Cybersecurité et Cyberdéfense - 1

--- title: Cybersecurité et Cyberdéfense - 1 description: Introduction au management de la cybersecurité tags: C&C, aurelien.dhollande authors: Aurélien Dhollande prof: Bombal temps: 4h date: 08/02/20 --- # Cybersécurité et cyberdéfense - 1 # Introduction au management de la cybersécurité ## Définitions ### Cyberespace Définition de l'ANSSI : Espace de communication constitué par l'interconnexion mondiale d'équipements de traitement automatisé de données numériques Modèle OTAN (NATO) et militaire : * couche physique (tout le matos : câbles, réseaux physiques...) * couche logique (OS, application, réseaux...) * couche sémantique (dimension sociale, l'information, le cognitif) ### Système d'information Définition de l'ANSSI : Ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) permettant de traiter et de diffuser l'information ### Sécurité des SI Ensemble des mesures techniques et non techniques de protection permettant à un SI de résister à des événements suceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données 3 piliers (DIC / CIA en anglais) * disponibilité * intégrité * confidentialité ### Cybersécurité Etat recherché pour un SI lui permettant de résister à des événements issus du cyberespace suceptibles de compromettre les 3 piliers de la sécurité des SI ### Cyberdéfense Ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les SI jugés essentiels ### Cybercriminalité Actes allant à l'encontre des traités internationaux ou des lois nationales, utilisant les réseaux ou les SI comme moyens de réalisation d'un délit ou d'un crime ### Résilience Capacité d'un SI à résister à une panne ou à une cyberattaque et à revenir à son état initial après l'incident ### Cryptographie Discipline regroupant les méthodes de transformation des données dans le but de cacher leur contenu ### Cryptanalyse Processus de déchiffrement de données protégées au moyen de cryptographie sans être en possession des clés de chiffrement ### Cryptologie Science regroupant la cryptographie + la cryptanalyse ### Opérateur d'Importance Vitale (OIV) Organisation (privée ou publique) qui a été identifiée par l’Etat comme ayant des activités indispensables pour le pays ## Etapes d'une attaque informatique 1. Reconnaissance : ce que je veux faire + mode d'attaque + reconnaissance de l'environnement (partie la plus importante) 2. Recherche de vulnérabilités 3. Exploitation d'une vulnérabilité 4. Intrusion 5. Post-exploitation (le vrai business est ici, c'est beaucoup d'admin sys) 6. On recommence ces étapes en recherchant des comptes et des privilèges ## Zones d'action ![](https://i.imgur.com/nzHMsDB.png) - les trois zones possibles pour les effets - **Du monde physique vers le cyberespace** : couper un câble - **Dans le cyberespace** : n'importe quelle attaque - **Du cyberespace vers le monde physique** : par exemple faire exploser des centrifugeuses en réalisant une attaque sur les systèmes qui augmentera la frequence des centrifugeuses ## Management de la sécurité * Conseiller et derrière s'assurer que le risque pris correspond aux mesures de protection * Trouver une balance entre l'effort (le coût) et le risque ## Outils du manager sécurité * **Classification des actifs** = connaître son système pour savoir où concentrer ses efforts * **Analyse de risques** * **Audit et contrôle** = s'assurer que tout marche correctement, mais à un instant T * **Tableaux de bord et indicateurs** * **Système de management** = boucle d'amélioration continue ## DIC / CIA / DAD **DIC** = Disponibilité Intégrité Confidentialité **CIA** = Confidentiality Integrity Availability **DAD** = Denial Alteration Disclosure ## Cadre normatif de sécurité et de cybersécurité Politique de sécurité > directive > processus > procédure **Politique de sécurité** = stratégie visant à maximiser la sécurité informatique d'une entreprise **Directive** = consigne à suivre dans une entreprise (obligatoire) **Processus** = + précis que la directive **Procédure** = séquence d'instructions Procédure on la fait manuellement mais peut être très long donc on peut utiliser des playbooks ![](https://i.imgur.com/c9dGMO5.png) * **Standard** = ce que tout le