Intro à la cybersec Flashcards
définissez un SI
Un système d’information (SI) est l’ensemble des éléments interconnectés qui permettent la collecte, le stockage, le traitement et la communication des informations au sein d’une organisation.
Ces éléments sont: les données, Les ressources humaines, les technologies de l’information, les infrastructures physiques, les processus et les procédures, les politiques et les normes.
C’est quoi un actif et différence entre actifs supports et actifs primordiaux
Un actif désigne toute ressource numérique, matérielle ou immatérielle, essentielle au fonctionnement et à la valeur d’une organisation. Ces actifs incluent les données, Les ressources humaines, les technologies de l’information, les infrastructures physiques, les processus et les procédures, les politiques et les normes
Il existent : les actifs primordiaux (les processus et activités métier; Les informations) et les actifs supports(personne matériel réseaux logiciels) sont ceux sur lesquels reposent les actifs primordiaux, ces actifs présentent des vulnérabilités exploitables par des menaces visant à affaiblir les actifs primordiaux.
Connaître les actifs de son SI est essentiel pour prendre des décisions éclairées en matière de sécurité, protéger les informations sensibles, assurer la continuité des activités et se conformer aux réglementations. Cela permet d’optimiser les ressources et de mettre en place les mesures de sécurité appropriées pour protéger les actifs les plus importants de l’entreprise.
Quels sont les enjeux de la sécurité du SI
Les enjeux de la sécurité du système d’information (SI) peuvent être classés en différentes catégories, parmi lesquelles : Enjeux financiers, Enjeux liés à l’image et à la réputation, Enjeux juridiques et réglementaires, Enjeux organisationnels( stratégique et opérationnel?)
Que comprenez vous par les processus et les procédures
Il s’agit des méthodes et des étapes spécifiques qui régissent la collecte, le traitement, le stockage et la communication des données au sein de l’organisation. Les processus décrivent comment les tâches sont effectuées, tandis que les procédures définissent les règles et les étapes à suivre.
Que comprenez vous par les politiques et les normes
Ce sont les règles, les lignes directrices et les pratiques établies par l’organisation pour garantir la sécurité, la confidentialité et l’utilisation appropriée du système d’information.
Définition du mot Cybersécurité
Cybersécurité État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
la cybersécurité est directement liée au S.I et assure la protection de ce dernier. par le biais de la confidentialité, de l’intégrité et de la disponibilité, souvent abrégé en CID ou en anglais CIA (Confidentiality, Integrity, Availability) qui sont considéré comme les 3 piliers de la cybersécurité, mais aussi comme des besoins de sécurité.
Depuis maintenant quelques années, un critère complémentaire est souvent associé au CID, il s’agit de la traçabilité ou de la preuve, il n’est pas rare de parler de CIDT ou de CIDP.
Définition des termes CIDT ou CIDP
Confidentialité: Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés.
Intégrité: Garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime
Disponibilité : Propriété d’accessibilité au moment voulu des biens par les personnes autorisées
Preuve: Propriété d’un bien permettant de retrouver, avec une confiance suffisante, les circonstances dans lesquelles ce bien évolue.
Cette propriété englobe notamment : La traçabilité des actions menée l’authentification des utilisateurs, l’imputabilité du responsable de l’action effectuée
Ainsi, afin d’évaluer si un bien est correctement protégé, il est nécessaire de réaliser un audit de son niveau de sécurité Disponibilité, Intégrité, Confidentialité et Preuve. L’évaluation de ces critères sur une échelle permet de déterminer si cet actif est correctement protégé.
