1

Introduction Générale

0.1 Contexte et Justification

Dans son rapport X-Force Threat Intelligence Index 2024, l’IBM met en évidence une
crise mondiale émergente des identités numériques, alors que les cybercriminels
redoublent d’efforts pour exploiter les identités des utilisateurs afin de compromettre
les entreprises dans le monde entier. Selon IBM X-Force (l’équipe d’IBM Consulting
spécialisée dans les services de sécurité offensive et défensive), en 2023, les
cybercriminels ont vu davantage d’opportunités de se connecter aux réseaux
d’entreprise par le biais de comptes valides plutôt que de pirater les réseaux, faisant
de cette tactique une arme de choix pour les cyberattaquants. Cette entrée facile
pour les attaquants est plus difficile à détecter, ce qui entraine une réponse coûteuse
de la part des entreprises. Selon X-Force, les incidents majeurs causés par des
attaquants utilisant des comptes valides ont été associés à des mesures de réponse
plus complexes de près de 200% de la part des équipes de sécurité par rapport à un
incident moyen. Les défenseurs devant faire la distinction entre l’activité légitime et
malveillantes des utilisateurs sur le réseau. 1

Eu égard à ce qui précède, il est essentiel pour les entreprises de mettre en œuvre
des systèmes plus solides, capables non seulement de repérer les incidents, mais
aussi d'y répondre de manière efficace et rapide. Le choix de Wazuh, une solution
open source qui intègre des fonctionnalités avancées de détection et de réponse,
semble être une option prometteuse. Ce travail s’inscrit donc dans une démarche
visant à étudier et à mettre en œuvre un système de sécurité basé sur cette
technologie afin de renforcer la protection des réseaux intranet.

0.2.1 Problématique
Malgré les progrès réalisés en matière de sécurité informatique, l'intranet continuent
de présenter des faiblesses majeures, souvent exploitées par des attaques ciblées. Il
est possible que ces vulnérabilités proviennent d'une configuration incorrecte, d'une
gestion inefficace des accès ou encore d'une absence de solutions appropriées pour
surveiller les activités internes. Devant cette observation, la question essentielle est
la suivante : « Comment mettre en place un système efficace de détection et de
réponse aux incidents, adapté aux spécificités des intranets, afin de garantir une
sécurité optimale tout en minimisant les impacts sur les performances des réseaux?
»

1
[Link]
 2

0.2.2 Hypothèse
La mise en place de l'environnement Wazuh pour détecter et réagir aux
cyberattaques permettrait d'améliorer considérablement la sécurité des réseaux
intranet. Ce système permettrait de détecter les menaces de manière proactive, de
réagir rapidement aux incidents et de centraliser la gestion des alertes, tout en étant
flexible pour répondre aux besoins des organisations et en étant compatible avec les
infrastructures déjà en place.

0.3 Choix et Intérêt du Sujet

Le choix de ce sujet repose sur plusieurs facteurs. Tout d’abord, les réseaux intranet
jouent un rôle vital dans le fonctionnement des organisations modernes. Leur
compromission peut entraîner des conséquences graves, notamment des pertes
financières, des atteintes à la réputation et des interruptions d’activité. Ensuite, la
cybersécurité est un domaine en constante évolution, nécessitant des solutions
innovantes et adaptées. Enfin, l’environnement Wazuh représente une opportunité
unique d’intégrer des fonctionnalités avancées dans un cadre open source, offrant
ainsi une alternative efficace et économique aux solutions commerciales.

L’intérêt scientifique réside dans l’évaluation des capacités de Wazuh à protéger les
intranets contre les menaces modernes. L’intérêt pratique, quant à lui, concerne la
mise à disposition d’un guide opérationnel pour les organisations cherchant à
améliorer leur cybersécurité.

0.4 Délimitation du Sujet

Ce travail se limite à l’étude et à la mise en place d’un système de détection et de
réponse aux incidents dans un réseau intranet simulé. L’accent est mis sur
l’utilisation de Wazuh en tant qu’outil principal, avec une analyse comparative
d’autres solutions similaires. Les cyberattaques analysées incluront principalement
les menaces internes, telles que les intrusions non autorisées, les anomalies de
comportement et les vulnérabilités courantes.

0.5 Méthodologie du Travail

0.5.1 Méthodes utilisées

La méthodologie adoptée combine une analyse documentaire approfondie et une
expérimentation pratique. L’analyse documentaire vise à explorer les théories,
concepts et approches liés à la cybersécurité et aux systèmes de détection et de
réponse. L’expérimentation pratique, quant à elle, consiste à configurer et à tester
Wazuh dans un environnement simulé, afin de valider son efficacité.

0.5.2 Techniques Utilisées

Les techniques employées incluent :

 La simulation de réseaux à l’aide de VirtualBox pour créer un environnement

représentatif d’un intranet.
 3

 L’utilisation de Wazuh pour surveiller et analyser les activités du réseau.

 La conduite de tests de vulnérabilité et de simulations d’attaques pour évaluer
les capacités de détection et de réponse.
 La collecte et l’analyse des journaux d’activités générés par Wazuh.

0.6 Canevas du Travail

Ce mémoire est composé de quatre chapitres principaux :

Chapitre 1 : Notions sur l’intranet

Chapitre 2 : Généralités sur la cybersécurité

Chapitre 3 : Cyberattaques et réponses aux incidents

Chapitre 4 : Conception et mise en œuvre du système de détection et de réponse

 4

CHAPITRE 1 : NOTIONS SUR L’INTRANET

1.3.1 Intranet
L’intranet est un réseau conçu pour traiter l’information à l’intérieur d’une entreprise
ou d’une organisation et utilisant le protocole IP de façon privée.2
Le rôle principal d’un intranet est de fournir un réseau privé et sécurisé au sein d’une
entreprise pour faciliter la communication, la collaboration et le partage
d’informations.
Exemple : Révérend Kim site de Ndjili et Révérend Kim site de Lingwala

Un intranet est simplement un réseau local (LAN) utilisant TCP/IP et des

programmes Internet pour connecter les employés. Sur un intranet, au lieu d'utiliser
le logiciel pour les e-mails, on utilisera un serveur de messagerie comme le serveur
de messagerie Alta Vista pour le serveur et Pegasus Mail pour le client. Pour le
partage de documents, au lieu d'utiliser des programmes de groupe de travail, on
utilisera des serveurs Web et des navigateurs.3

Si l’on veut aller plus loin avec notre intranet, on peut aussi le connecter à Internet.
Dans ce cas, la différence cruciale entre notre intranet et Internet est qu’on doit avoir
des mesures de sécurité en place pour garder nos données et notre trafic
d'entreprise séparés de ceux d'Internet.

Pour offrir un service intranet, on n'a pas besoin de connaître en détail l'architecture
des systèmes, mais on doit comprendre les bases de TCP/IP pour avoir une idée du
fonctionnement des différentes connexions et du type de connexion que l’entreprise
devrait utiliser.

En termes simples, un intranet est une combinaison de deux technologies. La

première est un réseau local, un réseau limité à une entreprise ou des entreprises,
par opposition à l'ensemble du monde. La seconde est la facilité d'utilisation trouvée
sur Internet.

L'invention des navigateurs graphiques a permis aux utilisateurs d'éviter la ligne de

commande pour trouver ce qu'ils cherchaient en suivant un chemin graphique. Les
liens mènent un utilisateur d'un endroit ou d'un ensemble d'informations à un autre,
de manière simple et intuitive.

Les administrateurs ont rapidement vu l'intérêt de combiner la facilité d'utilisation

d'Internet (principalement le Web) avec les fichiers et services disponibles sur le
réseau d'entreprise. En rendant l'information sur le réseau plus accessible, ils
pourraient réduire bon nombre de problèmes rencontrés par les utilisateurs et
augmenter leur efficacité. Cette union de la technologie graphique et du réseau est
appelée Intranet.

Pour illustrer l'intérêt d'un intranet, imaginez une grande entreprise qui dispose d'un
manuel expliquant comment les employés doivent mener leurs activités
professionnelles. L'entreprise souhaite rendre ce manuel disponible
électroniquement à tous ses employés.
2
Guy Pujolle, Initiation aux réseaux Cours et exercices, Paris, Éditions Eyrolles 2001, P.16
3
George Eckel et William Steen, Intranet working, USA, New Readers Publishing, 1996, P.7-8
 5

Au lieu d'utiliser un réseau étendu, le manuel est placé sur le serveur des
ressources humaines (RH). L'employé se connecte à son propre serveur, établit une
liaison avec le serveur RH, et associe un lecteur à ce serveur.
Ensuite, il explore ce lecteur pour trouver un fichier ressemblant au manuel, qu'il
ouvre dans son traitement de texte. Après l'avoir trouvé, lu ou imprimé, l'employé
déconnecte le lecteur et met fin à la session.

Avec un intranet, l'employé ouvre simplement son navigateur, accède à une URL
pour le service RH et voit une liste de contenus disponibles. En cliquant sur le
manuel, il est affiché graphiquement. Les gains en temps, réduction de frustrations et
en efficacité sont immenses.

Comme cette technologie provient largement d'Internet, on verra parfois les termes
intranet et Internet utilisés de manière interchangeable. La principale différence est
qu'un intranet reste interne à l'entreprise, tandis qu'Internet dépasse ses frontières.

 Aperçu sur le TCP/IP4

Les deux principaux protocoles définis dans cette architecture sont les suivants :
- IP (Internet Protocol), de niveau réseau, qui assure un service sans
connexion.
- TCP (Transmission Control Protocol), de niveau transport, qui fournit un
service fiable avec connexion.
TCP/IP définit une architecture en couches qui inclut également, sans qu’elle soit
définie explicitement, une interface d’accès au réseau. En effet, de nombreux sous-
réseaux distincts peuvent être pris en compte dans l’architecture TCP/IP, de type
aussi bien local qu’étendu.

Cette architecture a pour socle le protocole IP, qui correspond au niveau paquet
(couche 3) de l’architecture du modèle de référence. En réalité, il ne correspond que
partiellement à ce niveau. Le protocole IP a été conçu comme protocole
d’interconnexion, définissant un bloc de données d’un format bien défini et contenant
une adresse, mais sans autre fonctionnalité. Son rôle était de transporter ce bloc de
données dans un paquet selon n’importe quelle autre technique de transfert de
paquets. Cela vaut pour la première génération du protocole IP, appelée IPv4, qui
est encore massivement utilisée aujourd’hui. La deuxième version du protocole IP,
IPv6, joue réellement un rôle de niveau paquet, avec de nouvelles fonctionnalités
permettant de transporter les paquets d’une extrémité du réseau à une autre avec
une certaine sécurité.

Les paquets IP sont indépendants les uns des autres et sont routés individuellement
dans le réseau par le biais de routeurs. La qualité de service proposée par le
protocole IP est très faible, sans détection de paquets perdus ni de possibilité de
reprise sur erreur.

Le protocole TCP regroupe les fonctionnalités de niveau message (couche 4) du

modèle de référence. C’est un protocole assez complexe, qui comporte de
nombreuses options permettant de résoudre tous les problèmes de perte de paquet
dans les niveaux inférieurs.

4
Guy Pujolle, Le réseaux 6e édition, Paris, Eyrolles, 2008, P.63-64
 6

En particulier, un fragment perdu peut être récupéré par retransmission sur le flot
d’octets. Le protocole TCP est en mode avec connexion, contrairement à UDP. Ce
dernier protocole UDP se positionne aussi au niveau transport mais dans un mode
sans connexion et n’offre pratiquement aucune fonctionnalité. Il ne peut prendre en
compte que des applications qui demandent peu de service de la part de la couche
transport.

Toute la puissance de cette architecture repose sur la souplesse de sa mise en

œuvre au-dessus de n’importe quel réseau existant. Soi, par exemple, X et Y,
respectivement un réseau local et un réseau étendu à commutation de cellules ou de
paquets. Le protocole IP est implémenté sur toutes les machines connectées à ces
deux réseaux. Pour qu’il soit possible de passer d’un réseau à l’autre, un routeur,
dont le rôle est de décapsuler le paquet arrivant du réseau X et de récupérer le
paquet IP, est mis en place. Après traitement, essentiellement du routage, le paquet
IP est encapsulé dans le paquet du réseau Y. Le rôle du routeur est, comme son
nom l’indique, de router le paquet vers la bonne destination.

Une particularité importante de l’architecture TCP/IP est que l’intelligence et le

contrôle du réseau se trouvent en presque totalité dans la machine terminale et non
pas dans le réseau, en tout cas pour IPv4. C’est le protocole TCP qui se charge
d’envoyer plus ou moins de paquets dans le réseau en fonction de l’occupation de
celui-ci. L’intelligence de contrôle se trouve dans le PC extrémité, et plus
précisément dans le logiciel TCP. La fenêtre de contrôle de TCP augmente ou
diminue le trafic suivant la vitesse requise pour faire un aller-retour. Le coût de
l’infrastructure est extrêmement bas puisque nombre de logiciels, et donc l’essentiel
de l’intelligence, se trouvent dans les machines terminales. Le service rendu par ce
réseau de réseaux est de type best-effort, ce qui signifie que le réseau fait de son
mieux pour écouler le trafic.

