Cybersécurité et Cyberdéfense - cours 2

--- title: Cybersécurité et Cyberdéfense - cours 2 authors: jeremy.delbarre tags: C&C, jeremy.delbarre --- # Exercices ## Qu'est ce que la résilience ? Capacité d'un système d'informations a réister a une catastrophe ou une attaque et de revenir a son état nominale (etat attendu, ne genant pour reprendre l'activité) ## Comment améliorer la résilience de l'organisation ? Pour améliorer la résilience on peut mettre en place une étude de risque permettant de savoir a quel risque est exposé notre si et savoir quel risque l'on va gérer et quel sont ceux qui sont acceptable. mettre en place une méthode analyse des risques, retours d'expérience et BIA ## Qu'est ce que la défense en profondeur ? La défense en profondeur permet d'étudier chaque aspect de la défense (protection, prévention, investigation, réaction) dans chaque couche(sémantique, physique et logique) ## Expliquer une matrice de défense en profondeur ? Une matrice de défense en profondeur regroupe tout les points cité ci-dessus proposer des exemple pour chaque points SIEM: security incident and event managment ## ISO 31000 ? Norme définissant comment gérer les risques auquel est exposé son si cela passe par différentes étapes: - analyse du contexte - identifier les risques - analyser les risques - évaluer les risques - traitements des risques permettant de savoir comment implémenter la gestion des risques dans son entreprises **spécifique a la cyber**: - 27005: gestion des risques en cyber ## qu'est ce qu'un actif immatériel et exemple ? Un actif immatériel est une resources d'une entreprise non physique ayant une valeur comme des documents, des brevets ou de la donnée ## comment objectiver un risque ? Il y a deux moyen d'objectiver un risque: - par le calcul: nbr d'occurence annuelle * cout du risque - par le biais d'une matrice de risque avec d'un coté la fréquence et de l'autre la gravité # Cours ## Défense en profondeur mise en place de plusieurs couche de défense car tout est interconnecté ## fail securely que veut on faire si le système tombe. ## least privilege privilege minimum qu'un utilisateur a besoin pour effectuer son role. permet de limiter les risques ou la surface d'exposition l'objectif est de toujours limiter au maximum cette surface d'exposition ## white list/black list **white list**: personne n'a accès a part ce présent dans la liste **black list**: tout le monde peut y acceder sauf ceux listé ## ségrégation duties séparation des privilèges, séparation des étapes chacun fait son roles ## zone d'adherence bien penser a chaque dépendance de notre système qui deviens une zone d'attaque permettant de compromettre notre systeme ## need-to-know ex: meme si l'on est habiliter a lire des documents confidentielle cela ne veut pas dire que l'on vas nous donner acces a tout les documents confidentiel ## Qu'est ce que le sgdsn, qu'est ce que l'anssi **Secreteriat générale de la défense et la sécurité nationale** c'est le premier ministre qui gère cela supporter par les autres ministres. ![](https://i.imgur.com/58PwkR5.jpg) l'**ANSSI** est une branche de la sgdsn autorité nationale de défense et de sécurité on un pouvoir de réglementation. c'est elle qui supervise les SI critique ou d'etat permettant le bon fonctionnement de la nation. représente la France en terme de cybersécurité pas de pouvoir de sanctions il existe aussi d'autre organisation gérant certain domaines particulier ## Définir OIV, SAIV, PIV, OSE, FSN. Savoir lister les 12 secteurs d’importance vitale **SAIV**: secteur d'activité d'importance vitale **PIV**: point d'importance vitale tous sont gerer par les **OSE**: operateur de service essentielle **FSN**: fournisseurs de services numérique ![](https://i.imgur.com/dUDnJmc.png) tout sa est réguler par la directive NIS https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/diplomatie-numerique/les-domaines-d-action-de-la-diplomatie-numerique-francaise/garantir-la-securite-internationale-du-cyberespace-a-travers-le-renforcement-de/ # cours controle d'accès logique ## Définitions **identification**: déclaration d'une identité **authentification**: prouver mon identité par différent moyen code pin etc... **l'habilitation**: le sujet est autoriser a accéder a l'objet **traçabilité**: une fois lui avoir donnée tout c'est accès il faut pouvoir tracer ce qu'il fait **non-répudition**: si la personne est tracé etc il ne peut pas nier **authenticité** ## Définir sujet, objet et domaine de sécurité domaine gère les accès des sujet sujet cherche a acceder au objet ## modèle de sécurité - discrétionnaire: c'est n'est pas le système qui définit les regles de sécurité c'est le sujet - mandataire: c'est le système qui prend la décision selon les règles définit - définit par l'administrateur ou configurer de base par le système - non-discétionnaire: système basé sur les droits ## DLP (Data Leak prevention) formation pour eviter le leak de document confidentielle sur internet marquer les documents pour éviter une mauvaise utilisation de ces derniers ## Typologie sur les menaces génériques - Exemple : Interception/man in the middle, écoute/sniffing, rejeu, shoulder surfing, Keylogger, exploitation de vulnérabilités ou de faiblesses, attaque en ligne, attaque hors ligne, dénis de service... ## Quel sont les paramètre de sécurité a prendre en compte dans une authentification - Securisation du stockage volatile/non-volatile - Sécurisation des transports - Sécurisation de l'exécution - Sécurisation de la session - gerer la temporalité, la légitimité ## Comment casse t'on les mot de passe - par bruteforce - par dictionnaire - rainbow table - attaque crypto (aléa/salage, canaux auxiliaires, statistiques)