--- titre: Cybersécurité et cyberdéfense (Cours 1) description: Cybersécurité et cyberdéfense (Cours 1), 08/02/2020 tags: C&C, jerome.tchan author: Jérôme Tchan --- # Cybersécurité et cyberdéfense (Cours 1) > Guide de cours > {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:ars:guide_de_cours-c11.pdf %} Guide de cours: répondre aux questions = notes de cours Wiki: `51.38.177.120` (Certificat à installer + identifiants)\ DMs: groupes de 3 2 exposés: 1er exposé, 30 juin deadline ("30 juin j'ai la note")\ **/!\ Sourcer /!\\**\ Slides + présentation LIMINAIRE - ANSSI: niveau bac+3, à connaître\ **/!\ Moodle de l'ANSSI à faire, déposer certificat avant 15 juin au secrétariat /!\\** (à commencer en Mars-Avril) --- ## Introduction au management de la cybersécurité ### Définitions > Toutes les définitions de cette partie proviennent de l'ANSSI: https://www.ssi.gouv.fr/uploads/IMG/pdf/2011-02-15_Defense_et_securite_des_systemes_d_information_strategie_de_la_France.pdf **Cyberespace:** Espace de communication constitué par l'interconnexion mondiale d'équipements de traitement automatisé de données numériques. 3 choses: - Couche / réalité physique: cables, machines, etc + territorial (juridictions) - Couche logique: OS, software, etc => on va se focus sur ca - Couche sémantique / informationnelle: réseaux sociaux, etc.\ *Ex: Fox News Twitter piraté en 2012, "Obama est mort" => NASDAQ fermé* *Vidéos: Dessous des cartes (Cyber), Dessous des cartes (Câbles sous-marins)* Câbles sous-marins: grand enjeu\ Points d'écoute: signal intelligence\ => Couche physique: enjeu de puissance **Système d'information:** Ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) permettant de traiter et de diffuser de l'information. *vs système informatique: on manipule de l'information dans le système d'information* **Sécurité des systèmes d'informations:** Ensemble des mesures techniques et non techniques de protection permettant à un système d'information de résister à des évènements susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles. Piliers de la sécurité: - Disponibilité (4D) - Intégrité: intégrité de la donnée/info et du système qui la manipule - Confidentialité: autorisations **Cybersécurité:** Etat recherché pour un système d'information lui permettant de résister à des événements issues du cyberespace susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense. **Cybercriminalité:** Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible. **Cyberdéfense:** Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels. **Résilience:** - En informatique, capacité d'un système d'information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l'incident. - Volonté et capacité d'une structure ou organisation à résister aux conséquences d'une agression ou d'une catastrophe majeure, puis à retourner rapidement à un état nominal, ou tout le moins à assurer le cœur de la mission. ### Quelles sont les étapes simplifiées d'une attaque informatique? > Se référer au schéma du guide de cours - Reconnaissance: d'abord l'effet, ensuite le mode d'action (MOA), ciblage: en apprendre le plus possible - Recherche de vulnérabilités: techniques ou pas - (Phase d'armement numérique) - Exploitation d'une vulnérabilité - Intrusion - **Post-exploitation: Que faire après être dans le système?** - Reconnaissance - Recherche de vulnérabilités - Recherche de comptes et privilèges - Exploitation d'une vulnérabilité - Exploitation des comptes et privilèges Après intrusion: principalement de l'admin système, pas technique\ Spirale de collecte => on gagne progressivement des droits Vrai enjeu: détecter le phénomène de post-exploitation, c'est là où tout se passe ### Quels sont les zones possibles pour des effets? - Dans le cyberespace - Contre le cyberespace - Du cyberespace vers le monde physique\ *Ex: ransomware dans hôpital de Rouen* Défiabiliser des processus humains (Ex: Stuxnet, Kiev)\ => Reconnaissance nécessaire: dimension métier, linguistique, technique, recherche\ => **Equipes pluridisciplinaires** ### Management de la sécurité? Bien définir le périmètre\ Voir si le risque pris est pris en mesure => "Le risque zéro n'existe pas" => Travail de balancing ### Outils du manager sécurité? - Classification des actifs selon importance - Analyser le risque - Audit et contrôle - Tableaux de bord et indicateurs - Système de management => boucle d'amélioration continue **DIC(PT):** disponibilité - intégrité - confidentialité - (preuves - tracabilité)\ En anglais: **CIA** (Confidentiality - Integrity - Availability)\ **DAD:** triangle inversé: Disclosure - Alteration - Denial **/!\ Prévoir en avance /!