Études Flashcards
La cybersécurité est basée sur trois (3) piliers de sécurité qui doivent être pris en considération lors d’analyse de sécurité. Nommez ces trois piliers et donnez une description de chacun
Confidentialité: protection des informations confidentielles
Intégrité: avoir des informations exactes et complètes pour empêcher les modifications (accident ou délibéré)
Disponibilité: faire sûr que les informations sont disponible pour ne pas nuire aux affaires, prévention de destruction informationnels (accident ou délibéré)
Nommez trois (3) méthodes (Moyens) efficaces de prévention de l’espionnage industriel
- Moyens Technologiques (Encryption des informations recettes, limitation des accès, etc.)
- Moyens Politiques (NDA, Inventaire des propriétés intellectuelles, etc.)
- Moyens Physiques (Caméras, Systèmes d’alarme, etc.)
Un cadre d’une politique de sécurité est constitué de quatre (4) types de documents. Nommez ces documents et donnez une description de chacun
- Politique: ensemble de décision que l’entreprise prend pour sécuriser les systèmes et l’information (high level, pas technique)
- Pratiques ou Directives: directives et exigences pour épauler la politique de sécurité
- Standards: normes et références de standards publiées par des sociétés reconnues et spécialisées
- Procédures: documents techniques qui explique clairement comment appliquer les standards et pratiques, ex. longueur password
Quels sont les quatre (4) objectifs d’une politique de sécurité ?
- Protéger les informations et opérations contre la fraude, les attaques informatiques, les fuites d’informations et les atteintes à la vie privée.
- Assurer la conformité aux normes et exigences légales.
- Réduire les risques inhérents en risques résiduels.
- Établir des standards de sécurité sans nuire aux objectifs de l’entreprise.
La révision de la politique de sécurité doit se faire à quelle fréquence ?
À chaque année
Nommez les quatre (4) critères à considérer lors de l’établissement de la classification des informations
valeur: Données financières, informations bancaires.
sensibilité: Propriétés intellectuelles, plans d’acquisition, restructuration.
obligations légales: Renseignements personnels, informations de crédit.
criticité: Données essentielles au fonctionnement des systèmes de production.
Quelles sont les conditions si des données de production se retrouvent dans des environnements de développement, de test ou de formation ?
les mêmes contrôles de sécurité de l’environnement de production doivent être appliqués.
Nommez les six (6) segments réseautique que l’on retrouve dans les entreprises
- Segment Internet (Internet Gateway): Zone d’accès externe à l’internet.
- Segment DMZ (¨Demilitarized Zone¨): Zone qui relie le réseau interne
de l’entreprise (intranet) à l’internet. L’hébergement des services Web
externes, tels les sites de l’entreprise, les serveurs de transfert des
données et les serveurs d’accès distants, font partie du segment DMZ. - Segment entreprise: Segment intranet non visible à l’Internet où se
situent les utilisateurs, les postes de travail, les imprimantes et les
téléphones IP. Les unités d’affaire de l’entreprise peuvent avoir leurs
propres segments réseautiques séparés par des pare-feu. Ex.: Finances,
RH, légales, etc. - Segment restreint: Zone avec restriction d’accès où se trouvent les
bases de données, les dossiers des employés, des fichiers réseau,
système de paye, système de facturation, et tous les serveurs contenant
des informations classifiées confidentielles. - Segment de gestion de sécurité: Systèmes d’authentification (Active
Directory, systèmes de journalisation, systèmes de monitorage) - Segment de production – usine: Zone réservée aux systèmes de
production des usines et aux contrôles manufacturiers (SCADA, PLC, etc).
À quoi sert un balayage de découverte (Ping Scan)?
identifier les hôtes solitaires (¨Rogue¨) pour déterminer si ces équipements doivent être débranchés du réseau ou s’ils déclencheront des enquêtes de sécurité.
