Module 3 : Att€nuer les

menaces

S€curit€ r€seau v1.0

(NETSEC)
Objectifs du module
Titre du module : Att€nuer les menaces

Objectif du module : Expliquer les outils et les proc€dures permettant d’att€nuer les effets des logiciels
malveillants et des attaques r€seau courantes.
Titre du sujet Objectif du sujet
DÄfendre le rÄseau D€crivez les m€thodes et les ressources pour prot€ger le r€seau.
Politiques de sÄcuritÄ du rÄseau Expliquez plusieurs types de politiques de s€curit€ r€seau.
Outils, plateformes et services de sÄcuritÄ Expliquez le but des plateformes de s€curit€.
AttÄnuer les attaques rÄseau courantes D€crivez les techniques utilis€es pour att€nuer les attaques r€seau courantes.
Cadre de protection de Cisco Network Expliquez comment s€curiser les trois zones fonctionnelles des routeurs et
Foundation commutateurs Cisco.

• 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
3.1 D€fendre le r€seau

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
D€fendre le r€seau
Professionnels de la s€curit€ des r€seaux
Les professionnels de la s€curit€ des r€seaux sont responsables du maintien de l’assurance des donn€es
d’une organisation et de la garantie de l’int€grit€ et de la confidentialit€ des informations.

Les postes de sp€cialistes de la s€curit€ au sein d'une entreprise comprennent les postes de directeur des
systƒmes d'information (CIO), de directeur de la s€curit€ des systƒmes d'information (CISO), de
responsable des op€rations de s€curit€ (SecOps), de directeur de la s€curit€ (CSO), de responsable de la
s€curit€ et d'ing€nieur en s€curit€ r€seau. Quel que soit leur poste, les professionnels de la s€curit€
r€seau doivent toujours garder une longueur d'avance sur les pirates informatiques :

• Ils doivent constamment am€liorer leurs comp€tences pour rester au courant des derniƒres menaces.
• Ils doivent participer … des formations et … des ateliers.
• Ils doivent s’abonner … des flux en temps r€el concernant les menaces.
• Ils doivent consulter quotidiennement les sites Web de s€curit€.
• Ils doivent se tenir au courant des organismes de s€curit€ des r€seaux. Ces organismes disposent
souvent des informations les plus r€centes sur les menaces et les vuln€rabilit€s.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
D€fendre le r€seau
Communaut€s de renseignement sur les r€seaux
Organisation Description
SANS Les ressources de l'Institut SysAdmin, Audit, R•seau, S•curit• (SANS) sont en grande partie gratuites sur demande et
comprennent :
• L'Internet Storm Center - le syst‚me d'alerte pr•coce populaire sur Internet
• NewsBites, le condens• hebdomadaire d'articles d'actualit• sur la s•curit• informatique.
• @RISK, le condens• hebdomadaire des nouveaux vecteurs d'attaque d•couverts, des vuln•rabilit•s avec des
exploits actifs et des explications sur le fonctionnement des attaques r•centes
• Alertes de s•curit• Flash
• Salle de lecture - plus de 1 200 articles de recherche originaux et prim•s.
• SANS d•veloppe •galement des cours de s•curit•.

Mitre La Mitre Corporation maintient une liste de vuln•rabilit•s et d'expositions courantes (CVE) utilis•e par les principales
organisations de s•curit•.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
D€fendre le r€seau
Communaut€s de renseignement sur les r€seaux (suite)
Organisation Description
D'ABORD Le Forum of Incident Response and Security Teams (FIRST) est une organisation de s•curit• qui rassemble une
vari•t• d'•quipes d'intervention en cas d'incident de s•curit• informatique issues d'organisations
gouvernementales, commerciales et •ducatives afin de favoriser la coop•ration et la coordination dans le
partage d'informations, la pr•vention des incidents et la r•action rapide.
S•curit•NewsWire Un portail d'actualit•s sur la s•curit• qui regroupe les derni‚res nouvelles concernant les alertes, les exploits
et les vuln•rabilit•s.
(ISC) 2 L'International Information Systems Security Certification Consortium (ISC 2 ) fournit des produits de
formation et des services de carri‚re ind•pendants des fournisseurs ƒ plus de 75 000 professionnels du
secteur dans plus de 135 pays.
CEI Le Center for Internet Security (CIS) est un point focal pour la pr•vention, la protection, la r•ponse et la
r•cup•ration des cybermenaces pour les gouvernements des „tats, locaux, tribaux et territoriaux (SLTT) par
l'interm•diaire du Multi-State Information Sharing and Analysis Center (MS-ISAC). Le MS-ISAC propose des
alertes et des avis sur les cybermenaces 24h/24 et 7j/7, l'identification des vuln•rabilit•s, l'att•nuation et la
r•ponse aux incidents.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
D€fendre le r€seau
Certifications de s€curit€ r€seau
Les certifications pour les professionnels de la s€curit€ des r€seaux sont propos€es par les organisations:
• Certification en assurance de l'information mondiale (GIAC)
• Consortium international de certification de la s€curit€ des systƒmes d'information (ISC) 2
• Association d'audit et de contr†le des systƒmes d'information (ISACA)
• Conseil international des consultants en commerce €lectronique (EC-Council)
• Professionnels certifi€s des r€seaux sans fil (CWNP)

Cisco a remplac€ la certification Cisco Certified Network Associate Security (210-260 IINS) par une nouvelle
certification CCNP Security. CCNP Security comprend l'examen CCNP Core combin€ … un examen de
concentration en s€curit€ Cisco Certified Specialist :
• 300-710 SNCF - Network Security Firepower
• 300-715 SISE - Implementing and Configuring Cisco Identity Services Engine
• 300-720 SESA - Securing Email with Cisco Email Security Appliance
• 300-725 SWSA - Securing the Web with Cisco Web Security Appliance
• 300-730 SVPN - Implementing Secure Solutions with Virtual Private Networks
• 300-735 SAUTO - Automating and Programming Cisco Security Solutions
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
D€fendre le r€seau
S€curit€ des communications : CIA
La s€curit€ de l'information vise … prot€ger les
informations et les systƒmes d'information contre tout
accƒs, utilisation, divulgation, perturbation, modification
ou destruction non autoris€s. La triade CIA sert de base
conceptuelle … ce domaine.

