Études Flashcards
La cybersécurité est basée sur trois (3) piliers de sécurité qui doivent être pris en considération lors d’analyse de sécurité. Nommez ces trois piliers et donnez une description de chacun
Confidentialité: protection des informations confidentielles
Intégrité: avoir des informations exactes et complètes pour empêcher les modifications (accident ou délibéré)
Disponibilité: faire sûr que les informations sont disponible pour ne pas nuire aux affaires, prévention de destruction informationnels (accident ou délibéré)
Nommez trois (3) méthodes (Moyens) efficaces de prévention de l’espionnage industriel
- Moyens Technologiques (Encryption des informations recettes, limitation des accès, etc.)
- Moyens Politiques (NDA, Inventaire des propriétés intellectuelles, etc.)
- Moyens Physiques (Caméras, Systèmes d’alarme, etc.)
Un cadre d’une politique de sécurité est constitué de quatre (4) types de documents. Nommez ces documents et donnez une description de chacun
- Politique: ensemble de décision que l’entreprise prend pour sécuriser les systèmes et l’information (high level, pas technique)
- Pratiques ou Directives: directives et exigences pour épauler la politique de sécurité
- Standards: normes et références de standards publiées par des sociétés reconnues et spécialisées
- Procédures: documents techniques qui explique clairement comment appliquer les standards et pratiques, ex. longueur password
Quels sont les quatre (4) objectifs d’une politique de sécurité ?
- Protéger les informations et opérations contre la fraude, les attaques informatiques, les fuites d’informations et les atteintes à la vie privée.
- Assurer la conformité aux normes et exigences légales.
- Réduire les risques inhérents en risques résiduels.
- Établir des standards de sécurité sans nuire aux objectifs de l’entreprise.
La révision de la politique de sécurité doit se faire à quelle fréquence ?
À chaque année
Nommez les quatre (4) critères à considérer lors de l’établissement de la classification des informations
valeur: Données financières, informations bancaires.
sensibilité: Propriétés intellectuelles, plans d’acquisition, restructuration.
obligations légales: Renseignements personnels, informations de crédit.
criticité: Données essentielles au fonctionnement des systèmes de production.
Quelles sont les conditions si des données de production se retrouvent dans des environnements de développement, de test ou de formation ?
les mêmes contrôles de sécurité de l’environnement de production doivent être appliqués.
Nommez les six (6) segments réseautique que l’on retrouve dans les entreprises
- Segment Internet (Internet Gateway): Zone d’accès externe à l’internet.
- Segment DMZ (¨Demilitarized Zone¨): Zone qui relie le réseau interne
de l’entreprise (intranet) à l’internet. L’hébergement des services Web
externes, tels les sites de l’entreprise, les serveurs de transfert des
données et les serveurs d’accès distants, font partie du segment DMZ. - Segment entreprise: Segment intranet non visible à l’Internet où se
situent les utilisateurs, les postes de travail, les imprimantes et les
téléphones IP. Les unités d’affaire de l’entreprise peuvent avoir leurs
propres segments réseautiques séparés par des pare-feu. Ex.: Finances,
RH, légales, etc. - Segment restreint: Zone avec restriction d’accès où se trouvent les
bases de données, les dossiers des employés, des fichiers réseau,
système de paye, système de facturation, et tous les serveurs contenant
des informations classifiées confidentielles. - Segment de gestion de sécurité: Systèmes d’authentification (Active
Directory, systèmes de journalisation, systèmes de monitorage) - Segment de production – usine: Zone réservée aux systèmes de
production des usines et aux contrôles manufacturiers (SCADA, PLC, etc).
À quoi sert un balayage de découverte (Ping Scan)?
identifier les hôtes solitaires (¨Rogue¨) pour déterminer si ces équipements doivent être débranchés du réseau ou s’ils déclencheront des enquêtes de sécurité.
Pourquoi les protocoles de télécommunication FTP et Telnet sont considérés non-sécuritaires ?
clear text
Nommez trois (3) enjeux de sécurité avec les services infonuagiques
- Confidentialité et protection de la vie privée
- Contrôle des accès et gestion des privilèges
- Disponibilité et gestion de continuité
Gestion des identités et des accès
Définition : Identification
Processus qui permet de connaître l’identité d’une entité ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (username, Qui vous êtes).
Gestion des identités et des accès
Définition : Authentification
vérifier l’identité d’un utilisateur pour donner accès à des informations. Il s’agit principalement des mots de passe (password, Ce que vous savez).
Gestion des identités et des accès
Définition : Authentification Simple
L’authentification utilise un seul facteur (l’utilisateur indique son mot de passe).
Gestion des identités et des accès
Définition : Authentification Forte
L’authentification repose sur deux éléments ou deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton, biométrie, carte intelligente, etc.).
Gestion des identités et des accès
Définition : Authentificiation Unique
Méthode permettant aux utilisateurs de procéder qu’à une seule authentification pour accéder à plusieurs systèmes ou applications informatiques. (SSO ¨Single Sign On¨)
Gestion des identités et des accès
Définition : Accès
passages pour accéder à des informations, des applications, des systèmes, des services, des sites web et des segments réseautiques nécessaires à l’exécution des tâches des utilisateurs.
Gestion des identités et des accès
Définition : Privilèges
droits qui permettent aux utilisateurs d’effectuer des actions dans des systèmes informatiques. Une liste non exhaustive de privilège serait : read, write, execute, copier, imprimer, supprimer.
Gestion des identités et des accès
Définition : Mot de passe
série de caractère utilisé comme moyen d’authentification dans le but de prouver l’identité d’un utilisateur ou d’une ressource.
Quelles sont les 8 étapes de cycle des accès
- Initier la demande
- Approbations
- Approvisionnement
- Permissions
- Modifications
- Monitoring
- Désactivation
- Suppresion
Quels sont les 3 types de comptes
- régulier
- administrateur
- fonctionnel
Définition : Compte régulier
comptes qui sont assignés individuellement et sont utilisés par tous les utilisateurs dans l’exécution quotidienne de leurs tâches (réseau interne et courriels de l’entreprise)
Définition : Compte administrateur
comptes qui ont des privilèges élevés et peuvent effectuer des changements dans les environnements et dans les systèmes informatiques.
Définition : Compte fonctionnel
Les comptes fonctionnels identifient des systèmes, applications ou services ou un groupe d’utilisateurs (pas un utilisateur en particulier) et ont des accès limités pour des tâches spécifiques ou de manière automatisée.
Quelles sont les 5 règles des comptes réguliers
- Interdiction sans mot de passe: Les comptes sans mot de passe sont interdits.
- Pas de partage: Les comptes ne doivent pas être partagés.
- Propre compte: Chaque utilisateur doit avoir son propre compte pour éviter les contestations.
- Unique: Chaque compte doit être unique et suivre les normes de l’entreprise.
- Statut actif: Les propriétaires de comptes doivent être actifs dans le répertoire de l’entreprise.
Quelles sont les 4 règles des comptes administrateurs
- Utilisation spécifique: Utiliser uniquement pour des tâches nécessitant des privilèges élevés (configurations, modifications).
- Privilèges temporaires: Attribuer les privilèges administratifs seulement au besoin et les retirer après achèvement des tâches.
- Journalisation: Enregistrer toutes les transactions des comptes administratifs dans les journaux des systèmes.
- Pas de tâches régulières: Ne pas utiliser pour des tâches quotidiennes comme les emails.
Nommez 3 types de comptes fonctionnels
- Courriel: représente un groupe d’utilisateurs ou un service ex.: finances@plasti-tech.com.
- Système: Compte machine ou compte pour processus informatisé (¨Script¨) pour authentifier des équipements (serveurs, stations, M to M, etc.).
- Partagé: Compte d’utilisateur qui sera partagé entre plusieurs utilisateurs.
Vrai ou faux : Les comptes fonctionnels peuvent identifier un utilisateur dans les systèmes de journalisation d’une entreprise.
Faux.
- Un compte fonctionnel ne peut identifier
un utilisateur en particulier dans les
systèmes de journalisation de l’entreprise.
Nommez le plus gros problème dans l’industrie par rapport aux mots de passe
L’utilisation du même mot de passe sur différents systèmes
Nommez les 4 facteurs affectant la robustesse des mots de passe.
