Cours architecture sécurisé PDF
Document Details
IUT Villetaneuse, Université Sorbonne Paris Nord
Nour-Eddine AWANE
Tags
Summary
Ce document présente l'architecture sécurisée, un ensemble de concepts, de procédures et de modèles de sécurité qui équilibrent les opportunités et les menaces d'une entreprise. Il explore les aspects de la sécurité des endpoints, des réseaux, Web, Cloud et les services de sécurité gérés.
Full Transcript
L’architecture sécurisée Nour-Eddine AWANE BUT 3 Cyber 1 Architecture de sécurité 2 Sommaire › Architecture de sécurité › La sécurité des Endpoints › La sécurité des Réseaux (Network Security) › La sécurité WEB (WEB Security) › La sécurité du...
L’architecture sécurisée Nour-Eddine AWANE BUT 3 Cyber 1 Architecture de sécurité 2 Sommaire › Architecture de sécurité › La sécurité des Endpoints › La sécurité des Réseaux (Network Security) › La sécurité WEB (WEB Security) › La sécurité du Cloud › Les services de sécurité managés 3 Architecture de sécurité Bien qu'il existe différentes définitions de l'architecture de sécurité, il s'agit en fin de compte d'un ensemble de concepts, de procédures et de modèles de sécurité qui équilibrent les opportunités et les menaces. Tout ce que fait une entreprise crée la possibilité d'avantages et de menaces. La tolérance au risque est différente dans différentes parties de l’entreprise. Une bonne architecture de sécurité correspond aux objectifs de bénéfices et de risques. S’assurer de rester suffisamment protégé contre les cyberattaques. Les besoins de l'entreprise sont traduits en exigences de sécurité exploitables grâce à l'architecture de sécurité. 4 Architecture de sécurité › Architecte de sécurité est à comparer à l'architecture traditionnelle. Le travail d'un architecte de la sécurité est assez similaire à celui d'un architecte de maison, d'école ou de bâtiment d'entreprise. Analyser la propriété, préférences des clients, type de sol/terrain/climat, élaborer une stratégie (le plan) D'autres construisent la structure sous la supervision de l'architecte pour garantir l'atteinte de l'objectif (Gouvernance de l'Architecture). › Objectif de la plupart des architectures de sécurité est de: Protéger l'entreprise contre les cybermenaces. Créer une stratégie et des conseils adaptés aux objectifs de l’entreprise et répondant à l’appétence déclarée pour le risque de cybersécurité. 5 Architecte de sécurité: 4 éléments critiques › Pour mieux comprendre la nature de l'architecture de sécurité, il est utile de voir l'architecture de sécurité dans quatre contextes critique. › Il n’existe pas d’architecture sécurité autonome; c’est une « préoccupation transversale » › il y a un aspect de sécurité dans chaque domaine de l'architecture d'entreprise. 6 Architecture de sécurité: Modèle SABSA › L’un des meilleurs pratiques de l’architecture de sécurité est le modèle SABSA (Sherwood Applied Business Security Architecture). › SABSA est un cadre d'architecture de sécurité des informations d'entreprise axé sur les risques pour soutenir les activités commerciales clés. › La principale caractéristique du modèle SABSA est que tout doit être tiré d'une étude des besoins des entreprises en matière de sécurité › L'architecture de sécurité de l'entreprise est essentielle au succès du programme de gestion stratégique de la sécurité de l'information de l'organisation. › La méthode est soutenue par des outils de cadre basés sur l'expérience du monde réel 7 Architecture de sécurité: Modèle SABSA › Les couches d’architectures de sécurité SABSA: – Contextuel - Couche métier › La vision et les objectifs de l'entreprise ; ce que l'Entreprise veut réaliser ; et ce qui compte le plus – Conceptuel - Couche d'architecte › Les concepts et l'approche stratégique pour permettre, soutenir et protéger le contexte ; comprend une série de cadres et d'objectifs d'un point de vue d'architecture particulier, comme l'architecture de sécurité – Logique - Couche du concepteur › Les actifs logiques et les modèles pour structurer les exigences fonctionnelles des solutions – Physique - Couche du constructeur › L'infrastructure et les mécanismes techniques pour fournir la fonctionnalité requise 8 Architecture de sécurité: Saba matrice 9 Architecture de sécurité: Gestion des risques › L'architecture de sécurité concerne la gestion des risques. › Le risque est l'effet de l'incertitude sur la réalisation de tous les objectifs de votre entreprise. › L'architecture de sécurité ne se traduit pas nécessairement par une protection contre une menace. – Un élément de gestion des risques doit être impliqué › La pratique de contrôle des risques liés à l'utilisation des technologies de l'information est connue sous le nom de gestion des risques de sécurité de l'information, ou ISRM 10 Architecture de sécurité: ISRM › ISRM (Information system Risk Management) est le processus d’identifier, d’analyser et de répondre aux menaces liées à la confidentialité, à l’intégrité et à la disponibilité des actifs d’une organisation. › Les entreprises doivent déterminer et assumer un seuil de risque global acceptable au lieu de s’attendre à éliminer tous les dangers potentiels. › La gestion des risques dans le cadre de l’architecture de sécurité implique l’identification des actifs, l’identification des vulnérabilités potentielles, l’identification des menaces, la recherche des contrôles et la réalisation d’évaluations approfondies sur une base régulière. 11 Architecture de sécurité: Avantages/objectifs › Le premier avantage (et le plus évident) d'une sécurité améliorée est que les failles de sécurité soient réduites. › Simplicité de mettre en place les exigences sécurité des normes de sécurité (HIPAA, NIST, GDPR..) si on dispose d'une conception d'architecture de sécurité solide en tant que composant clé de l’organisation d’entreprise. › Gagner en confiance nécessite une architecture de sécurité solide – Lorsque l’entreprise est reconnue dans le domaine de la cybersécurité aide à gagner la confiance des parties prenantes (Clients et partenaires) › L'objectif de l'architecte de sécurité est de protéger l'entreprise, pas la technologie. › Les architectes de sécurité doivent trouver un équilibre entre le besoin de se protéger et la volonté de réussir. 12 Services de sécurité Confidentialité : les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d’un tiers non- autorisé. Authenticité : l’identité des acteurs de la communication est vérifiée. Intégrité : les données de la communication n’ont pas été altérées. Non-répudiation : les acteurs impliqués dans la communication ne peuvent nier y avoir participer. Disponibilité : les acteurs de la communication accèdent aux données dans de bonnes conditions. 13 CyberSecurité VS sécurité › Le cyber fait référence au monde numérique et à tout ce qui touche à la technologie et à Internet. › La cybersécurité est la pratique consistant à protéger les systèmes informatiques, les réseaux et les appareils connectés à Internet contre les attaques numériques, le vol et les dommages. – La mise en œuvre de diverses technologies, processus et pratiques pour sécuriser les informations sensibles et empêcher accès non autorisé, piratage et autres cybermenaces › L'objectif de la cybersécurité est de garantir la sécurité d'Internet et des appareils connectés pour les particuliers, les entreprises et les gouvernements. 14 Cybersécurité VS sécurité › La sécurité de l'information et la cybersécurité sont des concepts étroitement liés mais légèrement différents. Information Security= Cyber + Physical › En bref, la sécurité de l'information est un terme large qui englobe tous les aspects de la protection d’information, tandis que la cybersécurité se concentre spécifiquement sur la protection des systèmes numériques et réseaux. › Pour rendre les solutions de sécurité de l’information efficaces, les entreprises se concentrent sur les cas d’utilisation. Dans le contexte de la cybersécurité, un cas d'utilisation est un scénario ou une situation spécifique qui décrit comment un événement ou un incident de sécurité doit être détecté, étudié et/ou traité par un l'équipe sécurité. 15 La sécurité des « Endpoints » est la LA SÉCURITÉ DES partie de la cybersécurité qui se ENDPOINTS focalise sur la protection des La solution Antivirus équipements individuels qui se connectent à un réseau, tels que: – des ordinateurs, – les smartphones, – des tablettes, et – des objets connectés (IoT) 16 Endpoint Security- Antivirus Solution › La sécurité Endpoint est la dernière ligne de défense contre les cybermenaces. › Le but de la sécurité des « Endpoints » est d'empêcher la compromission de ces équipements et leurs utilisations pour accéder à des informations sensibles ou lancer des attaques sur le réseau. › La sécurité des « Endpoints » implique généralement une combinaison de solutions matérielles et logicielles, notamment des logiciels antivirus, des pares-feux et des technologies de chiffrement. › L'objectif de la sécurité de ces points est de protéger le réseau en sécurisant chaque « Endpoint » et en empêchant la propagation de logiciels malveillants et autres cybermenaces. › la solution antivirus est un outil essentiel pour maintenir la sécurité d'un ordinateur ou d'un réseau en la protégeant contre la propagation des logiciels malveillants. 