Cybersécurité et cyberdéfense (Cours 5)

--- titre: Cybersécurité et cyberdéfense (Cours 5) description: Cybersécurité et cyberdéfense (Cours 5), 23/03/2020 tags: C&C, jerome.tchan author: Jérôme Tchan --- # Cybersécurité et cyberdéfense (Cours 5) > Guide de cours > {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:ars:guide_de_cours-c11.pdf %} --- ### SSL & TLS Aujourd'hui, on utilise au moins TLS 1.2 Extensions SSL est partout, difficulté à mettre à jour ### Blockchain Système de partage et de stockage de données sans organe central de contrôle Une blockchain peut être publique, privée ou hybride Fortes garanties de sécurité mais quantité d'infos nécessaires pour valider une transaction élevée Une trentaine de méthodes de validation dont: - La preuve de détention - La preuve d'importance - La preuve de possession - La pruve d'autorité ### Smart contract (voir le guide de cours) ### RGS (Référentiel général de sécurité) :::info Voir https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/liste-des-documents-constitutifs-du-rgs-v-2-0/ Voir aussi les slides dans les annexes du cours (`RGS_pres-simple_cle2e61b6.pdf`) ::: A lire (un jour), c'est utilisé a peu près partout En fonction du niveau de criticité, le niveau de sécurité est différent Utiliser des produits labellisés si possible ISO 15408: Certification critère commun COFRAC: représente la France dans les standardisations Laboratoires CESTI: contrôle de la sécurité, entreprises privées ou publiques: - https://www.ssi.gouv.fr/actualite/un-nouveau-centre-devaluation-de-la-securite-des-technologies-de-linformation-cesti-agree-par-lanssi/ - https://www.ssi.gouv.fr/administration/produits-certifies/cspn/les-centres-devaluation/ ![Slide 11](http://nagisanokoakuma.lovelyrad.io/ypLDoL2n.jpg) ### Critères communs :::info Voir `Prés CC Assises Octobre 2005.pdf` ::: - Référence quant à la sécurité apportée (ou pas) par un produit ou système - En référence à sa cible de sécurité - Sur la base d’un niveau d’évaluation (ou niveau de confiance) - Critères génériques applicables à tout type de produit (logiciel et/ou matériel) Niveaux de confiance (EAL) entre 1 et 7; 7 étant le mieux Exemples: - 2: testé structurellement - 4: conçu, testé et revu méthodiquement - 7: preuve formelle mathématique Les qualifications ne se transfèrent pas au fil des versions CSPN: critères de sécurité de premier niveau https://www.ssi.gouv.fr/uploads/2014/11/igca-pc-v2.pdf Voir challenge Richelieu: https://inshallhack.org/richelieu_dgse_2019/ ## Homologation Etape finale lors de la création d'un SI Plein de référentiel: IGI 1300, RGS, IM900, PSSIE, RGPD, ARJEL, etc. > https://www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples/ 9 étapes