Cybersécurité et cyberdéfense

--- title: Cybersécurité et cyberdéfense tags: C&C, pierre.gastanaga --- # Cybersécurité et cyberdéfense # Cours 1 > Imprimer le guide de cours > Wiki SRS (cours, DM, podcasts, liminaire) > DM à rendre > Exposé à faire d'ici le 30/06 (A faire avant !!!) > Sourcer le propos > Faire le moodle de l'ANSSI avant le 30/06 (Mieux vaut attendre le mois d'avril pour le faire) ## Introduction au management de la cybersécurité - **Cyberespace**: Espace de comm constitué par l'interconnexion mondiale d'équipements de traitements automatisé de données numériques - Définition un peu restrictive - Définition de l'OTAN: Modèle composé de 3 couches: - Réalité physique (cables) => territoire - Couche logique: Difficile à saisir au niveau territorial (Principal focus en terme de sécu) - Couche sémantique: Dimension sociale. Colonne vertébrale de notre économie. - Nécessité de maitriser les 3 couches en sécu :::info YouTube: Le dessous des cartes: Le cyber, un nouvel espace géopolitique YouTube: Le dessous des cartes: Câbles sous-marins, une guerre invisible ::: SIGINT: Signal Intelligence - **Système d'information** : (Bcp plus large que le système informatique) Ensemble organisé des ressources (matériels, logiciels, personnel, données et procédures) permettant de traiter et de diffuser l'information - **Sécurité des systèmes d'informations**: Ensemble des mesures techniques et non-techniques de protection à un système d'information de résister à des évènements susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles. - **Cybersécurité**: Etat recherché pour un système d'information lui permettant de résister à des événements issus - **Cyberprotection** - **Cyberdéfense**: Ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d'information jugés essentiels. - **Cybercriminalité**: Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les SI comme moyens de réalisatiions d'un délit ou d'un crimes, ou les ayant pour cible. - **Résilience**: En informatique, capacité d'un SI à résister à une panne ou à une cyberattaque et à revenir à son état initial après l'incident. ### Etapes d'une attaques informatiques - Reconnaissance: Analyse de la cible, des moyens utilisés et fins recherchés => méthodes d'actions (MOA) - Recherche de vulnérabilité - Exploitation d'une vulnérabilité - Post-exploitation: On recommence à nouveau certaines phases: - Reconnaissance - Recherche de vulnérabilités - Recherche de comptes et privilèges - Exploitation ### Effets dans le cyberespace 3 types d'effets: - Depuis le cyberespace (Exemple: Stuxnet) - Dans le cyberespace (Exemple : vol de données) - Contre le cyberespace (Dégradation de câbles pzr exemple) Equipes pluridisciplinaires ### Management de la sécurité Etudier, gérer et proposer des méthodes de protection (en prenant aussi en compte les couts) du SI afin de réduire le risque (Risque zéro n'existe pas!). Notion de périmètre de sécurité. Outils: Gérer les niveaux de sécu des actifs, les classer. - Classification des actifs - Analyser le risques - L'audit et contrôle: vérifier que tt tient bien la route - Tableau de bord et indicateurs: Controler l'état des différents SI dans le temps - Boucle d'amélioration continue et mise en place d'un système de management ### Plusieurs sigles - DIC ou DICPT: Disponibilté Intégrité Confidentialité - CIA: Confidentialité Disponibilité et Intégrité (Confidentiality, Integrity, Availability) - DAD: Disclosure Alteration Denial: Vision opposé du CIA ### Politique, directive, procédure, processus - Stratégique - Tactique - Opérationnel (différent d'opératif) De plus en plus de réglementation liées à la cyber La loi se situe au sommet de la chaîne L'éthique vient juste après, suivie par les directives de l'entreprise Document-maître: Politique de sécurité de la boite Procédures afin de support le processus. Donnent les directives. Procédures assez limitées car trop d'intrusctions manuelles à faire. A compléter avec des playbooks afin d'automatiser