17 Endpoint Security- Antivirus Solution › Une solution antivirus (AV) est un type de logiciel (Software) conçu pour prévenir, détecter et supprimer les logiciels malveillants, également appelés Malwares. › Malware peut contenir des viruses, trojans, worms, spyware, ainsi que d’autres types de logiciel malveillant susceptibles d'endommager un ordinateur ou de voler des informations sensibles. › Une solution antivirus fonctionne généralement en analysant en permanence les fichiers d'un ordinateur, les e-mails entrants et le trafic réseau à la recherche de signatures de logiciels malveillants connus. › Si un logiciel malveillant est détecté, l’antivirus le supprimera ou le mettra en quarantaine pour l'empêcher de se propager à d'autres parties de l'ordinateur ou du réseau. › Certaines solutions antivirus ajoutent également des fonctionnalités de sécurité supplémentaires, telles que des pares-feux, des systèmes de détection et de prévention des intrusions et des mises à jour de renseignements sur les menaces en temps réel «real-time threat intelligence updates ». 18 Endpoint Security - Viruses, Trojans, Worms, Spyware? Virus est un type de logiciel malveillant qui infecte un ordinateur en s'attachant à d'autres logiciels légitimes. Une fois installé, un virus peut se propager à d’autres parties de l’ordinateur et causer des dommages, tels que la corruption de fichiers ou le ralentissement du système. Trojan (cheval de Troie) est un type de malware qui se déguise en logiciel légitime et il est utilisé pour obtenir un accès non autorisé à un ordinateur. Les chevaux de Troie sont souvent utilisés par les attaquants pour voler des informations sensibles, telles que des mots de passe et des numéros de carte de crédit. Worm (ver) est un type de logiciel malveillant conçu pour se propager d'un ordinateur à un autre, souvent via un réseau. Contrairement à un virus, un ver n'a pas besoin de s'attacher à un autre logiciel et peut se propager tout seul. Spyware (logiciel espion) est un type de logiciel malveillant utilisé pour collecter des informations sur un ordinateur et son utilisateur, à leur insu. Les logiciels espions peuvent être utilisés pour suivre l'activité Internet d'un utilisateur, voler des mots de passe et recueillir d'autres informations sensibles. 19 Malware - Signatures › Les signatures de malware sont un ensemble de modèles ou de caractéristiques uniques utilisés pour identifier un type spécifique de logiciel malveillant. Ces signatures peuvent inclure des noms de fichiers, des modèles de code ou d'autres identifiants uniques propres à chaque type de logiciel malveillant. – Les anti-virus (AV) utilisent ces signatures pour détecter et supprimer les logiciels malveillants d'un ordinateur ou d'un réseau. – Lorsqu'un antivirus analyse un ordinateur ou un réseau, il compare les fichiers et les données entrantes à sa base de données de signatures connues. – Si une correspondance est trouvée, le logiciel antivirus peut identifier le type de malware et prendre les mesures appropriées, telles que sa suppression ou sa mise en quarantaine. › Les signatures de malware sont constamment mises à jour par les fournisseurs d'antivirus pour suivre l'évolution des menaces de logiciels malveillants. Cela permet aux antivirus de rester à jour et de se protéger efficacement contre les dernières cybermenaces. › Les signatures de malware sont un élément clé des antivirus, leur permettant d'identifier et de supprimer avec précision les logiciels malveillants. 20 Types d’Antivirus › Il existe plusieurs types de solutions antivirus (AV), notamment : 1. Antivirus traditionnel : il s'agit de l’antivirus le plus basique et utilise une base de données de signatures de malware pour détecter et supprimer les logiciels malveillants. 2. Antivirus temps réel (Real-Time AV): ce type offre une protection continue en analysant les données et les fichiers entrants en temps réel, ainsi qu'en analysant régulièrement l'ordinateur ou le réseau. 3. Antivirus basé sur le comportement (Behaviour-Based AV): ce type recherche un comportement inhabituel sur un ordinateur ou un réseau, tel qu'un fichier s'exécutant à l'insu de l'utilisateur, pour détecter et supprimer les logiciels malveillants. 4. Antivirus basé sur le cloud (Cloud-Based AV): ce type utilise le cloud pour détecter et supprimer les logiciels malveillants, ce qui permet une protection plus rapide et plus efficace contre les cybermenaces. 5. Endpoint Anti-Virus : ce type est spécifiquement conçu pour protéger les appareils individuels qui se connectent à un réseau, tels que les ordinateurs portables, les smartphones et les appareils IoT. il existe plusieurs types de solutions antivirus, chacune avec ses propres forces et faiblesses. Le type de solution antivirus la mieux adaptée à une organisation particulière dépendra de ses besoins et exigences spécifiques. 21 Antivirus solution: Dimensionnement › Le dimensionnement d'une solution antivirus implique de déterminer les ressources et capacités nécessaires pour protéger efficacement les équipements et le réseau contre les malwares et autres menaces de sécurité. Pour ce faire, les éléments suivants doivent être pris en compte: 1. Taille de l'environnement : y compris le nombre d’Endpoints et de serveurs, aura un impact sur les exigences en matière de taille et de capacité de la solution. 2. Paysage des menaces (Threat Landscape): le paysage des menaces aura un impact sur le nombre de détections de malware et la fréquence des mises à jour requises, ce qui aura un impactera la puissance de traitement, le stockage et la bande passante réseau requis. 3. Exigences de performances : Notamment le temps de réponse et la puissance de traitement requises, auront un impact sur la taille et la capacité de la solution antivirus. 4. Contraintes de ressources : les ressources disponibles, notamment la puissance de traitement, le stockage et la bande passante du réseau, auront un impact sur la taille et la capacité de la solution antivirus. 5. Évolutivité (Scalability) : l'évolutivité de l'environnement, y compris la possibilité d'ajouter ou de supprimer des points finaux ou des serveurs selon les besoins, aura un impact sur la taille et la capacité de la solution antivirus. 6. Exigences de sécurité : les exigences de sécurité de l'environnement, y compris la nécessité d'une protection contre les menaces en temps réel, auront un impact sur la taille et la capacité de la solution antivirus. Une fois ces éléments étudiés, choisissez le type de solution antivirus et le dimensionnement adapté à l’environnement et aux exigences de sécurité. 22 Antivirus solution: Connexions Une solution antivirus peut se connecter à divers autres systèmes, en fonction des besoins et exigences spécifiques de l’organisation. 1. Endpoint : les solutions antivirus peuvent être installées sur des appareils terminaux individuels, tels que les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles, pour protéger contre les logiciels malveillants et autres menaces sur ces appareils. 2. Infrastructure réseau : les solutions antivirus peuvent s'intégrer aux composants de l'infrastructure réseau, tels que les routeurs, les commutateurs et les pares-feux, pour fournir une vue complète du trafic réseau et identifier les menaces potentielles. 3. Serveurs : les solutions antivirus peuvent être installées sur des serveurs, notamment des serveurs de fichiers, des serveurs Web et des serveurs de bases de données, pour vous protéger contre les logiciels malveillants et autres menaces ciblant ces systèmes. 4. Systèmes cloud : les solutions antivirus peuvent être intégrées aux systèmes cloud, tels que les services de stockage cloud, pour se protéger contre les logiciels malveillants et autres menaces dans l'environnement cloud. 5. Systèmes de gestion (management system): les solutions antivirus peuvent s'intégrer à des systèmes de gestion, tels que les systèmes de gestion des informations et des événements de sécurité (SIEM), pour fournir une gestion et un reporting centralisés de l'activité antivirus. Ce ne sont que quelques exemples des types de systèmes auxquels les solutions antivirus peuvent se connecter. Les systèmes spécifiques auxquels une solution antivirus se connectera dépendront des besoins et des exigences de l'organisation. 23 EndPoint Security – Mobile Security › La sécurité mobile fait référence aux mesures prises pour protéger les appareils mobiles tels que les smartphones et les tablettes contre les cybermenaces, le vol de données et les accès non autorisés. Cela implique d'utiliser des mots de passe et des écrans de verrouillage sécurisés, d'éviter les réseaux Wi-Fi publics, d'installer un logiciel antivirus, de maintenir le système d'exploitation et les applications à jour et de se méfier des liens ou des e-mails suspects. › Une solution de défense contre les menaces mobiles (MTD: Mobile Threat Defense) est un type de logiciel conçu pour protéger les appareils mobiles contre diverses menaces de sécurité telles que les logiciels malveillants, les applications malveillantes, les attaques de phishing et les accès non autorisés. › Les solutions MTD utilisent généralement une combinaison de technologies telles que protection des Endpoints, gestion des appareils mobiles (MDM: mobile device management ), gestion des applications mobiles (MAM: mobile application management) et veille sur les menaces pour sécuriser les appareils et protéger les données sensibles. › Certaines solutions MTD fournissent également des fonctionnalités telles que la surveillance en temps réel, la gestion des appareils et le reporting pour aider les organisations à gérer et à atténuer les risques de sécurité mobile. › L'objectif de MTD est de prévenir les violations de données et de protéger les informations sensibles sur les appareils mobiles, tant pour un usage personnel que professionnel. 