- La longueur: La quantité de caractères utilisés dans la composition du mot de passe.
- Combinaison de caractères alphanumériques: Des lettres de l’alphabet (A à Z) en minuscules et en majuscules et des caractères numériques comprenant les chiffres 0 à 9.
- Caractères spéciaux: Ex.: @, /, %, &, $
- Expressions uniques: introuvables dans les dictionnaires des langues parlées des utilisateurs.
Pourquoi de nombreuses entreprises répartissent-elles des services TI à des fournisseurs de services spécialisés (4 raisons) ?
- Requiers moins de ressources spécialisées en TI (main d’oeuvre).
- Accès rapide aux infrastructures TI (Cloud).
- Diminution des travaux de soutien (maintenance des systèmes, application des correctifs, gestion des mises à jour, etc.)
- Diminution des coûts d’infrastructure TI ($ pour équipement).
Quels sont les 4 désavantages à répartir des services TI à des fournisseurs de service spécialisé?
- Pertes de connaissances techniques au sein de l’entreprise.
- Dépendance aux fournisseurs de service.
- Perte d’autonomie (particulièrement dans le développement).
- Augmentation des coûts d’opération TI.
Quels sont les 2 modèles de répartition pour les services TI qui sont donnés à sous-contrat à des fournisseurs de service spécialisé?
- Hébergement externe; chez le fournisseur
- Hébergement interne; chez le client.
Quels sont les 3 niveaux de criticité et quelle est la durée maximale de panne tolérable qui les défini?
-
Critique: Maximum 8 heures
a. Impact financier élevé, Arrêt d’une ou de plusieurs usines
b. Effet ressenti par plus de 50% des utilisateurs -
Important: Maximum 2 jours
a. Ralentissement de production des employés ou d’une usine
b. Effet ressenti par 20% à 50% des utilisateurs -
Régulier: Maximum 5 jours
a. Faible impact, peu importe le nombre d’utilisateurs touchés
Quels sont les 4 types d’architectures (protection) des CTRL industriels?
- Monolithique: Segment isolé d’une usine unique, sans connexion internet
- Partagée entreprise: Toujours sans connexion internet, mais le réseau est relié entre les usines
- Partagée entreprise hybride: Réseau inter relié entre les usines, avec connexion avec un fournisseur cloud via Internet (infonuagique)
- Infonuagique (IaaS, “Infrastructure as a Service”): Le réseau de production est relié à un fournisseur Cloud (Internet)
Quelles sont les principales vulnérabilités des contrôles industriels sur réseaux TCP/IP ? (10 items)
- La cybersécurité versus les systèmes de contrôle industriels
- Les systèmes de contrôle sans capacité de processeur OS.
- Accès non-autorisé aux systèmes de contrôle
- Infections virales
- Renifleur réseautique (Network sniffing)
- Attaques de Rançongiciel (Ransomware)
- Systèmes d’exploitation expirés
- Élargissement réseautique sans diligence de sécurité.
- Vulnérabilités physiques des composantes ICS
- Employés malveillants
Quelles sont les différentes stratégies et recommandations de protection des ICS (8 items)?
- Analyse et études de cas
- Débuter par l’inventaire des composantes.
- Établissement des périmètres réseautiques
- La gestion des identités et des accès
- Encryption (chiffrement) des informations
- Surveillance SOC/SIEM
- Application des correctifs ( ̈Patches ̈) de sécurité
- Stratégie de replacement des équipements
Quelles sont les 2 grandes utilités des services SOC/SIEM ?
- Centralisation des journaux
- Surveillance SIEM (Security information and event management)
Quel est le délai de l’application d’un correctif (patch) sur un système critique ?
15 Jours
Quel est le délai de l’application d’un correctif (patch) sur un système régulier?
3 Mois
À quoi sert la journalisation des systèmes? (5 points)
- Contrôler le volume d’utilisation des ressources informatiques et
détecter les anomalies pour assurer une qualité de service et faire
évoluer les équipements en fonction des besoins. - Vérifier les règles en matière de sécurité et détecter toute défaillance ou
anomalie volontaire ou accidentelle, passive ou active, d’origine
matérielle ou humaine. - Détecter les utilisations des systèmes informatiques contraires au Code
d’éthique et de conduite de l’entreprise. - Fournir des éléments de preuves nécessaires pour mener des enquêtes
en cas d’incidents (« Forensic »). - Porter assistance au processus de diagnostic lors de procédures de
remédiation des systèmes informatiques.
Les journaux des systèmes informatiques sont classifiés dans quelle catégorie de documents et pourquoi?
Confidentiels, en raison de la sensibilité et l’intégrité des informations.
Qu’est-ce qui est journalisé pour l’item suivant : Serveurs et postes de travail
- l’identification des utilisateurs
- les dates et les heures des accès
- les résultats d’authentifications
(succès ou échec) - les commandes passées
Qu’est-ce qui est journalisé pour l’item suivant : Services de courriel et messagerie
- les informations de l’expéditeur
(adresse) - les adresses des destinataires
- les dates et les heures des messages
- les différents serveurs de
transmission des messages - le traitement « accepté ou rejeté »
des messages - la taille du message
- les résultats du traitement des
courriels non sollicités (SPAM) - les résultats des logiciels antiviraux
Qu’est-ce qui est journalisé pour l’item suivant : Serveurs Web
- les noms DNS ou les adresses IP des
utilisateurs (demandeurs) - les URL des pages consultées
- les informations fournies par le client
- le type de la requête
- la date et l’heure des requêtes
- le volume des données transmises
- les différents paramètres passés
Qu’est-ce qui est journalisé pour l’item suivant : Les équipements réseautiques
- les noms DNS ou adresses IP des
sources et des destinations - les dates et les heures des
connexions - les numéros de port et les protocoles
utilisés des sources et les
destinations - les dates et les heures des
transactions - le nombre de paquets et le nombre
d’octets transférés - les messages d’alerte
Qu’est-ce qui est journalisé pour l’item suivant : Les applications
- les identités des utilisateurs
- les dates et les heures des accès et
des transactions - les commandes passées
- les transactions effectuées
- les volumes des données transférées
Que signifie l’acronyme “SCADA” et quelle est sa définition ?
Supervisory Control and Data Acquisition est une architecture de
contrôle industriel qui utilise des ordinateurs et de la réseautique pour gérer et contrôler des systèmes et des périphériques tels des PLC (¨Programmable Logic Controller¨), des automates et autres composantes.
Qu’est-ce qui définit une architecture Monolithique (Stand alone) ?
Segment réseautique de
production pour usine unique ou par usine indépendant des autres usines
et du réseau interne de l’entreprise sans aucune connexion à l’internet.
• Les PLCs, les SCADAs, etc. sont gérés à l’usine.
• Pas IoT
• Pas AI
• Aucun support à distance (tout se fait à l’usine)
Qu’est-ce qui définit une architecture partagée entreprise ?
Segment réseautique de production relié
avec les autres usines par le réseau interne de l’entreprise sans connexion à
l’internet.
• Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à
partir du réseau interne de l’entreprise.
• Possibilité d’AI qui est limitée aux données de l’entreprise.
• Le support à distance à partir du réseau interne de l’entreprise est
disponible.
Qu’est-ce qui définit une architecture partagée entreprise hybride ?
Segment réseautique de
production relié avec les autres usines par le réseau interne de l’entreprise
avec connexion à un fournisseur de service infonuagique via l’internet:
• Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à
partir du réseau interne de l’entreprise.
• AI provient d’un fournisseur de service spécialisé.
• Possibilité de support à distance à partir du réseau interne de
l’entreprise et de l’internet.
Qu’est-ce qui définit une Architecture infonuagique IaaS (¨Infrastructure as a Service¨) ?
Segment réseautique de production relié à un fournisseur spécialisé infonuagique
(¨Cloud¨) via l’internet:
• Les PLCs, les SCADAs, etc. sont gérés par un fournisseur infonuagique
spécialisé à partir de l’internet.
• AI provient du fournisseur de service
• Support provient 100% du fournisseur
Quelles sont les 7 points d’une analyse et étude de cas ?
- Comprendre le domaine du manufacturier (c’est quoi qu’ils font ?)
