Les pertes mondiales imputables aux attaques informatiques dépassent les 1000 milliards/an de dollars depuis 2020, ce qui représente plus de 1% du PIB mondial
Depuis ce chiffre est en constante augmentation : 15%/an
Les enjeux ne sont pas seulement financiers : les emplois, l’image et la stabilité de l’entreprise dépendent de la sécurité de ses actifs.
pie title Panorama Cybermenace 2023 ANSSI
"TPE/PME/ETI" : 34
"Collectivité territoriale/locale" : 24
"Entreprise stratégique" : 10
"Établissement de santé" : 10
"Établissement d’enseignement supérieur" : 5
"EPA, EPIC" : 4
"Ministère" : 2
"Autre" : 2
- Usurpation d'identité
- Vol de données
- Chiffrement par ransomware
- Deni de service
- Infection par malware
(Source : CESIN,2022)
pie title Modes Opératoires CESIN 2024
"Phishing" : 60
"Exploitation de faille" : 43
"Attaque DDOS" : 34
"Arnaque au président" : 28
"Tentatives de connexion": 34
- Mail (ex: phishing)
- Exploitation de vulnérabilité (ex: application)
- Site malveillant (ex: lien vers un site compromis)
- Accès à distance (ex: RDP)
- Accès physique (ex: clé USB)
pie title Causes des Cyberattaques CESIN 2024
"Mise en place d’applications non approuvées" : 35
"Vulnérabilités résiduelles permanentes " : 34
"Négligence ou erreur de manipulation ou de configuration" : 33
-
système d’information : ensemble organisé de ressources (matériel, logiciels, personnel, données et procédures) permettant de traiter et de diffuser de l’information.
-
Sécurité d’un système d’information - ensemble des moyens techniques et non techniques de protection, permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données, traitées ou transmises et des services connexes que ces systèmes offrent ou rendent accessibles.
-
Actifs (Assets) : tout ce qui a de la valeur au sein du SI
Tout ce que vous exposez à vos adversaires
flowchart TD
A{Attaquant} -->|Architecture | B(Système d'Information cible)
A --> | Serveurs |B
A --> | Services |B
A --> | Applications |B
A --> | L'Humain |B
- White Hat / Ethical Hacker : respecte le cadre légal (Pentest, Red Team, Bug Bounty, Divulgation responsable)
- Black Hat : intention de nuire ou de gagner de l'argent
- Grey Hat : Parfois éthique, parfois non...
- Script Kiddies : Peu de connaissance, mais utilisation d'outils "clé en main"
| Compétences | ciblage | type d'attaque |
|---|---|---|
| 0 | 0 | Spam |
| 1 | 0 | attaques opportunistes |
| 1 | 1 | attaques étatiques ou state sponsored |
- Gain : monétisation des informations et/ou déni de service
- Hacktivisme : communication, idéologie
- Concurrence : nuire à ses adversaires
- Intérêts étatiques et mercenariat : espionnage et enjeux régaliens
- Def. Vulnérabilité : Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser.
- Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système. (faiblesse sur le SI)
- N° CVE : identifiant unique pour une vuln. base Nist NVD
- Score CVSS : évaluation d'une vulnérabilité First Calculator
- Reference CWE : mauvaise pratique MITRE CWE
- Score EPSS : Exploit Prediction Scoring System First EPSS
Ce qu’on veut faire faire :
« Pour aller à la gare : aller toujours tout droit, dès que vous voyez un panneau vert : tourner à droite et vous êtes arrivé »Ce qu'on code :
def AllerGare():
Arrivé = False
while not Arrivé:
ToutDroit()
if Regarder() == 'vert':
TournerDroite()
Arrivé = True
return 0Ce que la machine execute :
ection .text
global _start
_start:
; while not Arrivé:
jmp check
loop:
; ToutDroit()
; if Regarder() == 'vert':
; TournerDroite()
; Arrivé = True
mov byte [Arrivé], 1
check:
cmp byte [Arrivé], 0
je loop
; return 0
mov eax, 0x60
xor edi, edi
syscallflowchart TD
A[Menace] -->|exploite| B>vulnérabilité]
B--> |Induit| C[Impact]
- Risque =
Menace * Vulnérabilité * Impact=Impact * Vraissemblance=Gravité * Facilité d'exploitation
Niveau de risque en fonction de la gravité (ordonnée ) et de la vraisemblance (abscisse):
| Faible | Moyenne | Élevée | Critique | |
|---|---|---|---|---|
| Très improbable | Faible | Faible | Moyen | Élevé |
| Improbable | Faible | Moyen | Élevé | Très élevé |
| Probable | Moyen | Élevé | Très élevé | Critique |
| Très probable | Élevé | Très élevé | Critique | Critique |
- écarter : par exemple, l'arrêt d'un service obsolète
- atténuer (mitigate) : par exemple, la mise en place d'un Firewall applicatif (WAF)
- transférer : par exemple, la migration vers un service cloud qui s'engage contractuellement à couvrir ce risque
- accepter : laisser le risque tel quel est assumer l'impact d'une exploitation par un attaquant
-
Disponibilité : que les données soient bien accessibles
-
Intégrité : Garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime. que les données n'ont pas été altérées ou modifiées
-
Confidentialité : Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés. accessibles aux seules personnes autorisées
-
Preuve, Tracabililité, Non-répudiation
-
Authentitication : L’authentification a pour but de vérifier l’identité dont une entité se réclame. La personne est bien celle qu'elle prétend être.