24 Mobile Security - EMM, MDM, MTD › Enterprise Mobility Management (EMM), Mobile Device Management (MDM), et Mobile Threat Defense (MTD) sont liés à la sécurisation des appareils mobiles mais avec des objectifs différents: EMM est un concept plus large qui englobe le MDM et fournit des fonctions supplémentaires au-delà de la simple gestion des appareils. Les solutions EMM offrent une approche complète de la gestion et de la sécurisation des appareils mobiles, des applications et des données au sein d'une organisation. MDM fait référence au processus de gestion et de sécurisation des appareils mobiles tels que les smartphones et les tablettes utilisés à la fois à des fins personnelles et professionnelles. Les solutions MDM fournissent un contrôle centralisé sur les appareils, permettant aux administrateurs de gérer les configurations des appareils, d'appliquer des politiques de sécurité et d'effacer les appareils à distance en cas de vol ou de perte. MTD, quant à lui, il vise à protéger les appareils mobiles contre des menaces de sécurité spécifiques telles que les logiciels malveillants, les attaques de phishing et les accès non autorisés. Les solutions MTD utilisent généralement les renseignements sur les menaces et la protection des points finaux pour assurer une surveillance et une protection en temps réel contre les menaces de sécurité. En résumé, alors qu'EMM fournit une solution plus complète pour gérer et sécuriser l'ensemble de l'écosystème mobile au sein d'une organisation, MDM fournit un ensemble plus large de fonctions de gestion et de contrôle, et MTD se concentre spécifiquement sur la sécurité et la protection des appareils contre des menaces de sécurité spécifiques. Dans de nombreux cas, pour fournir une solution complète de sécurité des appareils mobiles, les organisations utilisent à la fois les solutions EMM/MDM et MTD. 25 EMM, MDM, MTD – Points de différences 26 La sécurité des Endpoints – Defis et risques › la complexité de la sécurité des points finaux présente un éventail de défis et de risques pour les entreprises de toutes tailles en commençant par le fait que les « EndPoints » sont intrinsèquement sensibles aux ransomwares, au cryptojacking, au phishing et aux exploits de micrologiciels (Firmware Exploits) › Outre leur vulnérabilité, les terminaux présentent d’autres défis: – Nombre des Endpoints: le grand nombre des Endpoints constitue un défi évident pour les organisations. D’une part, les estimations indiquent qu’il y aura 46 milliards d’appareils IoT dans le monde. D'autre part, les organisations doivent identifier chaque appareil pour mettre en œuvre les pratiques de sécurité appropriées – Contrôles des politiques de sécurité: la sécurité des EndPoints nécessite une création et un contrôle rigoureux des politiques de sécurité. Cela signifie contrôler précisément la manière dont les terminaux sont gérés et leurs mises à jour, ainsi que la manière dont ils se connectent à un réseau.Sans règles, la sécurité de l’entreprise peut se transformer en quelque chose de très problématique, d'autant plus que de plus en plus d'utilisateurs finaux se connectent à votre réseau avec leurs appareils. 27 La sécurité des Endpoints – Defis et risques – Logiciels obsolètes : plus l’entreprise compte de terminaux, plus elle aura besoin de correctifs pour traiter les vulnérabilités par conséquent besoin d’investir dans des solutions automatisées. Sinon, l’équipe informatique sera rapidement débordée avec les mises à jour manuelles nécessaires. – Collaborateurs dispersés : L'époque où les employés étaient confinés dans les mêmes quatre murs est révolue pour de nombreuses entreprises. Les employés sont dispersés, dont nombreux travaillant à distance depuis leurs domiciles. – Vol : La protection des terminaux nécessite une sécurité physique. Les appareils volés, par exemple, représentent 39 % des violations de données. Un appareil perdu ou volé présente non seulement une menace de vol de données sur la machine locale, mais peut également exposer des mots de passe qui ouvrent la porte à votre réseau d'entreprise. 28 La sécurité des EndPoints – 7 best practices › À la lumière de ces défis, L’entreprise organisation doit adopter les meilleures pratiques en matière de sécurité des EndPoints. En voici quelques-uns à garder à l’esprit : – Améliorer la visibilité › On ne pas protéger ce que on ne connait pas. Sans une liste complète des appareils, on ne pourra jamais sécuriser complètement le réseau. – Il faut donc commencer par avoir un inventaire de tous les EndPoints. – Comprendre quels appareils se connectent au réseau, – à quoi ils accèdent et ce qu'ils font. Sans une liste complète des appareils, vous ne pourrez jamais sécuriser complètement votre réseau. – Déterminez à quels serveurs et applications ils se connectent et quelles données ils partagent et collectent. – Il est également préférable de documenter les mises à jour logicielles sur les appareils et leur fréquence. – De plus, comprendre les risques de sécurité que présente chaque appareil. 29 La sécurité des EndPoints – 7 best practices – Bien gérer les mises à jour › Automatisez le push des correctifs et des mises à jour logicielles aux EndPoints. – Deploy EDR (Endpoint Detection and Response) › la détection et la réponse des points finaux (EDR) deviennent une nécessité, car elles identifient les comportements et les empreintes communément associés aux compromissions et fournissent des alertes en cas de compromission potentielle. De plus, EDR fournit des alertes de console, des rapports, une réponse aux incidents et une couverture géographique étendue. Il permet également l’intégration de tiers. – Mettre en œuvre une architecture zéro confiance (Zero-trust) › Avec l’architecture Zero-TrustEn les évaluations des points finaux sont effectuées en permanence par rapport aux configurations standards, aux demandes d'accès, aux privilèges et aux droits d'accès. Les employés accèdent au réseau et aux applications selon le principe du moindre privilège. 30 La sécurité des EndPoints – 7 best practices – Sensibiliser les employés › Les employés représentent votre maillon le plus faible de la chaîne de sécurité. Les cybercriminels le savent : c’est pourquoi ils ciblent régulièrement les employés avec des attaques d’ingénierie sociale telles que le phishing, le smishing et d’autres escroqueries. › Il est important de sensibiliser les employés sur les pratiques de sécurité de base, comme l'utilisation de mots de passe forts et promouvoir une culture de sécurité au sein de l’entreprise. – Plan de rétablissement › Même les meilleures pratiques sont la proie des pirates. › Il faut s’assurer d’avoir un plan de continuité des activités et de reprise après sinistre. Un plan BCDR (business continuity and disaster recovery plan) planifie votre récupération en cas de violation de données et accélère votre temps de récupération. 31 LA SÉCURITÉ DES La sécurité du réseau fait référence RÉSEAUX (NETWORK à la protection d'un réseau contre SECURITY) tout accès non autorisé, mauvais usage, modification ou déni de Next Generation Firewall service. Il englobe un ensemble de (NGFW) technologies, de processus et de pratiques conçus pour sécuriser les données et les ressources. Les mesures de sécurité du réseau peuvent inclure des pare-feu, des systèmes de détection et de prévention des intrusions, le chiffrement, des protocoles sécurisés, le contrôle d'accès et la segmentation du réseau. 32 La sécurité des réseaux: Pare-feu › L'objectif de la sécurité réseau est de garantir la confidentialité, l'intégrité et la disponibilité des informations et des ressources sur un réseau, en protégeant contre les menaces telles que les logiciels malveillants, le piratage et le vol de données. › Une sécurité réseau efficace nécessite une approche globale qui prend en compte à la fois les facteurs techniques et non techniques et implique un examen et une mise à jour réguliers des mesures de sécurité pour s'adapter à l'évolution des menaces. › Un pare-feu est un système de sécurité réseau qui surveille et contrôle le trafic réseau entrant et sortant en fonction de règles de sécurité prédéterminées. › Il agit d’une barrière entre deux réseaux ne laissant passer que le trafic autorisé. Ils peuvent être basés sur du matériel, des logiciels ou une combinaison des deux. › Les pare-feu peuvent être configurés pour filtrer le trafic en fonction des adresses source et de destination, des numéros de port et des protocoles d'application, entre autres facteurs. › L'objectif d'un pare-feu est d'améliorer la sécurité en contrôlant l'accès vers et depuis un réseau et en le protégeant contre les activités malveillantes. 33 Sécurité des réseaux: Segmentation réseau › La segmentation du réseau est le processus de division d'un réseau informatique en sous-réseaux plus petits, appelés segments, pour améliorer la sécurité, la gestion et les performances du réseau. › La segmentation du réseau crée des parties isolées d'un réseau, ce qui réduit la surface d'attaque et limite les dommages potentiels qu'une faille de sécurité peut causer. › Chaque segment peut se voir attribuer un niveau de sécurité différent, permettant de sécuriser différemment différentes parties du réseau. Par exemple: – les données sensibles peuvent être stockées dans un segment doté de mesures de sécurité plus strictes, – tandis que les données moins sensibles peuvent être stockées dans un segment doté de mesures de sécurité plus souples. › Cette approche aide les organisations à équilibrer le besoin de sécurité avec le besoin d’accessibilité et de performance. › Par exemple : les fonctions RH traitant les informations sensibles des employés (salaires…etc) peuvent être segmentées séparément des fonctions de recherche et développement différemment sensibles (brevets) qui peuvent être différentes des fonctions de finance. 34 Sécurité des réseaux: Segmentation réseau › La segmentation du réseau peut être réalisée via diverses méthodes: – les réseaux locaux virtuels (VLAN), – les réseaux privés virtuels (VPN) – les pares-feux. › Le choix de la méthode dépend des exigences spécifiques de l’organisation et de l’architecture du réseau. › La segmentation du réseau est comme une bonne pratique pour améliorer la sécurité du réseau et elle est largement utilisée par les organisations de toutes tailles. 