- Comprendre les objectifs de l’entreprise en matière de production
- Comprendre les enjeux en matière de santé, de sécurité, d’environnement, financier, conformité, etc.
- Envisager les pires scénarios où une catastrophe pourrait se produire.
- Analyser les systèmes de gestion ICS en place
- Envisager des protections logiques et physiques
- Émettre des recommandations
Qu’est-ce que l’inventaire des composantes (CTRL Industriels) doit spécifier, entre autres ?
- Les composantes intelligentes munis d’OS
- Les équipements sans processeur
- Leurs fonctions
- Protocole de télécommunication
- Niveau de criticité (Critique, Important et Régulier)
- Équipement de relève ?
- Les types d’ICS émetteurs (¨Out Bound¨)
- Les types d’ICS récepteurs (¨Inbound¨)
- Les types d’ICS émetteur et récepteurs (¨Inboud/Outbound¨)
- Les types d’ICS contrôlés par console (PLC/SCADA)
- Diagramme des segments réseautiques (¨subnet¨)
Nommez des exemples de contrôle des périmètres réseautiques.
- Vérification de la provenance d’une adresse IP spécifique lors de l’émission d’une commande sensible (ouverture/fermeture de valve, command d’arrêt d’un système, commande de déroutage des fluides
- Forcer une réauthentification à double facteur lors de réception d’une commande sensible
- Bloquer des commandes de contrôle à des heures ou des périodes spécifiques
- Plusieurs autres scénarios de protection à être analyser selon le type de manufacture industrielle
- Systèmes de protection NIDS/NIPS (¨Network Intrusion Detection & Prevention¨)
- Présence de pare-feux entre chaque segment réseautique
Quelles sont les 5 différentes stratégies et recommandations de protection des ICS ?
- La gestion des identités et des accès
- Encryption (chiffrement) des informations
- Surveillance SOC/SIEM
- Application des correctifs (¨Patches¨) de sécurité des équipements qui supportent les applications ICS.
- Stratégie de replacement des équipements
Nommez 5 évènements que les services SOC/SIEM peuvent détecter en terme de sécurité.
- Détection de bris d’équipement
- Tentative d’intrusion réseautique
- Intrusion de système
- Élévation de privilèges non planifiée
- Vols d’information (si DLP activé)
Nommez quelques exemples de cas de surveillance (use cases) des services SOC/SIEM.
- Arrêt/démarrage de serveurs critiques
- Arrêt/démarrage de services critiques
- Suppression de journaux (logs) de système
- Compte créé et supprimé en 24 heures
- Brute force attack sur un compte
- Comptes barrés à maintes reprises
- Activation de compte administratif
- Ajout d’un compte à un groupe de privilège élevé
- Tentative d’accès d’un compte d’un employé terminé
- Tous les changements de configuration/politique de sécurité de AD
- Violation de règles de pare-feu applicatif
- Échec de mise à jour de signatures virales
- Attaques virales (virus/malveillant)
- Détection d’utilisation de protocoles proscrits (FTP, Telnet, etc.)
- Alertes IDS réseautiques
Pourquoi l’horodatage (NTP) est-elle importante ?
Afin d’assurer l’intégrité des informations et des évènements, il est important que
les systèmes informatiques obtiennent la date et l’heure à partir de sources
officielles et communes. Un synchronisme du protocole NTP (¨Network Time
Protocol¨) est nécessaire pour tous les équipements branchés sur des réseaux
internes.
Quelles sont les 9 étapes à suivre lors de la configuration des systèmes ?
- L’installation du système d’exploitation
- Faire les mises à jour du système d’exploitation et appliquer les correctifs
(¨Patches¨) selon les recommandations du vendeur. - Les paramètres de sécurité doivent être configurés selon les
recommandations de la gouvernance. - Voir à l’installation des applications et des logiciels selon la fonction
primaire de l’équipement. - Mettre à jour les logiciels et les applications selon les plus récentes
versions et les recommandations du vendeur. - Les comptes qui ne sont pas utilisés doivent être désactivés.
- Renommer les comptes administratifs par défauts et changer leurs mots
de passe. Les noms de comptes ne peuvent divulguer les privilèges ou
les rôles administratifs (admin, back up, etc.) - Activation de la journalisation du système.
- Désactiver les services et les protocoles non sécuritaires (consulter la
table des protocoles proscrits dans du cours # 6).
Nommez les 9 principales règles de sécurité pour les logiciels anti-malveillants.
• Les suites de logiciels de sécurité doivent être en mesure de détecter,
d’éradiquer, de supprimer et de protéger les équipements contre tous les
types de logiciels malveillants connus tels les virus, les vers
informatiques, les chevaux de Troie, les logiciels espions, les « Root Kit »,
etc.
• Les mises à jour des fichiers de menace (signatures virales) doivent être
automatiques et installées sur chaque poste de travail et chaque serveur.
• Les mises à jour des logiciels antivirus et les nouvelles signatures doivent
être téléchargées et installées sur les équipements dès qu’elles sont
disponibles.
• Des analyses rapides de détection virales doivent être configurées pour
qu’elles soient exécutées quotidiennement sur les postes de travail et les
équipements portatifs.
• Seuls les administrateurs TI de l’entreprise sont autorisés à changer les
configurations, activer ou désactiver les logiciels antivirus sur les postes
de travail et les équipements portables. Les permissions des utilisateurs
se limitent à lancer des balayages (« Scans ») sur demande.
• Des analyses complètes de détection virales doivent être configurées
pour qu’elles soient exécutées hebdomadairement sur les postes de
travail et les équipements portatifs.
• Afin d’éviter des propagations, les équipements infectés ou suspectés
d’être infectés de virus doivent si possible être débranchés du réseau
interne de l’entreprise dans les plus brefs délais.
• Les systèmes de courriel doivent bloquer et empêcher la transmission
des messages ayant des fichiers exécutables comme pièces jointes telles
des .EXE, .BAT, .CMD, etc. Consultez la liste des extensions bloquées
d’Outlook de Microsoft.
• Des balayages de détection virale doivent être déclenchés
automatiquement lors de détection de médias portatifs tels les clés USB,
« Flash Drive », et disques externes avant de les utiliser.
Quels sont les 3 types de sauvegarde et ce qui les définit ?
Complète: Cette méthode permet de copier toutes les données indépendamment des modifications depuis la précédente sauvegarde.
Différentielle: Cette méthode permet de conserver toutes les
modifications depuis la sauvegarde complète.
Incrémentale: Cette méthode permet de conserver toutes les modifications depuis la précédente sauvegarde. Ce qui signifie que la préservation des données est effectuée depuis les sauvegardes incrémentales précédentes.
Quelle est la règle du 3-2-1 quand on parle de sauvegarde des informations ?
trois (3) copies des informations qui seront sauvegardées sur
deux (2) médias différents avec
une (1) copie située à l’extérieur du centre des données.
Quel est le délai d’application pour une Mise à jour Critique sur un système Critique ?
15 jours
Quel est le délai d’application pour une Mise à jour Critique sur un système Important ?
1 mois
Quel est le délai d’application pour une Mise à jour Critique sur un système Régulier?
1 mois
Quel est le délai d’application pour une Mise à jour Importante sur un système Critique ?
1 mois
Quel est le délai d’application pour une Mise à jour Importante sur un système Important ?
2 mois
Quel est le délai d’application pour une Mise à jour Importante sur un système Régulier ?
3 mois
Quel est le délai d’application pour une Mise à jour Moyenne sur un système Critique ?
3 mois
Quel est le délai d’application pour une Mise à jour Moyenne sur un système Important ?
3 mois
Quel est le délai d’application pour une Mise à jour Moyenne sur un système Régulier?
3 mois
Les critères d’attribution des niveaux de sévérité des mises à jour sont basé sur quoi? (3 points)
- Les recommandations des fournisseurs;
- L’applicabilité dans l’entreprise;
- L’exposition à la vulnérabilité (menace).
Comment vérifie-t-on l’état de la sécurité et de la conformité des infrastructures réseautiques et des systèmes informatiques ?
Par des balayages de vulnérabilité et des tests d’intrusion. Il s’agit de détecter des failles dans les configurations des systèmes
informatiques pour ensuite les remédier et rendre les environnements plus
robustes contre les intrusions.
