Cybersécurité : Notions de base

De Justine's wiki
Version datée du 5 février 2019 à 00:10 par Justine (discussion | contributions) (Page créée avec « = Les enjeux = Un SI est un ensemble de ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d’une organisation. L'inform... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Les enjeux

Un SI est un ensemble de ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d’une organisation. L'information est le nerf de la guerre pour les organisations. Le SI d'une organisation contient des actifs : les actifs primordiaux (processus métiers et informations) et des actifs supports (sites, personnels, matériel, réseau, softs, organisation...). La sécurité du SI consiste à assurer la sécurité de l'ensemble de ces biens.

Les enjeux sont donc de réduire les risques pesant sur le SI pour limiter leur impact sur le fonctionnement de l'organisation. La gestion de la sécurité n'as pas pour but de faire de l'obstruction, au contraire; elle contribue à la qualité de service et garantit au personnel le niveau de protection qu'ils sont en droit d'attendre.

Les impacts peuvent concerner :

  • Finances
  • Image/Réputation
  • Impacts juridiques
  • Impacts Organisationnels

Les motivations des attaquants évoluent : si il s'agissait surtout de bidouilleurs dans les années 80/90, il s'agit aujourd'hui d'actions organisées et réfléchies. La cyberdéliquance inclue : des gens attirés par le gain, des hacktivistes, des motivations politiques/religieuses, des concurrents directs de l'organisation, des fonctionnaires au service d'un état, des mercenaires... Ils ont à y gagner :

  • De l'argent : revente d'informations, que ce soit des comptes, emails, organisation interne de l'entreprise, des fichiers clients, des mots de passe, comptes bancaires, CB...
  • Des ressources matérielles (qu'ils peuvent ensuite vendre ou louer) : de la bande passant, de l'espace de stockage, des botnets...
  • Du chantage : DoS, modification de données...
  • De l'espionnage : Industriel, concurrentiel, étatique...

La plupart des actes de déliquance sur le net sont menés par des groupes criminels organisés, professionnels et impliquant de nombreux acteurs. Des groupes qui développent des malwares; d'autres qui sont en charge d'exploiter et commercialiser des services; des hébergeurs de contenu malveillant (parfois eux-mêmes victimes); des groupes quivendent des données; des intermédiaires financiers qui s'appuient sur des réseauxw de mules...

Les impacts sur la vie privée sont nombreux : Impact sur l'image / La vie privée, usurpation d'identité, Pertes définitive de données, Impact financiers...

La cybersécurité peut avoir un impact sur les structures critiques (ensemble d'organisations considérées comme vitales par l'état). Ces organisations sont considérées comme Opérateurs d'Importance Vitale (OIV), et la liste est classifiée.

Par ailleurs, les vols de données ont atteint un record en 2014.

Les besoins de sécurité

Pour évaluer le niveau de sécurité d'un bien du SI, on utilise les critères DIC :

  • Disponibilité : Accessibilité aux biens au moment voulu par les propriétaires / usagers
  • Intégrité : Exactitude et complétude des biens et informations
  • Confidentialité : Les biens ne sont accessibles qu'aux personnes concernées.

On y associe souvent :

  • Preuve : Propriété permettant de retrouver avec une confiance satisfaisante, comment un bien évolue. Notamment : la traçabilité des actions, l'authentification des utilisateurs, l'imputabilité du responsable de l'action effectuée.

On fait aussi la différence entre sûreté et sécurité :

  • La sûreté est la proection contre les dysfonctionnements et accidents involontaires, comme la panne d'un disque. Elle est quantifiable statistiquement et on peut utiliser des sauvegardes, la redondance des équipements... On a donc un ensemble de mécanismes mis en place pour assurer la continuité de fonctionnement du système dans les conditions requises.
  • La sécurité est la protection contre les actions malveillantes volontaires : blocage d'un service, modification / vol d'informations... Ce n'est pas quantifiable mais on peut évaluer en amont le niveau du risque et des impacts. Les parades incluents : le contrôles d'accès, la configuration renforcée, le filtrage... On a un ensemble de mécanismes destinés à protéger l'information des utilisateurs ou processus n'ayant pas l'autorisation de la manipuler et d'assurer les accès autorisés. La notion de sécurité diffère selon le contexte; on peut amener de l'inocuité ou de l'immunité.

Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de DICP, chaque critère sur une échelle. L'expression du besoin attendu peut être interne (contriantes métier de l'ets) ou externe (contraintes légales...). Par exemple, pour un audit, on pourrait avoir :

  • Disponiblité : très fort
  • Intégrité : moyen
  • Confidentialité : Très Fort
  • Preuve : Faible

Tous les biens d'un SI n'ont pas le même besoin en DICP : par exemple, un serveur web devrait avoir une très forte disponiblité, mais une faible confidentialité (ses informations étant publiques par nature !).