35 Sécurité des réseaux: Micro-segmentation › Micro-segmentation amène la segmentation du réseau à un niveau plus granulaire. Il crée de petits domaines de sécurité isolés pour des applications ou des charges de travail individuelles au sein d'un réseau. › La micro-segmentation offre un niveau de sécurité plus élevé, car elle contribue à limiter la propagation des menaces et réduit la surface d'attaque en créant des domaines de sécurité plus petits et bien définis. › La micro-segmentation est une approche de sécurité réseau qui permet aux architectes de sécurité de construire des limites de zones de sécurité réseau par machine dans les DataCenters et le cloud afin de séparer et sécuriser les «Workload». 36 Sécurité des réseaux: Micro-segmentation › Il existe trois principaux types de micro-segmentation : – Native OS host-based firewall: Utilise des pares-feux du système d'exploitation pour contrôler le trafic réseau entre les segments du réseau. Au lieu d'utiliser un routeur, des pare-feu réseau ou de déployer des agents, chaque pare-feu hôte est utilisé pour effectuer à la fois l'audit et l'application, empêchant les attaquants de se déplacer latéralement entre les machines du réseau. Bien que les pares-feux basés sur l'hôte natif du système d'exploitation puissent mettre en œuvre de nombreux schémas de segmentation, y compris la micro-segmentation, seules les innovations récentes dans le domaine ont rendu la mise en œuvre et la gestion réalisables à grande échelle. – Segmentation hôte-agent (Host-agent segmentation): Ce type de micro-segmentation utilise des agents des « EndPoints ». En disposant d'un gestionnaire centralisé ayant accès à tous les flux de données, la difficulté de détecter des protocoles obscurs ou des communications chiffrées est atténuée. L’utilisation de la technologie hôte-agent est communément reconnue comme une méthode puissante de micro-segmentation. Étant donné que les appareils infectés agissent comme des hôtes, une stratégie d'hébergement solide peut. empêcher les problèmes de se manifester en premier lieu. Ce logiciel doit cependant être installé sur chaque hôte – Segmentation de l'hyperviseur (Hypervisor segmentation): Dans cette implémentation de micro-segmentation, tout le trafic passe par un hyperviseur. Étant donné que la surveillance du trafic au niveau de l'hyperviseur est possible, les pare-feu existants peuvent être utilisés et les règles peuvent être activées au fur et à mesure que les 37 instances sont lancées et arrêtées. Micro-segmentation: Avantages/défis › Avantages: – La micro-segmentation permet de contrecarrer presque toutes les méthodes d'attaque en fermant les vecteurs d'attaque au sein des réseaux internes afin que les attaquants soient stoppés dans leur élan. – La micro-segmentation dans les environnements Internet des objets (IoT) peut aider les entreprises à maîtriser le volume croissant de communications latérales entre appareils, qui ne sont actuellement pas gérées par des mesures de sécurité basées sur le périmètre. › Défis (Chalenges): – Malgré ses fonctionnalités utiles, la mise en œuvre et la maintenance de la micro-segmentation peuvent être difficiles. – La définition de politiques qui répondent aux exigences de chaque système interne constitue un autre obstacle potentiel. – La connexion réseau entre des actifs très sensible et d’autres moins sensibles à l’intérieur de la même limite de sécurité nécessite de savoir quels ports et protocoles doivent être ouverts et dans quelle direction. – La micro-segmentation est largement compatible avec les environnements exécutant des systèmes d'exploitation courants, notamment Linux , Windows et MacOS. Toutefois, ce n’est pas le cas des entreprises qui s’appuient sur des mainframes ou d’autres formes de technologie obsolètes. Pour profiter des avantages de la micro-segmentation malgré ses défis, les entreprises ont développé des solutions en utilisant l'automatisation et le libre-service 38 Sécurité des réseaux: Zero Trust Network Access (ZTNA) › Zero Trust Network Access (ZTNA) : – est un modèle de sécurité qui suppose que tous les utilisateurs, appareils et trafic réseau ne sont pas de confiance « Untrusted » et nécessite donc une vérification de l'identité et de la sécurité des équipements avant d'accorder l'accès aux applications et aux ressources. – Contrairement aux modèles d'accès réseau traditionnels, qui s'appuient sur un périmètre réseau pour la sécurité, ZTNA utilise une approche « ne jamais faire confiance, toujours vérifier » qui applique des politiques d'accès par utilisateur et par appareil. – ZTNA utilise diverses technologies de sécurité pour appliquer les politiques d'accès, notamment l'authentification multi-facteurs, le profilage des Devices la segmentation du réseau et le chiffrement. Ces technologies fonctionnent ensemble pour garantir que seuls les utilisateurs et équipements autorisés peuvent accéder à des applications et ressources spécifiques, et que les données sensibles sont protégées contre tout accès non autorisé. – ZTNA est de plus en plus populaire dans les environnements modernes cloud et hybrides où les segmentations réseaux traditionnelles ne suffisent souvent pas à assurer une sécurité efficace. – En utilisant une approche ZTNA, les organisations peuvent fournir un accès sécurisé aux applications et aux ressources depuis n'importe quel emplacement ou appareil, sans compromettre la sécurité. 39 Sécurité des réseaux: Pare-feu nouvelle génération (NGFW) › Pare-feu de nouvelle génération (NGFW: Next-generation Firewall) – est un type de pare-feu qui offre des fonctionnalités de sécurité avancées au-delà des pares-feux traditionnels. – Les solutions NGFW intègrent généralement des fonctionnalités telles que l'inspection approfondie des paquets (deep packet inspection), le contrôle des applications (application control),la gestion de l'identité des utilisateurs (User Identity Management) et la prévention des intrusions. – L'objectif de NGFW est de fournir une solution de sécurité complète capable de détecter et de prévenir les menaces, tout en permettant aux organisations d'appliquer des politiques de sécurité et de gérer le trafic réseau. – Les solutions NGFW sont conçues pour répondre aux besoins des organisations modernes qui s'appuient sur des environnements réseau complexes et diversifiés et nécessitent un niveau de sécurité plus sophistiqué pour se protéger contre les cybermenaces avancées. 40 Sécurité des réseaux: Pare-feu Cloud Nouvelle Génération › Cloud Next-Generation Firewall (NGFW) fait référence à un type de pare-feu qui assure la sécurité du réseau dans un environnement de cloud computing. › Une solution cloud NGFW est déployée et gérée dans un environnement cloud, tel qu'Amazon Web Services (AWS) ou Microsoft Azure ou Google Cloud, plutôt que dans du matériel sur site (On-premises hardware) › Les solutions Cloud NGFW offrent plusieurs avantages par rapport aux solutions NGFW traditionnelles, notamment : 1. Évolutivité (Scalability): les solutions Cloud NGFW peuvent être facilement mises à l'échelle ou réduites pour s'adapter aux besoins changeants du réseau, sans avoir besoin de mises à niveau des matériels/hardwares. 2. Flexibilité : les solutions Cloud NGFW sont accessibles de n'importe où, permettant aux organisations de sécuriser les accès distants et divers sites/filiales de l’entreprise. 3. Rentabilité : les solutions Cloud NGFW peuvent réduire les coûts associés à l'achat et à la maintenance du matériel et des logiciels sur site. 4. Sécurité améliorée : les solutions Cloud NGFW peuvent offrir une sécurité améliorée par rapport aux solutions traditionnelles sur site, car elles sont gérées et entretenues par des experts en sécurité expérimentés. Lors du choix d'une solution cloud NGFW, il est important de prendre en compte les exigences de sécurité spécifiques du réseau, la taille et la complexité du réseau, ainsi que les capacités techniques du fournisseur de cloud. Il est également important de s'assurer que la solution s'intègre bien aux autres solutions et outils de sécurité déjà utilisés au sein de l'organisation. 41 Sécurité des réseaux: Inspection approfondie des paquets (DPI) › L'inspection et l'analyse des paquets « Packet inspection and analysis » est une technique couramment utilisée dans la sécurité des réseaux pour surveiller et se protéger contre les activités malveillantes. En examinant le contenu de chaque paquet, les dispositifs de sécurité peuvent identifier et empêcher le trafic malveillant d'entrer dans le réseau ou identifier et isoler les appareils infectés au sein du réseau. › L'inspection approfondie des paquets (DPI): – est une méthode utilisée pour inspecter les paquets en temps réel lorsqu'ils traversent un réseau. – DPI permet à l'appareil d'examiner non seulement l'en-tête d'un paquet, mais également sa Payload, permettant ainsi une analyse plus approfondie des données transmises. – est souvent utilisé par les pares-feux, les systèmes de détection d'intrusion (IDS) et les systèmes de prévention d'intrusion (IPS) pour identifier et prévenir les activités réseau malveillantes. – Il peut également être utilisé pour surveiller le trafic réseau et appliquer des politiques telles que la qualité de service (QoS) et la gestion de la bande passante. 