Qu’est-ce qu’un Balayage (Scan) de vulnérabilité ?
vérifications de sécurité en effectuant des balayages des ports de connexions sur
une machine spécifique (serveur ou poste de travail) ou un réseau tout entier.
vérifier l’état des mises à jour des correctifs et des packs de service.
Ces balayages peuvent être automatisés et sont non intrusifs. (Exemples
d’utilitaires: Nessus, Tripwire, Wireshark, Aircrack, etc.)
Qu’est-ce qu’un Test d’intrusion (¨Penetration Test¨ ou ¨Ethical Hacking¨) ?
Il s’agit d’une simulation d’intrusion autorisée pour identifier les faiblesses et les vulnérabilités d’un système informatique ou d’une application web que des pirates informatiques pourraient exploiter. Ces tests sont intrusifs et doivent être effectués en laboratoire ou en environnement de test. Il est fortement
déconseillé d’effectuer ces tests dans des environnements de production.
Quels sont les niveaux de sévérité des vulnérabilités et leur score CVSS respectifs ?
- Entre 0 et 3.9 : Sévérité Faible
- Entre 4 et 6.9 : Sévérité Moyenne
- Entre 7 et 10 : Sévérité Élevée
Que signifie l’acronyme CVSS ?
Common Vulnerability Scoring System
Dans quelles conditions les balayages de vulnérabilité et des tests d’intrusion doivent-ils être exécutés ? (5 points)
- Avant la mise en production de nouveaux équipements (serveurs,
routeurs, pare-feu). - Avant le déploiement de nouvelles images (configurations) d’ordinateurs
de table et portatifs. - Lors de changements significatifs aux systèmes informatiques.
- Lorsque des procédures de nettoyage ont été complétées sur un système
informatique qui a été victime d’une attaque virale ou d’injection de
logiciel malveillant. - Selon une table de fréquence basée sur les niveaux de criticité des
systèmes et d’échantillonnages.
Quelles sont les 5 étapes à suivre lors des balayages de vulnérabilité ?
- Appliquer les mises à jours et les correctifs (patches) aux
environnements et aux équipements des segments réseautiques qui
feront l’objet d’un balayage de vulnérabilité. - Effectuer les balayages de vulnérabilité selon la gestion de changement
de l’entreprise. - Appliquez les recommandations de remédiation énumérées dans le
rapport de balayage de vulnérabilité. - Effectuer un balayage de vulnérabilité pour confirmer les efforts de
remédiation. - Répétez le processus selon la table des fréquences des balayages
(prochaine page).
Quelle est la Fréquence et échantillonnage des balayages de vulnérabilité pour les différents niveaux de criticité des systèmes et applications? (Critiques, Importants, Réguliers)
- Critiques : Tous les 3 mois, échantillonnage (Adresses IP): 100%
- Importants : Tous les 3 mois, échantillonnage : 50%
- Réguliers : Tous les 6 mois, échantillonnage : 25%
Nommez des exemples de vulnérabilités connues pour les applications informatiques
• Erreurs de codage affectant l’intégrité des informations.
• Objet ou fonction non sécuritaire pouvant être exploité.
• Procédure outrepassant les authentifications et les privilèges (accès
direct à la BD, téléchargement sans authentification).
• Mauvaise gestion des réinitialisations des variables contenant des
informations confidentielles pouvant être écrites dans des fichiers ¨Swap
Temp¨ sur disque.
Quelles est le Top 10 des vulnérabilités classées par OWASP
- Injection
- Bris d’authentification
- Exposition du data sensible
- Entité externe XML (Extensible
Markup Language) - Bris de gestion des accès
- Mauvaises configurations de sécurité
- Cross Site Scripting (XSS)
- Désérialisation insécure
- Utilisation d’éléments vulnérables
- Journalisation (logs) inadéquate
2021 :
- Contrôles d’accès défaillants
- Défaillances Cryptographiques
- Injection
- Conception non sécurisée
- Mauvaise configuration de sécurité
- Composants vulnérables / obsolètes
- Identification et authentification de mauvaise qualité
- Manque d’intégrité des données et du logiciel
- Carence des systèmes de contrôle et de journalisation
- Falsification de requête côté serveur
Quelle est la liste de ce que doivent avoir les équipes de développement ? (8 points)
- Méthodologie de développement connue (ex.: OWASP).
- Cédule de révision des codes sources (hebdomadaire).
- Ségrégation des tâches à l’intérieur du groupe (développeurs, DBA, sys
admin, tester, etc.) - Procédures de gestion des versions des codes sources.
- Les codes sources doivent être clairement documentés.
- Documentation relative aux bases de données (dictionnaire de data).
- Environnement de test (ou Dev), avec des plans de test documenté.
- Procédure de gestion de changement documentée et tenue à jour.
À quoi doivent porter une attention particulière les équipes de développement ?
Aux étudiants stagiaires. Les codes sources sont considérés comme propriété intellectuelle.
Vrai ou faux : Des tests peuvent être conduits dans des environnements de production.
Faux.
Vrai ou faux: Le data utilisé dans les environnements de test doit être le même que dans les environnements de production pour correctement tester l’affichage des données.
Faux : Les environnements de test sont souvent ciblés par les pirates informatiques.
Car souvent les contrôles de sécurité ne sont pas appliqués comme dans les
environnements de production. Pour cette raison, le data utilisé dans les
environnements de test doit être déclassifié.
Quels sont les 4 domaines des équipes de cybersécurité en entreprise ?
- Gestion et gouvernance
- Architecture (infrastructure)
- Opérations de sécurité.
- Analystes de sécurité
Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Gestion et gouvernance” ?
- Administration de l’équipe de cybersécurité
- Gestion des budgets ($)
- Priorisation des gestions de risque
- Maintient du cadre de la politique de
cybersécurité - Responsable des contrôles de sécurité
- Formation et sensibilisation
- Gestion des exceptions à la politique et
acceptations de risque
Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Architecte (infrastructure)” ?
- Établissement des standards de sécurité de l’entreprise.
- Services d’authentification
- Services de réinitialisation des mots de passe (SSPR)
- Sécurité des centre de données et services de sauvegarde
- Gestion des journaux des systèmes
informatiques (Logs). - Responsable des standards des images
(configurations) des postes de travail et des serveurs. - Sécurité des télécommunications (network map)
Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Opérations de sécurité” ?
- Contrôle des accès (comptes d’utilisateurs)
- Gestion des privilèges
- Gestion des rôles d’accès
- Gestion des identités
- Balayages de vulnérabilité
- Tests d’intrusion
- Surveillance réseautiques et des journaux informatiques (logs)
- Gestion des incidents de sécurité
- Gestion des contrôles de sécurité (anti-virus,
anti-malware, etc.) - Gestion des certificats de sécurité
Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Analystes de sécurité” ?
- Analyses de sécurité des nouveaux projets de déploiement de technologie et des services existants.
- Conseillers experts en cybersécurité (SME)
- Analyses des exceptions à la politique et des acceptations de risque.
- Analyses de conformité (pas des audits)
- Contrôles compensatoires
Nommez quelques certifications reconnues du personnel en cybersécurité.
- CISSP (Certified Information Systems Security Professional)
- CISM (Certified Information Security Manager)
- CISA (Certified Information Security Auditor)
- CEH (Certified Ethical Hacker)
- Certificat en cybersécurité (30 crédits)
Quelle est la dernière ligne défensive des stratégies de cybersécurité et de la protection des informations?
L’encryption.
Quelles sont les 3 niveaux que se fait l’encryption ?
- Informations statiques (¨Data at Rest¨)
- Informations en transit (¨Data in Transit¨)
- Double chiffrement (¨Double Encryption¨)
Expliquez ce qu’est l’item suivant: Informations statiques (¨Data at Rest¨)
Informations qui sont conservées et
sauvegardées dans des bases de données, des serveurs de fichier, des systèmes de
collaboration, des médias de sauvegarde, des systèmes de gestion des journaux
(« Logs »), des disques durs d’ordinateur de table et d’ordinateur portatif, des clés
USB, des disques CD et DVD.