La triade de la CIA se compose de trois €l€ments de

s€curit€ de l’information :
•ConfidentialitÄ – Seules les personnes, entit€s ou
processus autoris€s peuvent acc€der aux informations
sensibles.
•IntÄgritÄ – Cela fait r€f€rence … la protection des
donn€es contre toute modification non autoris€e.
•DisponibilitÄ - Les utilisateurs autoris€s doivent avoir
un accƒs ininterrompu aux ressources r€seau et aux
donn€es dont ils ont besoin.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
3.2 Politiques de s€curit€ du
r€seau

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Politiques de s€curit€ du r€seau
Domaines de s€curit€ du r€seau
Il existe 14 domaines de s€curit€ r€seau sp€cifi€s par l’Organisation internationale de normalisation
(ISO)/Commission €lectrotechnique internationale (CEI).
Domaine de la s•curit• des r•seaux Description
Politiques de s•curit• de l'information Cette annexe vise ƒ garantir que les politiques de s•curit• sont cr••es, r•vis•es et
maintenues.
Organisation de la s•curit• de l'information Il s'agit du mod‚le de gouvernance mis en place par une organisation pour la s•curit• de
l'information. Il attribue les responsabilit•s des t…ches de s•curit• de l'information au
sein de l'organisation.
S•curit• des ressources humaines Cette section traite des responsabilit•s en mati‚re de s•curit• li•es aux employ•s qui
rejoignent, se d•placent et quittent une organisation.
Gestion d'actifs Il s’agit de la mani‚re dont les organisations cr•ent un inventaire et un syst‚me de
classification des actifs informationnels.
Contr‡le d'acc‚s Ceci d•crit la restriction des droits d'acc‚s aux r•seaux, syst‚mes, applications, fonctions
et donn•es.
Cryptographie Il s’agit du cryptage des donn•es et de la gestion des informations sensibles pour
prot•ger la confidentialit•, l’int•grit• et la disponibilit• des donn•es.
S•curit• physique et environnementale Ceci d•crit la protection des installations et •quipements informatiques physiques au
sein d'une organisation. € 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Politiques de s€curit€ du r€seau
Domaines de s€curit€ du r€seau (suite)
Domaine de la s•curit• des r•seaux Description
S•curit• des op•rations Ce domaine d•crit la gestion des contr‡les de s•curit• techniques dans
les syst‚mes et les r•seaux, notamment les d•fenses contre les
programmes malveillants, la sauvegarde des donn•es, la journalisation
et la surveillance, la gestion des vuln•rabilit•s et les consid•rations
d'audit. Ce domaine concerne •galement l'int•grit• des logiciels
utilis•s dans les op•rations commerciales.
S•curit• des communications Il s’agit de la s•curit• des donn•es telles qu’elles sont communiqu•es
sur les r•seaux, aussi bien au sein d’une organisation qu’entre une
organisation et des tiers tels que des clients ou des fournisseurs.
Acquisition, d•veloppement et maintenance du syst‚me Cela garantit que la s•curit• des informations reste une pr•occupation
centrale dans les processus d’une organisation tout au long du cycle de
vie, dans les r•seaux priv•s et publics.
Relations avec les fournisseurs Il s'agit de la sp•cification des accords contractuels qui prot‚gent les
actifs informatiques et technologiques d'une organisation auxquels ont
acc‚s des tiers qui fournissent des fournitures et des services ƒ
l'organisation.
Gestion des incidents de s•curit• de l'information Cet article d•crit comment anticiper et r•agir aux violations de la
s•curit• des informations. € 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Politiques de s€curit€ du r€seau
Domaines de s€curit€ du r€seau (suite)
Domaine de la s•curit• des r•seaux Description
Gestion de la continuit• des activit•s Cela d•crit la protection, la maintenance et la r•cup•ration des
processus et syst‚mes critiques pour l’entreprise.
Conformit• Ceci d•crit le processus permettant de garantir la conformit• aux
politiques, normes et r•glementations en mati‚re de s•curit• de
l’information.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Politiques de s€curit€ du r€seau
Politiques d'entreprise
Les politiques d'entreprise sont les lignes directrices €labor€es par une organisation pour r€gir ses actions.
Les politiques d€finissent les normes de comportement correct pour l'entreprise et ses employ€s. Dans le
domaine des r€seaux, les politiques d€finissent les activit€s autoris€es sur le r€seau. Cela d€finit une base
d'utilisation acceptable. Si un comportement qui enfreint la politique d'entreprise est d€tect€ sur le r€seau, il
est possible qu'une faille de s€curit€ se soit produite.
Politique Description
Politiques de l'entreprise • Ces politiques •tablissent les r‚gles de conduite et les responsabilit•s des
employ•s et des employeurs.
• Les politiques prot‚gent les droits des travailleurs ainsi que les int•rˆts
commerciaux des employeurs.
• Selon les besoins de l’organisation, diverses politiques et proc•dures
•tablissent des r‚gles concernant la conduite des employ•s, la pr•sence, le
code vestimentaire, la confidentialit• et d’autres domaines li•s aux conditions
d’emploi.

