Il n'existe actuellement aucun appareil de sécurité ni élément technologique qui puisse résoudre

tous les besoins en matière de sécurité du réseau. Vous devez déterminer quels outils seront les
plus efficaces dans le cadre de votre système de sécurité.

4.1.1 Appareils de sécurité

Les dispositifs de sécurité peuvent également être des outils logiciels fonctionnant sur un
périphérique réseau. Ils se répartissent en six catégories générales.

Sélectionnez les images pour en savoir plus sur chacune d'elles.

Bien que les routeurs soient principalement utilisés

pour interconnecter divers segments de réseau, ils
offrent généralement également des fonctionnalités
de base de filtrage du trafic. Ces informations peuvent
vous aider à définir quels ordinateurs d'un segment de
réseau donné peuvent communiquer avec quels
segments de réseau.
Les pare-feu analysent plus en détail le trafic
réseau lui-même et identifient les
comportements malveillants à bloquer. Les
pare-feu peuvent avoir des politiques de
sécurité sophistiquées appliquées au trafic qui
les traverse.

Les systèmes de prévention contre les

intrusions
Les systèmes IPS utilisent un ensemble de
signatures de trafic qui mettent en
correspondance et bloquent le trafic
malveillant et les attaques.

Réseaux privés virtuels (VPN)

Les systèmes VPN permettent aux
collaborateurs distants d'utiliser un tunnel
chiffré sécurisé depuis leur terminal mobile et
de se connecter en toute sécurité au réseau de
l'entreprise. Les systèmes VPN peuvent
également interconnecter en toute sécurité les
succursales avec le réseau du bureau central.

Antimalware et antivirus
Ces systèmes utilisent des signatures ou une
analyse comportementale des applications
pour identifier et bloquer l'exécution de code
malveillant.
 Autres dispositifs de sécurité
Les autres appareils de sécurité comprennent
les appliances de sécurité web et de la
messagerie, les appareils de déchiffrement, les
serveurs de contrôle d'accès client et les
systèmes de gestion de la sécurité.

4.1.2 Lequel est-ce ?

C'est intéressant. Vous vous demandez quel système de sécurité est mis en œuvre chez @Apollo.

Demandez au directeur de la technologie (CTO), qui vous explique que les appliances de sécurité
suivantes sont en place. Pouvez-vous identifier à quelle catégorie appartient chacun de ces
éléments ? Vous avez une chance de gagner des points pour les défenseurs, alors choisissez vos
réponses avec soin.

