Cybersecurité et Cyberdéfense - 1

--- title: Cybersecurité et Cyberdéfense - 1 description: Introduction au management de la cybersecurité tags: C&C, Bombal, moemoea.fierin authors: Moemoea Fiérin prof: Bombal temps: 4h --- # Préambule - :warning: Prendre le Guide de cours :warning: - liminaire à travailler - exposé => sourcé les exposés - Lire les liminaires de l'ANSSI - :warning: Faire avant le 30juin - Le module de l'ANSSI - Certificat à la fin - pour se connecter à l'intra SRS certificat soon dans nos mails - ==lien vers le GUIDE:== - https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:ars:guide_de_cours-c11v2.pdf # Slides {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:ars:guide_de_cours-c11.pdf%} # Introduction au management Cybersecu ## Définitions - **Définir Cyberespace** - **Définition selon l'ANSSI** - ++ANSSI:++ Espace de communication constitué par l'interconnexion mondiale d'équipements de traitement automatisée de la donnée numérique. - Cette définition un peu trop restrictive - **Autre def:** Le modèle préféré (NATO et militaire) - modèle en 3 couches: - ++couche physique++ : realité physique (serveur, ...) des moyens de communication, des éléments wireless, sans fil, realité territoriale - ++couche logique++ : où est la donnée (cloud, machine de virtualisation...) - ++couche semantique++ : internet a pris un dim social, principal moyen d'accès à l'info ## Vidéos - ++vidéo:++ le dessous des carte ARTE - 1969 arpanet - 1971 message electronique (naissance email) - 1982 naissance d'internet - fin 1980: internet cible cyberattque - wanacry: verouille les fichiers window des utilisateurs - 2007 estonie attaque sur site gouv, pas localisable (botnets) - ++vidéo++ ARTE Le dessous des cartes sous-marrins la guerre civile ## Définitions - **Définir Systeme d'information** - Manipulation d'informations - ANSSI définition: ensemble organisé de ressources (materiel, logiciel, personnelle, humaine et procédure) permettant de traiter et de diffuser de l'information. - **Definir Sécurité des systeme d'information** (syst i) - **ANSSI définition:** Ensemble des mesures techniques et non-techniques de protection permettant à un SI de résister à des évents du cyberespace susceptible de compromettre la disponibilité, l'integrité ou la confidentialité des données stoquées, traitées ou transmises et des services connexes (tous ce qui est autour) que ces systèmes offrent ou rendent accesible. - Pillier de sécurité: Disponibilité, intégrité, confidentialité (DIC). - **Définir la cybersécurité** - **ANSSI définition:** état recherché pour un SI lui permettant de résister à des évents issus du cyberespace suceptible de compromettre la DIC des données stoquées, traitées ou transmises et des services connexes que ces SI offrent ou rendent disponible/accessible. - **Définir la cyberprotection** - **Définir cyberdéfense** - comment je vais reagir à une attaque, mes défenses ... - **ANSSI définition:** ensemble des mesures tech et non tech permettant a un etat de defendre dans le cyberespace les sys d'i jugés essentiels. - **Définir cybercriminalité** - **ANSSI définition:** Actes contrevenants aux traités internationaux ou aux lois nationales utilisant les réseaux ou un SI comme moyen de réalisation d'un crime/délit ou les ayant pour cible. - utilisation des médias, l'infraction a travers le cyberespace/vers le cyberespace/ - **Définir Résilience** - Disponibilité; mon SI doit être dispnible comme prévu. Je vais chercher à resister à une panne/malvaillance, et continuer à operer. - **ANSSI définition:** En informatique, capacité d'un sys d'i a resistera a une panne ou une cyberattques et a revenir a son etat initial après incident. - Resilience != Disponibilité ## Exemple: Dans un cas d'attaque DDos - comment penser son SI pour continuer à opérer - ça s'anticipe - dans l'urgence qu'est ce qu'on fait? - Resilience diff de disponibilité ## Quelles sont les étapes simplifiés d'une attaque informatique 1) ==Phase de reconnaissance:== - un effet recherché, comment je vais mettre mon effet en place - Créer son environnement numérique : affiner ma cible, comprendre son environnement technique, ses moyens, ses sys, les sites qu'il(s) utilise(nt). - Recherche de vulnérabilité (techniques, faiblesses