1.3.2 Extranet
Un extranet est un réseau informatique privé qui permet à une organisation de
partager des ressources ou des services avec des utilisateurs externes (Partenaires,
fournisseurs, …). C’est le prolongement permettant aux utilisateurs externes de
s’interconnecter sur un intranet.5
Exemple : Révérend Kim et la Raw Bank sont en réseau pour échanger des données
sur les étudiants en ordre avec les frais.
1.3.3 Internet
Le mot Internet vient d’InterNetwork, que l’on peut traduire par « interconnexion de
réseaux ». Internet est donc un réseau de réseaux. Au début des années 70, les
nombreux réseaux qui commencent à apparaître ont une structure de paquets
disparate, qui rend leur interconnexion particulièrement complexe. L’idée d’Internet
est de réclamer à ces réseaux d’insérer dans leurs paquets un paquet à la structure
identique, autrement dit un paquet commun.6

5
Guy Pujolle, Initiation aux réseaux Cours et exercices, Paris, Éditions Eyrolles 2001, P.248
6
Idem P.134
 7

Figure I.1 Architecture de l’internet

1.3.4 Réseau informatique
Les réseaux ont pour fonction de transporter des données d’une machine terminale à
une autre. Une série d’équipements matériels et de processus logiciels sont mis en
œuvre pour assurer ce transport, depuis les câbles terrestres ou les ondes radio
dans lesquels circulent les données jusqu’aux protocoles et règles permettant de les
traiter. Ce sont donc des équipements informatiques interconnectés entre eux
par un support de transmission matériel ou immatériel pour échanger des
ressources qui peuvent être matérielles ou informatiques en utilisant des
protocoles de communication.7

Les réseaux informatiques sont nés du besoin de relier des terminaux distants à un
site central, puis des ordinateurs entre eux, et enfin des machines terminales,
comme les stations de travail ou les serveurs. Dans un premier temps, ces
communications étaient destinées au transport des données informatiques.
Aujourd’hui, l’intégration de très nombreuses applications, téléphonie, vidéo, jeux,
etc. est généralisée dans les réseaux informatiques. On distingue généralement cinq
catégories de réseaux informatiques, différenciées par la distance maximale
séparant les points les plus éloignés du réseau.8
 Les réseaux personnels, ou PAN (Personal Area Network), qui
interconnectent sur quelques mètres des équipements personnels tels que
téléphone mobile, portable, tablette, etc., d’un même utilisateur.
 Les réseaux locaux, ou LAN (Local Area Network), qui correspondent par leur
taille aux réseaux intra-entreprise. Ils servent au transport de toutes les
informations numériques de l’entreprise. En règle générale, les bâtiments à
câbler s’étendent sur plusieurs centaines de mètres. Les débits de ces
réseaux vont aujourd’hui de quelques mégabits par seconde à plusieurs
milliers de mégabits par seconde.

7
Guy Pujolle, Le réseaux 6e édition, Paris, Eyrolles, 2008, P.30
8
Guy Pujolle, Le réseaux 10e édition, Paris, Eyrolles, 2024-2026, P.52
 8

Ils regroupent les réseaux adaptés à la taille d’un site d’entreprise et dont les
deux points les plus éloignés ne dépassent pas quelques kilomètres de
distance. On les appelle parfois réseaux locaux d’entreprise.
 Les réseaux métropolitains, ou MAN (Metropolitan Area Network), qui
permettent l’interconnexion des entreprises ou éventuellement des particuliers
sur un réseau spécialisé à haut débit géré à l’échelle d’une métropole. Ils
doivent être capables d’interconnecter les réseaux locaux des différentes
entreprises pour leur donner la possibilité de dialoguer avec l’extérieur.
 Les réseaux régionaux, ou RAN (Regional Area Network), qui ont pour objectif
de couvrir une large surface géographique. Dans le cas des réseaux sans fil,
les RAN peuvent avoir une cinquantaine de kilomètres de rayon, ce qui
permet, à partir d’une seule antenne, de connecter un très grand nombre
d’utilisateurs.
Cette solution a profité du dividende numérique, c’est-à-dire des bandes de
fréquences de la télévision analogique qui ont été libérées après le passage au
tout-numérique, au début des années 2010. Cependant, beaucoup de pays, dont
l’Europe, ont renoncé à cette technologie faute de libérer des bandes de
fréquences très basses pour obtenir une très longue portée. Les réseaux RAN
sont présentés plus en détail au chapitre 16 à la section Exemples de réseaux
d’accès hertziens.
 Les réseaux étendus, ou WAN (Wide Area Network), qui sont destinés à
transporter des données numériques sur des distances à l’échelle d’un pays,
voire d’un continent ou de plusieurs continents.
Le réseau peut être terrestre, dans ce cas il utilise des infrastructures au niveau
du sol, essentiellement de grands réseaux de fibre optique, ou hertziens, comme
les constellations de satellites.

Figure I.2 Les grandes catégories de réseaux informatiques

1.3.4 Coup d’œil sur le modèle OSI9

Le modèle OSI définit des niveaux fonctionnels qui fournissent chacun un service
spécifique. Nous limiterons cette étude aux fonctionnalités et particularités essentiels
de chacune des couches.

9
Claude Servin, RÉSEAUX ET TÉLÉCOMS Cours et exercices corrigés, Paris, DUNOD, 2003, P.207-220
 9

[Link] La couche physique

La couche physique fournit l’interface avec le support physique sur lequel elle
transmet un train de bits en assurant, éventuellement, la transparence de binaire.
Elle est chargée de la synchronisation entre les horloges source et destination. La
couche physique ne distingue pas le mode connecté du mode sans connexion. Elle
prend en charge les transmissions synchrones ou asynchrones en fonctionnement
simplex, semi-duplex ou duplex que la liaison soit en mode point à point ou
multipoint. Les services fournis, à la couche liaison, sont :
- L’établissement et la libération de la connexion physique;
- La transmission série et ou parallèle de «n» bits;
- L’identification des extrémités de la connexion physique, qui peut être unique
(liaison point à point) ou multiple (liaison multipoint);
- L’identification du circuit de données, cette identification pouvant être utilisée
par les entités réseaux pour identifier un circuit de données (voie logique);
- Le maintien en séquence des bits émis;
- L’horloge et la récupération d’horloge (synchronisation) ;
- La notification de dérangement.

Figure I.3 Architecture de la couche physique

La qualité de service fournie dépend essentiellement des supports utilisés, elle est
caractérisée par le débit offert, le débit effectif, le taux d’erreur et la disponibilité.
[Link] La couche liaison des données
La couche liaison de données assure le contrôle logique de la liaison et le transfert
de données entre entités de réseau sous forme de trame. La couche liaison de
données fournit un service de point à point, dit aussi en cascade, et éventuellement
un mécanisme de détection et de correction d’erreur.
Les services fournis aux entités de réseau, accessibles au SAP dit DLSAP, sont :
- L’établissement, le maintien et la libération de la connexion logique établie
entre deux points d’accès au service de liaison de données;
 10

- Éventuellement la fourniture d’identificateur d’extrémité;

- La délimitation et le transfert des données (trames) en assurant :
- Le maintien en séquence;
- La détection et la correction d’erreur;
- La notification d’erreur non corrigée;
- Le contrôle de flux.

Figure I.4 Architecture de la couche liaison des données

La qualité de service fournie s’exprime principalement par le taux d’erreurs
résiduelles, ces erreurs pouvant provenir de données altérées, perdues, dupliquées
ou du non-respect de l’ordonnancement des trames.
[Link] La couche réseau
La couche réseau assure un transfert de données entre deux systèmes d’extrémité à
travers un ou plusieurs sous-réseaux physiques (systèmes relais). Elle fournit les
fonctions de routage et garantit aux entités de transport un service réseau uniforme
indépendamment des technologies utilisées dans les sous-réseaux physiques
traversés. Deux fonctions essentielles en découlent :
- La localisation des systèmes (adressage).
- L’adaptation de la taille des unités de données aux capacités des différents
sous réseaux traversés
 11

Figure I.5 Architecture de la couche liaison des données

La localisation du système doit résoudre deux problèmes : l’adressage et
l’acheminement (le routage). Le NSAP (Network Service Access Point) correspond à
l’identification, sur les systèmes d’extrémité, de l’accès au service réseau (entités
homologues) et non à la localisation du destinataire. Déduit de la NSAP adresse, le
SNPA (SubNetwork Point of Attachment) est couramment appelé adresse du
destinataire. Le SNPA identifie le point où le système réel d’extrémité (ou l’unité
d’interfonctionnement– relais–) est raccordé au sous-réseau réel. Le terme de sous-
réseau réel désigne le ou les sous-réseaux physiques de transfert, l’emploi du terme
réseau est à réserver à la désignation de la couche réseau et des entités réseaux.
La couche réseau est subdivisée en trois sous-couches qui ne sont pas
nécessairement toutes présentes. La couche la plus basse est chargée directement
de l’accès physique au sous-réseau réel (SNACP, SubNetwork ACcess Protocol), la
couche la plus haute assure les fonctions réseaux indépendamment du sous-réseau
réel utilisé (SNICP, SubNetwork Indepen dant Convergence Protocol), la couche
intermédiaire est chargée d’une éventuelle adaptation (SNDCP, SubNetwork
Dependant Convergence Protocol).
Pour réaliser ses objectifs la couche réseau réalise les fonctions suivantes :
- Routage et service relais;
- Connexion de niveau réseau;
- Multiplexage des connexions;
- Segmentation et groupage;
- Détection d’erreur et reprise sur erreur;
- Maintien en séquence;
- Contrôle de flux;
- Transfert de données exprès;
- Réinitialisation.
 12

[Link] La couche transport

La couche transport garantit aux couches hautes un transfert fiable et transparent
des données, en masquant, à celles-ci, les détails d’exécution de ce service. C’est-à-
dire qu’elle fournit, aux entités de session, un service de transfert fiable de bout en
bout quel que soit le sous-réseau utilisé disponible au SAP TSAP (Transport Service
Access Point). La couche transport effectue, éventuellement, une remise en
séquence des unités de données reçues, si ce service n’est pas garanti par les
couches inférieures.

Figure I.6 Architecture de la couche transport

Les mécanismes mis en œuvre par les protocoles de transport sont nombreux,
quelques-uns sont spécifiques, en voici les détails :
 La résolution de l’adresse de transport, la localisation de l’entité distante, sur
laquelle le système local doit se connecter, est déduite de l’adresse de
transport destination (TSAP). Plusieurs cas sont envisageables :
- Le système local connaît la TSAP distante, il émet une demande de
connexion à l’adresse de celle-ci;
- Le système local ne connaît pas la TSAP distante, il peut, dans ce cas, par
exemple, se connecter à un service d’annuaire local ou distant qui lui
indiquera la TSAP désirée.
 Le référencement des connexions de transport, plusieurs connexions de
transport peuvent aboutir à une même TSAP. Pour identifier les flux de
données de provenances différentes, l’entité de transport attribue à chaque
flux un identifiant, sur 2 octets, appelé référence de transport (référence
source et référence destination.
 Le gel de référence, lors de la libération d’une connexion, les références de
celle-ci ne peuvent être réutilisées, par une nouvelle connexion, pendant un
certain temps. Cette technique interdit qu’une nouvelle connexion soit établie
sur les mêmes références et reçoive des données, appartenant à la connexion
précédente, retardées dans le sous-réseau de transport.
 13

 La libération implicite ou explicite, la libération est dite implicite lorsque sa vie

est liée à celle de la connexion réseau, elle est réalisée en même temps que
celle-ci; elle est dite explicite quand sa vie est indépendante de celle de la
couche réseau.
 La détection et la correction d’erreur
 Le contrôle d’inactivité
 La segmentation
 Le contrôle de flux
 L’établissement de la connexion en trois temps
 La déconnexion
[Link] La couche session
La couche session est l’interface entre le processus d’application et le service de
transfert de données (connexion de transport). Elle assure au processus
d’application les moyens de contrôler le dialogue en organisant celui-ci et en
autorisant les reprises (resynchronisation). La gestion du dialogue et la
synchronisation sont assurées par l’intermédiaire de 4 jetons :
- Le jeton de données qui contrôle l’accès au transfert de données lors d’un
échange à l’alternat ;
- Le jeton de terminaison qui autorise le détenteur à demander une libération
normale de la connexion de session;
- Le jeton de synchronisation mineure (mi) qui permet la pose d’un point de
synchronisation mineure;
- Le jeton de synchronisation majeure (MA) et d’activité qui autorise la pose
d’un point de synchronisation majeure ou qui délimite le début et la fin d’une
activité.
Un jeton est disponible ou indisponible. S’il est indisponible, aucun utilisateur ne
peut bénéficier des services qui lui sont associés. L’entité qui ne possède pas le
jeton peut le demander (Please Token), celle qui le possède peut le lui concéder
(Give Token) ou ignorer la demande. Dans le cadre d’un dialogue en full duplex,
aucune entité n’a l’usage exclusif du jeton. La structuration du dialogue est garantie
par la pose de points de synchronisation. Un point de synchronisation permet
d’identifier des instants significatifs de l’échange. Il est posé sous la responsabilité du
processus d’application (services reflétés), son identification est à la charge de la
couche session.
[Link] La couche présentation
La couche présentation est la première couche non impliquée dans les mécanismes
de transfert d’information. Son rôle essentiel consiste à garantir la signification des
données transférées, indépendamment de la représentation interne de celles-ci, du
codage utilisé (ASCII, EBCDIC...), de la longueur des mots machines (32, 64 bits...),
de la représentation des valeurs négatives (complément à 1 ou à 2) dans les hôtes
communicants.
 14

La couche présentation garantit à la couche application :

- L’accès aux services de la couche session, la plupart des primitives de service
de présentation ne font que traverser la couche présentation, elles ont une
correspondance directe avec les primitives de service de la couche session
(services réfléchis);
- Les services de cryptographie et de compression de données;
- La négociation d’une syntaxe de transfert (contexte de présentation) lors de
l’établissement de la connexion de présentation.