Pourquoi les protocoles de télécommunication FTP et Telnet sont considérés non-sécuritaires ?
clear text
Nommez trois (3) enjeux de sécurité avec les services infonuagiques
- Confidentialité et protection de la vie privée
- Contrôle des accès et gestion des privilèges
- Disponibilité et gestion de continuité
Gestion des identités et des accès
Définition : Identification
Processus qui permet de connaître l’identité d’une entité ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (username, Qui vous êtes).
Gestion des identités et des accès
Définition : Authentification
vérifier l’identité d’un utilisateur pour donner accès à des informations. Il s’agit principalement des mots de passe (password, Ce que vous savez).
Gestion des identités et des accès
Définition : Authentification Simple
L’authentification utilise un seul facteur (l’utilisateur indique son mot de passe).
Gestion des identités et des accès
Définition : Authentification Forte
L’authentification repose sur deux éléments ou deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton, biométrie, carte intelligente, etc.).
Gestion des identités et des accès
Définition : Authentificiation Unique
Méthode permettant aux utilisateurs de procéder qu’à une seule authentification pour accéder à plusieurs systèmes ou applications informatiques. (SSO ¨Single Sign On¨)
Gestion des identités et des accès
Définition : Accès
passages pour accéder à des informations, des applications, des systèmes, des services, des sites web et des segments réseautiques nécessaires à l’exécution des tâches des utilisateurs.
Gestion des identités et des accès
Définition : Privilèges
droits qui permettent aux utilisateurs d’effectuer des actions dans des systèmes informatiques. Une liste non exhaustive de privilège serait : read, write, execute, copier, imprimer, supprimer.
Gestion des identités et des accès
Définition : Mot de passe
série de caractère utilisé comme moyen d’authentification dans le but de prouver l’identité d’un utilisateur ou d’une ressource.
Quelles sont les 8 étapes de cycle des accès
- Initier la demande
- Approbations
- Approvisionnement
- Permissions
- Modifications
- Monitoring
- Désactivation
- Suppresion
Quels sont les 3 types de comptes
- régulier
- administrateur
- fonctionnel
Définition : Compte régulier
comptes qui sont assignés individuellement et sont utilisés par tous les utilisateurs dans l’exécution quotidienne de leurs tâches (réseau interne et courriels de l’entreprise)
Définition : Compte administrateur
comptes qui ont des privilèges élevés et peuvent effectuer des changements dans les environnements et dans les systèmes informatiques.
Définition : Compte fonctionnel
Les comptes fonctionnels identifient des systèmes, applications ou services ou un groupe d’utilisateurs (pas un utilisateur en particulier) et ont des accès limités pour des tâches spécifiques ou de manière automatisée.
Quelles sont les 5 règles des comptes réguliers
- Interdiction sans mot de passe: Les comptes sans mot de passe sont interdits.
- Pas de partage: Les comptes ne doivent pas être partagés.
- Propre compte: Chaque utilisateur doit avoir son propre compte pour éviter les contestations.
- Unique: Chaque compte doit être unique et suivre les normes de l’entreprise.
- Statut actif: Les propriétaires de comptes doivent être actifs dans le répertoire de l’entreprise.
Quelles sont les 4 règles des comptes administrateurs
- Utilisation spécifique: Utiliser uniquement pour des tâches nécessitant des privilèges élevés (configurations, modifications).
- Privilèges temporaires: Attribuer les privilèges administratifs seulement au besoin et les retirer après achèvement des tâches.
- Journalisation: Enregistrer toutes les transactions des comptes administratifs dans les journaux des systèmes.
- Pas de tâches régulières: Ne pas utiliser pour des tâches quotidiennes comme les emails.
Nommez 3 types de comptes fonctionnels
- Courriel: représente un groupe d’utilisateurs ou un service ex.: finances@plasti-tech.com.
- Système: Compte machine ou compte pour processus informatisé (¨Script¨) pour authentifier des équipements (serveurs, stations, M to M, etc.).
- Partagé: Compte d’utilisateur qui sera partagé entre plusieurs utilisateurs.