Expliquez ce qu’est l’item suivant: Informations en transit (¨Data in Transit¨)
Transmission ou téléchargement des
informations sur réseau TCP/IP public (internet), réseau privé, transmission par
signaux WiFi et transmission par réseau cellulaire.
Expliquez ce qu’est l’item suivant: • Double chiffrement (¨Double Encryption¨)
Pour les systèmes hautement
sécuritaires, un double-chiffrement (double-encryption) est possible. Il s’agit de
chiffrer les informations avec un algorithme et chiffrer les transmissions avec un
algorithme différent. Ce processus génère deux (2) clés de chiffrement différentes.
Donc la transmission et le data sont chiffrés.
Quels sont les 3 types de chiffrement ?
- Chiffrement symétrique
- Chiffrement Asymétrique
- Le Hachage
Qu’est-ce que le chiffrement symétrique ?
Le chiffrement symétrique est une méthode d’encryption dont la même clé est utilisée pour le chiffrement et le déchiffrement.
Qu’est-ce que le chiffrement asymétrique ?
Le chiffrement asymétrique utilise deux clés différentes
soit une « clé publique » servant au chiffrement et une « clé privée » servant au
déchiffrement. Le chiffrement asymétrique offre la possibilité de signature
électronique (signature numérique) pour fin d’authentification, d’intégrité et de
non-répudiation. Notez qu’il est mathématiquement impossible de déduire une clé
privée à partir de sa clé publique.
Qu’est-ce que le hachage ?
Le hachage est une méthode de transformation d’une ligne de
caractère à une ligne numérique qui est non réversible d’où vient le terme « One
Way Hash ». Cette méthode est très sécuritaire pour protéger des informations
telles des codes d’utilisateur et des mots de passe. Le hachage n’est pas
recommandé pour la protection des documents.
Donnez des exemples qui exigent du chiffrement.
- Renseignements personnels
- Informations financières
- Dossiers médicaux
- Informations d’affaires confidentielles
Donnez un exemple de chiffrement symétrique.
AES (Advanced Encrypted Standard) avec une longueur de clé 256bits
Donnez un exemple de chiffrement asymétrique.
RSA (Rivest Shamir Adleman) avec une
longueur de clé 2014bits et PGP (Pretty
Good Privacy)
Donnez un exemple de hachage.
SHA (Secure Hash Algorythm) versions SHA2 et SHA3
Donnez des exemples de chiffrement des télécommunications.
TLS (Transport Layer Security)V1.2 et v1.3,
SSH (Secure Shell), SFTP ( Secure File
Transfer Protocol), FTPS (File Transfer
Protocol Secure), POP3 over TLS (Post Office
Protocol over TLS)
Donnez des exemples de chiffrement des ondes WiFi.
WPA2 (WiFi Protected Access)
WPA+AES
WPA+TKIP
Quel est le but de la pratique de la rétention des informations?
Prescrire des spécifications de rétention basées sur les lois en vigueur, les exigences d’affaires et le respect de la vie privée.
Quels sont les 8 domaines des prescriptions de rétention pour la majorité des industries ?
- Administration et gestion
- Finances et comptabilité
- Ressources immobilières et mobilières
- Ressources humaines
- Service à la clientèle
- Informatique et technologie
- Services médicaux
- Légal
Nommez des exemples de prescriptions de rétention pour : Ressources Humaines (RH)
Dossiers du personnel
Dossiers des stagiaires
Offres d’emplois
Descriptions de tâche
T4, TP4 et relevés 1
Talons de paye
Feuilles de temps
Activités de formation et de
perfectionnement
Dossiers d’évaluation de la performance
Réclamations d’assurances
Dossiers produit par L’employé
Nommez des exemples de prescriptions de rétention pour : Service à la clientèle
Dossiers clients
Publicité
Contrats
Ventes (statistiques)
Service après vente
Plaintes
Étude de marché
Nommez des exemples de prescriptions de rétention pour : Informatique et technologies
Journaux (logs)
Courriels supprimés
Agendas électroniques
Rapports de vérification de conformité (audit)
Nommez des exemples de prescriptions de rétention pour : Finance et comptabilité
(Rétention par défaut= 7 années)
Comptes débiteurs et factures
Relevés de comptes
États des recettes déboursés
Avis de paiement
Journaux et écritures comptables
Impôts et taxes
Rapports retenues à la source
Petite caisse
États financiers
Honoraires
Prévisions budgétaires
Le recyclage des supports
imprimés est possible pour les actifs informationnels qui ont quelle(s) classification(s) ?
« Internes» et « Publics »
La destruction des supports imprimés, tel le déchiquetage, est requise pour les actifs informationnels qui sont classifiés « Confidentiels ».
Comment supprime-t-on sécuritairement les supports électroniques ?
La suppression de l’information selon une méthode qui consiste à « écraser » le contenu original des supports en réécrivant par-dessus (¨Cluster Over writing¨) est considérée comme acceptable pour les supports électroniques réutilisables sans reformatage.
Quelles sont les 4 méthodes efficaces de destruction des supports électroniques ?
- Désintégration
- Incinération
- Déchiquetage
- Fonte
Combien de fois un formatage simple à haut niveau (tel le formatage rapide) doit-il est répété pour s’assurer que toutes les informations ont été retirées des clusters des disques?
5 fois.
Pourquoi les bureaux d’assistance sont la cible préférée de l’ingénierie sociale ? (4 raisons)
- En raison de la culture des agents de 1ière ligne dont leur vocation est de porter assistance et aider les utilisateurs (se sont des aidants naturels).
- Les agents de 1ière ligne sont entrainés à donner le meilleur
service le plus rapidement possible. - Les agents de 1ière ligne ont accès à des informations sensibles tels les bottins d’entreprise, renseignements sur le personnel, informations corporatives, etc.
- Les criminels qui pratiquent l’ingénierie sociale le savent et utilisent ces vulnérabilités d’une façon surprenante.
Comment les ingénieurs sociaux font ? (4 méthodes)
- L’autorité
- Désir d’intégration social
- Désir d’aider
- Persuasion
À quoi se limite-elle la portée de la sécurité physique de la politique de cybersécurité ?
Aux équipements informatiques principalement dans les centres de données ou les salles d’équipements informatiques.
Quelles sont les différences entre les salles d’équipement et les centres de données ?
Salle d’équipement informatique: Est une salle ou une pièce dédiée à
l’hébergement des équipements informatiques et des équipements de
télécommunication normalement pour une seule entreprise. La dimension de la
salle ainsi que la quantité d’équipement peuvent varier.
Centre de données: Un centre de données (Data Center) est un lieu
d’hébergement des équipements informatiques regroupant des systèmes
d’information pour un ou plusieurs clients. La presque totalité de l’espace de l’édifice est dédiée à l’hébergement des équipements informatiques.
Quelles sont les 7 menaces relatives aux centres de données ?
- Température ambiante
- Taux d’humidité ambiante
- Fuite de liquide
- Accès non autorisé
- Fumée et incendie
- Électrostatique
- Évènement majeur
Quelles sont les 7 règles et conditions pour l’établissement des centres de données ?
- L’édifice qui héberge le centre de données doit être commercialement
viable et doit être équipé de ressources électriques suffisantes
(ampérage et voltage). - Les centres de données doivent être localisés à des endroits sécuritaires
où les risques d’accidents sont maintenus au minimum. Entre autres les
centres de données ne devraient pas être localisés à des endroits où les
risques de collision et d’accidents sont élevés. Ex. : édifice localisé dans
le bas d’une pente prononcée, édifice à proximité d’une sortie
d’autoroute. - Les salles d’équipement doivent avoir une seule vocation unique soit
l’hébergement des équipements informatiques, celles-ci ne peuvent être
utilisées à d’autres fins. - Les salles d’équipement des centres de données ne peuvent être munis
de fenestration et des portes donnant accès à l’extérieure du bâtiment. - Les centres de données doivent être munis d’espace prévue pour le
câblage des équipements et des ordinateurs via un double plancher ou
des rails à câblage plafonniers. - Les portes donnant accès aux centres de données doivent être pleines,
sécuritaires et sans fenestration. Les pentures des portes ne peuvent
être accessibles à l’extérieure de la salle du centre de données. - Les portes donnant accès aux salles d’ordinateur doivent être fermées et
maintenues verrouillées en tout temps. Elles doivent être reliées à un
système d’alarme au cas d’ouverture non autorisée.