42 Sécurité des réseaux: Inspection approfondie des paquets (DPI) › L'inspection et l'analyse des paquets « Packet inspection and analysis » est une technique couramment utilisée dans la sécurité des réseaux pour surveiller et se protéger contre les activités malveillantes. En examinant le contenu de chaque paquet, les dispositifs de sécurité peuvent identifier et empêcher le trafic malveillant d'entrer dans le réseau ou identifier et isoler les appareils infectés au sein du réseau. › L'inspection approfondie des paquets (DPI): – est une méthode utilisée pour inspecter les paquets en temps réel lorsqu'ils traversent un réseau. – DPI permet à l'appareil d'examiner non seulement l'en-tête d'un paquet, mais également sa Payload, permettant ainsi une analyse plus approfondie des données transmises. – est souvent utilisé par les pares-feux, les systèmes de détection d'intrusion (IDS) et les systèmes de prévention d'intrusion (IPS) pour identifier et prévenir les activités réseau malveillantes. – Il peut également être utilisé pour surveiller le trafic réseau et appliquer des politiques telles que la qualité de service (QoS) et la gestion de la bande passante. 43 Sécurité des réseaux: Inspection approfondie des paquets (DPI) › DPI fonctionne en examinant chaque paquet en détail, à la recherche de modèles et d'attributs spécifiques qui correspondent aux menaces de sécurité connues ou violent les politiques réseau. › Ces informations peuvent ensuite être utilisées pour bloquer le trafic malveillant ou pour appliquer des politiques de sécurité et optimiser les performances du réseau. › Le DPI est considéré comme un élément important des solutions de sécurité avancées, car il permet aux organisations de se protéger contre les menaces évolutives et de maintenir des réseaux sécurisés. › Cependant, cela peut également poser des problèmes de confidentialité, car il permet aux organisations d’inspecter et potentiellement de stocker des données sensibles. 44 Sécurité des réseaux: Application Control › Le contrôle des applications est une fonctionnalité de sécurité utilisée pour surveiller et gérer l'utilisation des applications sur un réseau. › L'objectif du contrôle des applications est d'empêcher les applications non autorisées ou malveillantes de s'exécuter sur le réseau, tout en permettant aux applications autorisées de fonctionner normalement. › Le contrôle des applications fonctionne généralement en examinant les caractéristiques du trafic réseau, telles que les adresses source et de destination, les numéros de port et les protocoles d'application puis utiliser ces informations pour identifier et contrôler les applications générant le trafic. › Les informations sont utilisées pour créer des politiques qui définissent quelles applications sont autorisées à s'exécuter sur le réseau et lesquelles ne le sont pas. › Le contrôle des applications est considéré comme un élément important des solutions de sécurité avancées, car il aide les organisations à empêcher la propagation de logiciels malveillants et d'autres menaces, et à appliquer des politiques d'utilisation des applications sur le réseau. › Cependant, cela peut également introduire un certain niveau de complexité et de surcharge de gestion, car les organisations doivent créer et maintenir des politiques pour chaque application utilisée sur le réseau. 45 Sécurité des réseaux: User Identity Management (UIM) › La gestion de l'identité des utilisateurs (UIM) est le processus d'identification, d'authentification et d'autorisation des individus ou des systèmes à accéder aux ressources du réseau d'une organisation. › L’objectif de l’UIM est de garantir que seuls les utilisateurs autorisés ont accès aux données et systèmes sensibles, tout en facilitant l’accès des utilisateurs aux ressources dont ils ont besoin. › L'UIM implique généralement l'utilisation de comptes d'utilisateurs, de mots de passe et d'autres formes d'authentification, telles que des cartes à puce, des dispositifs biométriques et des systèmes d'authentification unique (SSO). › Les informations d'authentification sont ensuite utilisées pour accorder ou refuser l'accès à des ressources spécifiques, en fonction du rôle et des privilèges de l'utilisateur au sein de l'organisation. › L'UIM est un élément essentiel de la stratégie de sécurité de toute organisation, car il contribue à empêcher tout accès non autorisé aux données et systèmes sensibles et à maintenir la confidentialité, l'intégrité et la disponibilité des informations. 46 Sécurité des réseaux: User Identity Management (UIM) › Il existe plusieurs défis associés à l'UIM, notamment : – la nécessité de gérer un grand nombre d'utilisateurs et leurs informations d'authentification associées, – la nécessité de prendre en charge plusieurs méthodes et protocoles d'authentification – la nécessité de s'intégrer à d'autres systèmes et technologies de sécurité. › Une UIM efficace nécessite une stratégie bien conçue, des systèmes de sécurité robustes, ainsi qu'une surveillance et une gestion continues pour garantir que les utilisateurs sont correctement authentifiés et autorisés à accéder aux ressources. 47 Sécurité des réseaux – Intrusion Prevention › Systèmes de prévention des intrusions (IPS: Intrusion Prevention System) : – un IPS est une solution de sécurité qui utilise l'inspection approfondie des paquets (DPI) et d'autres techniques pour surveiller et prévenir les menaces de sécurité en temps réel. – IPS fonctionne en examinant le contenu des paquets réseau en temps réel et en comparant ces informations à une base de données des menaces de sécurité connues. – Si une menace est détectée, l'IPS prendra des mesures pour empêcher le trafic d'entrer dans le réseau. 48 Sécurité des réseaux – IPS Architecture › Au cœur du déploiement d’un système de prévention des intrusions se trouvent un ou plusieurs capteurs. Chaque capteur est stratégiquement positionné pour surveiller le trafic sur des segments de réseau particuliers. › Auparavant, les organisations déployaient un capteur pour chaque segment de réseau, mais désormais, un seul capteur peut surveiller plusieurs segments de réseau simultanément. › Afin de surveiller les segments de réseau clés dans une organisation, les capteurs IPS sont souvent déployés dans les points de connexions avec des politiques de sécurité différentes comme l’accès Internet. › En plus des capteurs d'Appliance hardware, certains fournisseurs proposent également des capteurs d'Appliance virtuels. 49 Sécurité des réseaux – Intrusion Detection System (IDS) › Un système de détection d'intrusion (IDS) rassemble et analyse des informations provenant d'un ordinateur ou d'un réseau pour identifier les accès non autorisés, les utilisations abusives et les violations possibles. › IDS peut également être appelé un sonde/sniffer qui intercepte les paquets acheminés sur divers supports de communication. Tous les paquets sont analysés après leur capture. 50 Sécurité des réseaux – Unified Threat Management (UTM) › Unified Threat Management (UTM) Devices: – un appareil UTM est une solution de sécurité qui combine plusieurs technologies de sécurité en un seul appareil ou une seule plate-forme. – Les UTM incluent généralement des pares-feux, des IPS, des antivirus, des anti-spam et d'autres technologies de sécurité. – L'objectif d'un UTM est de fournir une solution de sécurité complète aux petites et moyennes organisations, en combinant plusieurs technologies de sécurité en un seul appareil ou une seule plate-forme. 51 Sécurité des réseaux – Les types des NGFW (Next Generation Firewall) › Les NGFWs sont des solutions de pare-feu avancées qui offrent des fonctionnalités de sécurité améliorées par rapport aux pare-feu traditionnels. Il existe plusieurs types de NGFW, notamment : – Stateful Firewall NGFW – Application-Aware NGFW – Threat Prevention NGFW – Identity-Aware NGFW – SSL/TLS Inspection NGFW 52 Les types des NGFW - Stateful Firewall NGFW › Ce type de pare-feu NGFW offre les mêmes fonctionnalités que les pares-feux traditionnels, mais avec des performances et une évolutivité améliorée. Un pare-feu dynamique assure le suivi de l'état de chaque connexion, ce qui lui permet de gérer le trafic réseau et d'appliquer plus efficacement les politiques de sécurité. › L'état d'une connexion fait référence à l'état ou à la condition actuelle d'une communication entre deux équipements d'un réseau. › Dans un pare-feu avec état, l'état de chaque connexion est suivi et maintenu par le pare- feu, ce qui lui permet de gérer le trafic réseau et d'appliquer plus efficacement les politiques de sécurité. – Par exemple, lorsqu'une connexion est établie entre un client et un serveur, le pare-feu dynamique enregistre des informations sur la connexion, telles que les adresses IP source et de destination (comme l'adresse des emplacements physiques utilisés dans le contexte d'Internet), les ports utilisés, et l'état actuel de la connexion (par exemple, établie, fermée, etc.). Ces informations sont utilisées pour autoriser ou bloquer le trafic réseau ultérieur lié à cette connexion, en fonction des politiques de sécurité définies dans le pare-feu. – En suivant l'état de chaque connexion, un pare-feu dynamique peut fournir un niveau de sécurité plus élevé que les pares-feux traditionnels, qui examinent uniquement les adresses source et de destination de chaque paquet et ne peuvent pas faire la distinction entre les différents types de trafic réseau liés à une seule connexion. En résumé, l'état de chaque connexion est un concept important dans la technologie des pare-feu dynamiques, car il permet au pare-feu de gérer efficacement le trafic réseau et d'appliquer des politiques de sécurité basées sur l'état et le contexte de chaque connexion. 53 Les types des NGFW – SSL/TLS Inspection NGFW › Le protocole TLS permet aux applications de communiquer sur un réseau de manière à garantir la confidentialité et l'intégrité des communications. › Ce type de NGFW est conçu pour inspecter le trafic réseau chiffré, tel que celui généré par les applications chiffrées SSL/TLS. Il permet organisations pour inspecter le contenu du trafic réseau chiffré et appliquer des politiques de sécurité, même lorsque le trafic est chiffré. › L'inspection SSL/TLS fait référence au processus d'examen du contenu du trafic réseau chiffré pour garantir qu'il est conforme aux politiques de sécurité. › En inspectant le trafic SSL/TLS, les organisations peuvent détecter et prévenir les menaces de sécurité qui pourraient autrement être cachées dans le trafic réseau chiffré. 