--- titre: Cybersécurité et cyberdéfense (Cours 2) description: Cybersécurité et cyberdéfense (Cours 2), 22/02/2020 tags: C&C, jerome.tchan author: Jérôme Tchan --- # Cybersécurité et cyberdéfense (Cours 2) > Guide de cours > {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:ars:guide_de_cours-c11.pdf %} ## Petit exo de début de cours :::info 1) Qu'est-ce que la résilience? 2) Comment améliorer la résilience? 3) Qu'est-ce que la défense en profondeur? 4) Expliquer la matrice de défense en profondeur (donner des cas concrets)? 5) ISO 31000? 6) Actif immatériel? Exemples? 7) Comment objectiver un risque? ::: 1) Volonté, capacité d'une structure ou d'une organisation à résister à une agression ou une catastrophe majeure, puis à rapidement retourner à un état nominal, ou du moins assurer le coeur de sa mission. 2) Se demander quels sont les risques? Il y a une démarche à réaliser, une méthode. Utiliser les retours d'expérience, se poser les bonnes questions, déterminer l'état initial et l'état final voulu. Argumenter et illustrer avec son expérience. **Ne pas répondre directement avec des mesures.** 3) Défendre les différentes couches à travers le temps et les différentes étapes. 4) - Anticipation: utiliser un Security Incident and Event Management (SIEM), faire de la cartographie - Détection / Réaction: gérer l'incident - etc. 5) Norme de gestion des risques **génériques**: comment implémenter une organisation et un processus de gestion des risques? Pour les SI, ISO 27005 (Gestion des risques cyber) 6) Bien qui a une valeur pour l'organisation et qui est immatériel. Ex: marque, logiciel, license, services, brevets, etc. 7) Plusieurs possibilités pour évaluer un risque: quantitatif ou qualitatif. Si on peut le faire, préférer le quantitatif (se base sur des faits), sinon on doit se rassembler et essayer d'apprécier le risque: méthode qualitative (on peut se baser sur le BIA) --- ## Introduction au management de la cybersécurité (suite) ### Défense en profondeur - Succession de barrières - Aujourd'hui, tout est interconnecté ### Fail securely, least privilege, etc - **Fail securely:** Si on fail, on essaie d'être dans un état sécurisé. Cependant ce n'est pas aussi simple, ex: Si un firewall tombe, est-ce qu'on arrête la production (et on est dans un état sécurisé) ou on continue en bypassant le firewall (et du coup s'exposer à des risques)? - **Least privilege:** Moindre privilège en français, se limiter au strict minimum au niveaux des privilèges pour que le sujet accède à ses objets. => diminuer les risques potentiels et la surface d'exposition - **Attack surface:** Surface d'exposition en français, qu'est-ce qu'on expose? On cherche à minimiser la surface d'exposition. - **White list:** Le sujet a accès uniquement aux objets autorisés. - **Black list:** Le sujet a accès à tous les objets excepté les objets bloqués. - **Segregation of duties:** Séparation des privilèges, chercher à séparer les responsabilités entre différents acteurs. - **Zone d'adhérence:** Systèmes qui sont liés au système à sécuriser et qui peuvent compromettre la sécurité, mais qui ne sont pas directement dans le système à sécuriser. - **Cost-benefits:** - **Zoning:** Découper en zones, cloisonner - **Need-to-know:** "Besoin d'en connaître", ne prendre connaissance que de ce que l'on a besoin Penser au risque systémique ### SGDSN, ANSSI? [**SGDSN:**](http://www.sgdsn.gouv.fr) Secrétariat général de la défense et de la sécurité nationale => dépend du 1er Ministre. [**ANSSI:**](https://www.ssi.gouv.fr) Agence nationale de la sécurité des systèmes d'information, autorité nationale en défense et sécurité des SI. Role d'expertise et de prescription, représente la France en cybersécurité. ### OIV, SAIV, PIV, etc. **OIV:** Opérateur d'importance vitale **SAIV:** Secteurs d'activité d'importance vitale - Alimentation - Gestion de l'eau - Santé - Activités civiles de l’Etat - Activités judiciaires - Activités militaires de l'Etat - Energie - Finances - Transports - Communications électroniques, audiovisuel et information - Industrie - Espace et recherche **PIV:** Points d'importance vitale, rattachés à des structures (OIV) **OSE:** Opérateurs de service essentiels (Ex: Assurance Maladie) **FSN:** Fournisseurs de services numériques OSE et FSN: directive NIS ### Structure de la France 4 chaînes: - Défensive - Militaire - Judiciaire - Pour chaque chaîne, 6 points: - Prévention - Protection - Détection - Réaction - Attribution - Anticipation Acteurs - ANSSI - Ministère des Armées - Ministère de l'Intérieur > Source: https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/securite-desarmement-et-non-proliferation/lutter-contre-la-criminalite-organisee/la-france-et-la-cybersecurite/ ### Stratégie de la France > Voir le document cité au dessus 2013: date importante pour ??? L'espionnage n'est pas interdit :::info Lire le [Guide Cybersécurité 2015](https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf) et le [Guide Hygiène Informatique](https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf) (aussi disponibles dans les annexes) Penser à faire le QCM: http://tcs.sgdsn.gouv.fr/ NICE Cybersecurity Workforce Framework ::: --- ## Contrôle d'accès logique - **Identification:** Déclarer son identité - **Authentification:** Prouver son identité, plusieurs manières possibles: mot de passe, code PIN, empreinte biométrique, etc. => Il faut que ce soit infalsifiable - **Habilitation / autorisation:** Est-ce que le sujet est autorisé à accéder à l'objet? - **Non-répudiation:** Prouver que le sujet a réalisé une action - **Traçabilité:** Logs **=> Notion de session** - **Authenticité:** Ce qui est mis dans le système est-il authentique ou pas? - **Sujet:** Ressource accédante - **Objet:** Ressource - **Domaine de sécurité:** Règles de relation entre le sujet et l'objet ### Modèles de sécurité de base - Discrétionnaire: "l'utilisateur prend la décision", basé sur l'identité - Mandataire: "le système prend la décision", basé sur des règles - Non-discrétionnaire: entre discrétionnaire et mandataire, notion de rôles **DLP:** *Data leak prevention*: éviter les fausses manipulations. On a besoin de métadonnées pour savoir les règles à appliquer aux données. Menaces génériques sur le contrôle d'accès: MITM, sniffing, replay, keylogger, DoS, shoulder surfing, attaque en ligne, attaque hors ligne, etc. > Liste des techniques d'attaque: https://attack.mitre.org Ingénierie sociale: utilise l'utilisateur pour rentrer dans le système, popularisé par Kevin Mitnick Comment gérer le problème? ### Quels sont les paramètres de sécurité à prendre en compte dans une authentification? - Sécuriser le stockage volatile ou non - Sécuriser le transport - Sécuriser à l'exécution - Sécuriser la session - etc. Ne pas hésiter a réutiliser des systèmes existants testés et reconnus, développer un système de contrôle d'accès est très compliqué. ### Authentification Comment cracker un mot de passe? - Brute force - Se baser sur la langue, tous les caractères du clavier ne sont pas utilisés - Dictionnaires de mots de passe - Rainbow tables: calculer toutes les bijections possibles pour pouvoir les réutiliser après pour n'importe quel mot de passe - Pour plus de sécurité, ne pas utiliser des bijections fixes - Attaque crypto: aléa / salage, statistique, canaux auxiliaires, etc. Outils: John the Ripper, Hashcat, Hydra