Chap 7
Chap 7
Chap 7
A.CHERIFI
ORAN 2024
Chapitre-07
Gestion d'un réseau sécurisé
Sécurité opérationnelle
Tous les réseaux sont vulnérables aux attaques si les pratiques de sécurité opérationnelle ne sont pas suivies
lors de la planification, de la mise en œuvre, de l'exploitation et de la maintenance du réseau.
Le processus de planification se compose de phases où l'équipe opérationnelle analyse la conception, identifie
les risques et les vulnérabilités et apporte les modifications si nécessaires.
Une la maintenance nécessaire pour garantir que les environnements, les systèmes et les applications peuvent
continuer à fonctionner correctement et en toute sécurité.
Certaines techniques de tests de sécurité sont manuelle, tandis que d'autres sont hautement automatisées
IPS
Les tests doivent être répétés régulièrement et après toute modifications du système.
Les tests sur les systèmes protégeant des informations ou des hôtes critiques, sont plus fréquent.
Chapitre-11
Types de tests de réseau
Tests d'intrusion
Tests qui simule des attaques. Vérifier la faisabilité et les conséquences d’une attaque.
Analyse réseau
Inclut le ping / analyser les ports TCP / écouter et d'afficher les types de ressources disponibles sur le réseau.
Certains logiciels d'analyse peuvent également détecter les noms d'utilisateurs, les groupes et les ressources partagées.
Logiciel de détection des vulnérabilités potentielles dans les systèmes testés. Ces vulnérabilités peuvent inclure des erreurs
de configuration, des mots de passe vides ou par défaut, ou des cibles potentielles pour des attaques DoS.
Logiciel pour tester et détecter les mots de passe faibles qui doivent être modifiés. Les politiques de mots de passe
doivent inclure des directives pour empêcher la définition de mots de passe faibles.
Examen des journaux
On doit examiner les journaux de sécurité pour identifier les menaces de sécurité potentielles. Les activités inhabituelles
doivent être étudiées à l'aide d'un logiciel de filtrage pour analyser les fichiers journaux volumineux.
Vérificateur d'intégrité
Les systèmes de contrôle d'intégrité détectent et signalent les modifications apportées au système et se concentrent sur
les systèmes de fichiers. Les systèmes d’inspection peuvent signaler les connexion et déconnexion.
Détection de virus
Un logiciel de détection de virus peut être utilisé pour identifier et supprimer les virus et autres logiciels malveillants.
Appliquer les résultats des tests réseau
• Un référence pour suivre les progrès d'une organisation dans la satisfaction des exigences de sécurité
• Effectuer une analyse des coûts et des avantages pour améliorer la cybersécurité
SuperScan
Logiciel d'analyse de ports utilisé pour détecter les ports TCP et UDP ouverts, identifier les services exécutés sur ces
ports et exécuter diverses requêtes telles que des recherches whois, ping, traceroute et nom d'hôte.
GFI LANguard
Scanner réseau et sécurité pour détecter les vulnérabilités
Outils de test de réseau
Tripwire
Évaluez et validez les configurations informatiques par rapport aux politiques internes, aux normes de conformité et aux
meilleures pratiques de sécurité
Nessus
Logiciel d'analyse des vulnérabilités axé sur l'accès à distance, les erreurs de configuration et les attaques DoS contre la
pile de protocoles TCP/IP.
L0phtCrack
Application d'audit et de récupération de mots de passe.
Metasploit
Fournit des informations sur les vulnérabilités et aide aux tests d'intrusion et au développement de signatures IDS.
Outils de test de réseau
SuperScan est un outil d'analyse de port Microsoft Windows. La version 4 offre des fonctionnalités utiles :
Analyse médico-légale :
possibilité de rechercher des journaux et des enregistrements d'événements à partir de sources au sein de l'organisation
afin de fournir des informations plus complètes pour l'analyse médico-légale.
Corrélation :
examinez les journaux et les événements de différents systèmes ou applications pour accélérer la détection et la réponse
aux menaces de sécurité.
Agrégation
L'agrégation réduit la quantité de données d'événement en fusionnant les enregistrements d'événements en double.
Rétention :
les rapports fournissent des données d'événement agrégées pertinentes dans le cadre d'une surveillance en temps réel et
de résumés à long terme.
Outils de test de réseau
SIEM fournit des informations détaillées sur la source de l’activité suspecte, notamment :
Informations utilisateur
(nom, statut d'authentification, emplacement, groupe d'autorisation, statut d'isolement)
Informations sur l'appareil
(fabricant, modèle, version du système d'exploitation, adresse MAC, méthode de connexion réseau, emplacement).