l'ensemble Ne pas hésiter à utiliser des normes ou bonnes pratiques externes (celles de l'ANSSI par exemple) ### Standards, Normes, Bonnes pratiques **Standard**: Techniques employées par le plus grand nombre (ce qui n'est pas gage de qualité) **Norme**: Obligatoires, il faut les respecter **Bonne pratique**: Instructions optionnelles à suivre dans le cadre d'une amélioration Lire CyberSecurity Framework du NIST ### Vulnérabilité, Menace, Agent de menace, Risque Vulnérabilité: Ce qui est potentiellement exploitable par un acteur malveillant. Menace: l'acteur malveillant qui veut nous atteindre (Organisateur, user, structure) Agent de menace: Intermédiaire de la menace. Peut également être la menace Risque: - Risque pur: risque brut - Risque résiduel: Risque Subsistant même après mise en place de protection reeuisant des vuln ### Impact, Probabilité, Actif, Contre-mesure Impact: Conséquences en cas d'attaques. Plutôt réfléchir en impact plutôt qu'en vulnérabilité. Actif: Ensemble de ce qui peut être atteint lors d'une menace/attaque. Peut être matériel ou immatériel Contre-mesures: Barrières, mesures pour réduire l'impact ou la vulnérabilité Transférer le risque ou le réduire, mais aussi l'accepter ### Menaces Différents type de menace: - Menaces internes - Menaces externes: - Cyber activisme - Cyber criminalité: recherche du gain avec un minimum d'effort. Groupes très bien organisés (chantage, rançon) - Cyber organisation: Organisation étatique ou soutenue par un Etat ### Objectiver le risque - De manière qualitative: - Utilisation de matrice. Echelle de gravité et échelle de probabilité. Toujours utiliser une matrice paire. - De manière quantitative: - ALE (Annual Lost of Expectancy) = Annual Rate of Occurence (ARO) * SLE - SLE (Single loss Expectancy)= Asset Value (AV) * Exposure Factor (EF) ### Risk Management - Etablir le contexte - Identifier les risques - Analyser le risque - Evaluer le risque - Traiter le risque Il faut également globaliser ce process et l'insérer dans une organisation. Norme ISO 31000: Gestion du risque dans l'entreprise ### BIA (Business Impact Analysis) Deux façons de réfléchir: Par le risque et par l'impact. En tant qu'attaquant, réfléchir par l'impact Permet à une entreprise d'identifier ses activités critiques ### Classification des actifs Définir un organisme qui va classifier l'information. Ne pas oublier de prévoir la déclassification ### Défense en profondeur Différents niveaux - Physique - Logique - Administratif - Cognitif Différents moments - Prévention: Protection, Investigation, Anticipation - Correctif: Plan d'action pour prévenir une future attaque - Détection & réaction (caractériser l'attaque, la comprendre et revenir en arrière) - Récupération & résilience: Capacité à travailler pendant ou après l'incident - Compensatoire - Dissuasif Le but ici est de remplir toutes les stratégies # Cours 2 :::info Petit contrôle de début de cours: **Résilience**: Capacité d'un système à résister à une menace extérieure et à revenir à l'état nominal à la fin de cette attaque **Comment améliorer la résilience de l'organisation?** Faire des backups, essayer de prévoir d'où peuvent venir les attaques pour mieux s'y préparer. Mettre en place des instructions pour réagir de la meilleure des façons en cas d'attaque /!\ Ne pas répondre du tac au tac, répondre avec de l'expérience **Qu'est ce que la défense en profondeur?** Il s'agit d'analyser les vulnérabilités, les quantifier, trouver des solutions à ces vulnérabilités, mesurer l'impact que ces vulnés peuvent avoir. Il s'agit également de prévoir où peuvent se trouver les vulnérabilités afin d'anticiper, tenter de corriger ces failles, les détecter quand elle sont exploitées et ainsi réagir. /!\ Penser aux couches physique, sémantique et logique **Expliquer une matrice de défense en profondeur** /!\ Donner un exemple pour chacun des cas Prévention: S'intéresser aux acteurs qui pourraient éventuellement attquer l'entreprise **ISO 31000**: Norme qui statue sur la gestion du risque (par forcemment lié au cyber) au sein d'une entreprise. **Qu'est ce qu'un actif immatériel?