Cybersécurité et Cyberdéfense - 2

--- title: Cybersécurité et Cyberdéfense - 2 Description: author: Moemoea Fierin tags: C&C, Bombal, moemoea.fierin prof: Bombal temps: 4h --- --- # Question de cours ## Qu'est ce que la résilience **Def**: La résilience en informatique c'est la capacité d'un SI à resister à une panne ou une cyberattaque et à revenir a son etat initial/nominal Correction/A rajouter: Nominal: l'etat attendu $nq$ normal Ne pas confondre avec nominal ## Comment améliorer la résilience d'une organisation La résilience d'une organisation peut s'améliorer avec l'aide d'un manageur de la sécurite (RSSI ou manager la sécurité) qui de son coté fera une démarche d'étude du SI de l'organisation afin de lister les actifs, analyser les risques et réaliseras de l'audit et du contrôle sur les mesures prises... Ce qui permettra de s'assurr que les risques pris correspondent aux mesures de protection. Correction/A rajouter: Se baser sur les attaques précedentes On va se poser les bonnes questions. C'est le comment on s'organise pour répondre a une question On part d'ou pour aller ou ? Aujourd'hui on resiste a quoi? est ce que c'est suffisant ? Ou je veut aller? quelle amition je veux me donner? Donner potentiellement des exemples basé sur l'experience ## Qu'est ce que la défense en profondeur Cela consiste a utiliser plusieurs techniques de sécurité afin de réduire le risques lorsqu'un element de sécurité est attaqué. Nous sommes sur de la maintenance préventive. Correction/A rajouter: Mettre en place un ensemble d'etapes a differents moments d'i,e attque, prevoir et anticiper, la reaction apres la découverte d'une attaque, les correctifs ça doit concerner les trois couches: semantique, logique, physique (ces aspects ne doivent pas etre oublier) deuxieme aproche: temporalité la defense en prof ca vient de la def d'un dungeon. c'est une succession de couche ## Expliquer une matrice en profondeur Une matrice en profondeur consister à réaliser un tableau qui listera, la prévention, les correctifs, la detections, la disssuasion, la recuperation, la compensation tout cela applquer sur les differents aspect: physique logique administratif, cognitif Correction/A rajouter: regarder ce qu'il se passe sur le SI Montrer par l'exemple. SIEM: security incident and event management se mettre dans une posture d'anticipation, on va essayer de s'interesser aux acteurs potentielles qui pourrait attaques, quelles sont les groupes, leurs malwares, leurs outils. On peut faire de la carto Contenir l'aggression, limiter l'impacte ## ISO 31000 C'est un ensemble de normes de gestion de risques. Son but est de fournir des lignes directives dans le management du risques au niveau stratégiques et opérationnel. Correction/A rajouter: Normes envi, de secur, de gestion des risques comment j'implem dans mon orga une orga et un processus de gestion des risques Une nprme de l'iso 31000 pour la cybersecurite ISO27XXX: - 27005 gestion des risques cyber (c'est une declinaison de la 31000) ## Qu'est ce qu'un actif immatériel? Citer des exemples. Un actif est un élément materielle ou immaterielle. Un exemple d'actif materiel serait un brevet ou encore l'image de l'entreprise. Correction/A rajouter: un bien qui a deja de la valeur pour une organisation (financiere ou pas), un atout d'une enreprise, comme un logiciel une marque ou un service. Immateriel car il n'a pas de realité physique. Detention d'une license logiciel, données, marques, services, brevets, secret de fabrication. ## Comment objectiver un risque Pour objectiver un risque, il existe plusieurs méthodes: On peut avoir un point de vue quantitatif et utiliser des formules de maths pour ou un point de vue qualitatif donc utiliser un tableau qui nous permettra de classifier les etats dangereux ( par exemple cessation d'activité) Correction/A rajouter: On peut objectiver des deux manieres Il faut montrer qu'il y'aura plusieurs possibilité pour evaluer un risque: se metre dacc sur une meth, sur le cote quantitatif on va evaluer la val de l'actif, sa proba, .. quand on peut le faire de manierer qualitatif. Apres quand on ne peut pas le faire de manierer quantitatif: il faut se mettre a table et evaluer la connaissance de l'entreprise et d'apprecier le risques (on sera plutot dans un risque acceptable/non-acceptable) n va jour sur l'impact, l'occurence, et ces ici que les outil de Business Analyis (BIA ?) va nous aider. # Résumé précedent: La défense en profondeur mettre une succession de barriere ce qui fait en sorte que lorsque lattaquant traverse il doivent traverser toutes les barrieres # 18. Principe «Fail securely», «least privilege», white list/black list, segregation of duties, minimization / attack surface, zone d’adhérence, cost-benefits, zoning, need-to-know. Il va falloir appliquer des notions complémentaire a la defense en profondeur. ## Fail security En cas de fail, je vais rechercher un état sécurisé. par ex un firewall: je met des regles de securite, il passe dans mes regles, autorise ou par autorise. Si je tombe on bloque tout ou ? :::info ++Si un système tombe il doit tomber de maniere sécurisé.