Mécanismes de sécurité pour atteindre les besoins DICP

Un SI a besoin de mécanismes qui ont pour objectif d'assurer de garantir les propriétés DICP sur ses biens; voici quelques exemples :

  • Antivirus : DIC
  • Cryptographie : ICP
  • Pare-Feu : DC
  • Contrôle d'accès logique : ICP
  • Sécurité Physique : DIC
  • Capacité d'audit : DICP
  • Clauses contractuelles avec les partenaires : DICP
  • Formation et sensibilisation : DICP

Attaques

Un peu de vocabulaire :

  • Vulnérabilité : Faiblesse au niveau d'un bien (dans la conception, réalisation, installation, configuration, utilisation...)
  • Menace : Cause potentielle d'un accident, qui pourrait entraîner des dommages.
  • Attaque : Action malveillante destinée à porter atteinte à la sécurité d'un bien. C'est la concrétisation d'une menace, et cela suppose l'exploitation d'une vulnérabilité. Du coup, le but pour nous est de maîtriser ces vulnérabilités.

On pourrait présenter de nombreuses vulnérabilités, comme celle de VNC qui permettait de prendre le contrôle de n'importe quelle machine (le serveur acceptait n'importe quel type d'authentification, y compris "pas d'authentification"...).

Menaces

Les sources de menaces sont nombreuses, et plus ou moins capables; on y est aussi exposé plus ou moins. On peut citer :

  • États tiers (capable +++ exposition +++)
  • Groupes cybercriminels (cap ++ expo ++)
  • Concurrents (cap ++ expo ++)
  • Délinquant seul (cap+ expo +)
  • Personnel Internet (cap + expo +++)

Quelques menaces :

  • Hameçonnage et ingénierie sociale : Attaques de masse visant à profiter de la naïveté des clients / employés pour récupérer des identifiants. Réception d'emails se faisant passer pour une banque, demandes de màj des données personnelles, connexion à un faux site identique à un site connu mais qui récupère tout ce qui est tapé... Il s'agit d'une attaque ciblée, qui peut viser des employés pour dérober directement des informations ou introduire des logiciels malveillants dans le SI. Peut passer par mail, téléphone, réseaux sociaux... Une attaque avancée peut passer par l'envoi de pièces jointes piégées : la cible annonce la comprimission, et la pirate peut alors prendre le contrôlede la machine cible, qui agit ensuite comme une tête de pont pour aller contrôler des ordinateurs rebonds.
  • Fraude Interne : sujet tabou, il est important !
    • Catégories de fraudeurs : occasionnel, récurrent (petites sommes), personne qui se fait embaucher pour effectuer une fraude, fraude en groupe
    • Vulns : Faiblesse des procédure de contrôle interne et de surveillance, gestion permissive des habilitations informatiques, absence de séparation des tâches et de rotation
    • Typologie des fraudes : Détournement des avoirs de la clientèle / de l'ets, création de fausses opérations, personne qui fausse ses objectifs pour gagner plus
  • Mots de passes faibles : ils permettent l'utilisation de scripts et de bruteforce pour casser les mots de passe. LEs mots de passe fort sont efficaces, mais peu pratique à utiliser : on peut passer par des tokens USB, matrices papier, biométrie, codes sms, one time password...
  • Intrusion par vulnérabilité (depuis Internet ou en interne) : sachant que 80% des domaines AD sont compromis en 2h, que 75% d'entre eux contiennent un compte protégé avec un mot de passe trivial, que 50% des ets sont affectées par un défaut de cloisonnement des réseaux, et que 80% des tests d'intrusion ne sont pas détectés par les équipes IT...
  • Virus : Attaques massives qui tendent à être de plus en plus ciblées sur un secteur d'activité, de plus en plus sophistiqués et furtifs... Les principaux vecteurs sont : les pièces jointes, les supports amovibles, les sites web, les partages réseau ouverts et vulnérables... Ils peuvent entraîner : trojan, récupération de données, surveillance à distance, destruction ou chiffrement des données...
  • DDoS : attaques ciblées pour saturer un site à l'aide d'un botnet. En moyenne : dure 34.5 heures, 48.25 GBPS de bande passante, 75% au niveau infrastructure et 25% au niveau application.

Droit

En France, la sécurité est organisée par le premier Ministre : Il dirige, en plus des ministères, le Secrétaire Général de la Défense et de la Sécurité Nationale (SGDSN, pilote la politique nationale de sécurité des SI)), qui dirige l'ANSSI (propose des règles pour la protection des SI de l'état, vérifie leur application, Conseil/soutient les administrations, informe le public...).Les ministères ont des Hauts Fonctionnaires de Défense et de Sécurité (HFDS) qui coordonnent la préparation des mesures de défense (Vigipirate) et sont chargé de la sécurité SI. 