Figure I.7 Architecture de la couche présentation

[Link] La couche application
La couche application est la dernière couche et la plus abstraite du modèle OSI, ses
utilisateurs ne sont pas des entités d’une couche supérieure mais l’application
utilisateur proprement dite. Elle a pour objet de fournir tous les mécanismes
nécessaires au fonctionnement des programmes utilisateurs situés sur des machines
distinctes et interconnectées.
1.3.5 Les topologies des réseaux 10
La topologie d’un réseau décrit la façon dont sont interconnectés les nœuds et les
terminaux des utilisateurs. On distingue trois topologies, l’étoile, le bus et l’anneau,
qui peuvent être combinées pour obtenir des topologies hybrides.

 L’étoile

10
Guy Pujolle, Initiation aux réseaux Cours et exercices, Paris, Éditions Eyrolles 2001, P.37-41
 15

Dans cette architecture, qui fut la première créée, chaque station est reliée à un
nœud central. La convergence entre les télécommunications et l’informatique a
favorisé cette topologie, qui a l’avantage de s’adapter à de nombreux cas de figure et
d’être reconfigurable, une étoile pouvant jouer le rôle d’un bus ou d’un anneau.
Ces caractéristiques la rendent capable de satisfaire aux besoins à la fois des
télécoms et de l’informatique.
Du fait de sa centralisation, la structure en étoile peut toutefois présenter une
certaine fragilité. De plus, elle manque de souplesse, puisqu’il faut une liaison
supplémentaire pour toute station rajoutée et que les extensions du réseau sont
limitées par la capacité du nœud central. L’ensemble des prises et des câbles doit
donc être prévu à l’origine de façon à ne pas avoir à entreprendre de travaux
d’infrastructure, souvent coûteux.

Figure I.8 Topologie en étoile

Le fait que le logiciel soit centralisé présente néanmoins des avantages certains en
matière de gestion du système, plus simple, et de coût, réparti entre les différents
utilisateurs connectés.
 Le bus
Dans cette architecture, les stations sont raccordées à une liaison physique
commune.
 16

Figure I.9 Topologie en bus

Les bus présentent en général des structures passives, qui ne nécessitent pas
d’élément actif au niveau du support. En d’autres termes, il n’existe pas d’organe
alimenté électriquement sur le support.
Pour connecter une station sur un bus, la prise ne nécessite pas l’utilisation
d’éléments comprenant des composants électroniques, lesquels, s’ils tombaient en
panne, risqueraient d’entraver le passage du signal.
Les dispositifs de connexion sur un bus sont passifs, ce qui est un avantage en
matière de sécurité. Il est important de noter que ces connexions passives, simples à
réaliser sur câble coaxial ou paire de fils métalliques, réclament cependant des
équipements spécifiques sur fibre optique.
 L’anneau
Dans cette configuration, le support relie toutes les stations, de manière à former
un circuit en boucle. L’information circule dans une seule direction, le long du
support de transmission. Il est cependant possible de réaliser un réseau
bidirectionnel en utilisant deux anneaux, les transmissions s’effectuant dans les
deux sens.

L’anneau est le plus souvent une structure active, dans laquelle les signaux sont
régénérés au passage dans chaque nœud, selon un processus assez simple. Les
réseaux en anneau utilisent des techniques de jeton, par lesquelles seul le
coupleur qui possède le jeton a le droit de transmettre ; le jeton peut être une
suite de bits ou parfois un seul bit. Pour qu’un coupleur capte le jeton au
passage, il doit être capable de l’identifier et de l’arrêter. Le coupleur doit
posséder pour cela un registre à décalage. Pendant que les informations se
décalent, le coupleur peut prendre des décisions, notamment celle de retirer le
jeton du support physique. Dans ce cas, les éléments binaires sont modifiés, et le
signal est régénéré à la sortie du registre à décalage.

La médiocre fiabilité de ce type d’architecture lui a valu de nombreuses critiques,

la rupture de l’anneau ou la défection d’un nœud actif paralysant le trafic du
réseau. Divers mécanismes permettent de remédier à ce défaut. On peut
notamment sécuriser la couche physique par redondance en doublant le sup port
 17

et les organes critiques et en utilisant des relais pour court-circuiter les nœuds
défaillants.

Figure I.10 Topologie en anneau

Dans ce travail, nous nous baserons beaucoup plus sur la topologie en étoile

1.3.6 Les équipements réseaux11

[Link] Le répéteur et le pont
Parmi les nombreux composants réseau qui font partie de la couche physique, le
plus simple est le répéteur. C’est un organe non intelligent, qui répète
automatiquement tous les signaux qui lui arrivent et transitent d’un support vers un
autre support. Dans le même temps, le répéteur régénère les signaux, ce qui permet
de prolonger le support physique vers un nouveau support physique.

Figure I.11 Le répéteur

Contrairement au répéteur, un pont est un organe intelligent, capable de reconnaître
les adresses des blocs d’information qui transitent sur le support physique. Un pont
filtre les trames et laisse passer les blocs destinés au réseau raccordé. En d’autres
termes, un pont ne retransmet que les trames dont l’adresse correspond à une
machine située sur le réseau raccordé.

En général, un pont permet de passer d’un réseau vers un autre réseau de même
type, mais il est possible d’avoir des ponts qui transforment la trame pour l’adapter
au réseau raccordé. Par exemple, un réseau Ethernet peut être connecté à un
réseau Token-Ring par un tel pont. On retrouve ces deux équipements à la couche
physique du modèle OSI.
11
Guy Pujolle, Initiation aux réseaux Cours et exercices, Paris, Éditions Eyrolles 2001, P.33-36
 18

Figure I.12 Le pont

[Link] Le concentrateur
Un concentrateur permet, comme son nom l’indique, de concentrer le trafic
provenant de différents équipements terminaux. Cela peut se réaliser par une
concentration du câblage en un point donné ou par une concentration des données
qui arrivent simultanément par plusieurs lignes de communication.

Dans le cadre des réseaux locaux, le terme concentrateur peut prendre

l’une ou l’autre signification. Dans le cas de la concentration du câblage,
les prises sur lesquelles sont connectés les terminaux sont reliées au
concentrateur par l’intermédiaire du câblage.

Figure I.13 Le concentrateur

Les concentrateurs peuvent être passifs ou actifs. Dans le premier cas, le signal
n’est pas réamplifié, alors qu’il est régénéré dans le second cas.
[Link] Le Modem
Le modem est l’acronyme de modulateur-démodulateur, qui transforment les signaux
binaires produits par les ordinateurs ou les équipements terminaux en des signaux
également binaires, mais dotés d’une forme sinusoïdale, qui leur offre une
propagation de meilleure qualité. Il se retrouve à la couche physique du modèle OSI.
 19

Figure I.14 Le Modem

[Link] Le routeur
Équipement permettant d’effectuer un transfert de paquets, qui utilise l’adresse se
trouvant dans l’en-tête du paquet pour déterminer la meilleure route à suivre pour
acheminer le paquet vers son destinataire à l’aide d’une table de routage. Il permet
d’interconnecter deux réseaux de nature différentes. Les routeurs (routers) sont
destinés à relier plusieurs réseaux de technologies différentes.
Ils opèrent essentiellement au niveau de la couche 3 du modèle OSI, c’est-à-dire
qu’ils assurent le routage des informations à travers l’ensemble des réseaux
interconnectés. Le routeur possède au moins deux interfaces réseau et contient un
logiciel très évolué, administrable à distance. Pour tenir compte de l’évolution des
commutateurs, les routeurs proposent à leur tour des fonctions de niveau plus élevé
que le niveau 3 : fonctions de pare-feu et autres. Ils sont liés à l’architecture des
protocoles de routage utilisés, contrairement aux commutateurs. La majorité des
routeurs utilisant le protocole IP.

[Link] Le commutateur ou switch12

Le commutateur d’un réseau local peut être assimilé à un pont évolué à très hautes
performances, qui transmet et filtre les trames grâce à ses tables de
réacheminement. Dans les réseaux d’entreprise comptant plusieurs VLAN, les trunks
sont des liaisons dédiées entre commutateurs, sur lesquelles circulent les données
des différents VLAN.
 Commutateurs-routeurs
Les fonctionnalités de plus en plus étendues des commutateurs empiètent sur les
fonctions classiquement dévolues aux routeurs. De ce fait, les commutateurs les plus
sophistiqués sont souvent appelés des commutateurs-routeurs. Désormais, en plus
des fonctions traditionnelles de commutation d’un port à l’autre, les commutateurs-
routeurs sont capables d’effectuer des fonctions de niveau 3 et même de niveau 4 du
modèle OSI.
Les fonctions de niveau 3 que peuvent exécuter les commutateurs-routeurs sont :
12
Danièle DROMARD et Dominique SERET, Architecture des réseaux, France, Edition Pearson Education, 2009,
P.124-127
 20

- Le routage interVLAN, en fonction des adresses IP.

- Le routage dynamique car ils peuvent exécuter les protocoles de routage
comme RIP, OSPF, BGP…
- Le protocole VRRP (Virtual Router Redundancy Protocol). Ce protocole, de
plus en plus utilisé aussi bien dans les routeurs que dans les commutateurs-
routeurs, s’attache à résoudre le problème de l’unicité du routeur par défaut.
- La gestion de listes de contrôle d’accès ou ACL (Access Control List). Pour
chaque sousréseau IP, le commutateur peut autoriser ou interdire l’accès à tel
autre sous-réseau IP, comme le fait normalement un routeur.
En plus des fonctions de niveau 3, les commutateurs-routeurs comme la plupart des
routeurs peuvent inspecter le contenu des datagrammes IP. En effet, on peut affiner
l’utilisation des listes de contrôle d’accès en autorisant ou en interdisant la circulation
des flux de données sur certains ports TCP ou UDP. De la sorte, le commutateur-
routeur se comporte comme un pare-feu de base.

[Link] La passerelle ou Gateway

Les passerelles (gateways) sont des équipements qui relient des réseaux totalement
différents : elles assurent une compatibilité au niveau des protocoles de couches
hautes entre réseaux hétérogènes et effectuent, par exemple, des conversions vers
des protocoles et des applications « propriétaires ».
[Link] Les pare-feux13
Un pare- feu est un équipement de réseau, la plupart du temps de type routeur,
placé à l’entrée d’une entreprise afin d’empêcher l’entrée ou la sortie de paquets non
autorisés par l’entreprise.
1.4 Conclusion partielle
Pour conclure ce chapitre sur les notions d'intranet, nous avons exploré les
principales caractéristiques et avantages de cette technologie au sein des
entreprises, notamment sa capacité à faciliter la collaboration, la communication et le
partage d'informations en milieu sécurisé. L'intranet se distingue par son utilisation
de protocoles et d'outils inspirés d'Internet, mais limités à un cadre interne. Nous
avons également analysé des concepts associés tels que le TCP/IP, l'extranet, et les
bases des réseaux informatiques.
En passant en revue les topologies de réseaux et les équipements fondamentaux,
nous avons mis en évidence les éléments clés nécessaires au déploiement et à la
gestion d'un réseau efficace et adapté aux besoins spécifiques d'une organisation.
Dans le chapitre suivant, intitulé Généralités sur la cybersécurité, nous
approfondirons les mesures nécessaires pour protéger ces réseaux et leurs données

13
Guy PUJOLLE, Les réseaux, Paris, 10e Edition Eyrolles, 2024-2026, P.759
 21

contre les menaces et attaques potentielles, un enjeu crucial dans le contexte

numérique actuel.