++ C'est le fait de gerer toutes les exceptions. De gerer les cas chelous pour qu'on ne se retrouve pas avec une "unexpected behavior" qui permettrait a un hacker d'entrer dans le système ou pire qui tout simplement ferais exploser une usine. Dans un certain sens un kernel panic est un cas extreme de fail securely? ::: ## Least privilege **Random def:** donner le moins de privilège possible a un utilisateur, qu'il ai le minimum de choses misent à disposition pour fonctionner. **Bombal def:** Mettre à disposition d'un sujet le strict minimum dont il a besoin pour tourner/accéder a son object. Réduire au minimum les éléments exposés. On va toujours chercher à minimiser la surface exposé. Si on ne voit pas on ne peut pas attaquer. ## White List/Black List **White list:** Le sujet a le droit d'accéder uniquement aux objets autoriser. **Black List:** le sujet accède a tout sauf aux objets listé. Vous pouvez tout faire sur votre système sauf ce qui est bloqué par les systèmes. Par defaut nos systèmes sont en **Black List**. WL les SI utilisent que ce qu'on a autoriser. Image: diff entre securite routiere et secu ferroviere securité ferrorière, il y'a les rails on ne peut que aller tout droit. ## Ségregation of duties **Ségragation of duties** = séparation des privilèges. **Exemple:** on est en entreprise on est stagière: je peux passer commande, payer, choisir ce que je veux. Qu'est ce que ça risque ? On va chercher a repartir les privilèges entre différents acteurs, de manière a separer les processus en different niveau de privilège pour qu'il y'ai des étapes qui se contrôle. ## Minimization / attack surface Reduction de la surface d'attaqu/exposition ## Zone d’adhérence Le prob auj c la zone d'adherence: superviser, backuper, administrer, l'antivirus, le patch management et a la fin la surface d'exposition il y'a plein de moyen tout autour (c'est l'effet cascade). Penser au risque systemique: risque du sys globale. On va arriver sur des zones de cloisonement pr pouvoir appliquer les differentes mesures, ou contenir l'attaquant dans une partie. (comme un sous-marrin qui a pris une torpille et qui contient la zone innonde) ## Cost-benefits ## Zoning ## Need-to-know. Zéro trust: chaque composants ne fait pas confiance a l'autre et on itoliser que le necessaire Need-to-know. Prendre connaissance de tout ce dont vous avez besoin. # 19. Qu’est-ce que le SGDSN, qu’est-ce que l’ANSSI ? ## Qu’est-ce que le SGDSN ![](https://i.imgur.com/waVf1dF.png) SGDSN secretariat générale de la défense et de la securité national. Depend du premier minister En FR celui qui est charger de la defense et de la securite global c'est le Premier min. Pour ca il a les ministres qui vont l'aider (sante, defense, ...) Pour coordonner tout ca il faut une struct: le SGDSN Il est là pour: ![](https://i.imgur.com/k9oLIPS.png) (*src: http://www.sgdsn.gouv.fr*) - tous ce qui peut armer un ennemis ne doit pas se retourner contre nous. :warning: dans le materiel nucleaire il y'a les capacités cyber. - vision synthese qui s'appuie sur les services de renseignement, ... - proliferation nucleaire biologique chimique, ... - la cyberdefense; DCSSI => ils ont creer une agence car ils etaint trop nombreux. - secret organisme interministerielle qui va s'assure que tout tourne bien - galileo, ... ## Qu’est-ce que l'ANSSI ![](https://i.imgur.com/Pjc4aR6.png) Autorité national en défense et sécurité des sys. Autorité national: ils ont un pouv dans l'expertise, de reglementation/prescription, operationnel, ... Quelle est la voix de la france sur tel ou tel discussion C'est la voix de la cybersecurite en France . un role essentielle. L'anssi n'a pas de pouvoir de sanction # 20. Définir OIV, SAIV, PIV, les opérateurs de services essentiels (OSE), les fournisseurs de services numériques (FSN). Savoir lister les 12 secteurs d’importance vitale ![](https://i.imgur.com/2fAaoH0.png) ## Définir OIV ## Définir SAIV SAIV: **S**ecteur d'**A**ctivité d'**I**mportance **V**itale Ce sont les grands secteurs qui font qu'une nation fonctionne: - eau - electricite - nuclaire - spaciale - santé - samu il y'a eu d'abord un coté physique on peut avoir des attaques terro majeur sur des elements critique et on s'est rendu compt qu'il y'avait aussi les risques numerique. On a identifier des PIV: point d'importance vitale ## Définir PIV PIV: **P**oint d'**I**mportance **V**itale Ils sont rattaché à des structures. Ça va être l'opérateur d'importance vitale. ## Définir les opérateurs de services essentiels (OSE) J'ai mes diff centrale mais j'ai pour autant d'autre secteurs. Tout n'est pas critique seulement les PIV. ## Définir les fournisseurs de services numériques (FSN) On s'est rendu compte qu'il y'avait d'autre operateur qui