—Les concepts principaux —
Univers Cyber
Risques et menaces
De même que le propriétaire d’une maison individuelle fera, sans méthodologie particulière, la liste des menaces qui pèsent sur sa propriété afin de la protéger au mieux, le responsable d’un système d’information se doit d’évaluer les vulnérabilités qui pourraient affecter le fonctionnement de ce système.
Il va donc procéder à une évaluation précise du périmètre technique et métier qu’il veut protéger et déterminera alors les évènements qui pourraient entrainer un dysfonctionnement quelconque des services opérés dans ce périmètre.
Ces menaces (ou « évènements redoutés ») peuvent résulter de causes diverses : est-ce un attaquant externe qui cherche à s’emparer de données sensibles, est-ce un employé de la compagnie qui fait une erreur de manipulation, est-ce une fragilité particulière dans le circuit d’alimentation de l’infrastructure qui provoquerait un arrêt des serveurs ?
Faiblesses et menaces connues, le responsable peut calculer les risques pèsent sur le SI : c’est en effet la conjonction d’une vulnérabilité et d’une menace pouvant l’exploiter qui crée le risque !
Il lui faut alors maintenant imaginer les scenarios qui permettraient d’activer le risque pour commencer à envisager les mesures de protection nécessaires :
• Peut-on annuler ou diminuer le risque en ajoutant des éléments matériels ou logiciels ?
• En formant mieux le personnel ?
• En contrôlant plus régulièrement le data center ?
Toutes les étapes de cette procédure peuvent aujourd’hui s’appuyer sur des méthodologies robustes d’analyse des risques, telles qu’AMDEC ou EBIOS.
Univers Cyber
Tactiques d'attaque
Les cybercriminels peuvent tenter d’exploiter les vulnérabilités des systèmes en suivant diverses tactiques, selon qu’ils visent un individu particulier (ex. le dirigeant d’une société), un groupe de personnes (ex. le département Achats d’un grand groupe ou des concessionnaires automobiles) ou le maximum de personnes.
- Des faiblesses humaines en envoyant mails ou SMS frauduleux (phishing / smishing), plus ou moins ciblés selon la ou les cibles visées (spearphishing), en tentant de soutirer des informations sensibles pour compromettre un compte (ex. attaque en force brute du mot de passe protégeant le compte bancaire d’une société) ou en élaborant un scenario complexe dans lequel ils imitent la voix ou l’image d’une personne (deepfake pour fraude au président).
- Des faiblesses techniques en contournant des mesures de protection des réseaux pour injecter des logiciels malveillants dans les systèmes visés (ex. rançongiciel, logiciel espion ou outil d’exfiltration de données), en initiant l’installation volontaire d’un logiciel malveillant par un personnel autorisé (ex. Cheval de Troie déguisé en logiciel légitime) ou l’ouverture d’un document infecté.
- Des faiblesses structurelles en perturbant ou bloquant les systèmes visés (ex. bombardement de requêtes dans une attaque DDoS), en manipulant les protocoles de communication (ex. attaque par l’Homme du Milieu qui permet d’intercepter des communications).
Toutes ces méthodes sont étudiées par nos experts, qui les pratiquent eux-mêmes sur des systèmes de tests afin d’en comprendre tous les rouages et maintenir leur expertise par une veille quasi-quotidienne.
Univers Cyber
Techniques d'atténuation
Pour atténuer l’impact que pourrait avoir un incident de sécurité, plusieurs outils sont à la disposition des responsables.
- La formation :
La connaissance étant la première des armes, un personnel correctement formé et régulièrement sensibilisé aux nouvelles menaces deviendra rapidement le premier rempart de défense de l’entreprise ! Comprendre le vocabulaire de la sécurité numérique, percer les ruses des cybercriminels pour lui dérober des informations ou lui faire installer un logiciel malveillant sont des atouts précieux pour éviter qu’un attaquant ne puisse utiliser une faille dans le système d’information. - La compartimentation :
Elle se traduit par des précautions techniques, comme la diversification des modèles d’équipements de sécurité, ou procédurales comme la répartition des rôles et des privilèges entre plusieurs administrateurs. - Les Procédures :
Être prêt à supporter un évènement majeur, être prêt à le résoudre et reprendre une activité normale, tout cela se prépare *avant* de le subir, se documente et se partage ! Parfois considérés dans les petites entreprises comme de la paperasse chronophage, les Plan de Continuité d’Activité (PCA) et Plan de Reprise d’Activité (PRA) sont pourtant des garde-fous importants pour ne pas se laisser emporter par la panique et le découragement quand on subit une cyberattaque !
Trust & Cie peut vous fournir des formations sur-mesure et l’assistance nécessaire pour augmenter votre résilience face aux dangers de la vie numérique.
Univers Cyber
Audit
Autrefois vécu comme un contrôle fiscal, l’audit est aujourd’hui un moyen de contrôle normalisé des capacités d’une organisation à protéger l’information qu’elle génère ou détient. Portant sur plusieurs volets de ces capacités, l’audit peut se concentrer sur les procédures mises en place, les mesures techniques déployées ou la résistance des composants du système d’information.
Les auditeurs s’appuient sur plusieurs référentiels selon le type d’audit retenu ISO 2700x, guide OWASP, guide d’hygiène informatique de l’ANSSI, etc. et vont contrôler a minima que :
• Les méthodes de protection de l’information sont documentées.
• Les documents identifiés sont correctement implémentés.
• Les personnes habilitées à développer et configurer le SI disposent des compétences nécessaires.
• L’infrastructure est suffisamment robuste pour résister aux principales menaces.
Le rapport d’audit présentera alors des vues synthétique et détaillée des vulnérabilités détectées et des conseils pour les corriger. L’organisation auditée dispose ainsi d’une photo instantanée de son niveau de sécurité et des éléments nécessaires pour concevoir son plan d’amélioration et de suivi.
— Trust & Cie s’est engagée dans une démarche de qualification PASSI pour vous offrir le meilleur niveau de service dans ses prestations d’audit.
Trust&Cie est un cabinet d’audit
spécialisé dans la sécurité numérique.
Plan du site —
Contact —
Centre d’Affaires Alta Rocca, Bât A,
1120 route de Gémenos
13400 Aubagne
(+33) 7 56 944 007
—
contact@trustandcie.fr
Nous suivre —
Mentions légales I Politique de confidentialité I © TRUST&CIE 2023