Quelles sont les 3 règles de prévention des incendies pour les centres de données ?
- Les centres de données doivent être munis de détecteurs de fumée, de
détecteurs de chaleur et de détecteurs de flamme. Les quantités de
détecteurs doivent être selon les recommandations des manufacturiers
qui sont basées sur les espaces à protéger. Les détecteurs doivent être
remplacés selon les recommandations des manufacturiers qui ne
devraient pas dépasser dix (10) années (la même règle s’applique à la
maison). - Les centres de données doivent être équipés d’extincteurs de classe D
pouvant combattre des incendies de métaux. Les règles suivantes
s’appliquent : - Deux (2) extincteurs sont requis par 150 mètres carrés.
- Les extincteurs doivent être portables et ne devraient pas dépasser
un poids de 6 kilos. - Les extincteurs doivent être placés à des endroits visibles et leurs
localisations doivent être clairement identifiées. - Les extincteurs à base d’eau et de gaz CO2 sont interdits dans les
centres de données. - La présence de matériel inflammable ainsi que l’utilisation de solvant
inflammable sont strictement interdites.
Quelles sont les 4 règles de prévention des inondations pour les centres de données ?
• Les tuyaux de plomberie contenant des liquides doivent être déroutés
afin de contourner les espaces des centres de données.
• Les salles d’équipements informatiques ne doivent pas être branchées
sur le système de gicleur de l’édifice.
• Les centres de données doivent être localisés à des endroits stratégiques
où les risques d’inondation ou des dégâts d’eau sont maintenus au
minimum. Les centres de données ne devraient pas être localisés à des
étages inférieurs au rez-de-chaussée où les risques d’inondation s’avèrent
élevés dans le cas d’un déclenchement d’un système de gicleur.
• Des salles d’eau contenant des toilettes et/ou des douches ne peuvent
être localisées au-dessus des centres de données.
Quelles sont les 6 règles et conditions pour les contrôle des accès dans les centres de données ?
• Seul le personnel ayant des rôles d’assistance technique ou ayant des
justifications d’affaire valable peut avoir accès aux centres de données.
• Une liste du personnel autorisé doit être maintenue à jour et doit être
révisée tous les trimestres (trois mois).
• Toutes les portes donnant accès aux centres de données doivent être
munies d’un système d’accès par cartes magnétiques et contrôlées par le
groupe de gestion des accès. Les serrures à boutons poussoirs et les
cadenas sont considérés non sécuritaires.
• Des caméras dédiées doivent être pointées sur chaque porte donnant
accès aux salles d’équipements informatiques. Ces caméras doivent
fonctionner et enregistrer les allées et venues aux centres de données
7/24 ou être déclenchées par des détecteurs de mouvement.
• Tous les contractuels et/ou les visiteurs incluant les vérificateurs ou les
auditeurs doivent être accompagnés en tout temps par le personnel
autorisé de l’entreprise.
• Les périmètres des salles des centres de données munies de plafond
suspendu ou de faux plafond doivent être sécurisés afin d’empêcher des
infiltrations par les plafonds.
Quelles sont les mesures nécessaire de contrôle de température ambiante dans les centres de données ?
• Les centres de données doivent être équipés de système de chauffage et
de climatisation adéquats pouvant maintenir la température de l’air
ambiante à un niveau constant.
• La température des salles d’ordinateur ne peut être inférieure à 18⁰C
(64⁰F) et ne peut dépasser 25⁰C (77⁰F).
• Les centres de données doivent être munis de thermomètres reliés à des
alarmes.
Quelles sont les mesures nécessaire de contrôle de taux d’humidité ambiant dans les centres de données ?
• Le taux d’humidité dans les centres de données doit être maintenu stable
entre 40% et 55% d’humidité. Les taux d’humidité peuvent être contrôlés
par des déshumidificateurs ou par du chauffage.
• Les centres de données doivent être munis de baromètre indiquant les
taux d’humidité ou de capteur d’humidité.
Quelles sont les mesures nécessaire de contrôle de l’électricité et électrostatique dans les centres de données ?
• Afin d’assurer une alimentation électrique stabilisée, filtrée et continue,
les centres de données doivent être équipés d’onduleur et de source
électrique alternative (génératrice).
• Les racks dans les centres de données doivent être branchés sur des
mises à terre.
• Les prises de courant qui alimentent les équipements informatiques
doivent être munies de dispositif de protection automatique au cas de
surcharges électriques.
• Les recouvrements des planchers des centres de données doivent être
antistatiques. Les recouvrements de tapis sont interdits.
Quelles sont les règles de sécurité des équipements informatiques dans les centres de données ?
• Les cabinets et les racks contenant les équipements informatiques
doivent être disposés d’une façon propice et logique dans le centre de
données. Il est préférable de regrouper les équipements ayant des
fonctions similaires ou les mêmes systèmes d’exploitation.
• Les cabinets et les racks doivent être solidement fixés au plancher
réduisant les risques de basculement pouvant causer des chutes
d’équipement.
• Les espaces de ventilation entre les composantes doivent être respectés
selon les recommandations des manufacturiers. Normalement elles se
situent à environ 4cm.
• Dans les cabinets et les racks, un espace de 30cm est requis entre le
plancher de la salle et les premières rangées d’équipement.
• Le câblage reliant les périphériques et les équipements informatiques
doit être proprement attaché et fixé aux cabinets et aux racks. Les excès
de câblage doivent être enroulés et attachés.
• Afin de réduire les risques d’accidents et de bris d’équipement, les portes
des cabinets doivent être fermées en tout temps lorsque les
équipements ne sont pas en maintenance.
• Certains équipements aspirent l’air frais par les portes avant et rejettent
l’air chaud par les portes arrière. Les portes des cabinets et les prises d’air
des équipements ne doivent pas être obstruées.
• Les claviers des consoles des serveurs doivent être repliés, barrés ou
retirés lorsqu’ils ne sont pas en utilisation.
• Les centres de données doivent être maintenus propres et rangés en tout
temps. Libres de tout obstacle pouvant provoquer un incident résultant à
un bris d’équipement ou un accident pouvant causer des blessures.
Quelles sont les précautions à prendre concernant la sécurité du personnel dans les centres de données ?
• Le port d’équipement de sécurité tel des lunettes protectrices, des gants,
des protecteurs auditifs (pour exposition sonore > 90dB), des chaussures
de sécurité peut être nécessaire en fonction des travaux à exécuter.
• Les techniciens qui doivent effectuer des travaux en hauteur dans le
centre de données doivent utiliser des escabeaux sécuritaires isolés qui
ne transmettent pas de courant électrique et électrostatique.
• Les individus qui doivent travailler seuls dans des centres de données en
dehors des heures normales de travail doivent suivre une procédure pour
signaler leur présence toutes les deux (2) heures (Tracking).
• Les techniciens qui doivent ouvrir les boitiers des équipements
informatiques pour effectuer des travaux doivent suivre les
recommandations des manufacturiers en ce qui a trait aux mises à terre
et aux suppressions des courants électriques.
Quelles sont règles pour les sites de relève dans les centres de données ?
• Des liens privés de télécommunications à haute performance doivent
relier les sites.
• Des sauvegardes de type miroir doivent être effectuées
automatiquement entre les systèmes critiques.
• Un plan de recouvrement doit être établi décrivant les procédures et les
étapes à suivre au cas d’un désastre ou un évènement majeur qui
exigerait le site de relève.
• Des essais de type DRP (¨Disaster Recovery Process¨) doivent être
effectués annuellement.
Quels sont les 3 buts et objectifs d’une analyse de sécurité ?
- Évaluer les niveaux de risque des services ou des systèmes informatiques
internes et infonuagiques basés sur les potentialités et les impacts. - Réduire et maintenir les niveaux de risque des actifs informationnels de
l’entreprise à un niveau acceptable en recommandant des contrôles et
des méthodes pour assurer la confidentialité, l’intégrité et la
disponibilité des informations et des systèmes informatiques. - Assurer et maintenir la conformité aux normes légales, aux exigences de
certifications applicables et à la politique de sécurité de l’entreprise.