Informations d'évaluation de la sécurité
(conformité des appareils aux politiques de sécurité de l'entreprise, version du logiciel antivirus, correctifs du système
d'exploitation, conformité aux politiques de gestion des appareils mobiles)
Déterminez quels sont les actifs de votre organisation en posant les questions suivantes :
Les systèmes de cybersécurité contribuent à protéger ces actifs, mais les systèmes de sécurité ne peuvent à eux seuls
empêcher la compromission des actifs.
Si la communauté des utilisateurs finaux n’adhère pas aux politiques et procédures de sécurité, les systèmes de sécurité
techniques, administratifs et physiques ne seront pas à la hauteur.
Stratégie de sécurité
Une stratégie de sécurité complète accomplit plusieurs tâches :
Les politiques de sécurité spécifient également les mécanismes requis pour répondre aux exigences de sécurité
fournissent la base de référence par rapport à laquelle les systèmes et réseaux informatiques sont acquis, configurés et
audités pour leur conformité.
les politiques de sécurité peuvent inclure :
Ce composant définit ce que l'utilisateur est et n'est pas autorisé à faire sur divers composants du système.
Cela inclut les types de trafic autorisés sur le réseau.
L'AUP doit être aussi claire et sans ambiguïté que possible pour éviter les malentendus.
Public des politiques de sécurité
Le public interne comprend une variété de personnes telles que des gestionnaires et des superviseurs, des départements
et des unités commerciales, du personnel technique et des employés.
Le public externe, comprenant des partenaires, des clients, des fournisseurs, des consultants et des entrepreneurs.
Un seul document ne répondra probablement pas aux besoins de l’ensemble du public d’une grande organisation.
Le public détermine le contenu de la stratégie. Par exemple, dans une politique destinée aux techniciens, il n’est peut-être
pas nécessaire de décrire les raisons pour lesquelles quelque chose est inclus.
Politique de gouvernance
Elle décrit les objectifs globaux de sécurité de l'entreprise pour les gestionnaires et le personnel technique.
Il couvre les interactions de la sécurité entre les unités commerciales et les services supports d'une entreprise.
La stratégie de gestion est alignée sur la stratégie existante de l'entreprise et est au même niveau d'importance
que les autres stratégies.
Cela inclut les politiques de ressources humaines et les politiques qui traitent des problèmes liés à la sécurité
tels que le courrier électronique, l'utilisation de l'ordinateur ou des sujets informatiques connexes.
Politique générale :
comprend l'AUP, la politique de demande d'accès au compte, la politique d'évaluation des acquisitions, la
politique d'audit, la politique de confidentialité des informations, la politique d'évaluation des risques et la
politique globale du serveur Web.
Politique de téléphonie
Définissez les politiques d'utilisation des lignes téléphoniques et de fax de l'entreprise.
Politique réseau :
comprend la politique extranet, les exigences minimales en matière de politique d'accès au réseau, les normes
d'accès au réseau, la politique de sécurité des routeurs et des switchs et la politique de sécurité du serveur.
Politique d'application :
inclut les politiques de chiffrement acceptables, les politiques de fournisseur de services d'application (ASP),
les politiques de codage des informations d'identification de base de données, les politiques de
communication inter-processus, les politiques de sécurité du projet et les politiques de protection du code
source. On inclure aussi des politiques de communications sans fil qui définissent des normes pour les
systèmes sans fil connectés au réseau.
Stratégie technologique
Politique réseau :
comprend la politique extranet, les exigences minimales en matière de politique d'accès au réseau, les normes
d'accès au réseau, la politique de sécurité des routeurs et des switchs et la politique de sécurité du serveur.
Politique d'application :
inclut les politiques de chiffrement acceptables, les politiques de fournisseur de services d'application (ASP),
les politiques de codage des informations d'identification de base de données, les politiques de
communication inter-processus, les politiques de sécurité du projet et les politiques de protection du code
source. On inclure aussi des politiques de communications sans fil qui définissent des normes pour les
systèmes sans fil connectés au réseau.
Stratégie de l'utilisateur final
Elle couvre les règles de sécurité des informations que les utilisateurs finaux doivent connaître et suivre.
Pour faciliter leur utilisation, ces politiques sont souvent regroupées en un seul document.
Les politiques des utilisateurs finaux peuvent chevaucher les politiques techniques, et peuvent inclure :
Politique d'identité
Établir les règles et pratiques utilisées pour protéger le réseau d'une organisation contre les accès non autorisés. Ces
pratiques contribuent à réduire le risque que des informations d’identification tombent entre de mauvaises mains.
