectifs et périmètre de l’audit : Peut mentionner les tâches antérieures qui auraient amené la démarche d’audit (analyse de risque, obligations légales, normes, etc.). Cette partie rappelle le contexte de réalisation de l’audit, l’objectif et enfin le périmètre dans lequel l’audit a été réalisé. Séquencement d’un audit SSI Etape 3 : Le rapport Résultats de l’audit : Cette partie présente les résultats de l’audit. Il y est présenté les écarts constatés. Pour chaque écart, l'information suivante est indiquée : ○ Écarts et constatations : Les constats des écarts identifiés lors de l’audit. ○ Recommandations : Les recommandations faites par l’auditeur pour corriger les écarts constatés. ○ Commentaires de l’entité : l’entité peut être d'accord ou non avec l’auditeur à propos de l’écart constaté ou de la recommandation formulée. Séquencement d’un audit SSI Etape 3 : Le rapport Remarques générales : Dans cette partie, l’auditeur peut apporter toutes les remarques générales concernant le déroulement de l’audit (réaction, bonne foi, implication de l’audité, etc.). Il y indiquera également la coopération, ou non, de l’entité auditée. Séquencement d’un audit SSI Etape 3 : Le rapport Approbation & signature des responsables de l’entité : Cette partie est utilisée pour la signature du rapport par les audités. En signant le rapport, ils confirment les commentaires qu’ils ont formulés sur le travail de l’auditeur et acceptent l’application des recommandations. Séquencement d’un audit SSI Etape 4 : Le suivi des recommandations Dernière phase dans le projet d’audit, elle permet à l’organisation auditée d'établir un suivi des recommandations émises par l’auditeur ayant réalisé l’audit. En effet, c’est bien à l’organisation auditée d’assurer l’application des recommandations ainsi que le suivi de leur mise en œuvre. La mise en oeuvre du suivi est généralement accompagnée d’un plan d’action. Séquencement d’un audit SSI Etape 4 : Le suivi des recommandations Ce document de suivi peut contenir les informations (non-exhaustives) suivantes : ○ La référence de l’écart constaté indiqué dans le rapport ○ La mesure à mettre en place ○ Le niveau de difficulté de mise en place de la mesure ○ Le responsable du suivi de la mesure ○ L’état d’avancement de la mise en place de la mesure ○ Date de limite de mise en place Toute ces informations permettront à la direction de pouvoir suivre l’état d’avancement du projet. 2. Audit de la cybersécurité des systèmes d'information 1) Principe d’audit SSI 2) Séquencement d’un audit de la sécurité de l’information 3) Auditer et Identifier les écarts vis-à-vis d’un référentiel 4) Restitution des points stratégiques du rapport en CODIR Auditer et Identifier les écarts vis-à-vis d'un référentiel Estimation du niveau de sécurité actuel De nombreux professionnels utilisent des outils développés par eux-mêmes présentant leurs visions sur un état actuel de la sécurité. Ces outils (reflétant la vision et la perception de l’auditeur) peuvent dans certains cas, générer des problèmes par manque d’exhaustivité ou d’alignement avec les impacts business que pourrait engendrer une faiblesse des différents mécanismes de défense. En plus de ces outils qui peuvent d’une personne à l’autre changer et évoluer, le fait de ne pas pouvoir y comparer plusieurs audits peut poser un problème d'homogénéisation des résultats (les visions pouvant changer d’un auditeur à un autre). Auditer et Identifier les écarts vis-à-vis d'un référentiel Choisir un référentiel Il convient de sélectionner entre le client et l’auditeur le support / référentiel qui sera utilisé afin de mener cet audit. De manière plus générale, les référentiels d’audit de la sécurité de l'information les plus couramment utilisés sont les suivants : ○ Recommandations de l’ANSSI (Guide d’hygiène) ○ ISO 27001 / 27002 ○ NIST Cybersecurity Framework ○ Etc. Auditer et Identifier les écarts vis-à-vis d'un référentiel l’ISO 27002 L’ISO 27002 donne des lignes directrices en matière de normes organisationnelles relatives à la SI et les bonnes pratiques SSI. Celui-ci donne 114 mesures de bonnes pratiques réparties sur 14 sections Politique de sécurité de l’information Sécurité liée à l’exploitation Organisation de la sécurité de l’organisation Sécurité des communications Sécurité des ressources humaines Acquisition, développement et maintenances des SI Gestion des actifs Relations avec les fournisseurs Contrôle d’accès Gestion des incidents liés à la sécurité de l’information Cryptographie Aspect de la sécurité dans la continuité Sécurité physique et environnementale Conformité légale https://fr.wikipedia.org/wiki/ISO/CEI_27002#Chapitre_no_4_:_%C3%89valuation_des_risques_et_de_traitement Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI Il s’agit d’un document structuré où sont énumérées les bonnes pratiques en matière de sécurité des systèmes d’information.. Celui-ci regroupe les mesures techniques non-exhaustives les plus élémentaires afin de garantir un socle minimum dans le but de protéger les informations de l’organisation. Ce document peut être utilisé comme référentiel afin de mener un audit de sécurité. Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI Le document est divisé en 42 points répartis dans 10 sections : Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Former les équipes opérationnelles à la sécurité des systèmes d’information - Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique - Maîtriser les risques de l’infogérance Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau - Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour - Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs - Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur - Attribuer les bons droits sur les ressources sensibles du système d’information - Définir et vérifier des règles de choix et de dimensionnement des mots de passe - Protéger les mots de passe stockés sur les systèmes - Changer les éléments d’authentification par défaut sur les équipements et services - Privilégier lorsque c’est possible une authentification forte Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique - Se protéger des menaces relatives à l’utilisation de supports amovibles - Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité - Activer et configurer le pare-feu local des postes de travail - Chiffrer les données sensibles transmises par voie Internet Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Segmenter le réseau et mettre en place un cloisonnement entre ces zones - S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages - Utiliser des protocoles réseaux sécurisés dès qu’ils existent - Mettre en place une passerelle d’accès sécurisé à Internet - Cloisonner les services visibles depuis Internet du reste du système d’information - Protéger sa messagerie professionnelle - Sécuriser les interconnexions réseau dédiées avec les partenaires - Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information - Utiliser un réseau dédié et cloisonné pour l’administration du système d’information - Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Prendre des mesures de sécurisation physique des terminaux nomades - Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable - Sécuriser la connexion réseau des postes utilisés en situation de nomadisme - Adopter des politiques de sécurité dédiées aux terminaux mobiles Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Définir une politique de mise à jour des composants du système d’information - Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Activer et configurer les journaux des composants les plus importants - Définir et appliquer une politique de sauvegarde des composants critiques - Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées - Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel - Définir une procédure de gestion des incidents de sécurité Auditer et Identifier les écarts vis-à-vis d'un référentiel Le guide d'hygiène de l’ANSSI - xxxx - Mener une analyse de risques formelle - Privilégier l’usage de produits et de services qualifiés par l’ANSSI Auditer et Identifier les écarts vis-à-vis d'un référentiel Méthode d’audit basé sur le guide d’hygiène de l’ANSSI Il est donc tout à fait possible de mettre en place une méthode d’audit se basant sur ce référentiel et ainsi pouvoir estimer le niveau de maturité SSI d’un système d’information cible Pour cela, il est nécessaire de revoir la formulation des informations contenues dans le document et de définir une échelle de valeurs pour l'évaluation de la maturité des mesures de sécurité Auditer et Identifier les écarts vis-à-vis d'un référentiel Méthode d’audit basé sur le guide d’hygiène de l’ANSSI La revue de la formulation des informations contenues dans le guide peut passer par la transformation des différents points sous forme de questions fermées : ○ Exemple : Former les équipes opérationnelles à la sécurité des systèmes d’information peut devenir : Les équipes opérationnelles sont-elles formées à la sécurité des systèmes d’information ? Auditer et Identifier les écarts vis-à-vis d'un référentiel Méthode d’audit basé sur le guide d’hygiène de l’ANSSI Il est nécessaire de définir une échelle de maturité, celle-ci pourra être modifiable selon l’entité auditée. Exemple : chaque point sera évalué entre 0 et 3 en utilisant l'échelle suivante : ○ 0 = Mesures inexistantes ○ 1 = Mesures en cours de réflexion ○ 2 = Mesures en cours d'implémentation ○ 3 = Mesures implémentées Cela nous permet donc de pouvoir mesurer la maturité de chaque point listé dans le guide. Auditer et Identifier les écarts vis-à-vis d'un référentiel Méthode d’audit basé sur le guide d’hygiène de l’ANSSI Pour chaque point, nous pouvons également ajouter les informations suivantes : ○ Explications ○ Origine de l’écart ○ Plan d’actions ○ Responsable Auditer et Identifier les écarts vis-à-vis d'un référentiel Méthode d’audit basé sur le guide d’hygiène de l’ANSSI Les résultats de toutes les informations précédemment recueillies pourront être interprétés sous format graphique pour une compréhension globale : Auditer et Identifier les écarts vis-à-vis d'un référentiel Méthode d’audit basé sur le guide d’hygiène de l’ANSSI Le résultat obtenu permet donc d’évaluer le niveau de maturité SSI de l’organisation et d’identifier les écarts vis-à-vis du guide d’hygiène de l’ANSSI. Ce référentiel peut être utilisé par une entité n’ayant jamais réalisé d’audit de sécurité, une entité ayant subi une cyberattaque ou dans le cadre d’un projet de renforcement de sa sécurité SI. Les mécanismes de réflexion restent inchangés, seul le référentiel en lui-même change. EXERCICE 2 Étude de cas - Alignement des mesures de sécurité (maturité, raisons de l’écart) vis-à-vis du guide d’hygiène de l’ANSSI 2. Audit de la cybersécurité des systèmes d'information 1) Principe d’audit SSI 2) Séquencement d’un audit de la sécurité de l’information 3) Auditer et Identifier les écarts vis-à-vis d'un référentiel 4) Restitution des points stratégiques du rapport en CODIR Restitution des points stratégiques du rapport en CODIR Contexte Lors de la restitution d’un rapport d’audit à une direction, l’orateur doit effectuer une prise de hauteur vis-à-vis de son sujet. Les membres de la direction attendent une vulgarisation du résultat de l’audit, les différents résultats alors mis en forme devront alors se contextualiser dans le cadre professionnel / business de l’organisation. Restitution des points stratégiques du rapport en CODIR Contexte Cela passe tout d’abord par une bonne compréhension du secteur d'activité de l'organisation, afin de pouvoir faire ressortir les points stratégiques les plus pertinents pour la direction La restitution d’un audit auprès d’un COPIL/CODIR diffère de la restitution du rapport technique, on parle alors de présentation où les données seront schématisées L'objectif étant de faire comprendre rapidement à la direction les conséquences du résultat de l’audit sur le business de l’entité Restitution des points stratégiques du rapport en CODIR Composition d’un rapport de restitution Un rapport de restitution doit au minimum comprendre : Rappel du contexte La méthode d’audit Ce qui a été identifié (négatif / positif) Bilan et synthèse Plan d’action Restitution des points stratégiques du rapport en CODIR 1 : Rappel du contexte Le rappel du contexte est une représentation “macro” du projet, il doit au minima comprendre : Les besoins initiaux de cet audit (Indispensable) Les enjeux (Indispensable) Un rappel sur la composition des parties (Indispensable) Le planning (Optionnel mais conseillé) Les besoins initiaux de l’audit rappellent le “Pourquoi” de l’audit (Analyse de risque, Incident, démarche légale, etc.) Les enjeux complète les besoins initiaux (Qu’y a t-il à gagner ? Qu’y a t-il à perdre ?) Le rappel sur la composition des parties permet de mentionner les acteurs ayant été impliqués dans le périmètre (Équipe en charge du projet, les interviewés, etc.) Le planning permet de retracer les étapes cruciales du projet (notamment les interviews et les différents déplacements/rencontres avec les parties audités) Restitution des points stratégiques du rapport en CODIR 2 : Méthode d’audit La méthode utilisé durant l’audit doit être mentionnée et brièvement expliqué : ❏ Référentiel utilisé ❏ Support d’audit (questionnaire, outil, etc.) ❏ Moyen de vérification (observation - questionnaire - entrevue - échantillonnage) ❏ Un rappel sur les échelles choisies Restitution des points stratégiques du rapport en CODIR 3 : Mesures identifiées (Positif / Négatif) Les mesures qui auront été identifiées devront être intégrées dans cette partie, ainsi que leurs niveaux de maturité. ○ Les mesures peuvent être découpées par section du référentiel ○ Également découpées selon le moyen de vérification (Visite physique, entretien, etc.) ○ Cette partie centrale doit contenir au minimum les - et écarts relevés ○ Optionnellement, il est parfois judicieux d’ajouter également les + Restitution des points stratégiques du rapport en CODIR 3 : Mesures identifiées (Positif / Négatif) Restitution des points stratégiques du rapport en CODIR 4 : Bilan et synthèse Le bilan est la synthèse finale de l’audit, celui-ci doit contenir le résultat final comprenant : ○ Un niveau final de sécurité / maturité ○ Les KPI sur les sections bonnes et mauvaises ○ Un bilan d’impact d’écarts (si identifié par l’audit) ○ Une conclusion finale Restitution des points stratégiques du rapport en CODIR 4 : Bilan et synthèse En synthèse, il peut également être intéressant de représenter le résultat final de l’audit sous forme de schéma ou KPI. Restitution des points stratégiques du rapport en CODIR 4 : Bilan et synthèse Il peut être utile de présenter chaque écart avec son/ses scénarios de menaces et les potentiels impacts que cela aurait (en restant cohérent avec le contexte métier de l’organisation). Afin de prendre en compte rapidement la gravité de l’impact business d’un point présenté, un code couleur peut être utilisé : Restitution des points stratégiques du 5 : Plan d’action rapport en CODIR Le plan d’action contient les actions correctives et d’amélioration selon un ordre de priorité. Il peut être composé de : Chaque écart identifié La gravité de l’écart Les actions correctives associés à l’écart la difficulté de mise en oeuvre La priorité des actions à mener Un planning prévisionnel (optionnel) Restitution des points stratégiques du rapport en CODIR 5 : Plan d’action Certains éléments sont indispensables : ○ Priorité (définie lors des échelles) ○ Difficulté de mise en oeuvre (définie lors des échelles) ○ L’action (avec description détaillé) ○ Le responsable de l’action et une date envisagé (Optionnel) EXERCICE 3 Étude de cas - Réaliser une présentation pour la restitution d’audit au CODIR Sommaire 1. Introduction à la cybersécurité en France 2. Audit de la cybersécurité des systèmes d'information 3. Durcissement des infrastructures Windows 4. Une défense alignée aux attaques 3. Durcissement des infrastructures Windows 1) Sécurité des droits d’administration 2) Durcissements postes et serveurs 3) Durcissement des protocoles réseaux 4) Journalisation et surveillance avancée Sécurité des droits d’administration Scénario d’attaque des annuaires d’authentification Source : https://blog.netwrix.fr Dans les scénarios habituels, l’infection d’une machine par un ransomware ne laisse que plusieurs minutes à plusieurs heures pour compromettre la totalité de l’annuaire. 0. Le ransomware entre dans le réseau (en étant diffusé par mail) 1. Une fois exécuté, il tente de se propager par mouvement latéral puis d’élever ses droits sur chaque machine infectée (si nécessaire) 2. Il monte en privilège sur chaque machine infectée pour récupérer les jetons / credentials présent en mémoire 3. Il rebondit sur les serveurs du domaine pour y récupérer les jetons d’authentifications et chiffrer les données hébergées par les serveurs 4. A ce stade le ransomware a pu récupérer les droits d’administration de domaine et a compromis les contrôleurs de domaines et autres services critiques Sécurité des droits d’administration Architecture en tier 0 Pour limiter l’escalade de privilèges et la compromission des actifs haut niveau, Microsoft préconise d’implémenter les annuaires en modèle de tier Il s’agit de limiter les endroits où les informations d’identification d’administration sont exposées et de s’assurer que les tâches d’administration ne sont pas effectuées sur des hôtes utilisés pour les activités utilisateurs. Niveau 0 : Composants les plus critiques gérants le contrôle d’identité (Contrôleur de domaine, PKI, AD Connect, …) Niveau 1 : Serveurs et applications de l’organisation (Serveur de fichier, Exchange, …) Niveau 2 : Stations de travail, et appareils utilisateurs (ex : admin du support utilisateurs). Ce type d’infrastructure signifie qu’un administrateur est susceptible d’avoir (au moins) 3 comptes admin différents en fonction des actions qu’il souhaite réaliser (En plus de son compte personnel sans