** Il s'agit d'un bien qui a une valeur pour l'organisation qui n'est pas situé dans le monde physique mais au contraire dans le cyberespace, par exemple des données, logiciel, marque, service. **Comment objectiver un risque?** Il va s'agir d'analyser le risque, en déduire son impact. On peut l'objectiver de manière qualitative (matrice avec échelle de gravité échelle de probabilité) ou au contraire le quantifier (Annual Loss Expectancy & Single Loss Expectancy) ::: Tout est interconnecté aujourd'hui. Défense en profondeur n'est pas finie 18. **Principe «Fail securely», «least privilege», white list/black list, segregation of duties,minimization / attack surface, zone d’adhérence, cost-benefits, zoning, need-to-know.** Fail securely: Rechercher un état sécurisé en cas de fail. Pas simple. Exemple: Firewall (cas tricky) Least privilège: Moindre privilège: Ne donner à un sujet que les ressources minimales strictement nécessaires dont il a besoin pour exercer ses fonctions. White list: Le sujet n'a accès qu'à ce qui est listé Black list: Le sujet a accès à tout sauf aux objets listés. Segregation of dutie: Séparation des privilèges: Répartir la responsabilité entre différents acteur ayant différents niveaux de privilèges Zone d'adhérence: Penser un système dans sa globalité: risque systémique Devoir de prendre en compte le ratio coûts-bénéfices Zoning: Découper des zones afin d'appliquer différents niveaux de sécurité Need-to-know: Capacité d'accéder à des données importantes mais pourtant, on ne lui donne accès seulement à ce dont il a besoin. Par défaut, système en black-list Minimiser la surface d'exposition (attack surface) 19. Qu’est-ce que le SGDSN, qu’est-ce que l’ANSSI? **SGDSN**: Secrétariat Général de la Défense et de la Sécurité Nationale. Dépend du premier ministre. Sécurité gérée avec l'aide d'autres ministères. Le SGDSN coordonne tout ça ![](https://i.imgur.com/kiw4208.png) **ANSSI**: Agence Nationale de Sécurité des SI. Dépend du SGDSN. Ancienne partie du SGDSN. Autorité nationale en défense et sécurité. 20. **Définir OIV, SAIV, PIV, les opérateurs de services essentiels (OSE), les fournisseurs deservices numériques (FSN). Savoir lister les 12 secteurs d’importance vitale.** SAIV: Secteur d'Activité d'Importance Vitale: Eau, Télécom, santé, spatial, énergie, etc... OIV: Opérateur d'importance vitale: Organisation pouvant gérer des PIV. Environ 200 OIV mais pas suffisant. PIV: Points d'importance vitale OSE: Opérateur de services essentiels: Sécu sociale par exemple FSN: Fournisseurs de services numériques: Pour l'hébergement, les télécoms ![](https://i.imgur.com/XMNjCKF.png) 21. Culture générale : connaître les principaux clubs/associations et événements français sur lemanagement de la sécurité8 : CLUSIF, CIGREF, club R2GS, Assises de la sécurité, FIC, Cesin,syntec numérique... Lien Politique étrangère de la France: https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/diplomatie-numerique/les-domaines-d-action-de-la-diplomatie-numerique-francaise/garantir-la-securite-internationale-du-cyberespace-a-travers-le-renforcement-de/ France sépare défensif et offensif 6 fonctions: - Prévention - Protection - Détection - Réaction - Attribution - Anticipation Chacun doit se responsabiliser Espionnage pas illégal Distinction entre Civil et militaire Lire "Guide hygiène ANSSI" PSSI de l'Etat ------------------------------ # Contrôle d'accès logique 1. Définir l’identification, l’authentification, l’habilitation/autorisation, la non-répudiation, latraçabilité **Identification**: On associe une identité physique à une identité virtuelle **Authentification**: Prouver notre identité **Habilitation/Autorisation**: Donner des droits à l'identité **Non-répudiation**: Fait de ne pas pouvoir nier une activité qui a été faite** **Traçabilité**: Être capable de suivre ce que fait notre sujet. 