###### tags: `C&C` `florian.revol` # C&C (Cours 2) ## Definitions (18) ### Fail securely: Recherche d'êtat sécurisé en cas de fail Ex: firewall -> si il tombe, arret de prod ou pas ? ça dépend de ce qu'on est prêt à accepter ### Least privilege: On donne uniquement les privilèges nécessaires (le moins possible) -> diminue les possibilitées d'attaque ### White list / black list: Black list -> le plus utilisé au quotidient -> recherche des méchants Withe list -> le couvre feu ### Segregation of duties: (séparation des privilèges) On cherche à séparer les privilèges afin de contrôler (plusieurs personnes forment les maillons de la chaine de commandement) ### Minimization of attack surface (Réduction de la surface d'attaque) On essaie de laisser le moins de points attaquables possibles (surface d'attaque) ### Zone d'adhérence Zone d'adhérence: Penser dans la globalité Risque systèmique: risque du systèmes global ### Cost-benefits Qu'est ce que ça nous coute ? qu'est ce qu'on y gagne ### Zoning Cloisonner -> système de zones -> contenir l'attaquant dans une partie Https, Protection par un proxy, chaque composant fait le strict nécessaire et ne trust pas les autres ### Need to know Vous allez prendre connaissance seulement ce dont vous avez besoin ## SGDSN et ANSSI (19) ### SGDSN Le [Secretariat-General for National Defence and Security](http://www.sgdsn.gouv.fr/) travaille pour le gouvernement. Ses [missions](http://www.sgdsn.gouv.fr/#mission): * Assurer le secrétariat du conseil de défense et de sécurité nationale * Anticiper les risques et les menaces * Améliorer les dispositifs de prévention et de protection * Préparer la réponse aux crises * Réagir en cas de crise * Protéger le potentiel scientifique et technique de la nation * Contrôler les exportations de matériel de guerre * Suivre les questions de sécurité internationale * Lutter contre la prolifération * Assurer la cyberdéfense * Protéger le secret de la défense et de la sécurité nationale * Sécuriser des programmes spatiaux européens ### ANSSI ## 20 ### OIV (_Opérateur d'importance vitale_) * Activitées indispensables ou dangereuses pour la population * liste de secteurs (12 secteurs) * Secteurs étatiques * activités civiles de l’État ; * activités militaires de l’État ; * activités judiciaires ; * espace et recherche. * Secteurs de la protection des citoyens (dominante humaine) : * santé ; * gestion de l’eau ; * alimentation. * Secteurs de la vie économique et sociale de la nation (dominantes économiques et technologiques) : * énergie ; * communications électroniques, audiovisuel et information ; * transports ; * finances ; * industrie. * liste d'opérateurs (classifié défense) ### SAIV (_Sécurité des activités d'importance vitale_) (Le prof a dit secteur d’activité d’importance vitale ?) Mise en place de stratégie de sécurité nationale en termes de protection contre les actes de malveillance ### PIV (_Points d'Importance Vitale_) ### OSE (_Opérateur de Services Essentiels_) ### FSN (_Fournisseurs de Services Numerique_) ### NIS (_Network and Information System Security_?) ## 21 Liens à lire ? **CLUSIF** (_Club de la sécurité de l'information français_) **CIGREF** (_Club Informatique des Grandes Entreprises Françaises_) **R2GS** (_Réflexion et Recherche en Gestion opérationnelle de la Sécurité_) **FIC** (_Forum International de la Cybersécurité_) **CESIN** (_Club des Experts de la Sécurité et de l'Information du Numérique_) **Syntec numérique** **Assises de la sécurité** ## Cours contrôle d'accès logique ### 1 Définitions **Identification**: Déclarer une identité **Authentification (_authentication_)**: Prouver une identité **Habilitation**: Donner des droits à une identité **Non-répudiation**: assurance que de ne pas pouvoir nier une identité **Traçabilité**: Lié une action à une identité ### 2 Authenticité Ressource = object sujet = identité domaine de sécurité = Lier objets et sujets avec des règles de sécurité. Si on a plusieurs politiques de sécurité dans 1 domaine on fait plrs domaines Il faut modéliser les domaines. ### 4 Types de contrôle d'accès Modèles de sécurité de base: * Discrétionnaire: Je def mes propres droits * Mandataire: Basé sur des règles → on ne décide pas c'est le système * Non-discrétionnaire: Basé sur des roles. Utilisateur → profil → | → role → droits → ressources / objets RH → | → Système → RBAC: Role based access control Notions connexes: DLP: _Data Loss Prevention_: pour éviter les fausses manipulations. → Renforce l'usage system ### 5 Typologie sur les menaces génériques sur le contrôle d'accès * Keylogger * Man in the Middle * Sniffing sur le réseau * Exploit * Rejeu _Replay attack_ * Attaque en ligne: Brute force * Attaque hors ligne * DOS ### 6 Ingénierie sociale ***The Secret History of Hacking*** Film sur Kevin MITNICK ### 7 Quels sont les paramètres de sécurité à prendre en compte dans une authentification * Sécurisation du stockage volatile/non volatile * Sécurisation du transport * Sécurisation à l’exécution * Sécurisation de la session ### 8 Authentification * Brute force * Se baser sur la langue, tous les caractères du clavier ne sont pas utilisés (Accents en FR) ... A completer