CHAPITRE 2 : GENERALITE SUR LA CYBERSECURITE

2.0 Introduction partielle
La cybersécurité, c’est avant tout l’art de protéger les systèmes numériques et les
informations qu’ils contiennent. Elle ne se limite pas aux attaques ou aux menaces,
mais vise surtout à garantir que les données restent confidentielles, fiables et
accessibles quand on en a besoin.
Avec la place centrale qu’occupent les technologies dans notre quotidien, qu’il
s’agisse de travail, de communication ou de gestion, la cybersécurité est devenue
incontournable. Elle repose sur des pratiques et des outils conçus pour prévenir les
défaillances, assurer le bon fonctionnement des systèmes et renforcer la confiance
des utilisateurs.
Dans ce chapitre, nous allons explorer les bases de la cybersécurité : ses principes,
ses objectifs et les bonnes pratiques à adopter pour sécuriser les environnements
numériques.
2.1 Les principes de sa sécurité14
La notion de sécurité fait référence à la propriété d’un système, qui s’exprime
généralement en termes de disponibilité (D), d’intégrité (I) et de confidentialité
(C). Ces critères de base (dits critères DIC) sont des objectifs de sécurité que la mise
en œuvre de fonctions de sécurité permet d’atteindre. Des fonctions additionnelles
peuvent offrir des services complémentaires pour confirmer la véracité ou
l’authenticité d’une action ou d’une ressource (notion d’authentification) ou encore

14
Solange Ghernaouti, Cybersécurité sécurité informatique et réseaux, Paris, Edition Dunod, 2006, 2008, 2011,
2013, 2016, P.1-5
 22

pour prouver l’existence d’une action à des fins de non-répudiation ou

d’imputabilité, ou de traçabilité.
La réalisation de services de sécurité, tels que ceux de gestion des identités, de
contrôle d’accès, de détection d’intrusion par exemple, contribue à satisfaire des
exigences de sécurité pour protéger des infrastructures numériques. Ce sont des
approches complémentaires d’ingénierie et de gestion de la sécurité informatique qui
permettent d’offrir un niveau de sécurité cohérent au regard de besoins de sécurité
clairement exprimés.
2.1.1 Disponibilité
La disponibilité d’une ressource est relative à la période de temps pendant laquelle le
service qu’elle offre est opérationnel. Il ne suffit pas qu’une ressource soit disponible,
elle doit pouvoir être utilisable avec des temps de réponse acceptables. Sa
disponibilité est indissociable de sa capacité à être accessible par l’ensemble des
ayants droit (notion d’accessibilité).

La disponibilité des services, systèmes et données est obtenue par un

dimensionnement approprié et une certaine redondance des infrastructures ainsi que
par une gestion opérationnelle et une maintenance efficaces des infrastructures,
ressources et services. La disponibilité est donc le fait qu’une ressource soit
disponible au moment où on en a besoin.
2.1.2 L’intégrité
Le critère d’intégrité des ressources physiques et logiques (équipements, données,
traitements, transactions, services) est relatif au fait qu’elles sont demeurées
intactes, qu’elles n’ont pas été détruites (altération totale) ou modifiées (altération
partielle) à l’insu de leurs propriétaires tant de manière intentionnelle qu’accidentelle.
Des contrôles d’intégrité peuvent être effectués pour s’assurer que les données n’ont
pas été modifiées lors de leur transfert par des attaques informatiques qui les
interceptent et les transforment (notion d’écoutes actives). En revanche, ils seront de
peu d’utilité pour détecter des écoutes passives, qui portent atteinte non à l’intégrité
des données mais à leur confidentialité. En principe, lors de leur transfert, les
données ne sont pas altérées par les protocoles de communication qui les véhiculent
en les encapsulant. L’intégrité des données peut être prouvée par les mécanismes
de signature électronique.
2.1.3 La confidentialité
La notion de confidentialité est liée au maintien du secret, elle est réalisée par la
protection des données contre une divulgation non autorisée (notion de protection en
lecture). Les informations partagées ne peuvent être accessibles que par des
personnes ayant les autorisations nécessaires.
2.1.4 L’authentification
 23

L’identification et l’authentification des ressources et des utilisateurs permettent

d’imputer la responsabilité de la réalisation d’une action à une entité qui pourra en
être tenue responsable et devra éventuellement en rendre compte.
L’authentification consiste à assurer l’identité d’un utilisateur, c’est-à-dire à garantir à
chacun des correspondants que son partenaire est bien celui qu’il croit être. Un
contrôle d’accès peut permettre (par exemple, par le moyen d’un mot de passe qui
devra être crypté) l’accès à des ressources uniquement aux personnes autorisées.

Figure 2.1 Identification et authentification

2.1.5 La non-répudiation
La non-répudiation est le fait de ne pouvoir nier ou rejeter qu’un événement (action,
transaction) a eu lieu. À ce critère de sécurité peuvent être associées les notions
d’imputabilité, de traçabilité ou encore parfois d’auditabilité.
La traçabilité permet de reconstituer une séquence d’événements à partir des
données numériques laissées dans les systèmes lors de leurs réalisations. Cette
fonction comprend l’enregistrement des opérations, de la date de leur réalisation et
leur imputation. Elle permet, par exemple, de retrouver l’adresse IP d’un système à
partir duquel des données ont été envoyées. Afin de garder la trace d’événements,
on recourt à des solutions qui permettent de les enregistrer (de les journaliser), à la
manière d’un journal de bord, dans des fichiers (log).
L’auditabilité d’un système se définit par sa capacité à garantir la présence
d’informations nécessaires à une analyse, postérieure à la réalisation d’un
événement (courant ou exceptionnel), effectuée dans le cadre de procédures de
contrôle et d’audit. L’audit peut être mis en œuvre pour diagnostiquer ou vérifier l’état
de la sécurité d’un système, pour déterminer s’il y a eu ou non violation de la
politique de sécurité, quelles sont les ressources compromises, ou encore par
exemple pour déceler et examiner les événements susceptibles de constituer des
menaces de sécurité.
 24

 Les protocoles de sécurité15

Un protocole est une méthode standard qui permet la communication entre des
processus (s’exécutant éventuellement sur différentes machines), c’est-à-dire un
ensemble de règles et de procédures à respecter pour émettre et recevoir des
données sur un réseau. Il en existe plusieurs selon ce que l’on attend de la
communication. Certains protocoles sont par exemple spécialisés dans l’échange de
fichiers (le FTP), d’autres servent à gérer simplement l’état de la transmission et des
erreurs.
Sur Internet, les protocoles utilisés font partie d’un ensemble de protocoles, appellés
protocoles TCP/IP. Cette suite de protocoles contient entre autres les protocoles
TCP pour le transport des données, HTTP pour le web, FTP pour le transfert de
fichiers, ICMP pour le contrôle des erreurs, etc.
La plupart des protocoles de la suite TCP/IP ne sont pas sécurisés, c’est-à-dire que
les données transitent en clair sur le réseau. Ainsi, des protocoles de plus haut
niveau, dits « protocoles sécurisés » ont été mis au point afin d’encapsuler les
messages dans des paquets de données chiffrés.
1. Protocole SSL
SSL (Secure Sockets Layers, que l’on pourrait traduire par couche de sockets
sécurisée) est un procédé de sécurisation des transactions effectuées via Internet.
Il repose sur un procédé de cryptographie par clé publique afin de garantir la sécurité
de la transmission de données sur Internet. Son principe consiste à établir un canal
de communication sécurisé (chiffré) entre deux machines (un client et un serveur)
après une étape d’authentification.
Le système SSL est indépendant du protocole utilisé, ce qui signifie qu’il peut aussi
bien sécuriser des transactions faites sur le Web par le protocole HTTP que des
connexions via les protocoles FTP, POP ou IMAP. En effet, SSL agit telle une
couche supplémentaire permettant d’assurer la sécurité des données, située entre la
couche application et la couche transport (protocole TCP par exemple).
Un serveur web sécurisé par SSL possède une URL commençant par [Link] où le «
s » signifie bien évidemment secured (sécurisé).
La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre
client et serveur. La transaction sécurisée par SSL se fait selon le modèle suivant :
- Dans un premier temps, le client se connecte au site marchand sécurisé par
SSL et lui demande de s’authentifier. Le client envoie également la liste des
cryptosystèmes qu’il supporte, triée par ordre décroissant selon la longueur
des clés.
- À réception de la requête le serveur envoie un certificat au client, contenant la
clé publique du serveur, signée par une autorité de certification (CA), ainsi que
le nom du cryptosystème le plus haut dans la liste avec lequel il est

15
Jean-François PILLOU & Jean-Phillipe BAY, Tout sur la sécurité informatique, Paris, Edition Dunod, 2005, 2009,
2013, 2016, P. 119-128
 25

compatible (la longueur de la clé de chiffrement – 40 bits ou 128 bits sera

celle du cryptosystème commun ayant la plus grande taille de clé).
- Le client vérifie la validité du certificat (donc l’authenticité du marchand), puis
crée une clé secrète aléatoire (plus exacte ment un bloc prétendument
aléatoire), chiffre cette clé à l’aide de la clé publique du serveur, puis lui
envoie le résultat (la clé de session).

- Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée.

Ainsi, les deux entités sont en possession d’une clé commune dont ils sont
seuls connaisseurs. Le reste des transactions peut se faire à l’aide de clé de
session, garantissant l’intégrité et la confidentialité des données échangées.
2. Protocole SSH
Internet permet de réaliser un grand nombre d’opérations à distance, notamment
l’administration de serveurs ou bien le transfert de fichiers. Le protocole telnet et les
r-commandes BSD (rsh, rlogin et rexec) permettant d’effectuer ces tâches distantes
possèdent l’inconvénient majeur de faire circuler en clair sur le réseau les
informations échangées, notamment l’identifiant (login) et le mot de passe pour
l’accès à la machine distante. Ainsi, un pirate situé sur un réseau entre l’utilisateur et
la machine distante a la possibilité d’écouter le trafic, c’est-à-dire d’utiliser un outil
appelé sniffer capable de capturer les trames circulant sur le réseau et ainsi d’obtenir
l’identifiant et le mot de passe d’accès à la machine distante.
Même si les informations échangées ne possèdent pas un grand niveau de sécurité,
le pirate obtient un accès à un compte sur la machine distante et peut
éventuellement étendre ses privilèges sur la machine afin d’obtenir un accès
administrateur (root). Étant donné qu’il est impossible de maîtriser l’ensemble des
infrastructures physiques situées entre l’utilisateur et la machine distante (Internet
étant par définition un réseau ouvert), la seule solution est de recourir à une sécurité
au niveau logique (au niveau des données).
Le protocole SSH (Secure Shell) répond à cette problématique en permettant à des
utilisateurs (ou bien à des services TCP/IP) d’accéder à une machine à travers une
communication chiffrée (appelée tunnel).
Ce protocole permet à un client (un utilisateur ou bien une machine) d’ouvrir une
session interactive sur une machine distante (serveur) afin d’envoyer des
commandes ou des fichiers de manière sécurisée :
- Les données circulant entre le client et le serveur sont chiffrées, ce qui
garantit leur confidentialité (personne d’autre que le serveur ou le client ne
peut lire les informations transitant sur le réseau). Il n’est donc pas possible
d’écouter le réseau à l’aide d’un analyseur de trames.
- Le client et le serveur s’authentifient mutuellement afin d’assurer que les deux
machines qui communiquent sont bien celles que chacune des parties pense
qu’elles sont. Il n’est donc plus possible pour un pirate d’usurper l’identité du
client ou du serveur (spoofing).
 26

L’établissement d’une connexion SSH se fait en plusieurs étapes :

- Dans un premier temps le serveur et le client s’identifient mutuellement afin de
mettre en place un canal sécurisé (couche de transport sécurisée).
- Dans un second temps le client s’authentifie auprès du serveur pour obtenir
une session.