Vrai ou faux : Les comptes fonctionnels peuvent identifier un utilisateur dans les systèmes de journalisation d’une entreprise.
Faux.
- Un compte fonctionnel ne peut identifier
un utilisateur en particulier dans les
systèmes de journalisation de l’entreprise.
Nommez le plus gros problème dans l’industrie par rapport aux mots de passe
L’utilisation du même mot de passe sur différents systèmes
Nommez les 4 facteurs affectant la robustesse des mots de passe.
- La longueur: La quantité de caractères utilisés dans la composition du mot de passe.
- Combinaison de caractères alphanumériques: Des lettres de l’alphabet (A à Z) en minuscules et en majuscules et des caractères numériques comprenant les chiffres 0 à 9.
- Caractères spéciaux: Ex.: @, /, %, &, $
- Expressions uniques: introuvables dans les dictionnaires des langues parlées des utilisateurs.
Pourquoi de nombreuses entreprises répartissent-elles des services TI à des fournisseurs de services spécialisés (4 raisons) ?
- Requiers moins de ressources spécialisées en TI (main d’oeuvre).
- Accès rapide aux infrastructures TI (Cloud).
- Diminution des travaux de soutien (maintenance des systèmes, application des correctifs, gestion des mises à jour, etc.)
- Diminution des coûts d’infrastructure TI ($ pour équipement).
Quels sont les 4 désavantages à répartir des services TI à des fournisseurs de service spécialisé?
- Pertes de connaissances techniques au sein de l’entreprise.
- Dépendance aux fournisseurs de service.
- Perte d’autonomie (particulièrement dans le développement).
- Augmentation des coûts d’opération TI.
Quels sont les 2 modèles de répartition pour les services TI qui sont donnés à sous-contrat à des fournisseurs de service spécialisé?
- Hébergement externe; chez le fournisseur
- Hébergement interne; chez le client.
Quels sont les 3 niveaux de criticité et quelle est la durée maximale de panne tolérable qui les défini?
-
Critique: Maximum 8 heures
a. Impact financier élevé, Arrêt d’une ou de plusieurs usines
b. Effet ressenti par plus de 50% des utilisateurs -
Important: Maximum 2 jours
a. Ralentissement de production des employés ou d’une usine
b. Effet ressenti par 20% à 50% des utilisateurs -
Régulier: Maximum 5 jours
a. Faible impact, peu importe le nombre d’utilisateurs touchés
Quels sont les 4 types d’architectures (protection) des CTRL industriels?
- Monolithique: Segment isolé d’une usine unique, sans connexion internet
- Partagée entreprise: Toujours sans connexion internet, mais le réseau est relié entre les usines
- Partagée entreprise hybride: Réseau inter relié entre les usines, avec connexion avec un fournisseur cloud via Internet (infonuagique)
- Infonuagique (IaaS, “Infrastructure as a Service”): Le réseau de production est relié à un fournisseur Cloud (Internet)
Quelles sont les principales vulnérabilités des contrôles industriels sur réseaux TCP/IP ? (10 items)
- La cybersécurité versus les systèmes de contrôle industriels
- Les systèmes de contrôle sans capacité de processeur OS.
- Accès non-autorisé aux systèmes de contrôle
- Infections virales
- Renifleur réseautique (Network sniffing)
- Attaques de Rançongiciel (Ransomware)
- Systèmes d’exploitation expirés
- Élargissement réseautique sans diligence de sécurité.
- Vulnérabilités physiques des composantes ICS
- Employés malveillants
Quelles sont les différentes stratégies et recommandations de protection des ICS (8 items)?
- Analyse et études de cas
- Débuter par l’inventaire des composantes.
- Établissement des périmètres réseautiques
- La gestion des identités et des accès
- Encryption (chiffrement) des informations
- Surveillance SOC/SIEM
- Application des correctifs ( ̈Patches ̈) de sécurité
- Stratégie de replacement des équipements
Quelles sont les 2 grandes utilités des services SOC/SIEM ?