Sélectionnez une option dans chacune des listes déroulantes, puis Envoyer.
Mais vous avez réussi à identifier correctement les appliances de sécurité en place et à protéger @Apollo
contre les cyberattaques… pour l'instant !
En résumé, les appliances de sécurité en place sont les suivantes :
 Cisco Integrated Services Router (ISR) 4000. Ces routeurs ont plusieurs fonctionnalités de pare-feu
en plus de leurs fonctions de routage, notamment le filtrage du trafic, la capacité d'exécuter un
système de prévention des intrusions (IPS), le chiffrement, ainsi que les fonctionnalités VPN pour la
mise en tunnel chiffrée et sécurisée.
 Cisco’s Firepower 4100 Series est la prochaine génération de pare-feu disposant de toutes les
capacités d'un routeur ISR, ainsi que de l'analyse et de la gestion de réseau avancées Il peut vous
aider à voir ce qui se passe sur le réseau afin de détecter les attaques plus tôt.
 Cisco AnyConnect Secure Mobility Client est un système VPN qui permet aux collaborateurs distants
d'utiliser un tunnel chiffré sécurisé depuis leur terminal mobile pour se connecter en toute sécurité
au réseau de l'entreprise. Toutes les appliances de sécurité Cisco sont équipées d'un serveur VPN et
d'une technologie client, conçue pour la tunnellisation chiffrée sécurisée.
 Cisco’s Advanced Malware Protection (AMP)accompagne les routeurs, les pare-feu, les
périphériques IPS, ainsi que les appliances de sécurité de la messagerie et du Web de nouvelle
génération. Cisco AMP peut également être installé en tant que logiciel sur des ordinateurs hôtes.
4.1.3 Pare-feu
En informatique, un pare-feu est conçu pour contrôler, ou filtrer, les communications autorisées à entrer
dans un dispositif ou dans un réseau, ainsi que celles autorisées à en sortir. Un pare-feu peut être installé
sur un seul ordinateur afin de protéger cet ordinateur (pare-feu propre à un hôte unique). Il peut également
être un périphérique réseau autonome qui protège tout un réseau d’ordinateurs et tous les appareils hôtes
sur ce réseau (pare-feu basé sur le réseau).
Au fil des années, comme les attaques informatiques et les attaques du réseau sont devenues plus
sophistiquées, de nouveaux types de pare-feu ont été élaborés pour répondre à différents objectifs dans la
protection d'un réseau.
Sélectionnez les en-têtes pour en savoir plus sur les types de pare-feu courants.
4.1.4 Lequel ?
Le directeur de la transformation a oublié de mentionner que @Apollo a mis en place quelques pare-feu.
Sur la base des déclarations suivantes, pouvez-vous identifier à quelle catégorie de pare-feu il s'agit ?
Répondez correctement pour gagner de précieux points pour protéger @Apollo contre les attaques.
Sélectionnez une option dans chacune des listes déroulantes, puis Envoyer.

Exact !
Vous avez correctement identifié les types de pare-feu et avez gagné des points de défense ! Vérifiez votre
progression en cliquant sur l'icône représentant un bouclier dans le coin supérieur droit de votre écran.
Rappel :
 Un pare-feu NAT filtre les communications en fonction des adresses IP source et de destination.
 Un serveur proxy filtre les requêtes de contenu web telles que les URL, les noms de domaine et les
types de médias.
 Un pare-feu propre à un hôte unique filtre des ports et des appels de service du système sur le
système d'exploitation d'un seul ordinateur
4.1.5 Balayage des Ports
Dans le domaine des réseaux, un identifiant appelé numéro de port est attribué à chaque application
exécutée sur un périphérique. Ce numéro de port est utilisé sur les deux extrémités de la transmission pour
que les bonnes données soient transmises vers l’application adéquate. Le balayage des ports est un
processus de sondage d’un ordinateur, d’un serveur ou d’un autre hôte de réseau pour détecter les ports
ouverts. Il est possible d’utiliser le balayage des ports de manière malveillante en tant qu’outil de
reconnaissance pour identifier le système d’exploitation et les services exécutés sur un ordinateur ou sur un
hôte. Un administrateur réseau peut également l’utiliser de façon inoffensive pour vérifier les politiques de
sécurité du réseau.
Sélectionnez les flèches pour savoir comment effectuer une analyse des ports sur un ordinateur de votre
réseau domestique local.
4.1.6 Qu'est ce que cela signifie ?
Votre supérieur hiérarchique vous demande d'évaluer la sécurité des ports et du pare-feu du réseau
informatique d'@Apollo. Vous exécutez une analyse de port, qui renvoie une réponse d'état « ouvert ».
Complétez la phrase ci-dessous en remplissant les espaces vides dans chacune des listes déroulantes pour
comprendre ce que cela signifie.

C'est exact.
Une réponse à l'état « ouvert » signifie que le service exécuté sur le réseau est accessible par d'autres
réseaux et que si le service contient une vulnérabilité, il pourrait être exploité par un hacker qui pourrait
potentiellement accéder aux ordinateurs du réseau.
Le balayage des ports peut être considéré comme un précurseur d’une attaque réseau et ne doit jamais, par
conséquent, être effectué sur des serveurs publics sur Internet ou sans permission sur un réseau
d’entreprise.
4.1.7 Systèmes de Détection et de Prévention des Intrusions
Les systèmes de détection des intrusions (IDS) et les systèmes de prévention des intrusions (IPS) sont des
mesures de sécurité déployées sur un réseau pour détecter et empêcher les activités malveillantes.
Sélectionnez les images pour en savoir plus.