La mise en place d’une couche de transport sécurisée débute par une phase de
négociation entre le client et le serveur afin de s’entendre sur les méthodes de
chiffrement à utiliser. En effet le protocole SSH est prévu pour fonctionner avec un
grand nombre d’algorithmes de chiffrement, c’est pourquoi le client et le serveur
doivent dans un premier temps échanger les algorithmes qu’ils supportent.
Ensuite, afin d’établir une connexion sécurisée, le serveur envoie sa clé publique
d’hôte (host key) au client. Le client génère une clé de session de 256 bits qu’il
chiffre grâce à la clé publique du serveur, et envoie au serveur la clé de session
chiffrée ainsi que l’algorithme utilisé. Le serveur déchiffre la clé de session grâce à
sa clé privée et envoie un message de confirmation chiffré à l’aide de la clé de
session. À partir de là le reste des communications est chiffré grâce à un algorithme
de chiffrement symétrique en utilisant la clé de session partagée par le client et le
serveur.
3. Protocole Secure http
S-HTTP (Secure HTTP, ce qui signifie Protocole HTTP sécurisé) est un procédé de
sécurisation des transactions HTTP reposant sur une amélioration du protocole
HTTP mise au point en 1994 par l’EIT (Enterprise Integration Technologies). Il
permet de fournir une sécurisation des échanges lors de transactions de commerce
électronique en cryptant les messages afin de garantir aux clients la confidentialité
de leur numéro de carte bancaire ou de toute autre information personnelle.
Contrairement à SSL qui travaille au niveau de la couche de transport, S-HTTP
procure une sécurité basée sur des messages au-dessus du protocole HTTP, en
marquant individuellement les documents HTML à l’aide de certificats. Alors que SSL
est indépendant de l’application utilisée et chiffre l’intégralité de la communication, S-
HTTP est très fortement lié au protocole HTTP et chiffre individuellement chaque
message.
Les messages S-HTTP sont basés sur trois composantes :
- Le message HTTP,
- Les préférences cryptographiques de l’envoyeur,
- Les préférences du destinataire.
Ainsi, pour décrypter un message S-HTTP, le destinataire du message analyse les
en-têtes du message afin de déterminer le type de méthode qui a été utilisé pour
crypter le message. Puis, grâce à ses préférences cryptographiques actuelles et
précédentes, et aux préférences cryptographiques précédentes de l’expéditeur, il est
capable de déchiffrer le message.
 27

Alors que SSL et S-HTTP étaient concurrents, un grand nombre de personnes a

réalisé que les deux protocoles de sécurisation étaient complémentaires, étant
donné qu’ils ne travaillaient pas au même niveau. De cette façon, SSL permet de
sécuriser la connexion Internet tandis que S-HTTP permet de fournir des échanges
HTTP sécurisés.

4. Protocole SET
SET (Secure Electronic Transaction) est un protocole de sécurisation des
transactions électroniques mis au point par Visa et MasterCard, et s’appuyant sur le
standard SSL. SET est basé sur l’utilisation d’une signature électronique au niveau
de l’acheteur et une transaction mettant en jeu non seulement l’acheteur et le
vendeur, mais aussi leurs banques respectives.
Lors d’une transaction sécurisée avec SET, les données sont envoyées par le client
au serveur du vendeur, mais ce dernier ne récupère que la commande. En effet, le
numéro de carte bleue est envoyé directe ment à la banque du commerçant, qui va
être en mesure de lire les coordonnées bancaires de l’acheteur, et donc de contacter
sa banque afin de les vérifier en temps réel.
5. Protocole S/MIME
S/MIME (Secure MIME, soit Secure Multipurpose Mail Extension, que l’on pourrait
traduire par extensions du courrier électronique à buts multiples et sécurisées) est un
procédé de sécurisation des échanges par courrier électronique permettant de
garantir la confidentialité et la non-répudiation des messages électroniques. S/MIME
est basé sur le standard MIME, dont le but est de permettre d’inclure dans les
messages électroniques des fichiers attachés autres que des fichiers texte (ASCII).
Le standard S/MIME repose sur le principe de chiffrement à clé publique. S/MIME
permet ainsi de chiffrer le contenu des messages mais ne chiffre pas la
communication. Les différentes parties d’un message électronique, codées selon le
standard MIME, sont chacune chiffrées à l’aide d’une clé de session. Dans chaque
en-tête de partie est insérée la clé de session, chiffrée à l’aide de la clé publique du
destinataire. Seul le destinataire peut ainsi ouvrir le corps du message, à l’aide de sa
clé privée, ce qui assure la confidentialité et l’intégrité du message reçu. Par ailleurs,
la signature du message est chiffrée à l’aide de la clé privée de l’expéditeur. Toute
personne interceptant la communication peut lire le contenu de la signature du
message, mais cela permet de garantir au destinataire l’identité de l’expéditeur, car
seul l’expéditeur est capable de chiffrer un message (avec sa clé privée) déchiffrable
à l’aide de sa clé publique.
6. Protocole DNSsec
Les serveurs DNS sont des ordinateurs qui structurent le Web mondial. Les acteurs
de ce secteur ont donc décidé de sécuriser les transmissions de ces serveurs entre
eux. C’est ce que tente de faire le protocole sécurisé DNSsec (Domain Name
 28

System Security Exten sions). DNSsec constitue une des extensions du protocole
DNS et est censé assurer l’authentification et l’intégrité des enregistrements du DNS.
Son fonctionnement est basé sur des vérifications de signatures numériques et
d’échange de données cryptées. DNSsec permet ainsi de constituer une chaîne
d’identification sécurisée. L’utilisateur pourrait donc mieux identifier si tel ou tel sous-
domaine d’un site web est bien celui auquel il veut s’adresser. DNSsec pourrait être
mis en place de façon systématique pour contrer les failles du protocole DNS et le
phénomène de phishing.
7. PPP (Point-to-Point Protocol)
PPP a été défini en juillet 1994 dans la RFC 1661. Protocole de niveau trame, il
permet de transporter un paquet d’un nœud vers un autre nœud.
8. NCP (Network Control Protocol)
Il permet de configurer des types de réseaux différents susceptibles d’utiliser la
liaison PPP.
9. PAP (Password Authentication Protocol)
Le PAP (Password Authentication Protocol) est un protocole d'authentification
utilisé principalement dans les réseaux pour vérifier l'identité d'un utilisateur ou d'un
dispositif.
10. EAP (Extensible Authentication Protocol)
Le besoin de compatibilité avec des infrastructures d’authentification diversifiées et la
nécessité de disposer de secrets partagés dans ces environnements multiples ont
conduit à la genèse du protocole EAP, capable de transporter des méthodes
d’authentification indépendamment de leurs particularités. Le protocole EAP fournit
un cadre peu complexe pour le transport de protocoles d’au thentification.
11. RADIUS (Remote Authentication Dial- In User Server)
Quel que soit le choix du mécanisme d’authentification entre le client et le serveur
d’au thentification, les paquets EAP sont généralement acheminés grâce au
protocole RADIUS. RADIUS est depuis longtemps le protocole AAA (Authentication,
Authorization, Accounting) le plus largement adopté. Utilisé par les FAI pour
authentifier les utilisateurs, il est principalement conçu pour transporter des données
d’authentification, d’autorisation et de facturation entre des NAS (Network Access
Server) distribués, qui désirent authen tifier leurs utilisateurs et un serveur
d’authentification partagé.

 Normes et reglèments16
La norme ISO/IEC 27001 est la norme la plus connue au monde en matière de
systèmes de gestion de la sécurité de l'information (SMSI). Elle définit les
exigences auxquelles un SMSI doit répondre.

16
[Link]
 29

La norme ISO/IEC 27001 fournit aux entreprises de toute taille et de tous les
secteurs d’activité des conseils pour établir, mettre en œuvre, maintenir et améliorer
continuellement un système de gestion de la sécurité de l’information.
La conformité à la norme ISO/CEI 27001 signifie qu'une organisation ou une
entreprise a mis en place un système de gestion des risques liés à la sécurité des
données détenues ou traitées par l'entreprise, et que ce système respecte toutes les
bonnes pratiques et tous les principes énoncés dans cette Norme internationale.
Dans un contexte de cybercriminalité en hausse et d'apparition constante de
nouvelles menaces, il peut paraître difficile, voire impossible, de gérer les cyber-
risques. La norme ISO/IEC 27001 aide les organisations à prendre conscience des
risques et à identifier et traiter proactivement les faiblesses.
La norme ISO/CEI 27001 promeut une approche globale de la sécurité de
l'information : contrôle des personnes, des politiques et des technologies. Un
système de gestion de la sécurité de l'information mis en œuvre conformément à
cette norme est un outil de gestion des risques, de cyber-
résilience et d'excellence opérationnelle.
 Règlement Général sur la Protection des Données (RGPD)17
Le RGPD impose des règles strictes sur la collecte, le traitement et le stockage des
données personnelles au sein de l'Union européenne.
Le RGPD permet aux individus de mieux contrôler leurs données à caractère
personnel. Il modernise et uniformise également les règles permettant aux
entreprises de diminuer la bureaucratie et de profiter d’une meilleure confiance du
consommateur.
Il établit un système d’autorités de supervision pleinement indépendantes chargées
de surveiller et de faire respecter la conformité.
2.2 La cybersécurité18
Désormais, un grand nombre d’activités sont réalisées via Internet et le cyberespace.
La racine « cyber » provient du mot cybernétique, qui avait été formé en français en
1834 pour désigner la « science du gouvernement », à partir du grec Kubernêtiké,
signifiant « diriger, gouverner ».
Terme repris en 1948, par Norman Wiener aux États-Unis et qui a donné naissance
à la cybernétique (cybernetics), science constituée par l’ensemble des théories
relatives au contrôle, à la régulation et à la communication entre l’être vivant et la
machine.
Depuis lors, le préfixe « cyber » est devenu relatif à l’environnement informatique et
aux activités rendues possibles par les technologies du numérique et Internet. Le
cyberespace (l’ensemble des infrastructures numériques, des données et des
services mis en réseaux) est une extension de notre espace naturel qui reflète notre
société avec ses réalités politique, économique, sociale et culturelle. Mais
17
[Link]
18
Patrick Lallement, Cybersécurité Définition-concepts-métiers, Paris, Edition Ellipses, 2024, P.86-87
 30

contrairement à la terre, à la mer, à l’air et à l’espace-extra atmosphérique, le

cyberespace est une pure création de l’être humain qui ne relève pas de la nature.
La cybersécurité concerne la sécurité informatique et des réseaux des environne
ments connectés à Internet et accessibles via le cyberespace. Elle peut être mise en
défaut, entre autres, par des cyberattaques informatiques.
Du fait de l’usage extensif d’Internet, de nouvelles menaces sont apparues générant
des risques additionnels dont les impacts, de niveaux d’importance variables,
peuvent affecter les individus, les organisations ou les États.
D’après l’ANSSI la cybersécurité englobe 3 grands domaines, non-disjoints:
- La sécurité des systèmes d’information(SSI);
Cela regroupe toutes les actions pour défendre le système d’information contre les
menaces internes et externes. Le mot clé est d’abord : [Link] peut ensuite
rajouter: détection. La mise en place d’un système de détection efficace est la clé
pour limiter les impacts.
- La lutte contre la cyber-criminalité;
Cela regroupe les actions pour étudier la malveillance sous toutes ses formes,
malveillance établie par rapport au droit. Son rôle est surtout curatif (après incident)
mais nécessite des formes d’anticipation, afin d’étudier en amont la menace sous
toutes ses formes. Le mot clé est ici : recherche de preuves numériques (ou digital
forensic).
- La cyber-défense
La cyberdéfense peut se définir comme la SSI (Sécurité des Systèmes d'Information)
appliquée aux organismes d’importance vitale. Ce qui les caractérise, outre leur
aspect stratégique (pour l’État, les collectivités, les citoyens), c’est surtout qu’il s’agit
de grands systèmes, voire de systèmes de systèmes.
Par exemple :
 Les réseaux de transport (eau, gaz, électricité) ;
 Les opérateurs de télécommunications, de production d’énergie, ou de
transport.
Pour ces entreprises, les exigences de sécurité sont à la hauteur des missions
qu’elles doivent remplir. Les interruptions de service ne sont pas envisageables. Cela
soulève alors plusieurs questions :
 De résilience : comment continuer de fonctionner même en mode dégradé
suite à une cyberattaque ?
 De sécurité globale : comment éviter les effets domino entre une
cyberattaque et une atteinte à la sécurité des biens et des personnes, par
exemple à la suite d’un accident industriel (explosion, inondation, pollution,
incendie, fuite radioactive, collision, etc.) ?
 31

Autres usages du terme cyberdéfense :

 La défense contre des attaques dans un cadre de conflit (terme militaire) ;
 Le traitement des (cyber)incidents (terme employé par les recruteurs).