- Spoofing (usurpation)
- Tampering (falsification)
- Répudiation (répudiation)
- Information Disclosure (fuite de données)
- Déni de service
- Élévation de privilège
- Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de 3 ans d'emprisonnement et de 100 000 € d'amende.
- Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de 5 ans d'emprisonnement et de 150 000 € d'amende.
- Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à 7 ans d'emprisonnement et à 300 000 € d'amende.
-
L' ANFR en application de l’article L.43 du Code des postes et communications électroniques (CPCE), veille à ce que les sites et les réseaux radioélectriques soient conformes à la réglementation et instruis les cas de brouillage qui lui sont signalés.
-
Les utilisations de fréquences ou d’équipements radioélectriques en dehors des conditions réglementaires sont des délits soumis à une sanction pénale pouvant aller jusqu’à 6 mois de prison et 30 000 euros d’amende (L. 39-1 du CPCE).
-
Les brouillages de fréquences autorisées causés par l’utilisation non conforme d’équipements radioélectriques, électriques ou électroniques sont des délits soumis à une sanction pénale pouvant aller jusqu’à 6 mois de prison et 30 000 euros d’amende (L. 39-1 du CPCE).
-
En dehors de dérogations encadrées pour des services de l’État, la possession, l’utilisation, la cession à titre commercial ou gratuit, la publicité illicite de brouilleurs sont strictement interdites (article L. 33-3-1 du CPCE). Ce sont des délits soumis à une sanction pénale pouvant aller jusqu’à 6 mois de prison et 30 000 euros d’amende (L. 39-1 du CPCE).
données personnelles : Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. ex: Nom, numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image. ou croisement de données: une femme vivant à telle adresse, née tel jour et membre dans telle association
Il est obligatoire de :
* Recueillir l'accord préalable des clients.
* Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression des informations collectées.
* Veiller à la sécurité des systèmes d'information.
* Assurer la confidentialité des données.
* Indiquer une durée de conservation des données.
- le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial
- Extrait de l'Art. L. 2321-4 du code de la défense : Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
- Extrait de l'Art. L2321-4-1 du Code de la défense : En cas de vulnérabilité significative affectant un de leurs produits ou en cas d'incident informatique compromettant la sécurité de leurs systèmes d'information et susceptible d'affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l'autorité nationale de sécurité des systèmes d'information cette vulnérabilité ou cet incident ainsi que l'analyse de ses causes et de ses conséquences.
- PSSI : Politique SSI
- SMSI : Système de management de la Sécurité de l'information (ISO27001)
- SOC : Security operation center, utilise un SIEM pour la supervision de la sécurité.
- AdR : Analyse de risque
- LPM : Loi de programmation militaire, qui concerne les opérateurs d'importance vitale (OIV)
- NIS2 : Network Information Security, qui concerne les opérateurs de services essentiels (OSE)
- RGPD : Données personnelles
- PCI : bancaire (payement)
- HDS : Données de Santé
- ISO2700X : normes SMSI
- RGS : Administration
- DORA : entités financières
- II901 : instruction interministérielle 901 (Diffusion Restreinte)
- Policies : General Management statement
- Standards : Specific Mandatory Controls
- Procedures : Step By Step Instructions
- Guidelines : Best Practices / Recommendations
- Baselines : Minimal implementation
-
Classe 0 : SI public (p. ex. Internet) ou SI connecté à un SI public (p. ex. SI usuel) qui ne respecte pas les exigences de la classe 1.
-
Classe 1 : SI sensible / DR, connecté à Internet au travers d’une passerelle sécurisée (rupture de flux entre deux dispositifs de filtrage, produits qualifiés) satisfaisant les exigences de sécurité définies dans l’II 901.
-
Classe 2 : SI sensible / DR physiquement isolé d’Internet.
Dans la pratique, cette classification est faite dans le cadre d'une stratégie d'homologation.