Un système de détection d’intrusion (IDS), illustré dans la

figure, est un périphérique réseau dédié ou l’un des
nombreux outils dans le serveur ou dans le pare-feu qui
analyse les données par rapport à une base de données de
règles ou de signatures d’attaque pour détecter un trafic
malveillant.
Si une correspondance est détectée, l’IDS enregistrera la
détection et enverra une alerte à un administrateur
réseau. Il n'agira pas et n'empêchera donc pas les
attaques. La fonction de l’IDS est simplement de détecter,
d’enregistrer et de rapporter.
L’analyse effectuée par l’IDS ralentit le réseau
(ralentissement appelé latence). Pour éviter le retard du
réseau, un IDS est habituellement mis offline, séparé du
trafic réseau normal. Les données sont copiées ou mises
en miroir par un commutateur, puis envoyées à l’IDS pour
une détection offline.

Un IPS peut bloquer ou de refuser le trafic en fonction des

correspondances de règles positives ou de signatures. Snort
est l’un des systèmes IPS/IDS les plus connus. La version
commerciale de Snort appartient à la filiale Sourcefire de
Cisco. Sourcefire est capable d’effectuer une analyse en
temps réel du trafic et des ports, une ouverture de session,
une recherche et une mise en correspondance de contenus.
Cet outil peut également détecter les sondes, les attaques
et les balayages de ports. Sourcefire s’intègre également à
d’autres outils tiers pour la création de rapport et pour
l’analyse des performances et des enregistrements.
  Le logiciel n’est pas parfait. Et plus que jamais, les hackers exploitent les failles des logiciels avant
que les créateurs aient la chance de les corriger. Ce faisant, on dit que les hackers ont perpétré une
attaque de type « zero-day » !

 La capacité de détecter en temps réel les attaques dès qu’elles ont lieu, ainsi que la capacité de les
arrêter immédiatement ou quelques minutes après l’événement constituent l’objectif idéal.

4.1.8 Détection en temps réel

Malheureusement, de nombreuses entreprises et organisations actuelles ne peuvent détecter les
attaques qu’après plusieurs jours, voire même quelques mois, après l’attaque.

Faites défiler la page pour en savoir plus.

Détecter des attaques en temps réel nécessite une

analyse active pour identifier les attaques en utilisant le
pare-feu et les périphériques réseau IDS/IPS. La
détection des logiciels malveillants des clients et des
serveurs de prochaine génération avec des connexions
aux centres de menaces mondiaux en ligne doit
également être utilisée. Aujourd’hui, les périphériques et
les logiciels d’analyse active doivent détecter les
anomalies du réseau en utilisant une analyse
contextuelle et une détection de comportement.

Le DDoS est l’une des plus grandes menaces d’attaque

nécessitant une détection et une réponse en temps réel.
Pour de nombreuses entreprises et organisations, les
attaques DDoS survenant régulièrement paralysent les
serveurs Internet et la disponibilité du réseau. Il est
extrêmement difficile d’empêcher les attaques DDoS, car
elles proviennent de centaines, voire de milliers d’hôtes
zombies et elles apparaissent comme du trafic légitime.
4.1.9 Se Protéger Contre les Malwares

L'un des moyens de se défendre contre les attaques de type

« zero-day » et les menaces persistantes avancées (APT) est
d'utiliser une solution professionnelle de détection des malwares,
comme Advanced Malware Protection (AMP) Threat Grid.
AMP est un logiciel client/serveur déployé sur des terminaux
d’hôtes, comme un serveur autonome ou sur d’autres
périphériques de sécurité du réseau. Il analyse des millions de
fichiers et les met en corrélation avec des centaines de millions
d’autres artefacts de logiciels malveillants analysés pour les
comportements qui révèlent un APT. Cela offre une vue globale
des attaques et campagnes de malware et de leur distribution.