- Centralisation des journaux
- Surveillance SIEM (Security information and event management)
Quel est le délai de l’application d’un correctif (patch) sur un système critique ?
15 Jours
Quel est le délai de l’application d’un correctif (patch) sur un système régulier?
3 Mois
À quoi sert la journalisation des systèmes? (5 points)
- Contrôler le volume d’utilisation des ressources informatiques et
détecter les anomalies pour assurer une qualité de service et faire
évoluer les équipements en fonction des besoins. - Vérifier les règles en matière de sécurité et détecter toute défaillance ou
anomalie volontaire ou accidentelle, passive ou active, d’origine
matérielle ou humaine. - Détecter les utilisations des systèmes informatiques contraires au Code
d’éthique et de conduite de l’entreprise. - Fournir des éléments de preuves nécessaires pour mener des enquêtes
en cas d’incidents (« Forensic »). - Porter assistance au processus de diagnostic lors de procédures de
remédiation des systèmes informatiques.
Les journaux des systèmes informatiques sont classifiés dans quelle catégorie de documents et pourquoi?
Confidentiels, en raison de la sensibilité et l’intégrité des informations.
Qu’est-ce qui est journalisé pour l’item suivant : Serveurs et postes de travail
- l’identification des utilisateurs
- les dates et les heures des accès
- les résultats d’authentifications
(succès ou échec) - les commandes passées
Qu’est-ce qui est journalisé pour l’item suivant : Services de courriel et messagerie
- les informations de l’expéditeur
(adresse) - les adresses des destinataires
- les dates et les heures des messages
- les différents serveurs de
transmission des messages - le traitement « accepté ou rejeté »
des messages - la taille du message
- les résultats du traitement des
courriels non sollicités (SPAM) - les résultats des logiciels antiviraux
Qu’est-ce qui est journalisé pour l’item suivant : Serveurs Web
- les noms DNS ou les adresses IP des
utilisateurs (demandeurs) - les URL des pages consultées
- les informations fournies par le client
- le type de la requête
- la date et l’heure des requêtes
- le volume des données transmises
- les différents paramètres passés
Qu’est-ce qui est journalisé pour l’item suivant : Les équipements réseautiques
- les noms DNS ou adresses IP des
sources et des destinations - les dates et les heures des
connexions - les numéros de port et les protocoles
utilisés des sources et les
destinations - les dates et les heures des
transactions - le nombre de paquets et le nombre
d’octets transférés - les messages d’alerte
Qu’est-ce qui est journalisé pour l’item suivant : Les applications
- les identités des utilisateurs
- les dates et les heures des accès et
des transactions - les commandes passées
- les transactions effectuées
- les volumes des données transférées
Que signifie l’acronyme “SCADA” et quelle est sa définition ?
Supervisory Control and Data Acquisition est une architecture de
contrôle industriel qui utilise des ordinateurs et de la réseautique pour gérer et contrôler des systèmes et des périphériques tels des PLC (¨Programmable Logic Controller¨), des automates et autres composantes.
Qu’est-ce qui définit une architecture Monolithique (Stand alone) ?
Segment réseautique de
production pour usine unique ou par usine indépendant des autres usines
et du réseau interne de l’entreprise sans aucune connexion à l’internet.
• Les PLCs, les SCADAs, etc. sont gérés à l’usine.
• Pas IoT
• Pas AI
• Aucun support à distance (tout se fait à l’usine)
Qu’est-ce qui définit une architecture partagée entreprise ?
Segment réseautique de production relié
avec les autres usines par le réseau interne de l’entreprise sans connexion à
l’internet.
• Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à
partir du réseau interne de l’entreprise.
• Possibilité d’AI qui est limitée aux données de l’entreprise.
• Le support à distance à partir du réseau interne de l’entreprise est
disponible.
Qu’est-ce qui définit une architecture partagée entreprise hybride ?