Politiques des employ•s • Ces politiques sont cr••es et maintenues par le personnel des ressources
humaines pour identifier le salaire des employ•s, le bar‚me de r•mun•ration,
les avantages sociaux des employ•s, l’horaire de travail, les vacances, etc.
• Ils sont souvent fournis aux nouveaux employ•s pour examen et signature.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Politiques de s€curit€ du r€seau
Politiques d’entreprise (suite)

Politique Description
Politiques de s•curit• • Ces politiques identifient un ensemble d’objectifs de s•curit• pour
une entreprise, d•finissent les r‚gles de comportement des
utilisateurs et des administrateurs et sp•cifient les exigences du
syst‚me.
• Ces objectifs, r‚gles et exigences garantissent collectivement la
s•curit• d’un r•seau et des syst‚mes informatiques d’une
organisation.
• Tout comme un plan de continuit•, une politique de s•curit• est un
document en constante •volution bas• sur les changements du
paysage des menaces, des vuln•rabilit•s et des exigences de
l’entreprise et des employ•s.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Politiques de s€curit€ du r€seau
Politique de s€curit€
Les politiques de s€curit€ sont utilis€es pour informer les utilisateurs, le personnel et les responsables des
exigences d'une organisation en matiƒre de protection des actifs technologiques et informationnels. Une
politique de s€curit€ sp€cifie €galement les m€canismes n€cessaires pour r€pondre aux exigences de
s€curit€ et fournit une base de r€f€rence … partir de laquelle acqu€rir, configurer et auditer les systƒmes et
r€seaux informatiques pour assurer la conformit€. Les politiques qui peuvent ˆtre incluses dans une politique
Politique Description
de s€curit€ sont les suivantes :
Politique d'identification et d'authentification Sp•cifie les personnes autoris•es qui peuvent avoir acc‚s aux
ressources du r•seau et aux proc•dures de v•rification d'identit•.
Politiques de mot de passe Garantit que les mots de passe r•pondent aux exigences minimales et
sont modifi•s r•guli‚rement.
Politique d'utilisation acceptable (PUA) Identifie les applications et utilisations r•seau acceptables pour
l'organisation. Elle peut •galement identifier les cons•quences d'une
violation de cette politique.
Politique d'acc‚s ƒ distance Identifie comment les utilisateurs distants peuvent acc•der ƒ un r•seau
et ce qui est accessible via la connectivit• ƒ distance.
Politique de maintenance du r•seau Sp•cifie les syst‚mes d'exploitation des p•riph•riques r•seau et les
proc•dures de mise ƒ jour des applications de l'utilisateur final.
Proc•dures de gestion des incidents D•crit comment les incidents de s•curit• sont g•r•s.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Politiques de s€curit€ du r€seau
Politiques BYOD
De nombreuses organisations doivent d€sormais €galement prendre en charge le BYOD (Bring Your Own
Device). Cela permet aux employ€s d'utiliser leurs propres appareils mobiles pour acc€der aux systƒmes,
logiciels, r€seaux ou informations de l'entreprise. Cela peut entra‰ner un risque accru de s€curit€ des
informations, car le BYOD peut entra‰ner des violations de donn€es et une plus grande responsabilit€ pour
l'organisation. Les meilleures pratiques de s€curit€ BYOD pour aider … att€nuer les vuln€rabilit€s BYOD sont
les suivantes
Bonnes pratiques: Description
Acc‚s prot•g• par mot de passe Utilisez des mots de passe uniques pour chaque appareil et compte.
Contr‡ler manuellement la connectivit• sans fil D•sactivez la connectivit• Wi-Fi et Bluetooth lorsque vous ne les utilisez pas.
Connectez-vous uniquement ƒ des r•seaux de confiance.
Restez inform• Maintenez toujours ƒ jour le syst‚me d'exploitation de l'appareil et les autres
logiciels. Les logiciels mis ƒ jour contiennent souvent des correctifs de s•curit• pour
att•nuer les derni‚res menaces ou exploits.
Sauvegarder les donn•es Activer la sauvegarde de l'appareil en cas de perte ou de vol.
Activer ‰ Localiser mon appareil Š Abonnez-vous ƒ un service de localisation d’appareils avec fonction d’effacement ƒ
distance.
Fournir un logiciel antivirus Fournir un logiciel antivirus pour les appareils BYOD approuv•s.
Utiliser un logiciel de gestion des appareils mobiles Le logiciel MDM permet aux •quipes informatiques de mettre en œuvre des
(MDM) param‚tres de s•curit• et des configurations
€ 2021 logicielles surAlltous
Cisco and/or its affiliates. les appareils
rights reserved. Cisco Confidentialqui 16
se
connectent aux r•seaux de l'entreprise.
Politiques de s€curit€ du r€seau
Conformit€ r€glementaire et normative

Il existe €galement des r€glementations externes concernant la s€curit€ des r€seaux. Les
professionnels de la s€curit€ des r€seaux doivent conna‰tre les lois et les codes de d€ontologie qui
s'imposent aux professionnels de la s€curit€ des systƒmes d'information (INFOSEC).