54 Les types des NGFW - Autres › Application-Aware NGFW: – ce type de NGFW est conçu pour inspecter et contrôler le trafic des applications. – Il utilise l'inspection approfondie des paquets (DPI) et d'autres techniques pour identifier et contrôler des applications spécifiques, telles que les applications Web, la messagerie électronique et la messagerie instantanée. – Cela permet aux organisations d'appliquer des politiques de sécurité et de contrôler l'utilisation d'applications spécifiques sur leurs réseaux. › Threat Prevention NGFW: – Ce type de NGFW est conçu pour empêcher les menaces de sécurité, telles que les logiciels malveillants, de pénétrer dans le réseau. – Il utilise des systèmes de prévention des intrusions (IPS) et d'autres technologies de sécurité pour inspecter le trafic réseau en temps réel et bloquer ou mettre en quarantaine le trafic soupçonné d'être malveillant. › Identity-Aware NGFW: – Ce type de NGFW est conçu pour appliquer des politiques de sécurité basées sur l'identité de l'utilisateur. – Il s'intègre aux systèmes de gestion de l'identité des utilisateurs pour fournir une sécurité contextuelle, permettant aux organisations de contrôler l'accès à des ressources spécifiques en fonction du rôle et des privilèges de l'utilisateur. 55 NGFW: Dimensionnement › Le dimensionnement d'une solution NGFW implique de déterminer les ressources et capacités appropriées requises pour gérer et sécuriser efficacement votre organisation. Voici quelques facteurs à prendre en compte: – Taille et complexité du réseau : la taille et la complexité du réseau, y compris le nombre, types de devices, et les locations, auront un impact sur le dimensionnement de la solution NGFW. – Volume et bande passante du trafic : auront un impact sur la taille et la capacité de la solution NGFW requise. – Applications et services : les applications et services spécifiques utilisés dans le réseau auront un impact sur la taille de la solution NGFW requise, car différentes applications peuvent avoir des exigences de sécurité différentes. – Exigences de sécurité : le niveau de sécurité requis pour le réseau, tel que le besoin de prévention des intrusions, de protection avancée contre les menaces ou de prévention des pertes de données « Data Loss », aura un impact sur la taille de la solution NGFW requise. – Capacités du fournisseur de cloud : les capacités du fournisseur de cloud, y compris les fonctionnalités de sécurité disponibles et la capacité de son infrastructure, auront un impact sur la taille de la solution cloud NGFW requise. Il faut être extrêmement clair sur ce que les fournisseurs de services cloud appellent « matrice de responsabilité partagée » – Monitoring and Management: La surveillance et la gestion d'une solution NGFW impliquent plusieurs tâches pour garantir que la solution fonctionne correctement et protège efficacement le réseau Trrafic analysis, Log management, configuration management, monitoring…Etc). 56 Un pare-feu d'application Web (WAF) LA SÉCURITÉ WEB est une solution de sécurité qui (WEB SECURITY) protège les applications Web contre Web Application Firewall divers types de cyberattaques, tel (WAF) que SQL injection, Cross-Site Scripting (XSS), and Cross-Site Request Forgery (CSRF). 57 La sécurité WEB - Web Application Firewall (WAF) Les WAF fonctionnent en inspectant le trafic HTTP entrant et en bloquant les requêtes malveillantes avant qu'elles n'atteignent l'application Web. Ils utilisent un ensemble de règles de sécurité prédéfinies ou un algorithme d'apprentissage automatique pour identifier et bloquer les requêtes malveillantes en fonction des caractéristiques de la requête, telles que l'URL, les en- têtes HTTP et les paramètres de la requête. 58 La sécurité WEB – SQL Injection cyber-attack › Injection SQL : l'injection SQL est un type d'attaque qui permet à un attaquant d'exécuter du code SQL malveillant sur la base de données d'une application Web. › Cela peut entraîner la compromission de données sensibles, telles que les identifiants de connexion, les informations financières et d'autres informations sensibles stockées dans la base de données. 59 La sécurité WEB – Cross-Site Scripting (XSS) › XSS attaque permet à un attaquant d'injecter des scripts dans une page Web consultée par d'autres utilisateurs. Cela peut être fait via diverses techniques, telles que les « URL Parameters », les champs de formulaire et les commentaires dans un blog ou un forum. Un attaquant peut injecter des scripts malveillants dans une page Web via plusieurs méthodes: 1. XSS persistant : Cette attaque implique l'injection d'un script malveillant dans une page Web stockée sur le serveur et servie à tous les utilisateurs qui consultent la page. 2. Reflected XSS : Cette attaque consiste à injecter un script malveillant dans une page Web qui est exécuté immédiatement lors du chargement de la page. Le script malveillant est envoyé au serveur dans le cadre d'une requête et renvoyé à l'utilisateur dans la réponse. 3. DOM-based XSS : Cette attaque se produit dans le code JavaScript côté client et implique de manipuler le Document Object Model (DOM) d'une page Web pour injecter un script malveillant. Une fois le script malveillant injecté dans la page Web, il peut être utilisé pour voler des informations sensibles, telles que les identifiants de connexion, ou pour exécuter des actions malveillantes au nom de l'utilisateur légitime. 60 La sécurité WEB – Cross-Site Request Forgery (CSRF) › CSRF est une attaque qui incite un utilisateur à effectuer actions sur une application web, comme changer son mot de passe ou effectuer un achat, à leur insu. › L'attaquant exploite la confiance que l'application Web accorde au navigateur de l'utilisateur pour exécuter des actions au nom de l'utilisateur. › Lors d'une attaque CSRF, l'attaquant crée une page Web ou un courrier électronique malveillant contenant un formulaire ou un lien caché qui soumet une demande à une application Web vulnérable au nom de la victime. › La victime est amenée à visiter la page Web ou le courrier électronique malveillant, et son navigateur soumet automatiquement la demande malveillante à son insu et sans son consentement. 61 La Sécurité WEB - Principaux avantages du WAF › Ci-dessous quelques avantages clés de l’utilisation d’un WAF: 1. Protection contre les cyberattaques : les WAF offrent une protection contre un large éventail de cyberattaques ciblant les applications Web, notamment l'injection SQL, XSS et CSRF. 2. Conformité : les WAF peuvent aider les organisations à respecter les réglementations en matière de sécurité et de confidentialité, telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) et le règlement général sur la protection des données (RGPD). 3. Performances améliorées : en bloquant les requêtes malveillantes, les WAF peuvent réduire la charge sur les applications Web et améliorer les performances. 4. Gestion plus simple : les WAF fournissent un emplacement centralisé pour la gestion de la sécurité des applications Web, ce qui permet aux administrateurs de surveiller et de gérer plus facilement la sécurité. 5. Personnalisation : de nombreux WAF permettent aux administrateurs de personnaliser les règles de sécurité pour répondre aux besoins spécifiques de leur organisation. Les WAF constituent un élément important d'une stratégie globale de sécurité des applications Web et peuvent aider les organisations à protéger leurs applications Web contre les cyberattaques et à respecter les réglementations en matière de sécurité et de confidentialité. 62 La Sécurité WEB – Types de WAF › Il existe deux principaux types WAF 1. Network-based WAF: les WAF basés sur le réseau sont installés sur le périmètre du réseau et fonctionnent au niveau de la couche réseau (couche 7 du modèle OSI). Ils inspectent le trafic entrant vers l'application Web et bloquent les requêtes malveillantes sur la base de règles et d'une détection basée sur les signatures. 2. Application-based WAF: les WAF basés sur les applications sont intégrés dans l'application Web elle-même et fonctionnent au niveau de la couche application (couche 7 du modèle OSI). Ils ont une compréhension plus approfondie de l'application et de son comportement, permettant une protection de sécurité plus précise et plus efficace. Les deux types de WAF peuvent fournir une protection contre une gamme de menaces liées aux applications Web, notamment l'injection SQL, XSS et CSRF. Certains WAF incluent également des fonctionnalités de sécurité supplémentaires, telles que la limitation du débit, l'analyse de la réputation IP et la détection des robots. 63 La Sécurité WEB – Fonctionnalités supplémentaires de sécurité du WAF. › Rate-limiting: est un mécanisme de sécurité qui limite les requêtes entrantes vers une application Web. L'objectif de la limitation est d'empêcher les acteurs malveillants de submerger une application Web avec un grand nombre de requêtes, (DoS/DDOS). En fixant une limite au nombre de requêtes pouvant être effectuées au cours d'une certaine période, le WAF contribuer à garantir que l'application Web reste disponible et réactive pour les utilisateurs légitimes. › Analyse de la réputation IP : est une fonctionnalité de sécurité qui permet d'identifier et de bloquer le trafic provenant d'adresses IP malveillantes connues. La réputation d'une adresse IP peut être déterminée en fonction de divers facteurs, tels que le nombre d'attaques antérieures provenant de cette adresse IP, le type d'attaques effectuées et l'emplacement géographique de l'adresse IP. › Détection de Bot: est une fonctionnalité de sécurité qui permet d'identifier et de bloquer le trafic provenant d'outils automatisés, appelés « Bots». Les Bots peuvent être utilisés à diverses fins malveillantes, telles que la récupération de données d'une application Web, le lancement d'attaques DoS ou l'exécution d'attaques par brute force sur des formulaires de connexion. En détectant et en bloquant les Bots, une application Web peut réduire le risque de ce type d'attaques et garantir que l'application Web n'est accessible qu'aux utilisateurs légitimes. 