Politique antivirus
cette politique définit des normes pour protéger le réseau d'une organisation contre toute menace liée aux virus, vers
ou chevaux de Troie.
Des politiques d'utilisateur final sont requises pour plusieurs groupes cibles différents,. Chaque groupe devra peut-
être se mettre d'accord sur différentes politiques d'utilisateur final. Par exemple, la politique d'utilisateur final d'un
employé peut différer de celle d'un client.
Document de politique de sécurité
Le personnel de sécurité utilise une documentation détaillée pour mettre en œuvre les politiques de
sécurité. Il s’agit notamment de normes, de lignes directrices et de documents procéduraux.
Les normes, directives et procédures contiennent les détails réels définis dans la politique.
Chaque document offre des fonctionnalités différentes, couvre des spécifications différentes et cible des
publics différents. Garder les documents séparés facilite leur mise à jour et leur maintenance.
Documents standards
Les normes aident le personnel informatique à maintenir la cohérence dans l’exploitation de leurs
réseaux. Les documents de normes incluent la technologie requise pour une utilisation spécifique, les
exigences de contrôle des versions matérielles et logicielles, les exigences procédurales et toute autre norme
organisationnelle qui doit être respectée.
Cela aide le personnel à devenir plus efficace et simplifie la conception, la maintenance et le dépannage.
L'un des principes de sécurité les plus importants est la cohérence. Il est donc nécessaire que les
organisations élaborent des normes. Chaque organisation développe des normes pour prendre en charge son
environnement opérationnel unique.
Par exemple, si une organisation prend en charge un déploiement de 100 routeurs, ces 100 routeurs doivent
être configurés à l'aide de normes établies. Définissez les normes de configuration des appareils dans la
partie technique de la politique de sécurité de votre organisation.
Document d'orientation
Le guide donne des conseils sur la manière d'améliorer la productivité et la sécurité au travail. Elles sont
similaires aux normes, mais plus flexibles et généralement non obligatoires.
Des lignes directrices peuvent être utilisées pour définir la manière dont les normes sont élaborées et garantir
le respect de la politique de sécurité globale.
Certaines des orientations les plus utiles peuvent être trouvées dans des référentiels organisationnels connus
sous le nom de « meilleures pratiques ». Outre les meilleures pratiques spécifiées par l’organisation, des
conseils sont disponibles auprès des sources suivantes :
Document d'orientation
Le guide donne des conseils sur la manière d'améliorer la productivité et la sécurité au travail. Elles sont
similaires aux normes, mais plus flexibles et généralement non obligatoires.
Des lignes directrices peuvent être utilisées pour définir la manière dont les normes sont élaborées et garantir
le respect de la politique de sécurité globale.
Certaines des orientations les plus utiles peuvent être trouvées dans des référentiels organisationnels connus
sous le nom de « meilleures pratiques ». Outre les meilleures pratiques spécifiées par l’organisation, des
conseils sont disponibles auprès des sources suivantes :
Centre de ressources sur la sécurité informatique du National Institute of Standards and Technology (NIST)
La documentation procédurale est plus longue et plus détaillée que les normes et les lignes directrices. La
documentation du programme comprend des détails de mise en œuvre, comprenant souvent des instructions
et des diagrammes étape par étape.
L’exemple c’est de manuel de procédures de vol contenant des instructions étape par étape que les pilotes
doivent suivre avant de décoller.
De même, les techniciens réseau se réfèrent aux procédures acceptées par l'organisation pour déployer en
toute sécurité de nouveaux commutateurs de couche 2 au sein de l'infrastructure réseau.
Les grandes organisations doivent utiliser une documentation procédurale pour maintenir la cohérence de
déploiement nécessaire pour obtenir un environnement sécurisé.
Structure hiérarchique organisationnelle
Tout le monde dans une organisation, du PDG au nouvel employé, est considéré comme un utilisateur final
du réseau et doit se conformer aux politiques de sécurité de l'organisation.
Le travail de développement et de maintenance des politiques de sécurité est délégué à des rôles spécifiques
au sein du service informatique.
La direction exécutive doit toujours être consultée lors de l’élaboration d’une stratégie de sécurité afin de
garantir que la stratégie est complète, cohérente et juridiquement contraignante.
Les petites organisations ne peuvent avoir qu'un seul poste de direction chargé de superviser tous les aspects
des opérations, y compris les opérations du réseau.
Les grandes organisations peuvent diviser les tâches de gestion en plusieurs postes. Les activités et la
structure hiérarchique d'une organisation dépendent de sa taille et de son secteur d'activité.