comme des choses mal config/param, ) 2) ==Phase d'exploitation de vulnérabilité== 3) ==Intrusion== 4) ==Post exploitation== - les mêmes étapes: Reconnaissance, recherche de vuln, recherche de comptes et de privilege, exploitation d'une vuln, exploitation des comptes et privileges - exploitation de tous ce qui est disponible, tous ce qui est utile pour rebondir derriere - exemple: Si installation du logiciel malvaillant sr telephone je recupere d'abord les comptes - Le principale du travail est dans l'admin système, très peu du reste. ## Les effets - Quelles sont les zones possible pour des effets - manipulation humaine = source d'erreur - souvent les effets qu'on va produire: defiabilisé les processus humain - Ville de Kief: un logiciel (source ouverte russe) va faire en sorte que la sous-station de la ville de Kief soit mise a l'arret, par ce que le redemarage va creer un pic destructeur => Kief dans le noir, c'est le processus de redemarrage qui a creer la pane (On joue sur le process) - Dimension de connaissances - languistique, - tech, - admin sys - ... - les trois zones possibles pour les effets: - depuis le monde physique vers le cyberespace. Par exemple: couper un cable. - dans le cyberespace. N'importe quelle attaque. - depuis le cyberespace vers le monde physique. Par exemple l'attque "Stuxnet" va faire dysfonctionner les centrifugeuses de l'usine iranienne d'enrichissement d'uranium de Natanz. ## Qu'est ce que le management de la sécurité - Où je met la limite dans ce qu'on doit gérer ? - De conseiller et d'eclairer et de proposer et de s'assure derriere que le risque pris correspond aux mesure de protection - Balance entre Effort, Cout, ? ## Quels sont les outils du manager sécurité ? Intro à: - Etape 1: La classification d'actifs - Classer les actifs, pour savoir la ou je concentre mes éfforts - Etape 2: une fois que je sais ce que j'ai, j'analyse les risques - Etape 3: L'audit et contrôle sur les mesures que j'ai mises en place. J'aurais mis en place des mesures et je dois, dans cette étape, m'assurer que tout tient correctement. L'audit c'est un contrôle à l'instant T, il faut donc trouver comment piloter dans la durer. - Etape 4: Les tableaux de bords & indicateurs afin d'avoir un suivi dans le temps. - Etape 5: Mettre en place systeme de management - Amélioration du produit progessive - On va faire évoluer notre produit en répetant ses étapes à chaque problème. C'est une boucle d'amélioration continue: - problème trouver - solution - et reprobleme, etc... ## Expliquer les principes $DIC-DICPT$ / $CIA$ / $DAD$ - Preuve que la personne fait de la confidentialité, de l'intégralité - Triangle Inversé (DAD): j'ai divulger/rendu indisponible ce systeme - DIC: Diponibilité Intégrité Confidentialité - DICPT: Disponibilité Integrité Confidentialité Preuves et Traçabilité - CIA: (Meme chose mais en anglais) - DAD: Denial Alteration Disclosure (= Triangle inversé) ## Qu'est ce qu'une politique de sécurité? une directive? une procédure? - Dans les entreprises globalement 3 niveaux de documents: - tactique - operationnelle (!= operatif en militaire) - strategique - De + en + de reglementation dans la cyber et Client de + en + exigeant aussi **Politique de sécurité** C'est un strategie visant a maximer la securité informatique d'une entreprise. On la retrouve sous forme de documents qui reprend - les enjeux, - les objectifs, - les analyses, - et les procedures faisant partie de ses stratégies. **Une directive** Consignes a suivre dans une entreprise (obligatoire) **Un processus = + precis que la directive** ### Cadre normatif ensemble de documents S/T/O ### Documents niveau Strategique - la politique de securite et cybersecurite - le tableau de bord - le registre d'autorité (inventaire des actifs informationnels et de leurs détenteurs). ### Documents niveau Tactique - les directives - les processus de niveau 1 - les normes internes - les rapports - le glossaire ### Documents niveau Operiationelle - les processus de niveau 2 - les procédures tant technologique qu’organisationnelle - les guides et formulaires ainsi que les registres qui alimenteront les rapports ### Politique de sécurité Un ensemble de directives ### Directive Une regle/obligation a respecter ### Processus Ensemble