64 La Sécurité WEB – Network-based VS Application-based › Rate-limiting, l'analyse de la réputation IP et la détection des bots sont autant de fonctionnalités de sécurité importantes qui peuvent aider à protéger les applications Web contre une gamme de menaces. › Ces fonctionnalités peuvent être intégrées à un pare-feu d'application Web (WAF) ou à une autre solution de sécurité pour fournir une protection complète à une application Web. › Le choix entre un Network-based WAF et Application-based WAF dépend des exigences de sécurité spécifiques et de l'architecture d'une application Web. › En général, les Network-based WAFs constituent une bonne option pour les applications Web déployées dans un Data Center traditionnel, tandis que les Application-based WAFs constituent une bonne option pour les applications Web basées sur le cloud ou pour les organisations qui souhaitent avoir plus de contrôle sur la sécurité de leurs applications. 65 La sécurité WEB – Connexions avec le WAF › Les solutions WAF peuvent s'intégrer à d'autres systèmes pour améliorer leurs fonctionnalités et capacités. La solution WAF peut se connecter habituellement à certains systèmes : 1. Serveur Web : La solution WAF est généralement déployée devant le serveur Web pour protéger les applications hébergées sur le serveur. 2. Load Balancer : si l'organisation utilise un Load balancer, la solution WAF peut se connecter à cet équipement pour équilibrer le trafic entrant sur plusieurs serveurs Web. 3. Base de données : si l'application Web accède à une base de données, la solution WAF peut également se connecter au serveur de base de données pour se protéger contre les attaques liées à la base de données. 4. Périphériques réseau : la solution WAF peut se connecter à des périphériques réseau, tels que des routeurs et des commutateurs, pour surveiller et contrôler le trafic réseau. 5. Systèmes de surveillance et de journalisation : la solution WAF peut également se connecter à des systèmes de surveillance et de journalisation, tels que la gestion des journaux et les plateformes SIEM, pour fournir des informations détaillées sur les événements et incidents de sécurité. 6. Systèmes d'authentification et d'autorisation : la solution WAF peut se connecter à des systèmes d'authentification et d'autorisation, tels que LDAP ou AD, pour fournir un contrôle d'accès basé sur les utilisateurs et les rôles. Les points de connexion spécifiques varient en fonction des exigences spécifiques et de l'architecture de l'organisation. 66 A Cloud Access Security Broker LA SÉCURITÉ DU (CASB) est un type de logiciel de CLOUD sécurité qui offre une visibilité et un Cloud Access Security contrôle sur l'utilisation et les Broker (CASB) données des applications cloud. 67 La sécurité du cloud – Cloud Access Security Broker (CASB) › Les CASB sont déployés en tant que proxy entre les utilisateurs et les applications cloud, fournissant des contrôles de sécurité et de conformité pour les services basés sur le cloud. Les principaux objectifs d’un CASB sont les suivants : 1. Garantir la sécurité : les CASB appliquent des politiques de sécurité, notamment le chiffrement, la prévention des pertes de données et l'authentification multi-facteur, pour protéger les données et maintenir la sécurité des applications cloud. 2. Garantir la conformité : les CASB garantissent le respect des réglementations et des normes, telles que HIPAA, GDPR et PCI, en surveillant et en créant des rapports sur l'utilisation des applications cloud et l'accès aux données. 3. Améliorer la visibilité : les CASB offrent une visibilité sur l'utilisation des applications cloud et l'accès aux données, y compris qui accède à quelles données, quand et où, pour aider les organisations à mieux contrôler et mieux comprendre leurs environnements cloud. 4. Appliquer la gouvernance des données : les CASB appliquent des politiques de gouvernance des données, telles que des politiques de conservation et de suppression, pour aider les organisations à garder le contrôle de leurs données et à prévenir les violations de données. Les CASB deviennent de plus en plus importants à mesure que les organisations continuent d'adopter des applications et des services cloud.68 La sécurité du cloud – Multifacteur authentification › L'authentification Multi-facteur (MFA) est un processus de sécurité qui nécessite plusieurs méthodes d'authentification provenant de catégories indépendantes de méthodes d'authentification. L’objectif de la MFA est de réduire le risque d’accès non autorisé à un système, un réseau ou une application. › L'authentification MFA implique généralement une combinaison de deux ou plusieurs des méthodes d'authentification suivantes : quelque chose que vous connaissez : peut-être un mot de passe, un code PIN ou une question et réponse secrète, quelque chose que vous possédez : peut-être un jeton de sécurité, une carte à puce ou un téléphone mobile ou quelque chose que vous êtes : il peut s'agir d'une empreinte digitale, d'une reconnaissance faciale ou d'autres informations biométriques. › En exigeant plusieurs méthodes d'authentification, la MFA offre un niveau de sécurité plus élevé qu'un système d'authentification à facteur unique, car elle rend plus difficile l'accès des attaquants à un système. › La MFA est couramment utilisée pour les systèmes et applications sensibles, tels que les services bancaires en ligne, la messagerie électronique et les applications basées sur le cloud, pour lesquels la sécurité des informations et des données sensibles est une priorité absolue. 69 La sécurité du cloud - HIPAA, GDPR, and PCI › HIPAA, GDPR et PCI sont trois normes réglementaires majeures auxquelles les organisations doivent se conformer pour garantir la confidentialité et la sécurité des informations sensibles. › HIPAA (Health Insurance Portability and Accountability Act) : HIPAA est une loi fédérale américaine qui fixe des normes pour protéger la confidentialité et la sécurité des informations de santé des individus, connues sous le nom d'« informations de santé protégées » (PHI). › La HIPAA s'applique aux entités telles que les prestataires de soins de santé, les régimes de santé et les centres d'échange de soins de santé, et impose des exigences strictes pour le traitement et la protection des PHI. › GDPR (General Data Protection Regulation) : le RGPD est un règlement de l'Union européenne (UE) qui fixe des normes pour la protection des données personnelles des résidents de l'UE. Le règlement s'applique aux organisations qui traitent les données personnelles des résidents de l'UE, quel que soit le lieu où elles se trouvent. › Le RGPD impose des exigences strictes en matière de collecte, de stockage et de traitement des données personnelles, y compris le droit des individus à contrôler leurs données personnelles et le droit à l'oubli. 70 La sécurité du cloud - HIPAA, GDPR, and PCI › PCI–DSS (Payment Card Industry Data Security Standard) : PCI est un ensemble de normes de sécurité que les organisations doivent respecter pour garantir le traitement sécurisé des informations de paiement. › La norme s'applique aux commerçants, aux prestataires de services et aux institutions financières qui gèrent les informations de paiement. PCI exige que les organisations mettent en œuvre des contrôles de sécurité stricts pour le traitement et la protection des informations de carte de paiement, notamment le chiffrement, du Firewalling et des évaluations de sécurité régulières. › Le respect de ces réglementations est obligatoire pour les organisations des secteurs respectifs, et le non-respect peut entraîner des amendes importantes et une atteinte à la réputation. › Ces réglementations contribuent à garantir que les informations sensibles sont protégées et que les droits à la vie privée des individus sont respectés. 71 La sécurité du cloud – CASB types › Il existe plusieurs types de CASB, notamment : 1. CASB basé sur des API : ces CASB utilisent des API pour se connecter aux services cloud et fournir des contrôles de sécurité. 2. CASB basé sur un agent : ces CASB nécessitent l'installation d'un agent sur le périphérique d'extrémité, qui assure une protection et une surveillance en temps réel. 3. CASB hybride : ces CASB combinent les capacités des CASB basés sur des API et des agents pour fournir une solution de sécurité complète. 4. CASB cloud natif : ces CASB sont conçus spécifiquement pour les environnements cloud et fournissent une intégration native avec les services cloud. 5. CASB basés sur le réseau : ces CASB sont déployés dans le réseau et fournissent des contrôles de sécurité en interceptant et en inspectant le trafic entre le cloud et le périphérique final. › Chaque type de CASB a ses propres forces et faiblesses, et le choix du CASB dépendra des besoins de sécurité spécifiques d'une organisation. 