Web

La sécurité sur internet

Hacking :

  • Détournement de la fonction première
  • Recherche de failles de sécurité
  • Détournement du système

 

Piratage :

  • Action malveillante = On cherche à nuire
  • Mettre un virus, vol d’information
  • ping call = c’est un appel et ça raccroche tout de suite
  • Terrorisme
  • Espionnage industriel
  • Ransomware, rançongiciel ou logiciel de rançon est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

https://www.avast.com/fr-fr/c-ransomware

 

Hacker

  • Il essaie de comprendre et voir si on peut passer au travers du filet
  • Il peut être blanc ou noir

 

Cybersécurité

  • RSSI : Le responsable de la sécurité des systèmes d’information (RSSI ; en anglais, Chief information security officer ou CISO) d’une organisation (entreprise, association ou institution) est l’expert qui garantit la sécurité, la disponibilité et l’intégrité du système d’information et des données.

https://www.ysosecure.com/securite-information/role-rssi.html

  • Analyse de vulnérabilité

 

Attaque

  • Action malveillante
  • ebios : La méthode EBIOS est une méthode d’évaluation des risques en informatique, développée en 1995 par la Direction centrale de la sécurité des systèmes d’information (DCSSI) et maintenue par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui lui a succédé en 2009.

https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/

 

Mécanisme de défense

  • Chiffrement : Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de chiffrement. Ce principe est généralement lié au principe d’accès conditionnel.

https://www.cnil.fr/fr/comprendre-les-grands-principes-de-la-cryptologie-et-du-chiffrement

  • Signature numérique : Le paradigme de signature électronique (appelé aussi signature numérique) est un procédé permettant de garantir l’authenticité de l’expéditeur (fonction d’authentification) et de vérifier l’intégrité du message reçu. La signature électronique assure également une fonction de non-répudiation, c’est-à-dire qu’elle permet d’assurer que l’expéditeur a bien envoyé le message (autrement dit elle empêche l’expéditeur de nier avoir expédié le message).

http://www.commentcamarche.net/contents/212-signature-electronique

  • Notarisation : Enregistrement des éléments (contenu d’un message, son origine, sa date, sa destination, clefs etc.) d’une transaction entre deux parties chez un tiers de confiance, qui pourra par la suite en garantir l’exactitude.

https://www.akaoma.com/ressources/glossaire-securite-informatique/293-notarisation

  • Contrôle d’accès : Le contrôle d’accès centralisé, (CENTAUR®, TERENA®…) permet de gérer et sécuriser, un ou plusieurs sites, à distance ou en local, sur une ou plusieurs portes via des lecteurs multitechnologies® (RFID 125 Khz, 13,56 Mhz…)
  • Ces systèmes intègrent les remontées d’évènements (contrôle de fermeture complète des portes, accès autorisé ou refusé, tentative d’effraction…) et les interactions vers d’autres systèmes (vidéo protection, alarmes anti-intrusion, logiciels de gestion de paie, bases de données annexes, gestion ascenseurs et parking…)

http://cdvi.com/Internet/Catalogue/Gamme/Controle-d-acces-centralise

  • Contrôle de routage

 

  • Contrôle d’accès aux communications
  • Horodatage : L’horodatage électronique consiste à apposer à tout type de fichier numérique (fichier texte, audio, vidéo, etc) une heure et une date faisant juridiquement foi sous la forme d’un sceau électronique.

https://www.universign.eu/fr/visite-guidee/horodatage/

  • Certification : La certification est une procédure destinée à faire valider par un organisme agréé indépendant la conformité du système qualité d’une organisation à partir d’un référentiel de qualité officiel et reconnu.

https://www.iso.org/fr/certification.html

  • Distribution de clefs : Le chiffrement symétrique (aussi appelé chiffrement à clé privée ou chiffrement à clé secrète) consiste à utiliser la même clé pour le chiffrement et le déchiffrement.

http://www.commentcamarche.net/contents/200-cryptage-a-cle-privee-ou-clef-secrete

  • Authentification
  • Protection physique

 

Procédures de sécurités :

  • Définir le domaine à protéger
  • Définir l’architecture & politique de sécurité
  • Plan de réponse après incident
  • Charte bon comportement
  • Procédure intégration
  • etc.

 

Facteur humain

rf ouvrages de David Dumas

  • Amener quelqu’un à faire quelque chose
  • Respect des règles de sécurité
  • Compréhension de l’utilité des règles
  • Ingénierie sociale exemple : se faire passer pour un collègue pour arriver à ses fins
  • etc.

 

Virus Informatique

  • Ne pas ouvrir n’importe quoi

En savoir plus sur la prévention :

 

DDos

Une attaque par déni de service (en anglais, denial of service attack [DoS] ou distributed denial of service attack [DDoS] ) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser.

https://www.ssi.gouv.fr/uploads/2015/03/NP_Guide_DDoS.pdf

 

Malwares

  • Backdoor https://lesvirus.fr/les-backdoors/
  • Downloader
  • Ransomware : Un ransomware, rançongiciel ou logiciel de rançon est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

https://www.avast.com/fr-fr/c-ransomware

 

Règles générales de sécurités :

  • Déconnecter d’internet les périphériques n’en ayant pas besoin
  • Ne pas ouvrir n’importe quoi (e-mails, attention aux fishing)
  • loggin & mot de passe sur chaque machine (avec un bon mot de passe https://www.dashlane.com/fr/features/password-generator )
  • Utiliser ACL
  • Contrôler employés (habitudes, formation à la sécu, charte informatique)
  • Ne pas utiliser d’outils en ligne
  • Attentions aux médias (source non sûre d’info)

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.