Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sensibilisation et initiation à la sécurité Module 1 : notions de base Plan du

Sensibilisation et initiation à la sécurité Module 1 : notions de base Plan du module 1. Les enjeux de la sécurité des S.I. 2. Les besoins de sécurité 3. Notions de vulnérabilité, menace, attaque 4. Panorama de quelques menaces 5. Le droit des T.I.C. et l’organisation de la sécurité Sensibilisation et initiation à la cybersécurité 2 17/10/2022 Sensibilisation et initiation à la cybersécurité 3 1. Les enjeux de la sécurité des S.I. a) Préambule b) Les enjeux c) Pourquoi les pirates s’intéressent aux S.I. ? d) La nouvelle économie de la cybercriminalité e) Les impacts sur la vie privée f) Les infrastructures critiques g) Quelques exemples d’attaques 1. Les enjeux de la sécurité des S.I. • Système d’Information (S.I.) – Ensemble des ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d’une organisation – Mot clé : information, c’est le « nerf de la guerre » pour toutes les entreprises, administrations, organisations, etc. 17/10/2022 Sensibilisation et initiation à la cybersécurité 4 a. Préambule Le S.I. doit permettre et faciliter la mission de l’organisation 1. Les enjeux de la sécurité des S.I. • Le système d’information d’une organisation contient un ensemble d’actifs : 17/10/2022 Sensibilisation et initiation à la cybersécurité 5 a. Préambule personne site matériel réseau logiciel organisation actifs primordiaux actifs supports processus métiers et informations ISO/IEC 27005:2008 La sécurité du S.I. consiste donc à assurer la sécurité de l’ensemble de ces biens 1. Les enjeux de la sécurité des S.I. • La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour limiter leurs impacts sur le fonctionnement et les activités métiers des organisations… • La gestion de la sécurité au sein d’un système d’information n’a pas pour objectif de faire de l’obstruction. Au contraire : – Elle contribue à la qualité de service que les utilisateurs sont en droit d’attendre – Elle garantit au personnel le niveau de protection qu’ils sont en droit d’attendre 17/10/2022 Sensibilisation et initiation à la cybersécurité 6 b. Les enjeux 1. Les enjeux de la sécurité des S.I. 17/10/2022 Sensibilisation et initiation à la cybersécurité 7 b. Les enjeux Impacts financiers Impacts juridiques et réglementaires Impacts organisationnels Impacts sur l’image et la réputation Sécurité des S.I. 1. Les enjeux de la sécurité des S.I. • Les motivations évoluent – Années 80 et 90 : beaucoup de bidouilleurs enthousiastes – De nos jours : majoritairement des actions organisées et réfléchies • Cyber délinquance – Les individus attirés par l’appât du gain – Les « hacktivistes » – Motivation politique, religieuse, etc. – Les concurrents directs de l’organisation visée – Les fonctionnaires au service d‘un état – Les mercenaires agissant pour le compte de commanditaires – … 17/10/2022 Sensibilisation et initiation à la cybersécurité 8 c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou au PC d’individus ? 1. Les enjeux de la sécurité des S.I. • Gains financiers (accès à de l’information, puis monétisation et revente) – Utilisateurs, emails – Organisation interne de l’entreprise – Fichiers clients – Mots de passe, N° de comptes bancaire, cartes bancaires • Utilisation de ressources (puis revente ou mise à disposition en tant que « service ») – Bande passante & espace de stockage (hébergement de musique, films et autres contenus) – Zombies (botnets) • Chantage – Déni de service – Modifications des données • Espionnage – Industriel / concurrentiel – Étatique • … 17/10/2022 Sensibilisation et initiation à la cybersécurité 9 c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou au PC d’individus ? 1. Les enjeux de la sécurité des S.I. • Une majorité des actes de délinquance réalisés sur Internet sont commis par des groupes criminels organisés, professionnels et impliquant de nombreux acteurs 17/10/2022 Sensibilisation et initiation à la cybersécurité 10 d. La nouvelle économie de la cybercriminalité 1 2 3 4 5 des groupes spécialisés dans le développement de programmes malveillants et virus informatiques des groupes en charge de l’exploitation et de la commercialisation de services permettant de réaliser des attaques informatiques un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des hébergeurs malhonnêtes soit des hébergeurs victimes eux-mêmes d’une attaque et dont les serveurs sont contrôlés par des pirates des groupes en charge de la vente des données volées, et principalement des données de carte bancaire des intermédiaires financiers pour collecter l’argent qui s’appuient généralement sur des réseaux de mules 1. Les enjeux de la sécurité des S.I. • Quelques chiffres pour illustrer le marché de la cybercriminalité… 17/10/2022 Sensibilisation et initiation à la cybersécurité 11 d. La nouvelle