De nombreuses organisations sont tenues d'€laborer et de mettre en œuvre des politiques de

s€curit€. Les r€glementations de conformit€ d€finissent les obligations des organisations et la
responsabilit€ en cas de non-respect. Les r€glementations de conformit€ qu'une organisation est
tenue de respecter d€pendent du type d'organisation et des donn€es qu'elle traite.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
3.3 Outils, plateformes et
services de s€curit€

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Outils, plateformes et services de s€curit€
L'oignon de s€curit€ et l'artichaut de s€curit€
Une analogie courante utilis€e pour d€crire
une approche de d€fense en profondeur
est appel€e ‹ l'oignon de s€curit€ Œ. Un
acteur malveillant devrait €plucher les
d€fenses d'un r€seau couche par couche,
de la mˆme maniƒre que l'on €pluche un
oignon. Ce n'est qu'aprƒs avoir p€n€tr€
chaque couche que l'acteur malveillant
atteindra les donn€es ou le systƒme cibl€s.

Remarque : l'oignon de s€curit€ d€crit sur

cette page est un moyen de visualiser la
d€fense en profondeur. Il ne faut pas le
confondre avec la suite d'outils de s€curit€
r€seau Security Onion.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Outils, plateformes et services de s€curit€
L'oignon de s€curit€ et l'artichaut de s€curit€ (suite)

L’€volution du paysage des r€seaux,

notamment l’€volution des r€seaux sans
frontiƒres, a modifi€ cette analogie avec ‹
l’artichaut de s€curit€ Œ, ce qui profite aux
acteurs malveillants car ils n’ont plus
besoin d’en retirer chaque couche. Il leur
suffit de retirer certaines ‹ feuilles
d’artichaut Œ. L’acteur malveillant retire
l’armure de s€curit€ le long du p€rimƒtre
pour atteindre le ‹ cœur Œ de l’entreprise.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Outils, plateformes et services de s€curit€
Outils de test de s€curit€
Le piratage €thique consiste … utiliser diff€rents types d'outils pour tester le r€seau et les terminaux afin de
valider la s€curit€ du r€seau. Les tests de p€n€tration utilisent des techniques et des outils de piratage pour
€valuer la solidit€ des mesures de s€curit€ du r€seau. Le personnel de cybers€curit€ doit €galement savoir
comment utiliser ces outils lors de la r€alisation de tests de p€n€tration du r€seau.
Cat•gories d'outils Description

crackers de mots de passe Les mots de passe constituent la menace de s•curit• la plus vuln•rable. Les outils de
piratage de mots de passe sont souvent appel•s outils de r•cup•ration de mots de passe et
peuvent ˆtre utilis•s pour pirater ou r•cup•rer le mot de passe. Cela se fait soit en
supprimant le mot de passe d'origine, apr‚s avoir contourn• le cryptage des donn•es, soit
en d•couvrant purement et simplement le mot de passe. Les pirates de mots de passe font
des suppositions r•p•t•es afin de pirater le mot de passe et d'acc•der au syst‚me. Parmi
les exemples d'outils de piratage de mots de passe, citons John the Ripper, Ophcrack,
L0phtCrack, THC Hydra, RainbowCrack et Medusa.
outils de piratage sans fil Les r•seaux sans fil sont plus sensibles aux menaces de s•curit• r•seau. Les outils de
piratage sans fil sont utilis•s pour pirater intentionnellement un r•seau sans fil afin de
d•tecter les vuln•rabilit•s de s•curit•. Parmi les exemples d'outils de piratage sans fil, on
peut citer Aircrack-ng, Kismet, InSSIDer, KisMAC, Firesheep et NetStumbler.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Outils, plateformes et services de s€curit€
Outils de test de s€curit€ (suite)
Cat•gories d'outils Description
outils d'analyse et de piratage de r•seau Les outils d'analyse r•seau sont utilis•s pour sonder les p•riph•riques r•seau, les serveurs et les
h‡tes ƒ la recherche de ports TCP ou UDP ouverts. Parmi les exemples d'outils d'analyse, citons
Nmap, SuperScan, Angry IP Scanner et NetScanTools.
outils de fabrication de paquets Les outils de cr•ation de paquets sont utilis•s pour sonder et tester la robustesse d'un pare-feu ƒ
l'aide de paquets falsifi•s sp•cialement conŒus. Parmi ces outils, on peut citer Hping, Scapy,
Socat, Yersinia, Netcat, Nping et Nemesis.
renifleurs de paquets Les outils de d•tection de paquets sont utilis•s pour capturer et analyser les paquets dans les
r•seaux LAN ou WLAN Ethernet traditionnels. Les outils incluent Wireshark, Tcpdump, Ettercap,
Dsniff, EtherApe, Paros, Fiddler, Ratproxy et SSLstrip.
d•tecteurs de rootkit Un d•tecteur de rootkit est un v•rificateur d'int•grit• de r•pertoire et de fichier utilis• par les
hackers pour d•tecter les rootkits install•s. Parmi les outils disponibles, on peut citer AIDE,
Netfilter et PF : OpenBSD Packet Filter.
fuzzers pour rechercher des vuln•rabilit•s Les fuzzers sont des outils utilis•s par les acteurs malveillants pour tenter de d•couvrir les
vuln•rabilit•s de s•curit• d'un syst‚me informatique. Skipfish, Wapiti et W3af sont des exemples
de fuzzers.
outils m•dico-l•gaux Les hackers en chapeau blanc utilisent des outils d'investigation pour d•tecter toute trace de
preuve existant dans un syst‚me informatique particulier. Parmi ces outils, on peut citer Sleuth
Kit, Helix, Maltego et Encase. € 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Outils, plateformes et services de s€curit€
Outils de test de s€curit€ (suite)
Cat•gories d'outils Description