monde fait * **Norme** = quelque chose qui est obligatoire * **Bonne pratique** = comportement jugé indispensable (donnée par les fournisseurs de solution, les agences nationales de sécurité ou la communauté) ![](https://i.imgur.com/GDuODM5.png) ## Définitions * **Risque** = danger + ou - probable => acceptation, réduction ou transfert * **Vulnérabilité** = ce qui va être potentiellement exploitable par un acteur malveillant * **Menace** = celui qui a volonté de nous atteindre (personne, organisation, structure) * **Agent de menace** = intermédiaire, porteur (proxy, ver...) * **Actif** = actifs immatériels (bien non-physique qui a une valeur; ex : essence, savoir-faire, marque...) * **Contre-mesure** = permet de réduire le risque ## Types de menace ![](https://i.imgur.com/8rCaAEz.png) ## Objectiver le risque 2 manières * **Quantitative** ![](https://i.imgur.com/cplIVwW.png) * **Qualitative** : matrice de risque (paire de préférence pour ne pas toujours tomber dans le neutre) ![](https://i.imgur.com/YctWmQd.png) ## Gestion des risques / Risk Management (RM) **ISO 31000** *Boucle* 1) Analyse du Contexte 2) Identifier les risques 3) Analyser le risque 4) Evaluation du risque 5) Traitement du risque ## BIA (Business Impact Analysis) vs gestion des risques **BIA** = évaluer les impacts en cas de perte de tout ou d'une partie de l’environnement numérique **Gestion des risques** = déterminer les scénarios de merde les plus probables et mettre en place les actions nécessaires pour rendre le risque acceptable ## Processus de classification des actifs * Utiliser des catégories * Pour chaque catégorie, déterminer les objectifs * Créer une politique de confidentialité, des standards et des process * Identifier les propriétaires => celui qui crée la donnée La confidentialité d’une donnée peut changer avec le temps. ## Matrice de défense ![](https://i.imgur.com/fAI9s1m.png) **But de la défense en profondeur** = retarder l'ennemi en sécurisant chaque sous-ensemble du système (= mettre différentes barrières) 4 niveaux protégés à différents moments de l’attaque * **Physique** * **Logique** * **Administratif** * **Cognitif** - *Prévention* : joue sur la probabilité d'occurence - *Investigation* : vérifier si une application a été touchée par une attaque => lever le doute - *Détection et réaction* : caractériser et comprendre l'attaque, en limiter les effets et les dégats - *Correctif* : post-incident - *Récupération & résilience* - *Compensatoire* : l'après - *Dissuasif* : augmenter le coût de l'attaque => si trop cher, l'attaquant passera sur une autre cible Problème : des fois les colonnes sont contradictoires / en conflit => on doit faire un choix ## Définitions **Fail securely** = rechercher un état sécurisé lorsque ça fail **Least privilege** = minimum de privilèges strictement nécessaires pour que le sujet puisse effectuer son travail **Attack surface** = qu'est-ce que j'expose comme service à mon attaquant **White list** = le sujet a le droit d'accéder uniquement aux ressources autorisées **Black list** = le sujet a le droit d'accéder à tout sauf aux ressources listées **Segregation of duties** = sépération des privilèges **Zone d'adhérence** = ?? **Zoning** = cloisonnement, contenir l'attaquant **Need to know** = prendre connaissance seulement de ce qu'on a besoin de savoir ## SGDSN Secrétariat Général de la Défense et de la Sécurité Nationale (dépend du 1er ministre) ![](https://i.imgur.com/HESD21v.jpg) ## ANSSI 1er ministre > SGDSN > ANSSI - réglementation - capacité opérationnelle - protège les OIV - n'a pas de pouvoir de sanction ## Définitions **SAIV** = Secteur d'Activité d'Importance Vitale - eau - électricité - santé - nucléaire - spatial... **PIV** = Point d'Importance Vitale **OSE** = Opérateur de Services Essentiels (dont le service est essentiel au maintien de l'activité économique et sociétale; ex : assurance maladie) **FSN** = Fournisseur de services numériques --- ## Annexes **Appel de Paris** = texte en faveur de l’élaboration de principes communs de sécurisation du cyberespace (international) **Livre blanc** = enjeux en la France en matière cyber Depuis 2013, la charte de l'ONU s'applique dans le cyberespace