Dans quelles (4) circonstances une analyse de sécurité est-elle nécessaire ?
- Lors de déploiement des nouvelles technologies.
- Lors de la conception des logiciels.
- Les systèmes qui traitent des informations classifiées confidentielles.
- Les systèmes qui ont été victimes de nombreux incidents de sécurité.
Qui devrait participer à une analyse de sécurité ?
Toutes les personnes impliquées dans les processus décisionnel, de maintenance,
de développement, de gestion et de support d’un service ou d’un système
informatique:
• Gestionnaire de projet
• Représentant de l’unité d’affaires (utilisateur ou ¨Sponser¨)
• Propriétaire ou gardien de l’actif informationnel
• Administrateur du système
• Tous les autres intervenants (développeur, fournisseur de service,
hébergeur, etc).
Qu’est-ce que sont les risques inhérents ?
Il s’agit des risques indissociables de l’origine de leurs
menaces. En sécurité de l’information on considère les risques inhérents
comme les dangers qui peuvent subvenir sans la protection des contrôles
et des méthodes de sécurité.
Qu’est-ce que sont les risques résiduels ?
Il s’agit des risques qui subsistent après l’application des contrôles et des méthodes de sécurité.
Quels sont les rôles et responsabilités d’un analyste de sécurité ?
• Analyser et établir les niveaux de risque (élevé, moyen et faible)
ainsi que les potentiels que ces risques se matérialisent.
• Au besoin coordonner les balayages de vulnérabilité ou des tests
d’intrusion.
• Produire le rapport d’analyse de sécurité en émettant des
recommandations de sécurité par l’établissement de contrôle ou des
procédures opérationnelles.
• Présenter le rapport d’analyse de sécurité aux participants et valider
les observations avant l’émission de la version finale du rapport.
• Informez les participants des prochaines étapes selon les niveaux de
risque.
• Conseillez les participants sur les moyens ou les méthodes de
remédiation acceptables.
• Produire le rapport final de l’analyse de sécurité selon les directives
de la Gouvernance.
Quels sont les rôles et responsabilités de la gouvernance ?
• Prioriser les calendriers d’analyses de sécurité.
• Réception des rapports d’analyse de sécurité.
• Enregistrer les recommandations dans le registre des recommandations
de sécurité.
• Négocier avec les commanditaires ou les propriétaires des actifs
informationnels les prochaines étapes à suivre selon les niveaux de
risque.
• Informer la sécurité TI des décisions prises.
• Faire les suivis des exceptions à la politique.
• Au besoin ; voir au processus d’acceptation de risque ou escalader au
comité de direction de l’entreprise.
Quels sont les rôles et responsabilités du commanditaire ou propriétaire de l’actif informationnel
• Faciliter la logistique des sessions d’analyse de sécurité et assure la
coordination avec les différents intervenants et participants (ressources
TI, fournisseurs de service, gestionnaire de projet, etc.).
• Faire les suivis sur les requêtes d’information et de validation provenant
de l’analyste de sécurité.
• Recevoir et valider le rapport d’analyse de sécurité lors de la réception.
• Mettre en place les contrôles et les recommandations de sécurité. Faire
les suivis des exceptions à la politique.
• Au besoin ; voir au processus d’acceptation de risque ou escalader au
comité de direction de l’entreprise.
Quels sont les 3 niveaux de risques ?
• Risque Faible: Représente peu de risque à la confidentialité, à l’intégrité et à
la disponibilité des systèmes et de l’information. Le service ou le projet peut
donc passer à la prochaine étape ou en mode de production sans autres
mesures.
• Risque Moyen: Représente des inquiétudes à la confidentialité, à l’intégrité et
à la disponibilité des systèmes et de l’information. Le service ou le projet peut
donc passer à la prochaine étape ou en mode de production avec un plan de
remédiation qui réduira le niveau de risque à faible dans les 3 à 6 mois
suivants la prochaine étape.
• Risque Élevé: Représente un danger imminent à la confidentialité, à
l’intégrité et à la disponibilité des systèmes et de l’information. Le service
ou le projet ne peut passer à la prochaine étape ou en mode de
production sans avoir complété un plan de remédiation qui réduira le
niveau de risque à moyen ou à faible.
Donnez des exemples de situations qui pourraient influencer les niveaux de risque en entreprise.
• Contrôle de sécurité manquant qui pourrait compromettre la
confidentialité, l’intégrité et la disponibilité des actifs informationnels
confidentiels (ex.: Pas d’encryption, paramètres de sécurité inexistants,
etc.).
• Défaillance dans la gestion des accès, des privilèges et des ségrégations
des tâches.
• État de non-conformité à la politique de sécurité de l’entreprise et des
normes obligatoires (Ex.: Utilisation de protocoles proscrits Telnet, FTP).
• Incapacité de produire les preuves exigées durant l’analyse de sécurité.
Quelles sont les 8 étapes de gestion des incidents de sécurité ?
- Préparation
- Création de l’équipe de gestion des incidents
- Détection et évaluation
- Procédure d’escalade
- Procédure de confinement
- Éradication
- Retour à la normale
- Suivis et rapports
Définition de la Cybersécurité
La cybersécurité est un ensemble de lois, de politiques, d’outils, de dispositifs de sécurité,
des bonnes pratiques, des méthodes de gestion de risque, de formation et de
sensibilisation pour protéger les personnes, les actifs informationnels/opérationnels et
le matériel informatique contre les attaques, les intrusions, les fuites d’informations, les
fraudes et les atteintes à la vie privée.
Deux (2) catégories de cybercriminalité *:
- Infractions où la technologie est la cible – actes criminels qui ciblent des ordinateurs et d’autres technologies de l’information, comme ceux qui concernent l’utilisation non
autorisée d’ordinateurs ou les méfaits concernant des données. - Infractions où la technologie est l’instrument – actes criminels commis à l’aide d’Internet ou de technologies de l’information, comme la fraude, le vol d’identité, la violation de propriété intellectuelle, le blanchiment d’argent, le trafic de drogues, la traite de personnes, les activités du crime organisé, l’exploitation sexuelle des enfants
ou la cyberintimidation.
Exemples d’obligations et exigences des lois:
• Les entreprises doivent obligatoirement mettre des contrôles de sécurité pour
protéger les renseignements personnels de leurs employés et de leurs clients.
• Les entreprises doivent informer les individus lorsque leurs informations
personnelles ont été compromises pouvant causer des préjudices.
• Les entreprises doivent informer leurs employés lorsque leurs informations
personnelles sont hébergées à l’extérieure de leurs pays (applicable au Canada et E-U).
• La non-conformité à certaines lois peut entrainer des accusations au criminel (ex: SOX aux CFOs) et des amendes très salées (ex: RGPD/GDPR= 4% du revenu global de l’entreprise).
• La loi RGPD et la loi 64 au Québec exigent des registres de consentement lors de la collecte de renseignements personnels.
Nommez Quelques menaces connues et leur description
DDOS
TROJAN
SNIFFING
SPOOFING
RANSOMWARE
SPYWARE
WORMS
PHISHING
Espionnage industriel (Suite): Trois (3) méthodes de prévention:
- Moyens technologiques:
* Chiffrement des informations recettes (cours # 9)
* Limiter les accès (Gestion des identités - cours # 7)
* Segmentations réseautiques (cours # 6)
* Blocage des signaux radio (WiFi et cellulaire)
* DLP (Data Lost Prevention) - Moyens Politiques:
* Inventaire des propriétés intellectuelles
* Entente de non-divulgation (NDA)
* Accompagnement des visiteurs
* Interdiction d’appareils photo et cellulaires (ex: dans les usines) - Moyens Physiques:
* Séparation physique des équipements.
* Caméras
* Systèmes d’alarme
* Fouilles du personnel (exceptionnel)
Règle générale, il y a trois (3) niveaux de sévérité de risque dans les entreprises
soit :
Risque Faible : Représente peu de risque à la confidentialité, à l’intégrité et
à la disponibilité des systèmes et des informations.
Risque Moyen : Représente des inquiétudes à l’égard de la confidentialité,
de l’intégrité et de la disponibilité des systèmes et des informations.