privilège) https://docs.microsoft.com/fr-fr/security/compass/privileged-access-access-model#ADATM_BM https://docs.microsoft.com/fr-fr/windows-server/identity/securing-privileged-access/securing-privileged-access-reference- material Sécurité des droits d’administration Architecture en tier 0 Un administrateur T0 peut gérer uniquement des composants de la couche T0. Il ne peut RDP que sur des serveurs intégrés à ce niveau (domain controller, PKI, ADFS, etc.). L’accès ne doit PAS être utilisé pour se connecter à des serveurs d’une couche inférieure. Un administrateur T1 opère les serveurs applicatifs de l’entreprise et autres middlewares au sein de l’infrastructure. Il ne doit pas être utilisé pour se connecter à une couche supérieure ou inférieure Un administrateur T2 gère les postes de travail des utilisateurs et autres périphériques. Ce compte ne doit pas être utilisé pour accéder aux autres couches supérieures. https://akril.net/comprendre-le-tiering-model-de-microsoft-en-francais/ Sécurité des droits d’administration Architecture en tier 0 L’efficacité et l’étanchéité d’une architecture en tier dépendra des éléments suivants : ○ Politique d’ouverture de sessions inter-couche ○ Filtrage des flux entre les sous-réseaux ○ Sensibilisation et applications des bonnes pratiques par les administrateurs https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/initially-isolate-tier-0-assets-with-group-policy-to- start/ba-p/1184934 Sécurité des droits d’administration Organisation tier 0 Pour faciliter le déploiement de restriction d’authentification, le modèle de hiérarchie administrative doit être construit en fonction de la stratégie de l’organisation. T2-03_Workstations https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/initially-isolate-tier-0-assets-with-group-policy-to- start/ba-p/1184934 Sécurité des droits d’administration Admin de tier Pour l’administration, les administrateurs doivent disposer de plusieurs comptes : ○ Compte utilisateur standard (T2) : jkhalfa ○ Compte administrateur T2 : t2-admin-jkhalfa ○ Compte administrateur T1 : t1-admin-jkhalfa ○ Compte administrateur T0 : t0-admin-jkhalfa Le compte t2-admin-jkhalfa sera administrateur local des machines du tier2 Le compte t1-admin-jkhalfa sera administrateur local des machines du tier1 Le compte t0-admin-jkhalfa sera administrateur de domaine Etc.. Sécurité des droits d’administration Admin de tier Le groupe GS_T2-Administrateurs contient les comptes d’administration du tier 2. Ce groupe sera intégré au groupe Administrateurs (local) des postes se trouvant dans le tier 2. Chaque tier se verra appliquer ce processus. Sécurité des droits d’administration Restriction d’ouverture de session En fonction des moyens de connexion, les ouvertures de sessions seront différentes : ○ Une ouverture de session interactive donnera accès au bureau ou au shell (RDP, console, KVM) ○ Une ouverture de session réseau permettra d’accéder à une ressource distante (Partage, MMC à distance, …) Bien gérer les autorisations d’ouvertures de session entre les couches augmentera la sécurité entre les tiers. https://docs.microsoft.com/fr-fr/windows-server/identity/securing-privileged-access/reference-tools-logon-types Sécurité des droits d’administration Restriction d’ouverture de session Par GPO, il est possible d’interdire les différents types d’ouverture de session à des utilisateurs / groupes d’utilisateurs Interdire l’accès à partir du réseau : Ouverture de session réseau Interdire l’ouverture de session locale : Ouverture de session interactive locale Interdire l’ouverture de session en service : Lancer des service avec un login de domaine Interdire l’ouverture de session en tâche : Lancer une tâche planifiée avec un login de domaine Interdire l’ouverture de session à distance : Interdire le RDP pour des utilisateurs de domaine Sécurité des droits d’administration Bastion d’administration L’administration sécurisée recommande d’utiliser des postes d'administration pour effectuer les tâches à privilèges (ce cas peut-être coûteux et lourd à gérer) En complément, il est conseillé d’utiliser un bastion d’administration (Serveur de rebond). Sécurité des droits d’administration Bastion d’administration Les bastions d’administration permettent aux administrateurs d’ouvrir une session distante depuis le serveur bastion (et non leurs postes). Il s’agit de manière simple d’un serveur de rebond à travers lequel chaque administrateur devra s’authentifier sur le portail pour pouvoir ouvrir une session distante avec le compte de son