La sécurité physique est la première couche de sécurité d’une entreprise, son but est de:
-
Prévenir les accès non autorisés aux ressources et aux systèmes
-
Empêcher l’altération et le vol des données sensibles
-
Protéger de l’espionnage et du sabotage
-
Limiter les attaques par ingénierie sociale
- Tailgating : suivre quelqu'un pour passer une porte
- PiggyBacking : demander l'ouverture d'une porte
- Shoulder Surfing : regarder le mot de passe d'un autre (par-dessus son épaule)
- Wiretapping : écoute via le réseau (logiciel ou matériel)
- Keylogger : enregistrement des frappes au clavier (logiciel ou matériel)
- Tempest : Compromissions par rayonnement electro magnétique
| Principe | Description | Exemple |
|---|---|---|
| Isolation de contexte | séparer les environnements d’exécution, assurant que les ressources (mémoire, CPU, etc.) entre les applications | Sandbox, sécurité basée sur la virtualisation (VBS) |
| Para-Virtualisation | Les OS sont conscients de la virtualisation et communiquent avec l'hyperviseur via une couche d'abstraction | Hyper-V, VMWare Vsphere / ESXi |
| Hyper-Virtualisation | Isolation entre les Machines virtuelles (VM) / OS virtualisé, aucune modification des VM pour gagner en performance | QEMU sans module Kqemu |
| Virtualisation d’entrées/sorties (I/O) | répartition des ressources entre les VM | MS Storage Spaces Direct : Agrège les disques durs locaux pour créer un stockage partagé haute performance |
| Systemes Unikernel et micro serveur | Serveur Headless, Microsoft | Nano Server |
| Containeur | Les applicaitons et leurs dépendances disposent d'environnements isolés via une virtualisation au niveau de l'OS | Docker |
-
Risque accru de compromission des systèmes
-
Accroissement du risque d’indisponibilité
-
Complexification de l’administration et de la mise en œuvre
-
Complexification de la supervision
Toujours le principal point d'entrée pour l'attaquant
-
Gestionnaire de mots de passe individuel pour les comptes personnels (ex: Keepass)
-
Gestionnaire de mots de passe partagée pour les comptes de service
-
Autant que possible on complète par du MFA
-
Le minimum syndical : 12 chars avec maj, min, digit, spéciaux
-
Avec les gestionnaires de mots de passe: 20 chars
-
Comptes de services : +30 chars
Les problématiques spécifiques aux Smartphones
- Connecté simultanément à de multiples réseaux : 5G, Wifi, Bluetouth
- Droits donnés aux applications : l’appli lampe torche lit les messages...
- Toujours sur soi : pro et perso
- Backdoor Fabricant : micro activable légalement
- Pas toujours à jour: Krack, 5Ghoul
- Monnaie (Money)
- Idéologie
- Contrainte
- Ego (flatterie)
- Urgence
- Sabotage
Phishing à partir de https://www.securite-solutions.fr/login, où est le piège ?
* https://www.securite-solutions.fr.it/login
* https://www.securite-solutions.fr?p=<script>https://bidule.io?login</script>
* https://www.securite-solutions/fr/login (plus de TLD, la machine utilisera les suffixes par défaut du bail DHCP)
* https://www.securite-solution.fr/login (solution au singulier)
* https://www.securite-solµtions.fr/login (« u » cyrillique)
* https://www.securite-sоlution.fr/login (« o » cyrillique)Politique permettant de vérifier
-
Les identités (utilisateurs)
-
Les Devices (PC, Smartphone, IoT)
-
Les Accès (IP sources)
-
Les services (Conditions selon la requête utilisateur)
Consiste à utiliser des ressources distantes le plus souvent au travers d’internet
| Principe | Description |
|---|---|
| Public | ressources partagées et détenu par des tiers |
| Privé | systèmes réservés au client |
| Hybride | Public + Privé |
Répartition des responsabilités entre le fournisseur de services cloud (CSP):
| IaaS | PaaS | SaaS | |
|---|---|---|---|
| Applications | Client | Client | CSP |
| Données | Client | Client | CSP |
| Runtime | Client | CSP | CSP |
| Middleware | Client | CSP | CSP |
| Système d'exploitation | Client | CSP | CSP |
| Virtualisation | CSP | CSP | CSP |
| Serveurs | CSP | CSP | CSP |
| Stockage | CSP | CSP | CSP |
| Réseau | CSP | CSP | CSP |
Les activités couvertes par le référentiel PASSI :
- audit d’architecture (ARCHI);
- audit de configuration (CONF);
- audit de code source (CODE);
- test d’intrusion (PENTEST);
- audit organisationnel et physique (ORGAPHY)
- Débrancher du réseau
- Ne pas éteindre
- Alerter le RSSI et N+1 par un autre canal
- CERT-FR : les bons réflexes en cas d'incident
- ANSSI : Gestion de crise