72 La sécurité du cloud - API › API signifie Application Programming Interface. Il s'agit d'un ensemble de règles et de protocoles permettant à deux applications logicielles de communiquer entre elles. › Les API permettent à différents systèmes logiciels d'échanger des données et des fonctionnalités. › Par exemple, un éditeur de logiciels peut proposer une API qui permet à d'autres développeurs d'accéder à certains de ses services, comme la récupération de données ou le déclenchement de certaines actions. De cette façon, les développeurs peuvent créer de nouvelles applications qui exploitent les services proposés par l'entreprise, sans avoir à créer toutes les fonctionnalités à partir de zéro. › Les API sont généralement accessibles via Internet et utilisent le protocole HTTP pour échanger des données. Ils incluent souvent des spécifications pour faire des requêtes à l'API, ainsi que le format dans lequel les données seront renvoyées. 73 La sécurité du cloud – API exemples › Voici les exemples d’API, les plus courantes: 1. APIsde médias sociaux : par exemple, l'API Twitter permet aux développeurs d'accéder aux données Twitter, telles que les tweets, les informations utilisateur et les médias, et de publier des tweets au nom d'un utilisateur. 2. APIs de cartes et de localisation : par exemple, l'API Google Maps permet aux développeurs d'intégrer Google Maps dans leurs propres pages Web et d'effectuer des recherches basées sur la localisation. 3. APIs de paiement : par exemple, l'API Stripe permet aux développeurs d'accepter des paiements en toute sécurité et de gérer les données des clients dans leurs propres applications. 4. APIs météo : par exemple, l'API OpenWeatherMap permet aux développeurs d'accéder aux données météorologiques actuelles, ainsi qu'aux données historiques, pour des emplacements dans le monde entier. 5. APIs de commerce électronique : par exemple, l'API Amazon Product Advertising permet aux développeurs de récupérer les informations sur les produits en vente sur Amazon et d’afficher ces informations dans leurs propres applications. 6. APIs Musique et Audio : par exemple, l'API Web Spotify permet aux développeurs d'accéder aux données musicales de Spotify pour contrôler la lecture Spotify d'un utilisateur depuis leurs applications. › Les APIs sont devenues un élément clé de l’économie numérique, permettant aux entreprises d’intégrer rapidement et facilement une variété de services et de systèmes. 74 La sécurité du cloud – dimensionnement CASB › Le dimensionnement d'une solution CASB (Cloud Access Security Broker) implique de déterminer la quantité de ressources informatiques, de stockage et d'autres ressources nécessaires. Ce processus aide à garantir que la solution est correctement dimensionnée pour répondre aux besoins de l’organisation et offre des performances et une fiabilité adéquate: 1. Nombre d'utilisateurs : Le nombre d'utilisateurs qui accéderont aux services cloud via la solution CASB. 2. Services cloud utilisés : les types et le nombre de services cloud qui seront utilisés via la solution CASB. 3. Volume de données : Le volume de données qui sera traité par la solution CASB. 4. Politiques de sécurité : complexité des politiques de sécurité qui seront appliquées par CASB. 5. Modèle de déploiement : Le modèle de déploiement de la solution CASB Il est important de dimensionner la solution CASB de manière appropriée pour garantir qu'elle offre des performances et une fiabilité adéquates, ainsi que pour garantir que la solution est rentable. 75 LES SERVICES DE Managed Security Services (MSS) est SÉCURITÉ un type de service fourni par un MANAGÉS fournisseur ou un fournisseur de Managed Security Services services externe qui propose une suite complète de solutions et de services de sécurité conçus pour protéger les actifs d'une organisation. 76 Les services de sécurité managés › Managed Security Services (MSS) inclut des services tels que la surveillance, la détection des menaces, la réponse aux incidents et la gestion des technologies et des dispositifs de sécurité, tels que les pares-feux, les systèmes de détection d'intrusion et les systèmes de gestion des informations et des événements de sécurité (SIEM). › L'objectif de MSS est d'aider les organisations à atténuer les risques de sécurité et à répondre aux incidents de sécurité de manière rapide et efficace, sans avoir à investir dans des ressources ou une expertise interne. › Les fournisseurs MSS proposent une gamme de services de sécurité, allant de la surveillance de base et de la détection des menaces à des services plus avancés tels que l'analyse de sécurité et la réponse aux incidents. 77 Avantages des services de sécurité managés › Parmi les avantages de l’utilisation de MSS, on trouve: 1. Expertise : les fournisseurs MSS disposent d'experts en sécurité dédiés et d'outils spécialisés pour assurer une surveillance et une protection 24h/24 des actifs informatiques d'une organisation. 2. Évolutivité : les services MSS peuvent être adaptés pour répondre aux besoins changeants d'une organisation, permettant ainsi flexibilité et rentabilité. 3. Amélioration continue : les fournisseurs de MSS surveillent et évaluent en permanence les dernières menaces et tendances en matière de sécurité et mettent à jour leurs services pour suivre l'évolution des risques de sécurité. 4. Économies de coûts : en externalisant les services de sécurité, les organisations peuvent réduire les coûts d'embauche et de formation du personnel de sécurité interne, ainsi que les coûts associés aux logiciels et au matériel de sécurité. MSS est un service précieux pour les organisations de toutes tailles qui ont besoin de sécuriser leurs actifs informatiques et d'assurer la conformité aux réglementations et normes de sécurité, sans avoir à investir dans des ressources et une expertise de sécurité internes. 78 MDR VS MSS › Managed Detection and Response (MDR) et Managed Security Services (MSS) sont deux approches différentes pour gérer les besoins de sécurité d'une organisation. Bien que les deux fournissent des solutions de sécurité managées, il existe quelques différences clés entre MDR et MSS : – Focus: MDR se concentre spécifiquement sur la détection et la réponse aux menaces de sécurité, tandis que MSS est un service plus large qui comprend une gamme de solutions et de services de sécurité, tels que la surveillance, la détection des menaces, la réponse aux incidents et la gestion des technologies et des équipements de sécurité. – Niveau de service : MDR fournit généralement un niveau de service et d'expertise plus élevé que MSS, car il se concentre spécifiquement sur la détection et la réponse aux menaces de sécurité. 79 MDR VS MSS – Le Coût : le MDR est généralement plus cher que le MSS, car il offre un niveau de service et d’expertise plus élevé. – Personnalisation : MDR est généralement un service plus personnalisé, car il se concentre spécifiquement sur les besoins de sécurité d'une organisation individuelle, tandis que MSS est un service plus standardisé fourni à de nombreuses organisations différentes. – Surveillance : MDR assure une surveillance continue et une détection des menaces, tandis que MSS peut assurer une surveillance dans le cadre d'une suite plus large de services de sécurité. En fin de compte, le choix entre MDR et MSS dépend des besoins et exigences de sécurité spécifiques d'une organisation. MDR est idéal pour les organisations qui nécessitent un niveau de sécurité et d'expertise plus élevé, tandis que MSS peut être une meilleure option pour les organisations qui ont besoin d'une gamme plus large de services de sécurité ou qui disposent de budgets limités. 80 Security Operations Centre (SOC) › est une équipe centralisée responsable de la sécurité des systèmes d'information et des actifs d'une organisation. Pour remplir efficacement ce rôle, un SOC nécessite généralement les modules suivants : – Security Information and Event Management (SIEM): un outil SIEM est utilisé pour collecter et analyser des données liées à la sécurité provenant de diverses sources, telles que les journaux et les alertes des pare-feu, des systèmes de détection d'intrusion et d'autres dispositifs de sécurité. – Threat Intelligence Sources: un SOC doit s'abonner et intégrer des informations provenant de sources fiables de renseignements sur les menaces pour aider à identifier et hiérarchiser les menaces de sécurité potentielles. – Outils de gestion des vulnérabilités : ces outils aident à identifier et à corriger les vulnérabilités des systèmes et des applications qui pourraient être exploitées par des attaquants. 81 Security Operations Centre (SOC) – Incident Response Plan: un plan de réponse aux incidents documenté décrit les mesures que le SOC prendra en cas d'incident de sécurité, y compris la communication avec les parties prenantes, les procédures d'escalade et les procédures de résolution des incidents. – Équipe d'analystes de sécurité : une équipe d'analystes de sécurité expérimentés possédant les compétences et les connaissances nécessaires pour exploiter le SOC, analyser les données de sécurité et répondre aux incidents de sécurité. – Management support: une gestion efficace du SOC est essentielle pour garantir que le SOC dispose des ressources et du soutien dont il a besoin pour fonctionner efficacement. – Amélioration continue : un SOC doit être conçu dans un esprit d'amélioration continue et doit régulièrement évaluer et améliorer ses processus, sa technologie et son personnel pour garantir qu'il reste efficace au fil du temps. › Il ne s'agit en aucun cas d'une liste exhaustive, et les composants exacts d'un SOC varient en fonction des besoins et exigences spécifiques de l'organisation. 82 83 Sécurité des réseaux – IPS Architecture › Bouncer IPS est un système multi-modules. Chaque fonction possède un composant conçu et spécialisé pour une fonction spécifique. Le Bouncer IPS comprend les composants suivants : – Bouncer Defence Unit (BDU) – Bouncer Control Unit (BCU): – Bouncer Report Unit (BCU). – Intelligence Plug-In: – Alarm Center Plug-In – Bouncer Shield Plug-In – Update Manager Plug-In – Bouncer Inter-connection Channel (BIC) 84