économie de la cybercriminalité le prix moyen de commercialisation des numéros de cartes bancaires en fonction du pays et des plafonds le tarif moyen de location pour 1 heure d’un botnet, système permettant de saturer un site internet le prix de commercialisation du malware « Citadel » permettant d’intercepter des numéros de carte bancaire (+ un abonnement mensuel de 125 $ ) de 2 à10 $ 2.399 $ 5 $ 1. Les enjeux de la sécurité des S.I. • Impact sur l’image / le caractère / la vie privée – Diffamation de caractère – Divulgation d’informations personnelles – Harcèlement / cyber-bullying • Usurpation d’identité – « Vol » et réutilisation de logins/mots de passe pour effectuer des actions au nom de la victime • Perte définitive de données – malware récents (rançongiciel) : données chiffrées contre rançon – connexion frauduleuse à un compte « cloud » et suppression malveillante de l’ensemble des données • Impacts financiers – N° carte bancaire usurpé et réutilisé pour des achats en ligne – Chantage (divulgation de photos ou d’informations compromettantes si non paiement d’une rançon) 17/10/2022 Sensibilisation et initiation à la cybersécurité 12 e. Les impacts de la cybercriminalité sur la vie privée (quelques exemples) Ces impacts – non exhaustifs – ne signifient pas qu’il ne faut pas utiliser Internet, loin de là ! Il faut au contraire apprendre à anticiper ces risques et à faire preuve de discernement lors de l’usage d’Internet/smartphones… 1. Les enjeux de la sécurité des S.I. • Infrastructures critiques = un ensemble d’organisations parmi les secteurs d’activité suivants, et que l’État français considère comme étant tellement critiques pour la nation que des mesures de sécurité particulières doivent s’appliquer – Secteurs étatiques : civil, justice, militaire… – Secteurs de la protection des citoyens : santé, gestion de l’eau, alimentation – Secteurs de la vie économique et sociale : énergie, communication, électronique, audiovisuel, information, transports, finances, industrie. • Ces organisations sont classées comme Opérateur d’Importance Vitale (OIV). La liste exacte est classifiée (donc non disponible au public). 17/10/2022 Sensibilisation et initiation à la cybersécurité 13 e. Les impacts de la cybercriminalité sur les infrastructures critiques 1. Les enjeux de la sécurité des S.I. 17/10/2022 Sensibilisation et initiation à la cybersécurité 14 g. Quelques exemples d’attaques 1. Les enjeux de la sécurité des S.I. 17/10/2022 Sensibilisation et initiation à la cybersécurité 15 g. Quelques exemples d’attaques 1. Les enjeux de la sécurité des S.I. • GOP pour Guardian of Peace • Des données internes ont été publiées contenant : – les numéros de sécurité sociale et les numérisations de passeport appartenant aux acteurs et directeurs. – des mots de passe internes – des scripts non publiés – des plans marketing – des données légales et financières – et 4 films entiers inédits • La probabilité de vol d’identité est très forte désormais pour les personnes dont les informations ont été publiées. • Les studios concurrents de Sony, ont une visibilité sur les plans stratégiques de Sony. 17/10/2022 Sensibilisation et initiation à la cybersécurité 16 Sony Pictures Entertainment « Si vous n’obéissez pas, nous publierons au monde les informations suivantes ». Ce message était affiché sur plusieurs ordinateurs de Sony Pictures Entertainment le 24 nov 2014 http://www.tomsguide.com/us/biggest-data-breaches,news-19083.html La source de l’attaque reste à déterminer. La Corée du Nord est soupçonnée d’être à l’origine de l’attaque. 1. Les enjeux de la sécurité des S.I. • L’année 2014 a été l’année de tous les records en matière de fuite de données. • Infographie réalisée par www.silicon.fr 17/10/2022 Sensibilisation et initiation à la cybersécurité 17 Vols de données en 2014 1. Les enjeux de la sécurité des S.I. 17/10/2022 Sensibilisation et initiation à la cybersécurité 18 Quelques exemples d’attaques ciblant l’enseignement Défacement de site Vol de données personnelles 1. Les enjeux de la sécurité des S.I. 17/10/2022 Sensibilisation et initiation à la cybersécurité 19 Quelques exemples d’attaques ciblant l’enseignement Rebond pour fraude externe Vol de données professionnelles 1. Les enjeux de la sécurité des S.I. 17/10/2022 Sensibilisation et initiation à la cybersécurité 20 Quelques exemples d’attaques, ce qui pourrait arriver Cyberattaques sur la voiture connectée envisagées à l’horizon 2020 Exemple : Prise de contrôle du système de frein Déploiement des smart grid prévu à l’horizon 2030 Exemple : Blackout sur une grille. 17/10/2022 Sensibilisation et initiation à la cybersécurité 21 2. Les besoins de sécurité a) Introduction aux critères DIC b) Besoin de sécurité : « Preuve » c) Différences entre sureté et sécurité d) Exemple d’évaluation DICP e) Mécanisme uploads/Management/ module-1-notions-de-base-v3 1 .pdf