2.3 Cybermenace et cyberrisque19

Une menace est un signe par lequel se manifeste ce que l’on doit craindre. Une
cyber menace est une menace qui, si elle se concrétisait, affecterait le bon
fonctionnement des ordinateurs, des réseaux de télécommunication et de tous les
services et activités humaines qui en dépendent. Elle est liée au fait que les
systèmes informatiques et les équipements électroniques sont vulnérables et, dans
la mesure où ils sont connectés et accessibles via Internet, peuvent constituer des
cibles de cyberattaques. Les cyber menaces sont le plus souvent associées à
l’usage malveillant des technologies Internet et à la criminalité (notion de
cybercriminalité).
La cybermenace est une entité malveillante qui utilise Internet pour profiter d’une
vulnérabilité connue en vue d’exploiter un réseau et l’information qu’il contient.20
Le risque est un danger plus ou moins prévisible qui est fonction des menaces et
des vulnérabilités existantes. Dès lors que des menaces et des vulnérabilités
existent, il y a un risque relatif à l’éventualité qu’un événement non sollicité survienne
et provoque des conséquences préjudiciables.
2.4 Cyberespace
Le ministère américain de la Défense a défini le cyberespace en 2008 comme un : «
Domaine global de l’environnement informatif humain, formé de réseaux
interdépendants au sein des infrastructures des technologies de l’information,
incluant l’Internet, les réseaux de télécommunications, les dispositifs informatiques et
leurs propres systèmes de traitement et de contrôle… Le royaume des réseaux
informatisés, dans lesquels l’information est rangée, partagée et diffusée en ligne »
2.5 Cyberterrorisme
Attaque préméditée et politiquement motivée visant des systèmes informatiques ou
des dispositifs informationnels, des logiciels et des données, le tout résultant en des
violences subies par des cibles civiles ; ces attaques étant commises par des entités
humaines ou par des opérateurs clandestins. (FBI)
2.6 Cyberincident
Toute tentative non autorisée, réussie ou non, d'avoir accès à une ressource
informatique ou à un réseau, de le modifier, de le détruire, de le supprimer ou de le
rendre inutilisable.

19
Solange Ghernaouti, Cybersécurité sécurité informatique et réseaux, Paris, Edition Dunod, 2006, 2008, 2011,
2013, 2016, P.11-12
20
[Link]
 32

2.7 Cyberespionage
Ensemble d’actions menées dans le cyberespace consistant à infiltrer,
clandestinement ou sous de faux prétextes, les systèmes informatiques d’une
organisation ou d’un individu, et à s’emparer de données pour les exploiter.
Le cyberespionnage se pratique notamment par le biais de logiciels malveillants ou
espions, de cyberattaques persistantes, ou en mettant à profit les vulnérabilités des
systèmes informatiques
2.8 Les mécanismes de chiffrement21
Le chiffrement est un mécanisme issu d’une transformation cryptographique. Le
mécanisme inverse du chiffrement est le déchiffrement.
Les mécanismes de base des chiffrements normalisés par l’ISO sont les suivants :
- Le mécanisme de bourrage de trafic consiste à envoyer de l’information en
permanence en complément de celle déjà utilisée de façon à empêcher les
fraudeurs de repérer si une communication entre deux utilisateurs est en
cours ou non.
- L’authentification utilise un mécanisme de cryptographie normalisé par la
série de normes ISO 9798 à partir d’un cadre conceptuel défini dans la norme
ISO 10181-2. Dans cette normalisation, des techniques de chiffrement
symétrique et à clés publiques sont utilisées.
- L’intégrité est également prise en charge par l’ISO. Après avoir défini les
spécifications liées à la normalisation de l’authentification dans la norme
ISO 8730, cet organisme a décrit le principal mécanisme d’intégrité, le CBC
(Cipher Block Chaining), dans la norme ISO 8731. La norme ISO 9797 en
donne une généralisation. La norme ISO 8731 décrit un second algorithme, le
MAA (Message Authenticator Algorithm).
- La signature numérique est un mécanisme appelé à se développer de plus en
plus. Pour le moment, la normalisation s’adapte aux messages courts, de
320 bits ou moins. C’est l’algorithme RSA, du nom de ses inventeurs (Rivest,
Shamir, Adleman), qui est utilisé dans ce cadre (ISO 9796). Le gouvernement
américain possède son propre algorithme de signature numérique, le DSS
(Digital Signature Standard), qui lui a été délivré par son organisme de
normalisation, le NIST (National Institute for Standards and Technology).
- La gestion des clés peut également être mise en œuvre dans les
mécanismes de sécurité. Elle comprend la création, la distribution, l’échange,
le maintien, la validation et la mise à jour de clés publiques ou secrètes. En
matière d’algorithmes symétriques, la norme ISO 8732 fait référence. De
même, la norme ISO 11166 fait référence pour les algorithmes asymétriques.
 Les algorithmes de chiffrement
Les algorithmes de chiffrement permettent de transformer un message écrit en
clair en un message chiffré, appelé cryptogramme. Cette transformation se fonde
sur une ou plusieurs clés. Le cas le plus simple est celui d’une clé unique et
secrète, que seuls l’émetteur et le récepteur connaissent.
21
Guy PUJOLLE, Les réseaux, Paris, 10e Edition Eyrolles, 2024-2026, P.706-719
 33

Le plus connu des algorithmes de chiffrement est le DES. Pour chaque bloc de
64 bits, le DES produit un bloc chiffré de 64 bits. La clé, d’une longueur de
56 bits, est complétée par un octet de détection d’erreur.
De cette clé de 56 bits, on extrait de manière déterministe seize sous- clés de
48 bits chacune. À partir de là, la transformation s’effectue par des sommes
modulo 2 du bloc à coder et de la sous- clé correspondante, avec des couplages
entre les blocs à coder.

Les algorithmes de chiffrement à clé publique sont des algorithmes asymétriques. Le

destinataire est le seul à connaître la clé de déchiffrement. La sécurité s’en trouve
accrue puisque même l’émetteur ne connaît pas cette clé. L’algorithme le plus
classique et le plus utilisé est RSA, qui utilise la quasi- impossibilité d’effectuer la
fonction d’inversion d’une fonction puissance. La clé permettant de déchiffrer le
message et que seul le destinataire connaît est constituée de deux nombres, p et q,
d’environ 250 bits chacun.
2.9 Mécanismes d’authentification
1. OTP (One- Time Password) Fondé sur un algorithme de hachage répété
récursivement afin de générer des mots de passe à usage unique, OTP a fait
l’objet de plusieurs tentatives de sécurisation par carte à puce.
L’algorithme OTP fonctionne de la façon suivante :
- Dans le cas des mots de passe défi/réponse, le serveur envoie un défi
aléatoire (random challenge) au client.
- Le client manipule ce défi en introduisant son secret et envoie la réponse au
serveur.
- Le serveur effectue le même travail et compare les résultats.
L’inconvénient de ce mécanisme est qu’il est possible pour un attaquant de rejouer le
même mot de passe une fois que celui- ci a été intercepté. Pour y remédier, on
utilise une liste de mots de passe, chacun d’eux n’étant valable que pour une
tentative d’authentification. Une telle liste est constituée de mots de passe générés et
utilisés séquentiellement par le client à chaque tentative d’authentification. Les mots
de passe étant indépendants, il est impossible de prévoir un mot de passe à partir de
ceux utilisés précédemment.
2. La procédure S/KEY
Dans la procédure S/KEY, qui est un cas particulier de la méthode OTN, une liste de
mots de passe à usage unique de 64 bits de longueur est générée par le serveur
à partir du mot de passe de l’utilisateur. Cela permet au client d’utiliser le même mot
de passe sur des machines différentes. La taille des mots de passe OTP est un bon
compromis entre sécurité et facilité d’emploi pour l’utilisateur.
3. Kerberos
Kerberos est un algorithme d’authentification fondé sur une cryptographie.
L’utilisation de cet algorithme ne permet pas à une personne qui écoute le dialogue
 34

d’un client à l’insu de ce dernier de se faire passer pour lui plus tard. Ce système
permet à un processus client travaillant pour un utilisateur donné de prouver son
identité à un serveur sans avoir à envoyer de données dans le réseau.
Le client et le processus client ne connaissent pas la clé de chiffrement de base
utilisée pour l’authentification. Quand un client doit répondre à une demande
d’authentification, il se met en contact avec le serveur pour générer une nouvelle clé
de chiffrement et se la faire envoyer de façon sécurisée. Cette nouvelle clé est
appelée clé de session. Le serveur utilise un ticket Kerberos pour envoyer la clé de
session au vérificateur par l’intermédiaire du client. Le ticket Kerberos est un
certificat provenant du serveur d’authentification. Il est chiffré avec la clé de base que
ne connaît pas le client. Le ticket contient des informations, parmi lesquelles la clé de
session qui est utilisée pour l’authentification, le nom de l’utilisateur de base et un
temps d’expiration après lequel la clé de session n’est plus valide. Puisque le ticket
est chiffré avec la clé de base, connue seulement du serveur et du vérificateur, il est
impossible au client de modifier le ticket sans que cela passe inaperçu.
2.10 Conclusion
Ce chapitre a permis d'explorer les fondements de la cybersécurité en mettant
l'accent sur ses objectifs principaux, les principes qui la régissent, et les outils
nécessaires pour établir une défense solide contre les menaces numériques. Nous
avons souligné l'importance de la confidentialité, de l'intégrité et de la disponibilité
des données comme piliers de toute stratégie de sécurité. En outre, les cadres
normatifs, tels que l'ISO 27001, apportent des lignes directrices précieuses pour
structurer les efforts en matière de cybersécurité au sein des organisations.
Ce chapitre constitue donc une base essentielle pour aborder le chapitre suivant, qui
portera sur les cyberattaques et les mécanismes de détection d'intrusions. Cette
transition naturelle permettra de comprendre en détail les menaces auxquelles font
face les systèmes modernes et les moyens de les identifier efficacement.
 35

CHAPITRE 3 : CYBERATTAQUES ET REPONSE AUX INCIDENTS

3.1 Introduction partielle
La sécurité des réseaux est devenue une priorité incontournable dans le contexte
actuel où les cyberattaques se multiplient et s’affinent. Les réseaux intranet, bien que
souvent perçus comme étant protégés par leur nature interne, restent exposés à des
menaces variées. Pour mettre en place une solution efficace de détection et de
réponse aux incidents, il est primordial de comprendre les concepts fondamentaux
en rapport avec les cyberattaques et les outils utilisés pour y faire face.
Ce troisième chapitre de notre travail propose une exploration des notions théoriques
nécessaires pour appréhender le sujet. Nous examinerons les différents types de
cyberattaque et une vie d’ensemble des outils existants pour la détection et la
réponse aux incidents.
3.2 Définition des cyberattaques22
Il existe plusieurs concepts en rapport avec les cyberattaques. Dans cette partie du
travail nous allons épingler quelques-uns de ces concepts.
3.2.1 Cyberattaques
- Opérations délibérées visant à altérer, perturber, tromper, dégrader ou
détruire les dispositifs ou réseaux d’un système d’information et/ou les
programmes résidant ou transitant par ces mêmes dispositifs ou réseaux23
- Agression illégale visant des ordinateurs ou des réseaux, ainsi que les
informations et données qui y sont contenues, dans l’idée d’intimider ou de
contraindre un gouvernement ou une population, pour un motif politique ou
social. Cette attaque implique toute forme de violence contre des personnes
ou des biens ; ou, au minimum, provoque assez de dégâts pour inspirer la
crainte. (Dictionnaire)
3.2.2 Menaces

La menace correspond ici à la malveillance potentielle. C’est l’équivalent du danger

dans le monde industriel, sauf que la malveillance n’est pas caractérisée par le
hasard, mais plutôt par la motivation.

22
Xavier Raufer, Cyber-criminologie, Paris, CNRS Éditions, 2015, p. 11-23
23
National Research Council, Washington, 2009
 36

Figure 3.1 Motivation vs Menaces

3.2.3 Attaque
Une action malveillante qui tente d’exploiter une faiblesse dans un système et de
violer un ou plusieurs principes de sécurité. L’attaque désigne le passage à l’acte de
la menace, les actions pour porter at teinte à la sécurité: des données, des services,
des biens, des personnes. Une attaque peut être longue quand elle s’inscrit dans la
durée (exfiltration de données, cyber-espionnage), ce qui implique qu’elle ait été
conçue pour rester furtive, c’est-à-dire non détectable, que ce soit par l’utilisateur ou
par le système de surveillance (quand il existe).
Voici quelques attaques :
[Link] AET (Advanced Evasion Techniques, techniques de contournement
avancées)
« Déguisement » pour pénétrer les cibles (sites, réseaux, systèmes) et y actionner
ensuite des logiciels pirates. Logiciel malveillant (malware) polymorphe, aux
multiples potentialités dangereuses, l’AET pénètre en douceur sa cible en plusieurs
points ou plusieurs fois.

Ces éléments sont d’apparence innocente et ne sont pas reconnus comme

dangereux par les systèmes de protection (coupe-feu) de l’ordinateur (IDS, Intrusion
Detection Systems, voir ce terme). Une fois « dans la place » et selon de multiples
agencements, l’AET recompose ses divers éléments, pour ensuite saboter, piller,
etc. Les premiers AET ont été signalés en 2010.