d'etape pour respecter une directive => Précision sur directive ## Qu'est ce qu'un standard, norme, bonne pratique ==Les définitions:== --- * standard * ce que tout le monde fait, pas obligatoire * norme * qqchose d'obligatoire * soit decider de l'appliquer (niveau d'exigence) ou par ce que c'est impose (la lois par ex) * bonne pratique * chose faite couramment poour une bonne mise en place d'un systeme * pas obligatoire * mais c'est mieux de le faire --- ==Autres== a) Citez des exemples b) Formaliser la pyramide documentaire c) Connaitre les grandes lignes du CYBERSECURITY FRAMEWORK du NIST (https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf) ## Comprendre et definir un risque, une vulnérabilité, une menace, un agent de menace, un impact, une proba, un actif, une contre-mesure * Risque: Risques pas pareil en $f^o$ de l'environnement * Vulnérabilité: Avoir une vuln n'est pas grave, cela depend de ++l'impact++ * Menace * Agent de menace * Impact * une probabilité * actif * contre-mesure La menace, vuln est raccroché a un ++Actifs++ (Materiels /immateriels). Une marque est un actif dans une entreprise. L'objectif est donc de mettre en place des contre-mesure pour reduire soit l'impact soit la vulnérabilité * risque brut: un risque avec 0 contre-mesure * risque résiduel: un risque acceptable, apres avoir mis en place les contres mesure, donc pas un risque 0 ## Savoir illustrer differents types de menace * Cyber organisation: Organisation étatique au fondement soutenue par un etat Motivation strategique * Cyber Crime * Cyber activisme ==Gravité des conséquence (ordre décroissant)== * Cyber organisation: * Cyber Crime * Cyber activisme ==Complexité des attaques (ordre décroissant)== * Cyber organisation: * Cyber Crime * Cyber activisme ## Comment peut on objectiver un rique? - LE risque c'est une valeur de l'actif donc si ca se produit par un tux d'exposition - valeur de l'incident * probabilité - point de vue quantitatif: formule maths - point de vue qualitatif: matrice de risques - echelle de gravite et une echelle de proba - Faire des matrices pair :warning: ## Comprendre et donner les etapes de la gestion des risques 1) Analyse du Contexte 2) identifier les risques 3) Analyser le risque 4) évaluation du risque 5) traitement du risque => boucle apres 5 on revient a 1 ## Qu'est ce qu'un BIA - Comment je vais generer l'impacte sur la cible - raisonner en impact 1) comprendre les liens ente activité et numerique 2) evaluer les impact en cas de perte de tout ou partie de l'env - de quoi est on vraiment dependant? ## Quelle différence entre BIA et gestion des risques BIA on calcul juste combien ca va couter Gestion des risques on veut juste que ça n'arrive pas. ## Savoir mettre en place un processus de classification des actifs - pas de cas par cas => on catégorise - ensuite on donne des objectifs - permet de classifie les documents au niveau de l'impact (sur l'entreprise, sur l'env ...) - Ensuite on etablis une organisation, les responsabilite seront a celui qui ecrit le document, qui sait ce qui est dangereux ou pas - Identifier les proprietaire de la donnée, vous generer la donnee vous en etes responsable - Il y'a aussi le responsable de traitement - une fois que les categories, les objectifs, les reponsabilite il faut controller, entrainer les utilisateurs les sensibilisé en oubliant pas les processus de déclassification (par exemple une campagne) - Le cycle de vie en terme de classification peut changer (par exemple une campagne) - Echelle de classification (exemple) ## Exemple matrice de defense en profondeur - protection: minimiser les impacts - prévention: probabilité d'occurence (pas conduire trop vite ) - investigation: capacité de lever le doute - anticipation - réagir: caracteriser l'attquer, en limiter les effets/degats, comprehension de l'attquer, evaluation, contenir l'attaquant sur un sys, resecurisation des sys, continuer l'activite pendant cette periode - compensatoire: apres l'attque: action judiciaire, action assurance - analyse du risque se base souvent sur un risque imaginé: il faut remplir la matrice d'incident avec retour d'experience - il y'a des colonnes antinomiques: il faudra faire un choix pour ces dernieres # Best expression Bombal - "Un trou dans la raclette"