Segment réseautique de
production relié avec les autres usines par le réseau interne de l’entreprise
avec connexion à un fournisseur de service infonuagique via l’internet:
• Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à
partir du réseau interne de l’entreprise.
• AI provient d’un fournisseur de service spécialisé.
• Possibilité de support à distance à partir du réseau interne de
l’entreprise et de l’internet.
Qu’est-ce qui définit une Architecture infonuagique IaaS (¨Infrastructure as a Service¨) ?
Segment réseautique de production relié à un fournisseur spécialisé infonuagique
(¨Cloud¨) via l’internet:
• Les PLCs, les SCADAs, etc. sont gérés par un fournisseur infonuagique
spécialisé à partir de l’internet.
• AI provient du fournisseur de service
• Support provient 100% du fournisseur
Quelles sont les 7 points d’une analyse et étude de cas ?
- Comprendre le domaine du manufacturier (c’est quoi qu’ils font ?)
- Comprendre les objectifs de l’entreprise en matière de production
- Comprendre les enjeux en matière de santé, de sécurité, d’environnement, financier, conformité, etc.
- Envisager les pires scénarios où une catastrophe pourrait se produire.
- Analyser les systèmes de gestion ICS en place
- Envisager des protections logiques et physiques
- Émettre des recommandations
Qu’est-ce que l’inventaire des composantes (CTRL Industriels) doit spécifier, entre autres ?
- Les composantes intelligentes munis d’OS
- Les équipements sans processeur
- Leurs fonctions
- Protocole de télécommunication
- Niveau de criticité (Critique, Important et Régulier)
- Équipement de relève ?
- Les types d’ICS émetteurs (¨Out Bound¨)
- Les types d’ICS récepteurs (¨Inbound¨)
- Les types d’ICS émetteur et récepteurs (¨Inboud/Outbound¨)
- Les types d’ICS contrôlés par console (PLC/SCADA)
- Diagramme des segments réseautiques (¨subnet¨)
Nommez des exemples de contrôle des périmètres réseautiques.
- Vérification de la provenance d’une adresse IP spécifique lors de l’émission d’une commande sensible (ouverture/fermeture de valve, command d’arrêt d’un système, commande de déroutage des fluides
- Forcer une réauthentification à double facteur lors de réception d’une commande sensible
- Bloquer des commandes de contrôle à des heures ou des périodes spécifiques
- Plusieurs autres scénarios de protection à être analyser selon le type de manufacture industrielle
- Systèmes de protection NIDS/NIPS (¨Network Intrusion Detection & Prevention¨)
- Présence de pare-feux entre chaque segment réseautique
Quelles sont les 5 différentes stratégies et recommandations de protection des ICS ?
- La gestion des identités et des accès
- Encryption (chiffrement) des informations
- Surveillance SOC/SIEM
- Application des correctifs (¨Patches¨) de sécurité des équipements qui supportent les applications ICS.
- Stratégie de replacement des équipements
Nommez 5 évènements que les services SOC/SIEM peuvent détecter en terme de sécurité.
- Détection de bris d’équipement
- Tentative d’intrusion réseautique
- Intrusion de système
- Élévation de privilèges non planifiée
- Vols d’information (si DLP activé)
Nommez quelques exemples de cas de surveillance (use cases) des services SOC/SIEM.
- Arrêt/démarrage de serveurs critiques
- Arrêt/démarrage de services critiques
- Suppression de journaux (logs) de système
- Compte créé et supprimé en 24 heures
- Brute force attack sur un compte
- Comptes barrés à maintes reprises
- Activation de compte administratif
- Ajout d’un compte à un groupe de privilège élevé
- Tentative d’accès d’un compte d’un employé terminé
- Tous les changements de configuration/politique de sécurité de AD
- Violation de règles de pare-feu applicatif
- Échec de mise à jour de signatures virales
- Attaques virales (virus/malveillant)
- Détection d’utilisation de protocoles proscrits (FTP, Telnet, etc.)
- Alertes IDS réseautiques
Pourquoi l’horodatage (NTP) est-elle importante ?