choix. Ce type de solution se couple à du PAM : Privilege Access Management Cyberark et Wallix offrent des possibilités de Bastion d’administration en PAM Sécurité des droits d’administration Conception d’une Architecture tier 0 L’implémentation du tier 0 doit faire l’objet de plusieurs considérations afin de garantir l’efficacité : Sensibilisation et formation des administrateurs / technicien Séparation et filtrages des réseaux (réseau tier 2, réseau admin, Réseau tiers 1, …) Utilisation de réseaux d’administration (Postes dédiés, Serveurs dédiés, …) Définition des des accès en fonction de l’organisation Renforcement des hôtes Audits et journalisations Modèle en couche : https://docs.microsoft.com/fr-fr/windows-server/identity/securing-privileged-access/securing-privileged- access-reference-material Mise en place de réseau d’administration : https://www.ssi.gouv.fr/guide/securiser-ladministration-des-systemes-dinformation/ Sécurité des droits d’administration Bastion d’administration Active Directory (RedForest) Un environnement bastion est une architecture avec une forêt d’administration dédiée permettant de gérer les comptes, stations et groupe d’administration de manière sécurisée. Les bastions d’administrations permettent d’augmenter la sécurité d’une architecture en tiers. Sécurité des droits d’administration Bastion d’administration Active Directory (RedForest) Comme cette forêt est distincte et qu’elle n’est pas dans une relation d’approbation bidirectionnelle avec les forêts existantes de l’organisation, si la sécurité de l’une des autres forêts est compromise, cette forêt dédiée ne sera pas affectée. Red Forest Enhanced Security Administrative Environment (ESAE) Forêt t0-esdown.local Forêt t1-esdown.local Forêt t2-esdown.local https://docs.microsoft.com/fr-fr/security/compass/privileged-access-access-model#ADATM_BM Sécurité des droits d’administration Protected Users Depuis 2012 R2 un nouveau groupe de domaine permet d’activer des protections supplémentaires sur les comptes sensibles, les utilisateurs du groupe s'identifiant sur Windows 8.1 / 2012 et ultérieur : Ne peuvent s’authentifier via NTLM, Digest ou CredSSP Le Kerberos TGT est récupéré à l’ouverture de session et ne peut être re-demandé Aucune mise en cache possible (Ouverture de session offline impossible) DES et RC4 plus fonctionnelle lors de la pré authentification Kerberos Délégation Kerberos non possible Durée de vie du TGT est écourté impliquant des possibles ré-authentifications Sécurité des droits d’administration Protected Users Sécurité des droits d’administration Sécurité de l’administrateur local L’administrateur local des postes est souvent à l’origine d’escalade de privilèges sur le SI. Il représente une porte d’entrée importante et sa sécurité est bien souvent délaissée. Son mot de passe est bien souvent le même sur tous les postes d’un parc notamment lorsque ceux-ci sont déployés à travers une solution de déploiement. Pour répondre à ce besoin de sécurité, Microsoft met à disposition l’outil LAPS (Local Admin Password Solution) qui permet de gérer automatiquement les mots de passe des administrateurs locaux. Sécurité des droits d’administration Fonctionnement LAPS Les mots de passe sont générés aléatoirement suivant une politique de complexité. Ces mêmes mots de passe sont stockés dans un attribut de compte ordinateur ms- MCS-AdmPwd Avec LAPS les mots de passe sont : Uniques sur chaque poste Générés aléatoirement Changés fréquemment Stockés de manière sécurisée dans l’annuaire La mise en place de LAPS réduit considérablement la surface d’attaque des postes et serveurs. Sécurité des droits d’administration LAPS Sécurité des droits d’administration Rappel attaque Kerberoasting Lorsqu’un utilisateur veut accéder à un service, celui-ci demande un TGS au KDC, puis transmet le TGS au service (qui vérifie si l’utilisateur a le droit d’accès au service demandé). Les Tickets de service sont chiffrés par le hash du compte exécutant le service. Les services sont indexés par un SPN et souvent portés par les machines (ayant un mot de passe très long et aléatoire changeant automatiquement tous les 30 jours). Pour utiliser l'authentification Kerberos sur ces services, il est nécessaire de les identifier sur le réseau (par conséquent, leur attribuer un SPN). Un SPN pemet de désigner un service porté par un objet (machine ou utilisateur) : classe_du_service/hostname_ou_FQDN:port Documentation SPN : https://docs.microsoft.com/fr-fr/sql/database-engine/configure-windows/regis