Titres de direction courants
Directeur de l'information (CIO) - Responsable de tous les systèmes informatiques et informatiques qui
soutiennent les objectifs de l'entreprise. Guider le déploiement réussi de nouvelles technologies et de
nouveaux flux de travail. Dans les petites et moyennes organisations, ce rôle est souvent combiné avec celui
du CTO. Le CIO dirige les efforts de développement de processus et de pratiques pour soutenir le flux
d’informations.
Titres de direction courants
Développe, met en œuvre et gère les politiques et procédures de sécurité de l'organisation. Diriger le
développement de tout processus lié aux opérations commerciales, y compris les processus de protection de
la propriété intellectuelle. Les OSC doivent limiter leur responsabilité dans tous les domaines, y compris le
risque financier, le risque physique et le risque personnel.
Si les utilisateurs finaux n’adhère pas aux politiques de sécurité, il est facile de compromettre la sécurité
technique, administrative et physique, même si ce n’est pas intentionnel.
Les dirigeants doivent élaborer un plan pour sensibiliser tout le monde aux questions de sécurité et enseigner
aux employés comment travailler ensemble pour maintenir la sécurité de leurs données.
Il doit reflèter les besoins commerciaux de l'organisation, alignés sur les risques connus.
Il informe les utilisateurs de leurs responsabilités en matière de sécurité informatique et explique les règles de
conduite lors de l'utilisation des systèmes et données informatiques au sein de l'entreprise.
Le plan doit expliquer toutes les politiques et procédures de sécurité informatique. Un programme de
sensibilisation à la sécurité est essentiel à la réussite financière de toute organisation.
programme de sensibilisation à la sécurité
Il diffuse les informations dont tous les utilisateurs finaux ont besoin pour gérer efficacement leur
entreprise, protégeant ainsi les organisations contre la perte de capital intellectuel, de données critiques et
même d'équipement physique.
Les campagnes de sensibilisation à la sécurité ciblent généralement tous les niveaux d'une organisation, y
compris les postes de direction. Les efforts de sensibilisation à la sécurité visent à modifier les
comportements ou à renforcer les bonnes pratiques de sécurité. Sensibilisation telle que définie dans la
publication spéciale NIST 800-16 :
"La sensibilisation n'est pas une formation. Le but des démonstrations de sensibilisation est simplement d'attirer l'attention sur
la sécurité. Les démonstrations de sensibilisation sont conçues pour permettre à chacun d'identifier les problèmes de sécurité
informatique et d'y répondre en conséquence. Dans les activités de sensibilisation, l'apprenant est le destinataire de
l'information... la sensibilisation repose sur la nécessité d’atteindre un large public grâce à des techniques attrayantes et
systémiques.
Activités de sensibilisation à la sécurité
La différence la plus importante entre la formation et les activités de sensibilisation à la sécurité réside dans
le fait que la formation enseigne les compétences nécessaires pour effectuer des tâches spécifiques, tandis
que les activités de sensibilisation à la sécurité concentrent simplement l'attention d'un individu sur les
questions de sécurité.
Les compétences acquises par les utilisateurs au cours de la formation s'appuient sur les informations
acquises lors des activités de sensibilisation à la sécurité. Proposer une formation spécifique au public après
une campagne de sensibilisation à la sécurité contribuera à consolider les informations et les compétences
enseignées.
Même si un programme de formation ne mène pas nécessairement à un diplôme officiel d'un établissement
d'enseignement supérieur, une grande partie du contenu du programme est la même que celle des cours
inclus dans un programme de certificat ou de diplôme d'un collège ou d'une université.
Cours de formation en sécurité
Les cours de formation destinés au personnel non informatique décrivent les pratiques de sécurité
appropriées spécifiques aux applications que les utilisateurs finaux doivent utiliser, telles que les applications
de bases de données. Les cours de sécurité informatique sont des formations destinées au personnel
informatique qui détaillent les contrôles administratifs, opérationnels et techniques qui doivent être mis en
œuvre.
Des cours de formation à la sécurité efficaces nécessitent une planification, une mise en œuvre, une
maintenance et une évaluation régulières appropriées. Le cycle de vie d’une formation sécurité comprend les
étapes suivantes :
Étape 1 Déterminer la portée et les objectifs du cours - La portée du cours offre une formation à tous
les types de personnel qui interagissent avec les systèmes informatiques. Étant donné que les utilisateurs ont
besoin d'une formation directement liée aux systèmes spécifiques qu'ils utilisent, des cours plus spécifiques
au système sont nécessaires pour compléter les grands programmes organisationnels.