d•bogueurs Les outils de d•bogage sont utilis•s par les hackers pour effectuer une r•tro-ing•nierie des fichiers
binaires lors de l'•criture d'exploits. Ils sont •galement utilis•s par les hackers pour analyser les logiciels
malveillants. Les outils de d•bogage incluent GDB, WinDbg, IDA Pro et Immunity Debugger.
piratage des syst‚mes d'exploitation Les syst‚mes d'exploitation de piratage sont des syst‚mes d'exploitation sp•cialement conŒus et
pr•charg•s avec des outils et des technologies optimis•s pour le piratage. Parmi les exemples de syst‚mes
d'exploitation de piratage sp•cialement conŒus, on peut citer Kali Linux, SELinux, Knoppix, Parrot OS et
BackBox Linux.
outils de cryptage Ces outils prot‚gent le contenu des donn•es d'une organisation lorsqu'elles sont stock•es ou transmises.
Les outils de chiffrement utilisent des sch•mas algorithmiques pour coder les donn•es afin d'empˆcher
tout acc‚s non autoris• aux donn•es. Parmi ces outils, on peut citer VeraCrypt, CipherShed, Open SSH,
OpenSSL, OpenVPN et Stunnel.
outils d'exploitation de vuln•rabilit• Ces outils permettent d'identifier si un h‡te distant est vuln•rable ƒ une attaque de s•curit•. Parmi les
exemples d'outils d'exploitation de vuln•rabilit•, on peut citer Metasploit, Core Impact, Sqlmap, Social
Engineer Tool Kit et Netsparker.
scanners de vuln•rabilit• Ces outils analysent un r•seau ou un syst‚me pour identifier les ports ouverts. Ils peuvent •galement ˆtre
utilis•s pour rechercher des vuln•rabilit•s connues et analyser des machines virtuelles, des appareils
BYOD et des bases de donn•es client. Parmi ces outils, citons Nipper,
€ 2021 CiscoSecuria PSI,AllCore
and/or its affiliates. Impact,
rights reserved. Nessus,23
Cisco Confidential

SAINT et Open VAS.

Outils, plateformes et services de s€curit€
Plateformes de s€curit€ des donn€es
Les plateformes de s€curit€ des donn€es (DSP) sont une solution de s€curit€ int€gr€e qui combine
des outils traditionnellement ind€pendants dans une suite d'outils con•us pour fonctionner ensemble.
Les outils de s€curit€ qui protƒgent et surveillent les r€seaux sont souvent fabriqu€s par diff€rents
fournisseurs. Il peut ˆtre difficile d'int€grer ces outils de maniƒre … obtenir une vue unique de la
s€curit€ du r€seau.
L'une de ces solutions DSP est la plateforme Helix de
FireEye. FireEye Helix est une plateforme d'op€rations
de s€curit€ bas€e sur le cloud qui permet aux
organisations d'int€grer de nombreuses fonctionnalit€s
de s€curit€ dans une seule plateforme. Helix fournit une
gestion des €v€nements, une analyse du comportement
du r€seau, une d€tection avanc€e des menaces et une
orchestration, une automatisation et une r€ponse aux
incidents de s€curit€ (SOAR) pour r€pondre aux
menaces dƒs qu'elles sont d€tect€es.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Outils, plateformes et services de s€curit€

Plateformes de s€curit€ des donn€es (suite)

Cisco SecureX est un autre DSP int€gr€. Le portefeuille
Cisco Secure se compose d'un large ensemble de
technologies qui fonctionnent en €quipe, offrant une
interop€rabilit€ avec l'infrastructure de s€curit€, y compris
les technologies tierces. Cela se traduit par une visibilit€
unifi€e, une automatisation et des d€fenses renforc€es. La
plateforme Cisco SecureX fonctionne avec divers produits
qui se combinent pour prot€ger votre r€seau, vos
utilisateurs et vos points de terminaison, votre p€riph€rie
cloud et vos applications. La fonctionnalit€ SecureX est
int€gr€e … un portefeuille vaste et diversifi€ de produits de
s€curit€ Cisco, notamment des pare-feu de nouvelle
g€n€ration, des VPN, des analyses de r€seau, un moteur
de service d'identit€, une protection avanc€e contre les
logiciels malveillants (AMP) et de nombreux autres
systƒmes qui fonctionnent pour s€curiser tous les aspects
d'un r€seau. SecureX intƒgre €galement une gamme
d'outils de s€curit€ tiers. € 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Outils, plateformes et services de s€curit€
Vid€o – D€monstration de Cisco SecureX

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Outils, plateformes et services de s€curit€
Services de s€curit€
Les services de renseignement sur les menaces et de
s€curit€ permettent l'€change d'informations sur les
menaces telles que les vuln€rabilit€s, les indicateurs de
compromission (IOC) et les techniques d'att€nuation. Ž
mesure que les menaces €mergent, les services de
renseignement sur les menaces cr€ent et distribuent des
rƒgles de pare-feu et des IOC aux appareils abonn€s au
service.

L'un de ces services est le Cisco Talos Threat Intelligence

Group. Talos est l'une des plus grandes €quipes de
renseignement sur les menaces commerciales au monde.
L'objectif de Talos est de contribuer … prot€ger les
utilisateurs, les donn€es et l'infrastructure des entreprises
contre les adversaires actifs. L'€quipe Talos collecte des
informations sur les menaces actives, existantes et
€mergentes. Talos fournit ensuite … ses abonn€s une
protection complƒte contre ces attaques et ces logiciels
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
malveillants.
Outils, plateformes et services de s€curit€
Services de s€curit€

Les produits de s€curit€ Cisco peuvent utiliser les

renseignements sur les menaces Talos en temps r€el pour
fournir des solutions de s€curit€ rapides et efficaces.