Sélectionnez les en-têtes pour en savoir plus sur les bénéfices de la Threat Grid de Cisco.
4.1.10 Bonnes Pratiques de Sécurité
De nombreuses organisations nationales et professionnelles ont publié des listes des bonnes pratiques de
sécurité. Certaines des directives les plus utiles se trouvent dans les archives organisationnelles telles que le
centre de ressources de sécurité de l’Institut national des normes et de la technologie (NIST).
Sélectionnez les titres ci-dessous pour en savoir plus sur certains d'entre eux.
4.2.1 Sécurité basée sur le comportement
La détection basée sur le comportement implique la capture et l’analyse du flux de communication entre un
utilisateur sur le réseau local et une destination locale ou distante. Tout changement dans les
comportements normaux est considéré comme une anomalie et peut indiquer une attaque.

Sélectionnez les images pour en savoir plus sur deux outils de détection comportementale.

Honeypots
Un honeypot est un outil de détection basé sur le
comportement qui attire le hacker en faisant appel
à son modèle de comportement malveillant prévu.
Une fois que le hacker est entré dans le pot de
miel, l'administrateur réseau peut capturer,
enregistrer et analyser son comportement afin de
renforcer sa défense.
 Architecture de solutions Cisco de protection
contre les cybermenaces
Cette architecture de sécurité utilise la
détection basée sur le comportement et les
indicateurs pour offrir une meilleure visibilité,
un meilleur contexte et un meilleur contrôle.
L'objectif est de savoir qui est à l'origine de
l'attaque, quel type d'attaque et où, quand et
comment l'attaque a lieu. Cette architecture de
sécurité utilise de nombreuses technologies de
sécurité pour atteindre cet objectif.

4.2.2. NetFlow

La technologie NetFlow est utilisée pour collecter

des informations sur les données qui circulent sur
un réseau, notamment sur les personnes et les
périphériques qui s'y trouvent, et sur quand et
comment les utilisateurs et les périphériques
accèdent au réseau.

NetFlow est un composant important dans la

détection et l’analyse basées sur le comportement.
Les commutateurs, les routeurs et les pare-feu
équipés de NetFlow rapportent des informations
sur les données qui entrent sur le réseau, qui en
sortent et qui le traversent.

Ces informations sont envoyées aux collecteurs

NetFlow qui collectent, stockent et analysent les
données NetFlow, qui peuvent être utilisées pour
établir des comportements de référence sur plus
de 90 attributs, tels que l'adresse IP source et de
destination.
4.2.3 Test d'Intrusion
Les tests d'intrusion, ou tests d'intrusion, consistent à évaluer les vulnérabilités d'un système informatique,
d'un réseau ou d'une entreprise. Un test d'intrusion cherche à pirater les systèmes, les personnes, les
processus et le code pour découvrir les vulnérabilités qui pourraient être exploitées. Ces informations sont
ensuite utilisées pour améliorer les défenses du système afin de mieux résister aux cyberattaques à l'avenir.
Sélectionnez les en-têtes pour découvrir le processus de test d'intrusion en cinq étapes.
4.2.4 À vous de jouer
Vous avez été chargé d'effectuer un test d'intrusion interne pour rechercher des vulnérabilités sur le réseau
informatique d'@Apollo. Comment allez-vous procéder pour effectuer votre test ? Comprenez bien les
choses et gagnez des points de défense.
Remettez les étapes suivantes dans le bon ordre, puis cliquez sur Envoyer.
Excellent travail ! Vous avez correctement identifié comment effectuer un test d'intrusion :
1. La Reconnaissance (Footprinting) à travers un réseau pour trouver des moyens d’intrusion vous
donne une chance de recueillir les informations dont vous avez besoin pour planifier une attaque
simulée.
2. Le balayage d’une cible vous permet d’identifier les faiblesses exploitables.
3. Vous devrez obtenir l'accès à un réseau pour exploiter toutes les vulnérabilités et simuler une
attaque.
4. Maintenir l’accès, sans être détecté, signifie que vous pouvez recueillir plus d’informations sur les
vulnérabilités d’une cible.
5. Vos constatations seront communiquées à l’organisation afin que des améliorations puissent être
apportées à la sécurité.
.