Étape 2 Identifier et former les formateurs – Il est important que les formateurs possèdent une
connaissance adéquate des problèmes, des principes et des techniques de sécurité informatique. Il est
également important qu’ils sachent communiquer efficacement les informations et les idées.
Cours de formation en sécurité
Étape 3 Déterminez votre public cible - Tout le monde n'aura pas besoin du même niveau ou du même
type d'informations sur la sécurité informatique pour effectuer la tâche qui lui est assignée. Les cours de
formation à la sécurité permettront d'obtenir les meilleurs résultats en présentant uniquement les
informations requises par un public spécifique et en omettant les informations non pertinentes.
Étape 4 Motiver la direction et les employés - Envisagez d'utiliser des techniques de motivation pour
montrer à la direction et aux employés comment la participation à une séance de formation profitera à
l'organisation.
Étape 5 Gérer le cours – Considérations importantes pour la gestion du cours, notamment la sélection des
méthodes de formation, des sujets, du matériel et des techniques de présentation appropriés.
Étape 6 : Maintenir les cours – Restez informé des changements dans la technologie informatique et des
exigences de sécurité. Lorsqu'une organisation commence à utiliser de nouvelles applications ou modifie son
environnement (par exemple en déployant la VoIP), les formations qui répondaient initialement aux besoins
de l'organisation peuvent ne pas être aussi efficaces.
Étape 7 : Évaluer l'efficacité du cours - L'évaluation vise à déterminer la quantité d'informations
conservées, la mesure dans laquelle les procédures de sécurité informatique sont suivies et l'attitude générale
à l'égard de la sécurité informatique.
plan d'éducation
La formation intègre toutes les aptitudes et compétences en matière de sécurité dans les spécialités
fonctionnelles dans un ensemble commun de connaissances. Il ajoute une étude multidisciplinaire des
concepts, problèmes et principes techniques et sociaux dans le but de développer des professionnels de la
sécurité informatique dotés d'une pensée critique et d'une réactivité proactive. Un plan d’études dans un
collège ou une université est un exemple de plan d’éducation.
Au lieu d'un programme menant à un diplôme, certaines personnes peuvent choisir de suivre un ou plusieurs
cours pour améliorer leurs compétences dans une discipline de formation spécifique. De nombreux collèges
et universités proposent des programmes de certificat dans lesquels les étudiants peuvent suivre deux cours
ou plus dans une discipline connexe et recevoir un certificat à la fin. En règle générale, ces programmes de
certificat sont le fruit d'un effort conjoint entre l'école et le fournisseur de logiciels ou de matériel. Ces
programmes constituent davantage une formation que l’éducation elle-même.
Les responsables de la formation en sécurité doivent évaluer les deux types de programmes et décider lequel
répond le mieux aux besoins identifiés.
Un programme de sensibilisation à la sécurité mis en œuvre avec succès peut réduire considérablement les
actions non autorisées des internes, augmenter l'efficacité des contrôles existants et aider à lutter contre le
gaspillage, la fraude et l'utilisation abusive des ressources du système d'information.
plan d'éducation
La formation intègre toutes les aptitudes et compétences en matière de sécurité dans les spécialités
fonctionnelles dans un ensemble commun de connaissances. Il ajoute une étude multidisciplinaire des
concepts, problèmes et principes techniques et sociaux dans le but de développer des professionnels de la
sécurité informatique dotés d'une pensée critique et d'une réactivité proactive. Un plan d’études dans un
collège ou une université est un exemple de plan d’éducation.
Au lieu d'un programme menant à un diplôme, certaines personnes peuvent choisir de suivre un ou plusieurs
cours pour améliorer leurs compétences dans une discipline de formation spécifique. De nombreux collèges
et universités proposent des programmes de certificat dans lesquels les étudiants peuvent suivre deux cours
ou plus dans une discipline connexe et recevoir un certificat à la fin. En règle générale, ces programmes de
certificat sont le fruit d'un effort conjoint entre l'école et le fournisseur de logiciels ou de matériel. Ces
programmes constituent davantage une formation que l’éducation elle-même.
Les responsables de la formation en sécurité doivent évaluer les deux types de programmes et décider lequel
répond le mieux aux besoins identifiés.
Un programme de sensibilisation à la sécurité mis en œuvre avec succès peut réduire considérablement les
actions non autorisées des internes, augmenter l'efficacité des contrôles existants et aider à lutter contre le
gaspillage, la fraude et l'utilisation abusive des ressources du système d'information.
Chapitre-07
FIN