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
3.4 Att€nuation des attaques
r€seau courantes

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
Att€nuer les attaques r€seau courantes
D€fendre le r€seau
Une vigilance constante et une formation continue sont n€cessaires pour d€fendre votre r€seau
contre les attaques. Voici les meilleures pratiques pour s€curiser un r€seau :
• •laborer une politique de s€curit€ €crite pour l’entreprise.
• Sensibilisez les employ€s aux risques de l’ing€nierie sociale et €laborez des strat€gies pour
valider les identit€s par t€l€phone, par courrier €lectronique ou en personne.
• Contr†ler l'accƒs physique aux systƒmes.
• Utilisez des mots de passe forts et changez-les souvent.
• Cryptez et prot€gez par mot de passe les donn€es sensibles.
• Mettre en œuvre du mat€riel et des logiciels de s€curit€ tels que des pare-feu, des IPS, des
p€riph€riques de r€seau priv€ virtuel (VPN), des logiciels antivirus et un filtrage de contenu.
• Effectuez des sauvegardes et testez r€guliƒrement les fichiers sauvegard€s.
• Fermez les services et les ports inutiles.
• Maintenez les correctifs … jour en les installant chaque semaine ou chaque jour, si possible, pour
€viter les attaques par d€bordement de tampon et par escalade de privilƒges.
• Effectuer des audits de s€curit€ pour tester le r€seau.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Att€nuer les attaques r€seau courantes
Att€nuation des logiciels malveillants
Les logiciels malveillants, notamment les virus, les vers et les chevaux de Troie, peuvent
provoquer de graves problƒmes sur les r€seaux et les appareils finaux. Les administrateurs
r€seau disposent de plusieurs moyens pour att€nuer ces attaques.

Les logiciels antivirus permettent d'empˆcher les h†tes d'ˆtre infect€s et de propager des codes
malveillants. Plusieurs soci€t€s cr€ent des logiciels antivirus, comme Symantec, McAfee et Trend
Micro. Les produits antivirus disposent d'options d'automatisation des mises … jour afin que les
nouvelles d€finitions de virus et les nouvelles mises … jour logicielles puissent ˆtre t€l€charg€es
automatiquement ou … la demande. Cette pratique est l'exigence la plus critique pour maintenir un
r€seau exempt de virus et doit ˆtre formalis€e dans une politique de s€curit€ r€seau.
Ces produits sont install€s sur les ordinateurs et les serveurs pour d€tecter et €liminer les virus.
Cependant, ils n'empˆchent pas les virus de p€n€trer dans le r€seau. Une autre fa•on d'att€nuer
les menaces de logiciels malveillants consiste … empˆcher complƒtement les fichiers malveillants
de p€n€trer dans le r€seau. Les dispositifs de s€curit€ situ€s sur le p€rimƒtre du r€seau peuvent
identifier les fichiers malveillants connus en fonction de leurs indicateurs de compromission. Les
fichiers peuvent ˆtre supprim€s du flux de donn€es entrant avant qu'ils ne provoquent un incident.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Att€nuer les attaques r€seau courantes
Att€nuer les vers
Les vers sont davantage li€s au r€seau que les virus. Leur att€nuation n€cessite une diligence et
une coordination de la part des professionnels de la s€curit€ r€seau. La r€ponse … une attaque de
ver peut ˆtre divis€e en quatre phases : confinement, inoculation, quarantaine et traitement.
Phase R•ponse
1. Confinement La phase de confinement consiste ƒ limiter la propagation d'une infection par un ver aux zones du r•seau d•jƒ
affect•es. Cela n•cessite de compartimenter et de segmenter le r•seau pour ralentir ou arrˆter le ver et
empˆcher les h‡tes actuellement infect•s de cibler et d'infecter d'autres syst‚mes. Le confinement n•cessite
l'utilisation de listes de contr‡le d'acc‚s entrantes et sortantes sur les routeurs et les pare-feu aux points de
contr‡le du r•seau.
2. Inoculation La phase d'inoculation se d•roule parall‚lement ou apr‚s la phase de confinement. Au cours de la phase
d'inoculation, tous les syst‚mes non infect•s sont mis ƒ jour avec le correctif du fournisseur appropri•. Le
processus d'inoculation prive encore davantage le ver de cibles disponibles.
3. Quarantaine La phase de quarantaine consiste ƒ localiser et ƒ identifier les machines infect•es dans les zones confin•es, puis ƒ
les d•connecter, ƒ les bloquer ou ƒ les supprimer. Cela permet d'isoler ces syst‚mes de mani‚re appropri•e pour
la phase de traitement.
4. Traitement La phase de traitement consiste ƒ d•sinfecter activement les syst‚mes infect•s. Cela peut impliquer de mettre fin
au processus du ver, de supprimer les fichiers ou les param‚tres syst‚me modifi•s introduits par le ver et de
corriger la vuln•rabilit• que le ver a utilis•e pour exploiter le syst‚me. Dans les cas plus graves, il peut •galement
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
ˆtre n•cessaire de r•installer le syst‚me pour s'assurer que le ver et ses sous-produits sont supprim•s.
Att€nuer les attaques r€seau courantes
Att€nuer les attaques de reconnaissance
Les attaques de reconnaissance sont g€n€ralement le pr€curseur d'autres attaques con•ues pour
obtenir un accƒs non autoris€ … un r€seau ou perturber les fonctionnalit€s du r€seau. Vous pouvez
d€tecter lorsqu'une attaque de reconnaissance est en cours en recevant des notifications d'alarmes
pr€configur€es. Ces alarmes se d€clenchent lorsque certains paramƒtres sont d€pass€s, comme le
nombre de requˆtes ICMP par seconde. Les attaques de reconnaissance peuvent ˆtre att€nu€es de
plusieurs maniƒres, notamment les suivantes :
• Mise en œuvre de l’authentification pour garantir un accƒs appropri€.
• Utiliser le cryptage pour rendre les attaques de renifleur de paquets inutiles.
• Utilisation d’outils anti-sniffer pour d€tecter les attaques de sniffer de paquets.
• Mise en œuvre d'une infrastructure commut€e.
• Utilisation d'un pare-feu et d'un IPS.
Il est impossible d'att€nuer l'analyse des ports. L'utilisation d'un IPS et d'un pare-feu peut limiter les
informations pouvant ˆtre d€couvertes avec un scanner de ports. Les balayages ping peuvent ˆtre
arrˆt€s si l'€cho ICMP et la r€ponse d'€cho sont d€sactiv€s sur les routeurs p€riph€riques.
Cependant, lorsque ces services sont d€sactiv€s, les donn€es de diagnostic r€seau sont perdues.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
Att€nuer les attaques r€seau courantes
Att€nuer les attaques d'accƒs
Plusieurs techniques sont disponibles pour att€nuer les attaques d'accƒs, notamment la
s€curit€ renforc€e des mots de passe, le principe de confiance minimale, la cryptographie et
l'application de correctifs aux systƒmes d'exploitation et aux applications. Un nombre
surprenant d'attaques d'accƒs sont men€es par simple devinette de mot de passe ou par des
attaques par force brute contre les mots de passe. Pour vous prot€ger contre cela, cr€ez et
appliquez une politique d'authentification forte qui comprend :