4.2.5 Réduction de l'Impact

Bien que la plupart des entreprises d'aujourd'hui soient conscientes des menaces de sécurité courantes et
déploient des efforts considérables pour les prévenir, aucune pratique de sécurité n'est infaillible. Par
conséquent, les entreprises doivent être prêtes à limiter les dégâts en cas de faille de sécurité. Et ils doivent
agir vite!
Sélectionnez les en-têtes pour en savoir plus sur les mesures que les entreprises doivent prendre
lorsqu'une faille de sécurité est identifiée.
Remarque :
N'oubliez pas que l'impact d'une faille de sécurité s'étend au-delà de l'aspect technique des données volées
ou de la propriété intellectuelle endommagée. Elle peut avoir un effet dévastateur sur la réputation d'une
entreprise

4.2.6 Qu'est-ce que la gestion des risques ?

La gestion des risques est le processus formel d'identification et d'évaluation continues des risques dans le
but de réduire l'impact des menaces et des vulnérabilités. Vous ne pouvez pas éliminer complètement les
risques, mais vous pouvez déterminer les niveaux acceptables en mettant en balance l'impact d'une menace
et le coût de la mise en œuvre des contrôles pour l'atténuer. Le coût d'un contrôle ne doit jamais être
supérieur à la valeur de la ressource que vous protégez.
Sélectionnez les images pour en savoir plus sur le processus de gestion des risques.

Identifiez les menaces qui augmentent les risques. Les

menaces peuvent inclure des processus, des produits,
des attaques, une défaillance ou une interruption
potentielles des services, une perception négative de la
réputation d'une entreprise, une responsabilité légale
potentielle ou une perte de propriété intellectuelle.
Déterminez la gravité de chaque menace. Par
exemple, certaines menaces peuvent paralyser toute
une entreprise, tandis que d'autres ne sont que des
inconvénients mineurs. Les risques peuvent être
hiérarchisés en évaluant l'impact financier (une
analyse quantitative) ou l'impact à grande échelle
sur les opérations d'une entreprise (une analyse
qualitative).

Développez un plan d'action pour réduire

l'exposition globale de l'entreprise aux risques,
en précisant où les risques peuvent être
éliminés, atténués, transférés ou acceptés.

Examinez en permanence tout risque réduit par

des mesures d'élimination, d'atténuation ou de
transfert. N'oubliez pas que tous les risques ne
peuvent pas être éliminés. Vous devez donc
surveiller de près toutes les menaces qui ont
été acceptées.
 4.3.1 Équipe CSIRT de Cisco