2. Définir authenticité – donner un exemple **Authenticité**: 3. Définir sujet, objet et domaine de sécurité Ressource = objet **Domaine de sécurité**: Règles génériques de relations entre sujet et objet. 4.Définir les types de contrôle d’accès: - Modèle de sécurité - Discrétionnaire (identity based, user directed, hybrid) - Mandataire (rule based, administratively directed) - Non-discrétionnaire (role based, task-based, lattice based, capability table9) - Notions connexes : - Qu’est-ce que le DLP (Data Loss Prevention)? - Pourquoi le content-based est une solution de contrôle d’accès arbitraire ? Discrétionnaire: Sujet qui définit ses propres règles Mandataire: Le système définit les règles Non-discrétionnaire: Souplesse entre les 2. Notion de roles, profils, droits DLP: Data Leak Prevention: Eviter une erreur qui pourrait leak des données sensible. 5. Typologie sur les menaces génériques sur le contrôle d’accès: - Exemple: Interception/man in the middle, écoute/sniffing, rejeu, shoulder surfing,Keylogger, exploitation de vulnérabilités ou de faiblesses, attaque en ligne, attaquehors ligne, dénis de service... Rejeu: Attaque sur un site pour récup des infos que l'on va pouvoir réutiliser comme mdp 6. Ingénierie sociale (prédiction? phishing? etc.) - Cf le livre ou le film sur Kevin MITNICK 7. Quel sont les paramètres de sécurité à prendre en compte dans une authentification - Sécurisation du stockage volatile/non volatile - Sécurisation du transport - Sécurisation à l’exécution - Sécurisation de la session - Etc... 8. Authentification - Connaitre les différentes typologies d’authentification/facteurs (type 1, 2 et 3)? **Ce que je connais vs ce que je possède vs ce que je suis. Possible combinaison de ces 3 types** - Définir l’authentification forte? Et savoir citer des exemples; **Combiner deux ou plusieurs types d'authentification (Carte SIM + PIN, carte à puce + code)** - Quelles sont les problématiques des mots de passe? **Négligence, malveillance. Possibilé également de casser le mdp (brute force, dictionnaire, rainbow table)** - Définir OTP (synchrone / asynchrone) **OTP: Mot de passe à usage unique (exemple: Google Authenticator)** - Définir authentification centralisée / fédérative / coopérative **Centralisée: un seul moyen d'authentification fiable et toutes les authentifications se basent sur ce système Fédérative: Coopérative: Authentification basée sur un système partenaire dont il dépend. Permet de se faciliter l'authentification mais devient également une cible pour l'attaquant: augmentation du risque systémique pour l'attaquant. Challenge d'intégration également. Bien penser l'architecture domaine et sécurité** - Définir: SSO, SLO, CSO - Savoir expliquer la différence entre un annuaire et une base de données pourl’authentification? **Annuaire optimisé pour la lecture, bdd plus optimisé l'écriture (capacité de rollback)** - Savoir expliquer SAML, WS-Federation, OpenID et les principes de la délégation de l'authentification (Oauth, BBAuth, AuthSub, Facebook Auth, Windows Live ID...) **SAML: WS-Federation: OpenID: Délégation d'authentification:** - Quels sont les challenges pour les états sur l’identité numérique ? **Mettre en place des abstractions (WinLogon et PAM pour Linux)** - Savoir expliquer les principes de PAM / WINLOGON - Connaitre Kerberos et son principe de fonctionnement ** Lire RFC du protocole Kerberos** - Définir un service AAA et savoir expliquer le principe de RADIUS/TACAS ![](https://i.imgur.com/OcPjHwj.png) 9. Etudier le modèle MITRE ATT&CK ![](https://i.imgur.com/D32eQdw.png) 10. Définir « Privacy by design» et « Privacy by default» et les techniques d’anonymisation dedonnées. ## Defnet (RIP in peace) Premier bilan: questions simples: - Systèmes attaqué? - Attaquant tjrs présent? - ... Préserver la capacité d'analyse: Récupérer tt ce qui peut être analysé: Logs, dump mémoire, capture de réseau, repertoires de configuration ## FIC Equipes de 5 ou 6 Rendre un exercice tous les 15 jours fic.srs.epita.fr