[Link] APT (Advanced Persistent Threat)

Attaque informatique ciblée et sophistiquée menées par des groupes de
cybercriminels en général dans le but de voler des données dans des bases de
données et causer des dommages spécifiques.
 37

[Link] Backoff
Redoutable maliciel repéré pour la première fois en octobre 2013. Dans la mémoire
d’un ordinateur cible, Backoff vole toutes les données concernant les cartes de
paiement (qu’ensuite, le pirate n’a plus qu’à vendre), lit les frappes du clavier pour y
copier les mots de passe et, surtout, installe au cœur du système une trappe pour
conserver l’accès à l’ordinateur cible, s’il « crashe » ou est réinitialisé. Cette trappe
rend sans cesse Backoff améliorable et modifiable.

[Link] Botnet
Réunit les deux mots anglais roBOT et NETwork (robot et réseau). Ce dispositif
informatique assemble en un réseau des ordinateurs « kidnappés » à distance, à
partir desquels les pirates accomplissent ensuite des actes malveillants, comme des
envois de Spam ou des attaques type DDoS.

[Link] Dark wallet

Service, logiciel, etc. illicitement conçu pour rendre et maintenir invisible toute
transaction digitale (financière, d’abord).

[Link] DOS/DDoS (Denial of Service/Distributed Denial of Service)

Attaque d’un serveur destiné à l’empêcher à remplir sa fonction en créant
l’indisponibilité de service de ce serveur.
Désormais classique, cette attaque informatique consiste à bombarder de messages
non désirés, jusqu’à submerger, un système cible, ses fonctions et connexions à
Internet ; ce, grâce à des « cyber-meutes » (Botnets) rassemblant jusqu’à des
milliers d’ordinateurs « capturés » et mis en ordre de bataille par des pirates. Produit
par la société de sécurité informatique NSFocus, le rapport DDoS threat focus,
annonce avoir mondialement recensé en 2013, 245 000 attaques DDoS, soit un peu
plus de 670 par jour, ou 28 par heure.

[Link] Keylogger (par exemple, dispositif KVM, ou Keyboard Video Mouse)

Aisément achetables sur le dark web, ces maliciels espionnent et enregistrent les
frappes sur les touches du clavier d’un ordinateur, ce qui permet par exemple d’y
récupérer des mots de passe.

[Link] Malware
Logiciel toxique délibérément introduit dans un ordinateur, pour y voler des données
confidentielles, ou s’y livrer à des opérations indésirables.
[Link] Phishing (hameçonnage)
Se faisant passer pour un conseiller de leur banque, un opérateur télécom, un
technicien quelconque… voire pour le fisc, le pirate envoie à ses cibles des
messages personnalisés destinés à les inquiéter, à les pousser à réagir – donc à lui
répondre. Ayant ainsi soutiré des données confidentielles à assez de naïfs, et les
plus complètes possibles (mots de passe, numéros de compte bancaire, etc.), le
pirate les assemble en un « pack » de « Fullz », qu’il vend à d’autres malfaiteurs à
des fins de fraude, d’escroquerie, etc.
 38

[Link] Rétroingénierie (reverse engineering)

La méthode de base employée par les pirates informatiques. La pratique de cette
ingénierie inversée permet au pirate, qui n’a évidemment pas accès aux
spécifications d’origine, d’étudier un système (logiciel, réseau…), pour en déterminer
le mode de conception et ensuite s’y infiltrer, voire en prendre le contrôle.
[Link] Zero Day
Exploitation le plus rapide possible, par un pirate, du « défaut dans la cuirasse » que
peut présenter tout dispositif informatique. Auparavant non détectée ou non réparée,
cette vulnérabilité est exploitée ou vendue « à chaud », lors même de sa découverte,
sans attendre un seul jour, d’où son nom. Pour les pirates, la chasse au zero day est
d’autant plus alléchante que les infrastructures critiques de la société de l’information
sont pour la plupart fragiles ; et d’autant plus payante que, dans ladite société, tout le
domaine du stratégique, sécurité nationale, économie, finance, sécurité sociale,
repose désormais, à 100 % et définitivement, sur l’informatique
[Link] Hacker
Le terme hacker est souvent utilisé pour désigner un pirate informatique.24
Il existe de nombreux types d’attaquants catégorisés selon leur expérience et selon
leurs motivations :
1. Les white hat hackers, hackers au sens noble du terme, dont le but est d’aider
à l’amélioration des systèmes et technologies informatiques, sont
généralement à l’origine des principaux protocoles et outils informatiques que
nous utilisons aujourd’hui.
Les objectifs des white hat hackers sont en règle générale un des suivants :
- L’apprentissage ;
- L’optimisation des systèmes informatiques ;
- La mise à l’épreuve des technologies jusqu’à leurs limites afin de tendre vers
un idéal plus performant et plus sûr.
2. Les black hat hackers, plus couramment appelés pirates informatiques, c’est-
à-dire des personnes s’introduisant dans les systèmes informatiques dans un
but nuisible. Les motivations des black hat hackers peuvent être multiples :
 L’attrait de l’interdit ;
 L’intérêt financier ;
 L’intérêt politique ;
 L’intérêt éthique ;
 Le désir de la renommée ;
 La vengeance ;
 L’envie de nuire (détruire des données, empêcher un système de
fonctionner).

3. Les script kiddies (traduisez « gamins du script », parfois également

surnommés crashers, lamers ou encore packet monkeys, soit « les singes des
paquets réseau ») sont de jeunes utilisateurs du réseau utilisant des
programmes trouvés sur Internet, généralement de façon maladroite, pour
vandaliser des systèmes informatiques afin de s’amuser.

4. Les phreakers sont des pirates s’intéressant au réseau télé phonique

commuté (RTC) afin de téléphoner gratuitement grâce à des circuits
24
Jean-François PILLOU & Jean-Philippe Bay, Tout sur la sécurité informatique 4e Edition, Paris, Dunod, 2005,
2009, 2013, 2016, p.9
 39

électroniques (qualifiés de box, comme la blue box, la violet box...) connectés

à la ligne téléphonique dans le but d’en falsifier le fonctionnement. On appelle
ainsi phreaking le piratage de ligne téléphonique.
Ce type de pirate connaît un renouveau avec l’accroissement de l’utilisation de la
voix sur IP (VoIP) comme moyen de transport des communications téléphoniques
grand public (voir chap. 3, Attaque par ingéniérie sociale).
5. Les carders s’attaquent principalement aux systèmes de cartes à puce (en
particulier les cartes bancaires) pour en comprendre le fonctionnement et en
exploiter les failles. Le terme carding désigne le piratage de cartes à puce.
6. Les crackers sont des personnes dont le but est de créer des outils logiciels
permettant d’attaquer des systèmes informatiques ou de casser les
protections contre la copie des logiciels payants. Un crack est ainsi un
programme créé exécutable chargé de modifier (patcher) le logiciel original
afin d’en supprimer les protections.
7. Les hacktivistes (contraction de hackers et activistes que l’on peut traduire en
cybermilitant ou cyberrésistant), sont des hackers dont la motivation est
principalement idéologique. Ce terme a été largement porté par la presse,
aimant à véhiculer l’idée d’une communauté parallèle (qualifiée généralement
d’underground, par analogie aux populations souterraines des films de
science-fiction).

 Vecteur d’attaque25
Il désigne le point d’entrée d’une attaque, exploitant une faille ou une vulnérabilité.
Cela peut être, par exemple, l’utilisation d’une clé USB pour introduire un malware
(en interne), l’envoi d’une pièce jointe frauduleuse associée à un courriel, ou encore
l’envoi d’un courriel contenant un lien URL actif. Ce lien est souvent accompagné de
techniques d’ingénierie sociale visant à rédiger un message qui inspire confiance et
incite à activer le lien.
 Scenario d’attaque
Le scénario représente la stratégie de l’attaquant pour atteindre son but, ce qui
suppose plusieurs étapes pour mener une attaque à son terme. À chaque étape, les
techniques peuvent varier, notamment pour que l’attaquant reste indétectable. Un
scénario peut s’étendre sur une longue période, allant de plusieurs semaines à
plusieurs mois.
 La matrice MITRE ATT & CK
MITRE est une organisation américaine à but non lucratif (créée en 1958),
intervenant dans le domaine de l’ingénierie des systèmes et les technologies de
l’information :
Elle a constitué une base de connaissances permettant de cartographier les divers
types de tactiques, techniques et procédures (TTP) utilisées par les attaquants. Le
résultat est connu sous le nom de matrice MITRE ATT&CK (Adversarial Tactics,
Techniques, and Common Knowledge).

25
Patrick Lallement, Cybersécurité Définition-concepts-métiers, Paris, Edition Ellipses, 2024, P.60-63
 40

C’est plus un tableau qu’une matrice. Il constitue un référentiel incontournable

aujourd’hui pour modéliser les cyber-attaques.
Cette matrice recense 14 tactiques connues et pour chacune l’ensemble des
techniques utilisées, chacune référencée par un identifiant.
Pour chacune de ces techniques, des contre-mesures sont proposées, avec là aussi
pour chacune un identifiant.
Sans entrer dans les détails techniques, il paraît important de présenter ici les 14
tactiques recensées.
Voici ces tactiques :
1. Reconnaissance

L’adversaire essaie de rassembler des informations qu’il pourra utiliser pour planifier
des opérations futures. Ces informations peuvent inclure des détails sur
l’organisation, l’infrastructure ou les personnes. Pour ce faire, il peut utiliser tous les
moyens de recherche en source ouverte, c’est-à-dire accessibles dans l’espace
public. Cela inclut notamment les sites web contenant des informations utiles ou
encore le système DNS pour obtenir des adresses IP. Ces informations seront
exploitées dans les phases ultérieures.

Exemple de technique : la collecte d’informations sur les machines du système.

2. Développement des ressources

Les techniques impliquent que des adversaires créent, achètent, compromettent ou
volent des ressources pouvant être utilisées contre la cible. Ces ressources peuvent
être exploitées pour soutenir les phases ultérieures de l’attaque, comme :
- L’utilisation de domaines achetés
- L’exploitation de comptes de messagerie pour l’hameçonnage (phishing)
- Le vol de certificats de signature ( Furtivité).
Ces ressources incluent de l’infrastructure, des comptes ou des capacités
spécifiques.
Exemple : la compromission de comptes existants.
3. Accès initial
Ensemble de techniques qui utilisent divers vecteurs d’entrée pour s’implanter au
sein d’un réseau. Cela inclut, par exemple, l’hameçonnage ciblé ou l’exploitation de
vulnérabilités des serveurs web publics. Les positions acquises grâce à l’accès initial
peuvent permettre un accès continu (comme l’utilisation de comptes valides ou de
services distants) ou un accès limité en raison de la modification des mots de passe.
Exemple de technique : l’hameçonnage.

4. Exécution
 41

Techniques qui entraînent l’exécution d’un code logiciel contrôlé par l’adversaire sur
un système local ou distant. Ces techniques sont souvent associées à d’autres
phases tactiques pour atteindre des objectifs plus larges, comme l’exploration du
réseau ou le vol de données.
Exemple : l’utilisation d’un logiciel interpréteur des commandes tapées au clavier.
5. Persistance
Techniques utilisées pour conserver l’accès au système malgré les redémarrages,
les modifications d’informations d’identification ou d’autres interruptions susceptibles
de couper cet accès. Ces techniques incluent divers changements d’accès, d’action
ou de configuration permettant de maintenir une emprise sur les systèmes. Cela peut
passer par le remplacement ou le détournement de code légitime, ou encore l’ajout
de code de démarrage.
6. Escalade des privilèges
Techniques utilisées pour obtenir des autorisations de niveau supérieur sur un
système ou un réseau (par exemple, un niveau "root", un administrateur local, un
compte utilisateur avec accès de type administrateur, ou des comptes utilisateurs
avec accès à un système spécifique ou exécutant une fonction spécifique). Les
approches courantes consistent à exploiter des faiblesses, des erreurs de
configuration ou des vulnérabilités du système.
Exemple : l’utilisation abusive des mécanismes de contrôle des privilèges.
7. Furtivité
Techniques permettant d’éviter d’être détecté tout au long de la compromission. Elles
incluent la désinstallation ou la désactivation de logiciels de sécurité, le chiffrement
des données, ainsi que l’utilisation de scripts pour camoufler des activités
malveillantes. Les attaquants exploitent également les processus de confiance pour
dissimuler leurs logiciels malveillants et leurs actions.
Exemple : la modification de la politique de gestion de domaines dans le logiciel
Active Directory de Microsoft. Ce logiciel est couramment utilisé en entreprise pour
gérer les comptes et les droits.
8. Accès aux informations d’identifications
Techniques permettant de voler des informations d’identification telles que des noms
de compte et des mots de passe:
- Elles incluent le traçage des touches frappées au clavier (keylogging) ou la
copie en mémoire des informations d’identification.
- L’utilisation d’informations d’identification légitimes peut permettre ensuite
d’accéder aux systèmes, de les rendre plus difficiles à détecter et d'offrir la
possibilité de créer davantage de comptes pour atteindre leurs objectifs.
Exemple: Test par brute-force de toutes les combinaisons d’un mot de passe ou d’un
identifiant.
 42