De nombreuses grandes organisations ont une équipe

responsable de la gestion des incidents en matière de
sécurité informatique (CSIRT) pour recevoir, examiner et
répondre aux rapports d’incidents de sécurité
informatique. Pour empêcher les incidents de sécurité,
Ciscon CSIRT offre une évaluation proactive des menaces,
une planification de mesures d’atténuation, une analyse
des tendances d’incidents, ainsi qu’un examen de
l’architecture de sécurité.
La CSIRT de Cisco collabore avec le Forum pour les équipes
de sécurité et de gestion des incidents (FIRST), le NSIE
(National Safety Information Exchange), le DSIE (Defense
Security Information Exchange) et le Centre d’analyse et de
recherche pour les opérations DNS (DNS-OARC, DNS
Operations Analysis and Research Center).
Il existe des organisations CSIRT nationales et publiques
comme la Division CERT de l’Institut de génie logiciel de
l’Université Carnegie Mellon, qui sont là pour aider les
organisations et les CSIRT nationales à élaborer, à exploiter
et à améliorer leurs capacités de gestion des incidents.
4.3.2 Guide de Sécurité
L’une des meilleures méthodes pour se préparer contre une brèche dans la sécurité est de
l’empêcher. Les entreprises doivent fournir des conseils sur :
 comment identifier les risques liés à la cybersécurité pour les systèmes, les ressources, les
données et les capacités
 la mise en œuvre des garanties et la formation du personnel
 un plan de réponse flexible qui minimise l'impact et les dommages en cas de faille de
sécurité
 les mesures et les processus de sécurité qui doivent être mis en place à la suite d'une faille
de sécurité.
Toutes ces informations doivent être compilées dans un guide sur la sécurité,
Sélectionnez l'image pour en savoir plus sur ce document.

Un guide de sécurité est un ensemble de requêtes ou de

rapports reproductibles qui décrivent un processus
standardisé de détection et de réponse aux incidents.
Idéalement, un guide de sécurité doit :
 expliquer comment identifier et automatiser la
réponse aux menaces courantes telles que la
détection des machines infectées par des malwares,
des activités suspectes sur le réseau ou des tentatives
d'authentification irrégulières.
 Décrire et comprendre le trafic entrant et sortant.
 Fournir des informations récapitulatives, dont les
tendances, les statistiques et les décomptes.
 Offrir des statistiques et des mesures utilisables et
faciles d'accès.
 Faire correspondre les événements avec toutes les
sources de données pertinentes.
4.3.3 – Outils pour la prévention et la détection des incidents
Il existe une gamme d’outils utilisés pour détecter et prévenir les incidents de sécurité.
Sélectionnez les images pour en savoir plus sur deux d'entre elles.

Un système de gestion des événements et des

informations de sécurité (SIEM) est un logiciel qui
collecte et analyse les alertes et les registres de sécurité,
ainsi que d’autres données historiques et en temps réel
provenant des périphériques sur le réseau ppour faciliter
les détections rapides de cyberattaques.

Un logiciel de prévention des pertes de données (DLP)

est un logiciel ou un système matériel conçu pour éviter
le vol de données sensibles ou la fuite de ces données
d'un réseau. Il surveille et protège les données dans
trois états différents : les données en cours d'utilisation
(les données auxquelles un utilisateur accède), les
données en mouvement (les données qui transitent sur
le réseau) et les données au repos (les données stockées
sur un réseau ou un périphérique informatique).

 La définition et la mise en œuvre de toutes ces diverses politiques de sécurité peuvent être longues
et difficiles. Mais Cisco a trouvé une solution.

4.3.4 Cisco ISE et TrustSec

Cisco Identity Services Engine (ISE) et TrustSec permettent aux utilisateurs d'accéder aux ressources du
réseau en créant des politiques de contrôle d'accès basées sur les rôles.
Exact !
Vous avez réussi à faire correspondre chaque terme à sa description et à gagner des points qui aideront à
protéger @Apollo contre une cyberattaque.
Rappel :
 Un IPS peut bloquer ou de refuser le trafic en fonction des correspondances de règles positives ou
de signatures.
 Un IDS analyse les données par rapport à une base de données de règles ou de signatures
d'attaques, à la recherche de trafic malveillant.
 Un DLP est un système conçu pour éviter la perte ou la fuite des données sensibles figurant sur le
réseau
 Un SIEM est un logiciel permettant de collecter et d’analyser les alertes de sécurité, les journaux
ainsi que d’autres données historiques et en temps réel provenant des périphériques de sécurité sur
le réseau