pouvaient etre une difficulter pour la nation. Par ex: l'assurance maladie. si du j au lendemain elle ne fonctionne +: plus de versement de remboursement de santé. => en 48h c'est le bordel ## Savoir lister les 12 secteurs d’importance vitale # 21. Culture générale : connaître les principaux clubs/associations et événements français sur le management de la sécurité : CLUSIF, CIGREF, club R2GS, Assises de la sécurité, FIC, Cesin, syntec numérique... Deux liens à lire pr fin du mois: - Revue strategique a lire. Src: http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf ## CLUSIF ## CIGREF ## club R2GS ## Assises de la sécurité ## FIC ## Cesin ## Syntec numérique # COURS CONTRÔLE D’ACCÈS LOGIQUE ## 1. Définir l’identification, l’authentification, l’habilitation/autorisation, la non-répudiation, la traçabilité Les 5 pilliers du controle d'accès: => il y'a une notion de session. ### -- l’identification -- On déclare son identité. Etape d'apres prouver son identité. ### -- l’authentification -- Preuve d'identité: on prouve son identité. On peut prouver de plein de manière: - tapper un mdp - detenteur d'un badge ou ID carte - code pin - empreinte biometrique QQchose qui valide mon identité ### -- l’habilitation/autorisation -- L'autorisation qu'est ce que c'est ? est-ce que le sujet est autorise a acces a l'objectif. J'ai prouvé mon identite, je vais derriere donner des droits a mon identité. ### -- la traçabilité -- Etre capable de tracer ce que la personne autorisé fait. On va rentrer dans la cybersurveillance, de ce qui est acceptable ou pas en terme de suivie. ### -- la non-répudiation -- Prouver que c'etait bien lui dans la realité qui a fait cette transaction et il ne pourra pas nier. Exemple: dematerialisation en ligne: declarer ses impots en ligne. ## 2. Définir authenticité – donner un exemple Ce qu'il a mis dans le sys est il authentique ou pas. La ressources c'est l'object. Tout cela s'inscrit dans un domaine de securité ## 3. Définir sujet, objet et domaine de sécurité on va etablir des politiques de sécurité. Quand on installe un ecosys microsoft Quand il y'a differente politik de secu dans un meme domaine il faut faire plusieurs domaine. On peut avoir un domaine de sécurité en entreprise avec qqchose qui va gerer la securite en general. Et pe ds un autre domaine il y'a dautre regle de secu et des ressources que l'utilisateur doit acceder =>On va parler de relation de confiance, de passage inter domaine de secu, comment je propage mon controle d'acces (qu'st ce que j'autorise ou pas) Les modèles de sécurité de base: - le discretionnaire ## 4. Définir les types de contrôle d’accès ![](https://i.imgur.com/AJ6izLw.png) - **Le modèle discretionnaire:** c'est le sujet qui va def ses propres regles de securite (c'est la discretion du sujet) - **Mandataire:** le sys décide pour vous. On lui met une regle et le sys prend la déciscion - **Non-discrétionnaire:** c'est entre les deux. Une souplesse entre les deux on va avoir des notions de roles( role etudiant...). - **Le DLP**: Le terme Data Loss Prevention fait référence à un ensemble de techniques qui permettent d’identifier, de contrôler et de protéger l’information grâce à des analyses de contenu approfondies, que l’information soit stockée, en mouvement ou traitée. ## 5. Typologie sur les menaces génériques sur le contrôle d’accès ![](https://i.imgur.com/1MOEiLm.png) Auj il y'a de plus en plus d'attck. On a un historique disponible des mdp sur les gens. On peut en deduire comment il construit ses mdps. ## 6. Ingénierie sociale (prédiction ? phishing ? etc.) ![](https://i.imgur.com/PRaWkf6.png) Etablir les liens de confiance avec l'utilisateur par soit recompense/peur/absence de procedure pr verifier ## 7. Quel sont les paramètres de sécurité à prendre en compte dans une authentification ![](https://i.imgur.com/6mwae5c.png) - Sécuriser le stockage volatile/non volatile - Securisation des transport: comment entre obj et sujet je propage et m'assure de bout en bout a une securisation (que personne puisse ecoute rejouer ...) - gerer la notion de session: problematique de fraude, qu'est ce qu est legitime dans cette session, est ce que y'a bien que lui dans cette session - devlopper des controle acces c'est TRES complique=> ne pas hesiter sur les sys deja fait ![](https://i.imgur.com/hPr9Jnz.png) ## 8. Authentification ![](https://i.imgur.com/t65BfqN.png) - Brute force - Se baser sur la langue, tous les caractères du clavier ne sont pas utilisés - Dictionnaires de mots de passe - Rainbow tables: calculer toutes les bijections possibles pour pouvoir les réutiliser après pour n’importe quel mot de passe - Pour plus de sécurité, ne pas utiliser des bijections fixes - Attaque crypto: aléa / salage, statistique, canaux auxiliaires, etc. ### Connaitre les différentes typologies d’authentification/facteurs (type 1, 2 et 3) ? ### Définir l’authentification forte ? Et savoir citer des exemples ;