--- title: Cybersécurité & Cyberdéfense cours 1 description: cours introductif authors: jeremy.delbarre tags: C&C, jeremy.delbarre date: 08/02/2020 --- # Cybersécurité et Cyberdéfense ` infos: - liminaire intra srs a lire plus doc ansi - DM dépendant les uns des autres - 2 exposé (souces) - certificat moodle de l'ansi a faire en mars-avril - nombreux documents rédigé par l'ANSI ## Définitions **Cyberespace**: système d'information, principe d'interconnection. - **Def de l'ansi**: Espace de communication constitué par l'interconnexion mondiale d'équipements de traitement automatisé de données numérique - **Def militaire** - 3 chose: couche physique, couche logique (donnée), couche sémantique (application: internet) - on va se concentrer sur les deux dernières **Système d'information**: Ensemble organisé de resources (matériels, logiciels, humaines, données) permettant de traiter et de diffuser l'information **Sécurité des systèmes d'information**: Ensemble des mesures techniques et non techniques de protection permettant a un système d'information de résister à des événements susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessible. **Cybersécurité**: État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. **Cybercriminalité**: Acte contrevenants au traités internationaux ou aux lois nationales utilisant les réseaux ou les sytèmes d''information comme moyens de réalisation d'un délit ou d'un crime, ou les ayant pour cible **Cyberdéfense**: Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels. **Résilience**: - En informatique capacité d'un système d'information à résister à une panne ou à une cyberattaque et à revenir à son etat initial après l'incident ## reportage arte le dessous des cartes - premier attaque dans les année 80 - malware wannacry attaque plusieurs pays dans le monde - estonie 2007: attaque contre les sites gouvernementaux, utilisation de botnet rend l'enquête difficile. ## les phases d'une attaques **1. Reconnaissance**: - j'ai une cible, un objectif, quel est mon but? - d'abord les faits, le mode d'action - quel est sont empreintes numérique - analyser sont environnement numériques - quel est le plus atténiable pour effectuer notre objectif - Recherche de vulnérabilité **2. Exploitation de vulnérabilité**: - très bien mais le plus important viens dans les étapes suivantes de la post-exploitation **3. Post-exploitation**: - recherche de comptes et de crédentials - reconnaissance des fichiers et toutes données qui peut etres intérressantes - les étapes 1 et 2 sont répété içi pour infiltrer les différentes applications présentes. je collecte un maximum d'information. - tout le travail est dans de l'administration sytèmes ## les effets - quels sont les zones possibles d'effets: - contre le cyberespace, depuis le cyberespace - manipulation de l'humain pour générer des erreurs - dimension de connaissance dans de domaines multiples (équipe pluridisciplinaires) ## Qu'est ce que le management de la sécurité - périmètre: qu'est ce que je gère, jusque ou je vais - son role est de conseiller sur les risque encourus et de définir les choses qui seront mis en place pour les limiter - trouver un équilibre entre l'effort et la technique qu'est ce qui est acceptable ## Quels sont les outils de manager sécurité - classification des actifs: quels sont les choses importantes a protéger - l'analyse des risques: quels sont les risques et les impacts - l'audit et controle: permet de voir l'état d'un système a un instant t - tableaux de bord et indicateurs: suivre l'état du système dans le temps - le système de management: quels seront les futures amélioration mise en place ## Expliquer les principes DIC-DICPT / CIA et DAD - prouvez moi votre intégrité, confidentialité - CIA : confidentiality, Integrity, Availability - DAD: Disclosure ## Qu'est ce qu'une politique de sécurité? une directive ? une procédure ? un processus ? - document d'ordre stratégique, tactique et opérationelle - plus en plus de réglementation dans la cyber - rédaction d'un document maitre qui définit la polithique de sécurité - qui est responsable ? - comment mettre en place les formation ? - rapelle de la réglementation - les procédure c'est bien mais au bout d'un moment sa deviens plus gérable on va donc chercher a l'automatiser. ## Qu'est ce qu'un standard, une norme, une bonne pratique - un standard c'est ce que tout le monde fait - une norme est obligatoire et peut etre imposé - bonne pratique: chose couramment faites pour une bonne mise en place d'un système a. citez des exemples b. formaliser la pyramide documentaire c. connaitre les grandes lignes du "cybersecurity framework" du NIST https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf - un risque n'est pas le meme en fonction de l'environnement - vulnérabilité: possibilité d'exploitation ce n'est pas forcément grave l'important c'est l'impact - Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser. Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système. - une menace - un agent de menace - un impact - une probabilité - un actif - une contre-mesure - l'objectif est donc de mettre en place des contre mesures pour soit diminuer l'impact soit la vulnérabilité - risque brute c'est a dire avec 0 contre mesure - risque résiduelle (risque acceptable): risque après avoir mis en places les contre-mesures (pas de risque zéro) ## Savoir illustrer différents types de menace - **Cyber organisation** - Organisation étatique ou fortement soutenue par un Etat - motivation stratégique - Actions conduites comme une campagne militaires - cpacité de manipulation et d'actions indirects - **Cyber crime** - Personne au groupes motivé par l'appat du gain - action ponctuelle - **Cyber activisme** - Groupe de taille variable motivé par l'idéologie - Capacité fortes mobilisation, actions - récurrentes voire campagne ## comment objectiver un risque** - Quantitatif : utilisation de formule mathématique - Qualitatif : utilisation de matrice de risque ## comprendre et donner les étapes de la gestion des risques / risk managment (RM) - Analyse du contexte - identifier les risque - Analyse des risque - Evalution du risque - Traitement du risque ## Qu'est ce qu'un BIA (Bussiness Impact Analysis) - a. comprendre le lien entre une activité et le numérique - b. évaluer les impacts en cas de perte de tout ou partie de l'environnement numérique sans oublier certaines dépendances ## Quelle différence entre BIA et la gestion des risque - Savoir mettre en place un processus de classification des actifs - système de catégorisation en fonction des impacts (d'abord mis en place par les militaires) - qui va décider de du niveau de classification. le créateur du documents - qui est propriétaire de la donnée - classifier les informations et les applications - former les utilisateurs - vérifier et mettre a jours les données classifiés (notamment la catégorie) ## Exemple de matrice de défense en profondeur - il faut bien prendre en compte les quatre niveau - Physique, logique, administratif, cognitif - réagir l'attaque: etre capable de la détecter, comprendre et de s'en défendre pour revenir a un état pré-incident - coté dissuasif qui oblige les attaquant a augmenter les couts pour mettre en place une attaque - pour etre sur du plan mis en place toutes les cases doivent être remplis - l'objectif est donc d'etre fort sur la matrice pour avoir un bon système de défense - retour d'expérience des incidents et des audits sont très important - il y a des colonnes antinomique il va falloir faire un choix