• Utilisez des mots de passe forts - Les mots de passe forts comportent au moins huit
caractƒres et contiennent des lettres majuscules, des lettres minuscules, des chiffres et des
caractƒres sp€ciaux.
• DÄsactiver les comptes aprÅs un nombre spÄcifiÄ de connexions infructueuses -
Cette pratique permet d'€viter les tentatives continues de saisie de mot de passe.

Utilisez le chiffrement pour l'accƒs … distance … un r€seau et le routage du trafic par protocole
afin de r€duire le risque d'attaques de type "man-in-the-middle". Sensibilisez vos employ€s aux
risques de l'ing€nierie sociale et €laborez des strat€gies pour valider les identit€s par
t€l€phone, par courrier €lectronique ou en personne. L'authentification multifacteur (MFA) est
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34

devenue de plus en plus courante.

Att€nuer les attaques r€seau courantes
Att€nuer les attaques DoS
L'un des premiers signes d'une attaque DoS est un grand nombre de plaintes
d'utilisateurs concernant des ressources indisponibles ou des performances r€seau
anormalement lentes. Un graphique d'utilisation du r€seau montrant une activit€
inhabituelle peut indiquer une attaque DoS. Pour minimiser le nombre d'attaques, un
logiciel d'utilisation du r€seau doit ˆtre ex€cut€ en permanence.

Historiquement, de nombreuses attaques DoS provenaient d'adresses usurp€es. Les

routeurs et commutateurs Cisco prennent en charge de nombreuses technologies anti-
usurpation d'identit€, telles que la s€curit€ des ports, la surveillance DHCP (Dynamic
Host Configuration Protocol), la protection de la source IP, l'inspection ARP (Dynamic
Address Resolution Protocol) et les listes de contr†le d'accƒs (ACL).

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
3.5 Cadre de protection Cisco
Network Foundation

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
Cadre de protection de Cisco Network Foundation
Cadre NFP
Le cadre Cisco Network Foundation
Protection (NFP) fournit des directives
complƒtes pour la protection de
l'infrastructure r€seau. Ces directives
constituent la base de la fourniture
continue de services. NFP divise
logiquement les routeurs et les
commutateurs en trois zones
fonctionnelles :
• Plan de contrÇle - Responsable du
routage correct des donn€es.
• Plan de gestion - Responsable de
la gestion des €l€ments du r€seau.
• Plan de donnÄes - Responsable de
la transmission des donn€es.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Cadre de protection de Cisco Network Foundation
S€curisation du plan de contr†le
Le trafic du plan de contr†le est constitu€ de paquets g€n€r€s par les appareils
n€cessaires au fonctionnement du r€seau lui-mˆme. La s€curit€ du plan de contr†le peut
ˆtre mise en œuvre … l'aide des fonctionnalit€s suivantes :
• Authentification du protocole de routage - L'authentification du protocole de
routage, ou authentification du voisin, empˆche un routeur d'accepter des mises …
jour de routage frauduleuses.
• ContrÇle du plan de contrÇle (CoPP) - CoPP est une fonctionnalit€ Cisco IOS qui
permet aux utilisateurs de contr†ler le flux de trafic g€r€ par le processeur de routage
d'un p€riph€rique r€seau.
• AutoSecure - Cela peut verrouiller les fonctions du plan de gestion et les services et
fonctions du plan de transfert d'un routeur.
CoPP est con•u pour empˆcher le trafic inutile de submerger le processeur de routage.
La fonctionnalit€ CoPP traite le plan de contr†le comme une entit€ distincte avec ses
propres ports d'entr€e (entr€e) et de sortie (sortie). Un ensemble de rƒgles peut ˆtre
€tabli et associ€ aux ports d'entr€e et de sortie du plan de contr†le.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
Cadre de protection de Cisco Network Foundation
S€curisation du plan de gestion
Le trafic du plan de gestion est g€n€r€ soit par des p€riph€riques r€seau, soit par des stations
de gestion r€seau utilisant des processus et des protocoles tels que Telnet, SSH et TFTP, etc.
Le plan de gestion est une cible trƒs attrayante pour les pirates.