Nota : Il n’est pas nécessaire que tout les biens d’un système d’information (S.I.) atteignent les mêmes niveaux de CIDP
L’objectif étant d’assurer une protection appropriée et équilibrée de chaque bien.
mécanismes de sécurité parefeu
Pare-feu: Un pare-feu est un logiciel ou un équipement qui filtre les flux de données sur un réseau informatique. Le pare-feu filtre les flux grâce aux politiques de filtrage qui sont des règles qui autorise ou non les flux
Les règles de pare-feu prennent en compte les couches 3 et 4 du modèle OSI, il peut bloquer ou autoriser les flux grâce aux ports.
par exemple:
Si je veux bloquer les flux SSH, il me suffit d’utiliser le port standard du protocole SSH : le port 22/TCP.
Si un attaquant souhaite exfiltrer du contenu via le protocole SSH, il sera bloqué dans un premier temps, car par défaut, le port 22/TCP est utilisé. Cependant, rien ne l’oblige à utiliser le port standard SSH ; il pourrait très bien utiliser le port 80/TCP avec le protocole SSH.
Dans ce cas, le pare-feu ne sera pas capable de vérifier si le flux correspond au protocole HTTP ou SSH, car il ne peut pas lire la couche applicative. Ce rôle est réservé à d’autres équipements de sécurité réseau, tels que l’IDS/IPS ou le proxy.
mécanismes de sécurité Anti-Virus
Un logiciel antivirus est conçu pour détecter, bloquer et supprimer les logiciels malveillants connus. Il possède une base de données contenant les signatures des logiciels malveillants connus.
Par exemple, dès qu’un fichier est téléchargé, l’antivirus calcule la signature de ce fichier et la compare avec sa base de données. S’il y a une correspondance, le fichier est considéré comme malveillant. Ce sont les professionnels de la sécurité qui alimentent cette base de données.
Par conséquent, s’il s’agit de la première fois qu’un virus est utilisé ou si un attaquant parvient à changer la signature d’un virus, l’antivirus ne pourra pas le détecter. C’est pour cela qu’un anti-virus doit impérativement être mis à jour quotidiennement.
Les Next-Generation Antivirus (NGAV) sont une évolution des antivirus traditionnels. En plus de se baser sur les signatures des fichiers, ils peuvent effectuer l’analyse comportementale, la détection d’attaques sans fichier, l’analyse de la mémoire, l’apprentissage automatique, etc. L’anti-virus est souvent abrégé en “AV”.
mécanismes de sécurité VPN(Virtual Private Network)
Le VPN est un service de réseau sécurisé qui permet de créer une connexion chiffrée et privée entre les réseaux ou entre différents nœuds
Le VPN est souvent utilisé lorsque vos flux doivent traverser des réseaux qui ne sont pas fiables, comme Internet, par exemple. Un attaquant qui intercepte les flux ne sera pas en mesure de les lire.
Les VPN peuvent être utilisés pour connecter deux sites distants, on parlera alors de tunnel VPN site à site.
Mais les VPN sont aussi souvent utilisés pour établir des tunnels VPN poste à site, notamment pour les personnes qui doivent souvent se déplacer, comme les commerciaux, ou simplement pour celles qui travaillent depuis leur domicile.
Dans une moindre mesure, ils peuvent être utilisés pour faire des tunnels VPN poste à poste.
mécanismes de sécurité Proxy
Un proxy ou serveur mandataire joue le rôle d’intermédiaire en se plaçant entre deux hôtes. Le client envoie une requête, le proxy l’intercepte et effectue la requête à la place du client. Grâce à ce rôle, le proxy peut offrir plusieurs services. En matière de sécurité, le proxy pourra par exemple bloquer l’accès à certains sites web.
Les proxy sont souvent utilisé avec les protocoles HTTP et HTTPS dans un objectif de contrôler les accès aux sites web d’Internet.
Le proxy possède une base de données avec différentes catégories de site web comme par exemple les réseaux sociaux, les sites d’e-commerce, les sites réputés comme malveillant, les webmails, etc…
Vous pouvez donc autoriser ou bloquer certaines catégories en fonction de vos besoins de sécurité.
mécanismes de sécurité WAF (Web Application Firewall)
Un WAF a pour fonction d’analyser les requêtes échangées entre un utilisateur et un serveur web afin de détecter et de bloquer d’éventuelles attaques émanant de cet utilisateur.