Afin d’assurer l’intégrité des informations et des évènements, il est important que
les systèmes informatiques obtiennent la date et l’heure à partir de sources
officielles et communes. Un synchronisme du protocole NTP (¨Network Time
Protocol¨) est nécessaire pour tous les équipements branchés sur des réseaux
internes.
Quelles sont les 9 étapes à suivre lors de la configuration des systèmes ?
- L’installation du système d’exploitation
- Faire les mises à jour du système d’exploitation et appliquer les correctifs
(¨Patches¨) selon les recommandations du vendeur. - Les paramètres de sécurité doivent être configurés selon les
recommandations de la gouvernance. - Voir à l’installation des applications et des logiciels selon la fonction
primaire de l’équipement. - Mettre à jour les logiciels et les applications selon les plus récentes
versions et les recommandations du vendeur. - Les comptes qui ne sont pas utilisés doivent être désactivés.
- Renommer les comptes administratifs par défauts et changer leurs mots
de passe. Les noms de comptes ne peuvent divulguer les privilèges ou
les rôles administratifs (admin, back up, etc.) - Activation de la journalisation du système.
- Désactiver les services et les protocoles non sécuritaires (consulter la
table des protocoles proscrits dans du cours # 6).
Nommez les 9 principales règles de sécurité pour les logiciels anti-malveillants.
• Les suites de logiciels de sécurité doivent être en mesure de détecter,
d’éradiquer, de supprimer et de protéger les équipements contre tous les
types de logiciels malveillants connus tels les virus, les vers
informatiques, les chevaux de Troie, les logiciels espions, les « Root Kit »,
etc.
• Les mises à jour des fichiers de menace (signatures virales) doivent être
automatiques et installées sur chaque poste de travail et chaque serveur.
• Les mises à jour des logiciels antivirus et les nouvelles signatures doivent
être téléchargées et installées sur les équipements dès qu’elles sont
disponibles.
• Des analyses rapides de détection virales doivent être configurées pour
qu’elles soient exécutées quotidiennement sur les postes de travail et les
équipements portatifs.
• Seuls les administrateurs TI de l’entreprise sont autorisés à changer les
configurations, activer ou désactiver les logiciels antivirus sur les postes
de travail et les équipements portables. Les permissions des utilisateurs
se limitent à lancer des balayages (« Scans ») sur demande.
• Des analyses complètes de détection virales doivent être configurées
pour qu’elles soient exécutées hebdomadairement sur les postes de
travail et les équipements portatifs.
• Afin d’éviter des propagations, les équipements infectés ou suspectés
d’être infectés de virus doivent si possible être débranchés du réseau
interne de l’entreprise dans les plus brefs délais.
• Les systèmes de courriel doivent bloquer et empêcher la transmission
des messages ayant des fichiers exécutables comme pièces jointes telles
des .EXE, .BAT, .CMD, etc. Consultez la liste des extensions bloquées
d’Outlook de Microsoft.
• Des balayages de détection virale doivent être déclenchés
automatiquement lors de détection de médias portatifs tels les clés USB,
« Flash Drive », et disques externes avant de les utiliser.
Quels sont les 3 types de sauvegarde et ce qui les définit ?
Complète: Cette méthode permet de copier toutes les données indépendamment des modifications depuis la précédente sauvegarde.
Différentielle: Cette méthode permet de conserver toutes les
modifications depuis la sauvegarde complète.
Incrémentale: Cette méthode permet de conserver toutes les modifications depuis la précédente sauvegarde. Ce qui signifie que la préservation des données est effectuée depuis les sauvegardes incrémentales précédentes.
Quelle est la règle du 3-2-1 quand on parle de sauvegarde des informations ?
trois (3) copies des informations qui seront sauvegardées sur
deux (2) médias différents avec
une (1) copie située à l’extérieur du centre des données.
Quel est le délai d’application pour une Mise à jour Critique sur un système Critique ?
15 jours