La cybersécurité comprend donc la SSI + la cyberdéfesne + la cybercriminalité.

Cela couvre de nombreux domaines !

Les droits des TIC sont non codifiés, avec des dizaines de codes en vigueur, et difficiles d'accès (au carrefour des autres droits, ils sont en constante évolution, issus de textes divers et avec beaucoup de jurisprudence). Il faut donc un effort de veille juridique.

Cybercriminalité :

Actes contrevenant aux traités/lois utilisant les réseaux ou les SI comme moyen ou objet d'un délit ou d'un crime.

Investigation numérique (forensics) :

Protocoles et mesures permettant de rechercher des éléments techniques sur un conteneur de données numériques en vue de répondre à un objectif en respectant une procédure de préservation du conteneur.

La loi Godfrain de 1988 stpiule que l'accès ou le maintien frauduleux dans tout ou partie d'un système de traitement automatisé des données (STAD) est puni de 2 ans de prison et 30000€ d'amende. On tient pour preuve la notion d'accès ou de maintien, l'élément moral est qu'il faut être en connaissance de cause et sans droit. Peu importe que l'on modifie ou pas le SI, la motivation et l'orignine de l'attaque... Les cours sont intransigeantes avec les victimes ayant un systèmes mal protégé.

(cf pdf "droit").

RGPD

Les principes relatifs au traitement de données à caractère personnel sont conservés : licéité, proportionnalité, loyauté et transparence des traitements, finalité déterminée, adéquation des traitements, conservation pour une durée limitée et sécurité des données, droit à l’oubli, droit à la portabilité, « privacy by design », profilage, analyses d’impact...

Par rapport au droit des personnes :

  • Le consentement de la personne concernée/ des enfants
  • Le droit à l’information
  • Les  droits  d’accès  aux  données,  de  rectification  et à l’oubli numérique (ou droit à l’effacement des données)
  • Le droit à la limitation du traitement
  • Le droit à la portabilité des données ( données dans un format ouvert et structuré, possibilité de transmettre les données d'un prestataire à l'autre).

Les obligations du responsable de traitement sont :

  • La notion de responsabilité (« accountability ») (art 5 et 24)
  • La protection des données dès la conception ou “privacy by design” (art. 25)
  • Les règles de profilage (art. 22)
  • L’obligation de sécurité (art. 32 à 34) : mesures techniques (voir recommandations ANSSI) et organisationnelles (pseudonymisation) adaptés pour la sécurité et la sûreté. Doivent être vérifiées comme efficaces.  Il faut notifier la CNIL au plus tard 72h après prise de connaissance d'une faille, en mettant en place une proécdure analysant l'efficacité des mesures mises en oeuvres (nature/volupétrie des données, conséquences, mesures prises et contact local...). Prévoir de rétablir l'accès et la disponiblité dans des délais appropriés.
  • Les analyses d’impact relatives à la protection des données (art. 35)
  • Les transferts de données entre pays membres est possibles, ainsi que vers les payas non membres satisfaisant aux critères du RGPD. Pour les Etats-Unis, seules les sociétés ayant choisi de se conformer aux  principes  du  Privacy  Shield  (adéquation  négociée)  sont concernées (remplace Safe Arbor) et soumises à contrôles annuels:–accès aux données personnelles par les autorités américaines encadré et transparent.–accès généralisé aux données est expressément interdit (Code du commerce vs Patriot Act ?)Exceptions à l’interdiction : consentement explicite (ou incapacité de la personne), intérêts vitaux, justice, intérêt public, contrat (achat)

Le rôle de la CNIL

C'est une autorité de contrôle indépendante, en charge de l'application du règlement en France. Elle sensibilise le public et conseille le gouvernement/parlement; traite les réclamations; coopère avec ses homologues européens.

Dans la protection des données à caractère personnel :

  • Enquête  et  audit  avec tous  pouvoirs  sur  la  mise  à disposition des documents et données mis à disposition
  • Notifie les violations, ordonne la mise en conformité (en imposant une limitation ou interdiction de traitement)
  • Impose  une amende  administrative  (jusqu’à  10  à  20 millions d’€ et de 2 à 4 % du CA mondial de l’exercice précédent)
  • Ex : arrêt de l’envoi de données à un pays tiers

Le DPO / DPD (Délégué à la Protection des Données)

Il remplace le correspondant CIL (Informatique et Libertés). Uniquement pour les entreprises ayant pour activité de base la gestion de données personnelles à grande échelle ou le contrôle et suivi du comportement des personnes (y compris le profilage).

Récupérée de « https://wiki.squi.fr/index.php?title=Cybersécurité_:_Notions_de_base&oldid=610 »