La s€curit€ du plan de gestion peut ˆtre mise en œuvre … l’aide des fonctionnalit€s suivantes :
• Politique de connexion et de mot de passe - Restreint l'accessibilit€ de l'appareil.
• PrÄsenter une notification lÄgale - Affiche les mentions l€gales.
• Assurer la confidentialitÄ des donnÄes - Protƒge les donn€es sensibles stock€es
localement contre toute consultation ou copie. Utilise des protocoles de gestion avec une
authentification forte pour att€nuer les attaques de confidentialit€ visant … exposer les mots
de passe et les configurations des appareils.
• ContrÇle d'accÅs basÄ sur les rÇles (RBAC) - Garantit que l'accƒs est accord€
uniquement aux utilisateurs, groupes et services authentifi€s.
• Autoriser les actions - Restreint les actions et les vues autoris€es par un utilisateur, un
groupe ou un service particulier.
• Activer les rapports d'accÅs de gestion - Journaux et comptes pour tous les accƒs.
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Cadre de protection de Cisco Network Foundation
S€curisation du plan de donn€es
Le trafic du plan de donn€es est principalement constitu€ de paquets utilisateur transmis via
le routeur. La s€curit€ du plan de donn€es peut ˆtre mise en œuvre … l'aide de listes de
contr†le d'accƒs, de m€canismes anti-usurpation d'identit€ et de fonctionnalit€s de s€curit€
de couche 2. Les listes de contr†le d'accƒs sont utilis€es pour s€curiser le plan de donn€es
de diverses maniƒres :
• Blocage du trafic ou des utilisateurs ind€sirables
• R€duire les risques de d€ni de service
• Att€nuer les attaques d’usurpation d’identit€.
• Assurer le contr†le de la bande passante
• Classification du trafic pour prot€ger les plans de gestion et de contr†le
Les commutateurs Cisco Catalyst peuvent utiliser des fonctionnalit€s int€gr€es pour
s€curiser l'infrastructure de couche 2. Les outils de s€curit€ de couche 2 suivants sont
int€gr€s aux commutateurs Cisco Catalyst :
• S€curit€ portuaire
• Surveillance DHCP
• Inspection ARP dynamique (DAI) € 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40

• Protection de la source IP
3.6 Att€nuation des menaces
R€sum€

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
R€sum€ sur l'att€nuation des menaces
Qu'ai-je appris dans ce module ?
• Les professionnels de la s€curit€ des r€seaux sont responsables du maintien de l’assurance des
donn€es d’une organisation et de la garantie de l’int€grit€ et de la confidentialit€ des informations.
• Il existe plusieurs organisations de s€curit€ r€seau pour vous tenir inform€, notamment SANS,
Mitre, FIRST, SecurityNewsWire, ISC2 et CIS.
• Il existe 14 domaines de s€curit€ r€seau sp€cifi€s par l'ISO/IEC qui servent de base commune
pour le d€veloppement de normes de s€curit€ organisationnelles.
• L’oignon de s€curit€ et l’artichaut de s€curit€ fournissent des analogies pour comprendre les
approches de la s€curit€ des r€seaux.
• Les outils de p€n€tration sont utilis€s par le personnel de s€curit€ pour valider la s€curit€ du
r€seau.
• Les services de renseignement sur les menaces, tels que Cisco Talos, permettent l’€change des
derniƒres informations sur les menaces.
• Divers outils, logiciels et services aident … att€nuer les attaques de logiciels malveillants, de
reconnaissance, de d€ni de service et d'usurpation d'adresse.
• Le cadre Cisco Network Foundation Protection (CoPP) fournit des directives complƒtes pour
prot€ger l'infrastructure r€seau en abordant la s€curit€ au niveau du plan de contr†le, du plan de
gestion et du plan de donn€es (plan de transfert) des p€riph€riques r€seau.
• Les outils de s€curit€ de couche 2 suivants sont int€gr€s aux commutateurs Cisco Catalyst :
s€curit€ des ports, surveillance DHCP, DAI et IPSG. € 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Att€nuer les menaces
Nouveaux termes et commandes
• Directeur des systƒmes d'information (DSI) • artichaut de s€curit€
• Responsable de la s€curit€ des systƒmes • crackers de mots de passe
d'information (RSSI) • outils de fabrication de paquets
• Responsable des op€rations de s€curit€ • renifleurs de paquets
(SecOps) • d€tecteurs de rootkit
• Institut d'administration systƒme, d'audit, de • piratage des systƒmes d'exploitation
r€seau et de s€curit€ (SANS) • Plateformes de s€curit€ des donn€es (DSP)
• Soci€t€ Mitre • services de renseignement sur les menaces et de
• Forum des €quipes de r€ponse aux incidents et s€curit€
de s€curit€ (FIRST) sur les vuln€rabilit€s et les • Groupe de renseignement sur les menaces Cisco
expositions courantes (CVE) Talos
• Consortium international de certification de la • authentification multifacteur (MFA)
s€curit€ des systƒmes d'information (ISC 2 ) • Cadre de protection de la fondation du r€seau
• Le Centre pour la s€curit€ Internet (CIS) Cisco (NFP)
• Certification en assurance de l'information • plan de contr†le
mondiale (GIAC) • plan de gestion
• Association d'audit et de contr†le des systƒmes • plan de donn€es (plan de transfert)
d'information (ISACA) • Police du plan de contr†le ( CoPP )
€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
• Examen Mise en œuvre et exploitation des • s€curit€ portuaire
technologies de s€curit€ de base Cisco (350-701 • Surveillance DHCP
SCOR) • Inspection ARP dynamique (DAI)
Att€nuer les menaces
Nouveaux termes et commandes (suite)
• Protection de la source IP (IPSG)

€ 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44