SECUP - 1 - HackMD

--- title: SECUP - 1 description: Intégration de la Sécurité dans les projets? author: Moemoea Fiérin tags: SECUP, Hista, moemoea.fierin date: 17/02/20 prof: Hista Christophe --- {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:secup:2020:introduction.pdf %} # Préambule Quelles sont les natures d'activité qui sont à intégrer ? évaluation: - qcm # Introduction - constat: on sait ce qu'on doit faire pour reduire notre vulnerabilite aux attck. On ne fait pas ce qu'on doit faire. Toutes ses attck sont évitable. # Constat: cycle de vie d'un projet ## Les étapes: - opportunité - faisabilité - conception générale - conception détaillée - réalisation - exploitatio # Tout le monde a son mot a dire: - Constat xtiplicite des acteurs - service juridique va donner son avis - les utilisateurs aussi - maitrises d'oeuvre = l'informatique - le CIL - Les experts Ils vont intervenir de maniere non structure sur le projet. On peut avoir des projets accepte par le RSSI mais pas conforme a une loi. => il doit y avoir une coordination # Ou est ce que ses acteurs interviennent? - Constat xmultiplicite des acteurs Voir schéma # Difficulté et incomprehension Pb de connaissance differente: *(Par Ex entre utilisateur et responsable technique)* Pas les memes approches/memes resultats en fonctions des groupes Le RSSI veut une solution sur mais sur n'est pas toujours rapide=> il faut trouver un juste milieu entre ce que tlm veut. # Enjeux et définitions 1 # Enjeux et definitions 2 Activité qu'on va creuser sur les séances: - analyse de risque au vu d'un metier - comformite juridique - Spécification des mesures - Developpements sécurisés - Tests et recette de sécurité - Sécurités des externalisations - Securitsation de l'exploitation - Suivi des risques résiduels - identifier une vuln/menace - risque qu'il reste - Audit - Documentation de sécurité :warning: 50% de l'informatique est sous-traités # Les activité SSI ## Quiz 1) L'audit de la phase d'analuyse préliminaire d'un projet de dev d'une nnvelle appli devra s'assure que: - [x] les exigence de sécurité ont été définies *(Par ex: Y'a t'il des besoins de disponibilité elevé?)* 2) Pour reduire le cout de la securite dans un projet de dev de sys les techniques de gestion de la securite devraient etre appliquees: - [x] de façon continue durant tout le projet # Enjeux et définitions 3 - ISP - ICS - ISO - OWASP - PAS: (est en relation avec ISC) - dossier tech qu'on met dans un contrat et dedans on a mis toutes nos exigence - ANSSI - ils portent la loi de programmation militaire - ils interviennent dans les entreprises quand il y'a une attck forte # Le RSSI Responsable - le responsable de tout ce qui va toucher a la sécu et la sécurite de l'information ## Video sur ce qu'est un RSSI et son rôle "Film ma vie de RSSI" # Les Attaques: Décryptage ## Les attaques - Contexte Les objectifs: - detruire - atteinte a l'img: *Exemple de vol de données sur les réseaux sociaux* - gains financiers 1,5-2mois pour résoudre une cyberattaque la majorité des attck sont détecter par les utilisateurs ## Les attaques - Contexte 2 ## Quiz 1. le taux de destinateaire oubrant un email pirge de type phishing est de - [x] 23% 2. Le nombre de malware qui circule sur le net - [x] 170Millions 3. Le nb d'incidents de secu lié a une erreur humaine - [x] 30% ## Les Types d'attaques **Le spam** est un courrier électronique indésirable non sollicité par le destinataire: - envoie en masse **L'ingénierie sociale** est une manipulation psychologique, humaine qui consiste a obtenir un bien ou une information en exploitant la confiance, l'ignorance ou la credulite de tierces personnes. Arnaque inventée par le français Gilbert Chikli **Une attaque DDos** vise a rendre un serveur un service ou une infra indipo en surchargeant la bande passnate du serveur ou en s'accaprant ses ressources jusqu'a epuisement **Le Phishing** est une forme d'attaque dans laquelle le cybercriminel se fait passer pour un organisme ou une personne dans le but de volr des informations privées. Cette attaques se fait generalement par mail. **Un Malware** est un programme malveillant deveopper dans le but de nuire a une entreprise un SI ou une personne Les Malwares --- **Les chevaux de troie** **La porte dérobée** une voie d'acces illegitime inserre dans un logiciel un system un matos a l'insu de l'utilisateur permettant de maintenir un acces dans le temps. **Le rootkit** est un ens de logiciels permettant generalement d'obtenir les droits root sur une machine. **Les cryptolocker** sont des malwares qui visent a extorquer de l'argent en chiffrant des données des postes de l'utilisateurs ou de l'entreprise puis exige une rancon afin de les déchiffrer. - mode operatoire: chiffrer les fichiers présent sur l'appareil de l'utilisateur - affichage d'un msg a l'écran - moyen de lutte: antivirus, les MaJ de sécu, la sauvegarde, la sensibilisation ## Les Stars ### Malware Star: WANNACRY - Mai 2017 la _ grande infection de type ver-ransomware de l'histoire d'internet - (+) de 300K victimes - 15 pays touchés ### Malware Star: STUXNET Malware possedant plusieurs modules dedie a l'attauqe du programme nucleaire iraniens ## Décryptage Phase 1 Préparation: - social ingeniering identifier les cibles a attques - Malware type 1: Récuperer des informations via des mails "générique". Phase 2 Attaques: - Malware de type 2: rancon via un mail ciblé ## La syntheses - les famille de mesures - maintient en condition de sécurité - protection / limitation d'impact - antimalware - sensibilisation - cloisonnement - filtrage - .. - Capacite à rétablir le service - secours - sauvegarde