9. Découverte de l’environnement
Techniques pour acquérir des connaissances sur le système et le réseau interne :
Observer l’environnement et aider à s’orienter avant de décider comment agir.
Permettre aux adversaires d’explorer ce qu’ils peuvent contrôler et ce qui se trouve
autour de leur point d’entrée afin de découvrir comment cela pourrait profiter à leur
objectif actuel.
Les outils de l’OS natif sont souvent utilisés pour atteindre cet objectif de collecte
d’information après compromission.
Exemple: Découverte des comptes, comptes locaux, domaine, messagerie, compte
cloud.
10. Mouvement latéral
Techniques utilisées pour entrer et contrôler des systèmes distants sur un réseau :
Poursuivre l’objectif principal nécessite souvent d’explorer le réseau pour trouver la
cible et ensuite y accéder. Cela implique souvent de passer par plusieurs systèmes
et comptes.
Les adversaires peuvent installer leurs propres outils d’accès à distance pour
effectuer un mouvement latéral ou utiliser des informations d’identification légitimes
avec des outils de réseau et de système d’exploitation natif, ce qui peut être plus
furtif.
Exemple: Exploitation de services distants pour obtenir des accès non autorisés une
fois introduit dans le réseau.
11. Collecte
Techniques pour recueillir des informations à partir de sources cibles jugées
pertinentes :
Souvent, le prochain objectif après la collecte de données est de voler (exfiltrer) les
données.
Les sources cibles courantes incluent divers types de lecteurs, navigateurs, fichiers
audio, vidéo et e-mail.
Les méthodes courantes de collecte incluent la capture d’écran et la saisie au
clavier.
Exemple: Capture de flux audio.
12. Commande et contrôle ou C2
Techniques que les adversaires peuvent utiliser pour communiquer avec les
systèmes sous leur contrôle au sein d’un réseau victime :
Le but est généralement d’imiter le trafic normal attendu pour éviter la détection.
 43

Il existe de nombreuses techniques avec différents niveaux de furtivité en fonction de

la structure du réseau et des défenses de la victime.
Exemple: Utilisation de services réseau comme le DNS, la messagerie, le web, le
transfert de fichiers, dont les protocoles ne sont jamais filtrés.
13. Exfiltration
Techniques que les adversaires peuvent utiliser pour voler des données sensibles à
partir du réseau cible :
Une fois les données collectées, elles sont re-conditionnées pour éviter d’être
détectées (compressées, chiffrées).
Elles sont exfiltrées via un canal C2 ou un autre canal.
Exemple: Exfiltration automatisée.
14. Impact
Techniques pour manipuler, interrompre voire détruire le système et/ou les données :
Les techniques utilisées peuvent aboutir à des destructions de comptes,
destruction/falsification de données.
Dans certains cas, les processus métier peuvent sembler corrects, mais peuvent
avoir été modifiés au profit des objectifs adverses.
Exemple: Chiffrement de données.
3.3 Détection et réponse d’incidents
On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau
de manière furtive afin de repérer des activités anormales ou suspectes et
permettant ainsi d’avoir une action de prévention sur les risques d’intrusion.26
Selon le Verizon Risk Report de 2013, 62 % des pénétrations dans un réseau
informatique restent indétectées pendant des mois, voire des années. Par exemple,
pour le maliciel Backoff, même les antivirus parfaitement mis à jour, opérant sur des
ordinateurs des plus « étanches » (fully patched), n’ont pu repérer ce maliciel ni
alerter sur sa grande toxicité.27
Il existe deux grandes familles distinctes d’IDS :
- Les N-IDS (Network Based Intrusion Detection System): ils assurent la
sécurité au niveau du réseau.
- Les H-IDS (Host Based Intrusion Detection System) : ils assurent la sécurité
au niveau des hôtes.
Un N-IDS nécessite un matériel dédié et constitue un système capable de contrôler
les paquets circulant sur un ou plusieurs liens réseau dans le but de découvrir si un
acte malveillant ou anormal a lieu. Le N-IDS place une ou plusieurs cartes d’interface
réseau du système dédié en mode promiscuité (promiscuous mode), elles sont alors

26
Jean-François PILLOU & Jean-Philippe Bay, Tout sur la sécurité informatique 4e Edition, Paris, Dunod, 2005,
2009, 2013, 2016, p.145
27
Xavier Raufer, Cyber-criminologie, Paris, CNRS Éditions, 2015, p. 19
 44

en mode « furtif » afin qu’elles n’aient pas d’adresse IP. Elles n’ont pas non plus de
pile de protocole attachée.
Il est fréquent de trouver plusieurs IDS sur les différentes parties du réseau et en
particulier de placer une sonde à l’extérieur du réseau afin d’étudier les tentatives
d’attaques ainsi qu’une sonde en interne pour analyser les requêtes ayant traversé le
pare-feu ou bien menées depuis l’intérieur.
Le H-IDS réside sur un hôte particulier et la gamme de ces logiciels couvre donc une
grande partie des systèmes d’exploitation tels que Windows, Solaris, Linux, HP-UX,
Aix, etc. Le H-IDS se comporte comme un démon ou un service standard sur un
système hôte. Traditionnellement, le H-IDS analyse des informations particulières
dans les journaux de logs et aussi capture les paquets réseaux entrant/sortant de
l’hôte pour y déceler des signaux d’intrusions (déni de services, backdoors, chevaux
de Troie, tentatives d’accès non autorisés, exécution de codes malicieux, attaques
par débordement de tampon, etc.).
[Link] Techniques de détection
Le trafic réseau est généralement (en tout cas sur Internet) constitué de
datagrammes IP. Un N-IDS est capable de capturer les paquets lorsqu’ils circulent
sur les liaisons physiques sur lesquelles il est connecté. Un N-IDS consiste en une
pile TCP/IP qui réassemble les datagrammes IP et les connexions TCP.
Il peut appliquer les techniques suivantes pour reconnaître les intrusions :
 Vérification de la pile protocolaire : un nombre d’intrusions, tels que par
exemple ping of death et TCP stealth scanning ont recours à des violations
des protocoles IP, TCP, UDP, et ICMP dans le but d’attaquer une machine.
Une simple vérification protocolaire peut mettre en évidence les paquets
invalides et signaler ce type de techniques très usitées.
 Vérification des protocoles applicatifs : nombre d’intrusions utilisent des
comportements protocolaires invalides, comme par exemple WinNuke, qui
utilise des données NetBIOS invalides (ajout de données OOB data). Dans le
but de détecter efficacement ce type d’intrusions, un N-IDS doit implémenter
une grande variété de protocoles applicatifs tels que NetBIOS, TCP/IP… Cette
technique est rapide (il n’est pas nécessaire de chercher des séquences
d’octets sur l’exhaustivité de la base de signatures), élimine en partie les
fausses alertes et s’avère donc plus efficiente.
Par exemple, grâce à l’analyse protocolaire le N-IDS distinguera un événement
de type « Back Orifice PING » (dangerosité basse) d’un événement de type «
Back Orifice COMPROMISE » (dangerosité haute).
 Reconnaissance des attaques par pattern matching : cette technique de
reconnaissance d’intrusions est la plus ancienne méthode d’analyse des N-
IDS et elle est encore très courante. Il s’agit de l’identification d’une intrusion
par le seul examen d’un paquet et la reconnaissance dans une suite d’octets
du paquet d’une séquence caractéristique d’une signature précise.
 45

L’avantage principal de cette technique tient dans sa facilité de mise à jour et

évidemment dans la quantité importante de signatures contenues dans la
base du N-IDS. Cette technique entraîne néanmoins inévitablement un
nombre important de fausses alertes ou faux positifs.
Il existe encore d’autres méthodes pour détecter et signaler une intrusion comme la
reconnaissance des attaques par pattern matching stateful et/ou l’audit de trafic
réseaux dangereux ou anormales. En conclusion, un N-IDS parfait est un système
utilisant le meilleur de chacune des techniques citées ci-dessus.
[Link] Méthodes d’alertes
Les principales méthodes utilisées pour signaler et bloquer les intrusions sur les N-
IDS sont les suivantes :
 Reconfiguration d’équipements tiers (firewall, ACL sur routeurs) : ordre
envoyé par le N-IDS à un équipement tiers (filtreur de paquets, pare-feu) pour
une reconfiguration immédiate dans le but de bloquer un intrus. Cette
reconfiguration est possible par passage des informations détaillant une
alerte (en tête(s) de paquet(s)).
 Envoi d’une trap SNMP à un hyperviseur tierce : envoi de l’alerte (et le détail
des informations la constituant) sous format d’un datagramme SNMP à une
console tierce.
 Envoi d’un courrier électronique à un ou plusieurs utilisateurs : envoi d’un
courrier électronique à une ou plusieurs boîtes aux lettres pour notifier une
intrusion sérieuse.
 Journalisation (log) de l’attaque : sauvegarde des détails de l’alerte dans une
base de données centrale comme par exemple les informations suivantes :
timestamp, adresse IP de l’intrus, adresse IP de la cible, protocole utilisé,
payload).
 Sauvegarde des paquets suspicieux : sauvegarde de l’ensemble des paquets
réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont déclenché
une alerte.
 Démarrage d’une application : lancement d’un programme extérieur pour
exécuter une action spécifique (envoi d’un mes sage sms, émission d’une
alerte auditive…).
 Envoi d’un ResetKill : construction d’un paquet TCP FIN pour forcer la fin
d’une connexion (uniquement valable sur des techniques d’intrusions utilisant
le protocole de transport TCP).
 Notification visuelle de l’alerte : affichage de l’alerte dans une ou plusieurs
console(s) de management.
Actuellement, les éditeurs parlent de plus en plus d’IPS (Intrusion Prevention
System) en remplacement des IDS « traditionnels » ou pour s’en distinguer. L’IPS
est un système de prévention/protection contre les intrusions et non plus seulement
de reconnaissance et de signalisation des intrusions comme la plupart des IDS le
sont. La principale différence entre un IDS (réseau) et un IPS (réseau) tient
principalement en deux caractéristiques :
 46

1. Le positionnement en coupure sur le réseau de l’IPS et non plus seulement en

écoute sur le réseau pour l’IDS (traditionnelle ment positionné comme un
sniffer sur le réseau).
2. La possibilité de bloquer immédiatement les intrusions et ce quel que soit le
type de protocole de transport utilisé et sans reconfiguration d’un équipement
tierce, ce qui induit que l’IPS est constitué en natif d’une technique de filtrage
de paquets et de moyens de blocages (drop connection, drop offending pac
kets, block intruder…).
2.1 Vue d’ensemble d’outils de sécurité réseau
Chaque ordinateur connecté à Internet (et d’une manière plus générale à n’importe
quel réseau informatique) est susceptible d’être victime d’une attaque d’un pirate
informatique. La méthodologie généralement employée consiste à scruter le réseau
(en envoyant des paquets de données de manière aléatoire) à la recherche d’une
machine connectée, puis à chercher une faille de sécurité afin de l’exploiter et
d’accéder aux données s’y trouvant. Cette menace est d’autant plus grande que la
machine est connectée en permanence à Internet pour plusieurs raisons :
➤ La machine cible est susceptible d’être connectée sans pour autant être surveillée.
➤ La machine cible est généralement connectée avec une plus large bande
passante.
➤ La machine cible ne change pas (ou peu) d’adresse IP.
Ainsi, il est nécessaire, autant pour les réseaux d’entreprises que pour les
internautes possédant une connexion de type câble ou ADSL, de se protéger des
intrusions réseaux en installant un dispositif de protection.
 Antivirus
Un antivirus est un programme capable de détecter la présence de malware sur un
ordinateur et, dans la mesure du possible, de désinfecter ce dernier. On parle ainsi
d’éradication de virus pour désigner la procédure de nettoyage de l’ordinateur.
 Système pare-feu (firewall)
Contrôle le trafic réseau sortant et entrant en fonction des règles de sécurité
prédéfinies.
 Serveurs mandataires (proxy)
Un serveur proxy (traduction française de proxy server, appelé aussi serveur
mandataire) est à l’origine une machine faisant fonction d’intermédiaire entre les
ordinateurs d’un réseau local (utilisant parfois des protocoles autres que le protocole
TCP/IP) et Internet.
 Système de prévention d’intrusion(IPS)
Identifie et bloque les menaces détectées par l’IDS.
 47

 VPN (Virtual Private Network)

Crypte les données transmises sur le réseau pour assurer la confidentialité et la
sécurité.
Les EDR sont conçues pour détecter, enquêter et répondre aux menaces sur les
terminaux. Ils le font en collectant les données, détectant les menaces, enquêtant et
donnant des réponses, ainsi qu’en protégeant le système contre les menaces
avancées. En voici quelques-unes :
McAfee Endpoint Security, Carbon black, Microsoft Defender for Endpoint, wazuh,
Unify, Winbox…