\\** ### Politique de sécurité, directive, procédure, processus > Se référer au schéma du guide de cours 3 niveaux (du haut vers le bas): - Stratégique - Tactique - Opérationnel Tout en haut: - les lois / directives => beaucoup de règlementation\ L'utilisateur attend un minimum de sécurité - Code d'éthique et de déontologie #### Stratégique - Politique de sécurité de l'information: qui fait quoi? - Tableaux de bord et de gestion #### Tactique - Directives / processus: qui fait quoi, quand etc? (vision plus en détail) - Normes (obligatoire) / Bonnes pratiques (à la carte) extérieures - Rapports #### Opérationnel - Playbooks / orchestration => automatisation des procédures ### Standard vs norme vs bonne pratique - **Standard:** ce que tout le monde fait (peut être technique, technologique)\ *Ex: Active Directory peut être considéré comme un standard* - **Norme:** ce qui est obligatoire (lois, contrats ou internes) - **Bonne pratique:** ce qui est pas obligatoire mais bien à faire\ Fournisseurs de bonnes pratiques: - Le fournisseur de la solution - Les agences nationales de sécurité (ANSSI en France, NIST, etc) - Communautés > A voir: *Cybersecurity Framework* par le NIST: https://www.nist.gov/cyberframework ### Comprendre et définir un risque **Vulnérabilité:** Ce qui est potentiellement exploitable par un acteur malveillant => notion de probabilité **Menace:** Celui qui a la volonté de nous atteindre (une personne, une organisation ou une structure) mais pas forcément directement => peut utiliser un agent de menace **Agent de menace:** proxy, virus, intermédiaire qui n'est pas directement la menace. Parfois, la menace peut être l'agent de menace => Raisonner en terme d'impact sur le business: une vulnérabilité n'est pas forcément grave Impact raccroché à un actif (logiciel, marque, license, etc.) majoritairement immatériel (mais important) Risque pur (sans contre-mesure): **risque brut** => pas acceptable\ Risque avec un niveau acceptable de contre-mesures: **risque résiduel** Contre-mesures: - Réduire le risque - Transférer le risque - Accepter le risque ### Menaces - Utilisateur: - Négligence - Mauvais - Malveillant - Menaces externes: - Activisme: généralement faible intensité de l'attaque mais forte capacité de mobilisation - Criminalité: recherche du gain, bien organisé aujourd'hui\ Depuis 2004: vente de vulnérabilités, industrialisation du cybercrime - Menace étatique, stratégique: grands moyens (services de renseignements), s'appuie sur un ecosystème, peut être à très longue durée > Voir le guide de cours pour le schéma de pyramide d'attaques ### Objectiver le risque Qualitatif ou quantitatif #### Quantitatif - SLE (single loss expectancy): `Asset Value * Exposure Factor` - ALE (annual lost of expectancy): `Annual Rate of Occurence * SLE` => Coût de la sécurité ne doit pas dépasser ALE Pour résumer:\ `Risk = Threat Likelihood * Asset Value * Vulnerability Exposure` #### Qualitatif Matrice pour classifier les risques (Gravité / Probabilité)\ **/!\ Faire des matrices paires /!\\:** Biais cognitif, on met tout au milieu si matrice impaire ### Gestion des risques / Risk management (RM): Norme ISO 31000 > Voir schéma sur le guide de cours - Etablir le contexte - Identifier les risques - Evaluer le risque - Traiter le risque Puis on recommence... Beaucoup de processes, organisé par le management, priorisé, etc.\ Vrai porteur du risque: le métier ### Business Impact Analysis? (BIA) Raisonner par l'impact: même raisonnement que l'attaquant\ Voir le métier avant de voir le SI Ne pas imaginer qu'une tech est un dû (ex: GPS, énergie) ### Processus de classification des actifs - Utiliser des catégories - Pour chaque catégorie, donner un objectif - Responsabilités - Identifier des propriétaires => celui qui crée la donnée - Contrôler Ne pas oublier les processus de déclassification\ La confidentialité d'une donnée peut changer avec le temps ### Défense en profondeur 4 niveaux protégés à différents moments de l'attaque: Physique, logique, administratif, cognitif - Prévention: joue sur la probabilité d'occurence - Investigation: vérifier si une application a été touchée par une attaque => lever le doute - Détection et réaction: caractériser et comprendre l'attaque, en limiter les effets et les dégats - Correctif: post-incident - Récupération & résilience - Compensatoire: l'après - Dissuasif: augmenter le coût de l'attaque => si trop cher, l'attaquant passera sur une autre cible But: remplir toutes les cases, la matrice est un ensemble Risque imaginé vs risque vécu / évité de justesse: les retours d'expériences / le concret est mieux Problème: des fois les colonnes sont contradictoires / en conflit => on doit faire un choix