Risque Élevé : Représente un danger imminent à l’égard de la
confidentialité, de l’intégrité et de la disponibilité des systèmes et des
informations.
Le cadre de la politique est structuré en quatre types de documents:
- La Politique: Un document qui traite différents domaines en matière de
sécurité informatique et qui a pour but de véhiculer les décisions prises par
l’entreprise dans le respect des normes de conformité légales et spécifiques
(ISO, SOX, PCI, etc.). La politique répond à la question ‘‘Que veut-on faire?’’ - Les Pratiques ou les Directives: Est un ensemble de documents qui donnent
des lignes directrices, des exigences et parfois des prescriptions afin de
supporter les domaines de la politique de sécurité informatique. Les pratiques
contribuent à l’établissement des standards qui doivent être conformes aux
normes de conformité légales et spécifiques. La pratique répond à la question
‘‘Comment va-t-on le faire?’’ - Les Standards: Sont des listes de normes techniques ou des mesures
référentielles publiées par des organismes nationaux et internationaux de
standardisation (Ex.: ISO, IEC). Les standards répond à la question ‘‘Avec quoi
va-t-on le faire?’’ - Les Procédures: Sont des documents techniques qui détaillent des processus
et les méthodes nécessaires pour la mise en place et le maintien des exigences
de sécurité prescrits dans les pratiques et les standards de la politique de
sécurité informatique.
• Trois (3) types de changements applicables au cadre de la politique:
- Clarification: L’ajout des détails techniques ou explicatifs d’un contrôle ou
d’un énoncé existant qui aurait généré des questionnements. - Modification: D’un contrôle existant ou d’un énoncé ou une règle. Il s’agit
d’un ajustement pour refléter les réalités de l’entreprise ou resserré ou
retirer un contrôle. - Ajout: D’un nouveau contrôle ou d’une nouvelle règle de conformité.
Nommez un exemple de conformité
La norme PCI-DSS
La majorité des entreprises qui utilisent les protocoles d’internet TCP/IP (IPv4,
IPv6) pour communiquer ont établi des réseaux privés d’entreprise pour les
6 raisons suivantes:
- Séparer les réseaux publics (internet) du réseau de l’entreprise.
- Contrôler les accès au réseau de l’entreprise.
- Contrôler le trafic entrant et sortant (In bound et Out bound)
- Permettre une ségrégation par segment réseautique
- Assurer une disponibilité et une performance optimale pour les
télécommunications de l’entreprise - Sécuriser l’ensemble du réseau (impossible de sécuriser l’internet)
Quelques vulnérabilités réseautiques :
Sniffing
DDOS
ARP/DNS Spoofing
Moyens préventifs de protection réseautiques:
• Chiffrement (encryption): Le chiffrement des transmissions filaires et sans-fils
ainsi que du data en sauvegarde (data at rest) est une excellente stratégie de
protection des informations. Si un pirate s’infiltre dans un réseau, il ne pourra
pas lire les données sans les clés des chiffrements.
• Segmentation réseautique: La segmentation réseautique peut rendre les
données inaccessibles aux pirates informatiques. Segmenter les données
sensibles classifiées confidentielles tels les renseignements personnels (RH) ou
des finances est une bonne stratégie de protection des informations. Si le
réseau des invités est compromis, les pirates n’auront pas accès aux autres
segments réseautiques.
• Les authentifications: Les authentifications réduisent les risques d’usurpation
d’identité ou d’adresses MAC (spoofing). Utilisez des protocoles qui forcent
des authentifications sécuritaires (chiffrées) ou des authentifications fortes à
doubles facteurs.
• Surveillance réseautique (monitoring): Une surveillance réseautique
constante est un moyen de prévention d’intrusion et de piratage reconnu.
L’utilisation de systèmes de protection tels les NIDS et les NIPS (Network
Intrusion Detection/Prevention) sont des moyens efficaces.
Exemples d’infrastructure réseautique dans les grandes entreprises:
- Centres de données
- Hybride avec infonuagique (¨Cloud¨)
Catégories des services infonuagiques:
Software as a Service (SaaS) Est un logiciel de service qui demeure dans le cloud
tel une suite de bureautique. Ex.: Office365, Google
Apps, Salesforce, etc.
Plateforme as a Service (PaaS) Une plateforme logiciel développée dans le cloud tel
un serveur d’application web dans le cloud. Ex.:
Microsoft Azure, Google App Engine, etc.
Infrastructure as a Service (IaaS) Fournisseur d’infrastructure cloud, hébergement des
systèmes informatiques, des serveurs, VM, etc. Ex.:
IBM, Microsoft, Amazone, Google, etc.
Data as a Service (DaaS) Service d’hébergement de data dans le cloud. Ex.:
OneDrive, DropBox, iCloud, Google Docs, etc.
Processus d’authentification:
• Identification : Processus qui permet de connaître l’identité d’une entité
ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (Qui
vous êtes).
• Authentification : Consiste à vérifier l’identité d’une entité ou d’un
utilisateur afin d’autoriser l’accès à des ressources ou à des actifs
informationnels. Il s’agit principalement des mots de passe (Ce que vous
savez).
• Authentification Simple : L’authentification repose sur un seul élément
ou un seul facteur (l’utilisateur indique son mot de passe).
• Authentification Forte : L’authentification repose sur deux éléments ou
deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton,
biométrie, carte intelligente, etc.).
• Authentification Unique : Méthode permettant aux utilisateurs de
procéder qu’à une seule authentification pour accéder à plusieurs
systèmes ou applications informatiques. (SSO ¨Single Sign On¨)
Deux (2) types d’occurrences de sécurité:
- Évènement de sécurité: Les évènements de sécurité sont causés par des
pannes de systèmes ou par des bris d’équipement. Ces défaillances
peuvent être causées par l’usure normale des équipements (ex: le bris
d’un disque dur d’un serveur) ou par une cause ou une force externe
(ex: l’inondation d’une salle de serveur, un incendie, etc.). Il n’y a pas
d’implication humaine dans la cause d’un évènement de sécurité. - Incident de sécurité: Les incidents de sécurité sont causés par un
humain soit par un geste volontaire ou involontaire ou par une erreur.
Les incidents de sécurité peuvent être de nature technique ou éthique.
Les incidents de sécurité peuvent devenir viraux et demandent des
mesures défensives et des connaissances techniques avancées. Les
incidents de nature éthique (vols d’équipement informatique,
divulgation volontaire d’information confidentielle) doivent être traités
au cas par cas et peuvent exiger la participation des ressources
humaines, des services juridiques, du groupe responsable des enquêtes
internes de l’entreprise et, dans certaines circonstances, doivent être
transmis aux autorités policières.
Voici des exemples d’occurrences qui requièrent le déclenchement de gestion d’incident :
• Intrusion de système: Toute intrusion ou tentative d’intrusion (hacking)
intentionnelle ou non intentionnelle par un utilisateur non autorisé au
réseau interne de l’entreprise.
• Perte ou vol d’équipement: Contenant des informations classifiées
confidentielles ou usage interne.
• Endommagement de site Web: Transformation non autorisée d’un site
Web de l’entreprise (gribouillages, fausses informations)
• Injection de code malicieux: Toutes infections de code malicieux tels les
virus, les vers informatiques, les chevaux de Troie, rançongiciel, etc.
• Déni de service (DDoS): Émission de multiples requêtes provenant de
sources internes ou externes ayant une incidence sur la performance et
la disponibilité des systèmes et du réseau interne de l’entreprise.
• Protection d’infrastructure critique: Toute activité non planifiée ou
erreur qui a un effet négatif sur les infrastructures critiques qui n’ont pas
suivi les procédures de gestion de changement.
• Utilisation non autorisée: Toute utilisation non autorisée de système ou
de ressources réseautiques qui ont un effet négatif sur la performance et
la disponibilité.
• Compromission d’information: Toute divulgation non autorisée
d’information classifiée confidentielle ou interne.
• Bris ou panne d’équipement: Toute panne ou tout bris d’équipement
ayant une incidence sur la performance et la disponibilité des systèmes
ou du réseau interne de l’entreprise.
• Évènement majeur: Menaçant l’intégrité et la disponibilité des systèmes
et des actifs informationnels, Ex: incendie, inondation, accident causant
des pertes d’équipement.