Le WAF offre une protection au niveau de la couche applicative du serveur web, ce qui lui permet de faire face à diverses attaques telles que les injections de code malveillant (comme les SQL injections ou les XSS), les attaques par déni de service (DDoS), et autres menaces ciblant spécifiquement les applications web.
Alors que les proxys protègent généralement les clients, les WAF protègent les serveurs. Un WAF est déployé pour protéger une application Web spécifique ou un ensemble d’applications Web. Un WAF peut être considéré comme un reverse proxy.
mécanismes de sécurité EDR
EDR (Endpoint Detection Response) L’EDR détecte et bloque les menaces, qu’elles soient connues ou inconnues, en utilisant l’analyse comportementale, l’apprentissage automatique et la corrélation des événements sur les terminaux.
Un EDR possède de puissantes capacités de détection, telles que la surveillance de comportements suspects et la détection d’attaques sans dépôt de fichier.
Il offre également des fonctionnalités d’investigation permettant la visualisation complète de la séquence d’une attaque.
Enfin, il offre des options de remédiation, telles que la restauration de fichiers, la fermeture de programmes et l’isolation réseau des machines affectées.
Quelles sont les différences entre un antivirus classique, un antivirus “next gen” et un EDR ?
Un antivirus détecte les menaces connues grâce aux signatures.
Un antivirus “next gen”, comme vu précédemment, va plus loin qu’un AV classique dans ses analyses. Le NGAV est un élément de prévention, il constitue une première ligne de défense indispensable.
L’EDR va, quant à lui, être capable de corréler les données des terminaux, détecter les comportements suspects et bloquer l’attaque en envoyant l’information aux autres terminaux.
Lorsque les menaces parviennent à contourner le NGAV, les cybermenaces sont détectées par la solution EDR. Le NGAV intervient avant ou au moment de l’exécution d’une menace pour l’arrêter avant qu’elle ne cause des dommages.
L’EDR intervient après l’infection ou l’intrusion, en fournissant une visibilité en temps réel sur ce qui se passe sur les terminaux, ce qui permet de comprendre comment l’attaque a eu lieu et quelles actions malveillantes ont été prises.
Le NGAV et l’EDR sont donc complémentaires.
IDS (Intrusion Detection System) et IPS (Intrusion Prevention System)
Technologies de sécurité qui surveillent le réseau pour détecter et prévenir les intrusions ou les activités suspectes. IDS signale les incidents tandis que IPS intervient pour bloquer activement les attaques.
Les IDS et IPS font les mêmes analyses. L’IDS envoie une alerte lorsqu’il détecte un flux suspect, mais ne le bloque pas, tandis que l’IPS, lorsqu’il voit un flux suspect, alerte et bloque le flux.
Les IDS/IPS vont au-delà des fonctionnalités d’un pare-feu en effectuant des analyses sur les couches 3 à 7 du modèle OSI. Ils peuvent réaliser des analyses par signatures, des analyses comportementales, des analyses de protocoles, etc.
Ces analyses sont beaucoup plus approfondies que celles du pare-feu, ce qui entraîne une utilisation plus importante des ressources et un temps d’analyse plus long. Cela peut réduire considérablement le débit du réseau si l’IDS/IPS est placé en coupure du réseau.
En raison de sa sensibilité aux attaques par déni de service et de son impact sur le débit réseau, l’IDS/IPS est souvent placés derrière le pare-feu. Le pare-feu traite les flux et filtre les paquets indésirables, puis les flux acceptés sont ensuite analysés par l’IDS/IPS.
Cela évite de ralentir excessivement le réseau et d’utiliser des ressources de calcul pour des flux qui auraient finalement été bloqués par le pare-feu. En travaillant en tandem, le pare-feu et l’IDS/IPS renforcent la sécurité du réseau en offrant une approche plus équilibrée entre la prévention et la détection des menaces.
