INTRODUCTION À LA CYBERSÉCURITÉ

CHAPITRE 1
Introduction à la cybersécurité
Introduction à la cybersécurité - Notions de base en cybersécurité :

La cybersécurité est la préoccupation principale alors que les menaces et les attaques informatiques se multiplient.

Les attaquants utilisent désormais des techniques plus sophistiquées pour cibler les systèmes. Les individus, les petites-
les entreprises de grande taille ou les grandes organisations, sont toutes impactées. Donc, toutes ces entreprises, qu'elles soient informatiques ou
Les entreprises non informatiques ont compris l'importance de la cybersécurité et se concentrent sur l'adoption de tout
mesures possibles pour faire face aux menaces cybernétiques.

Qu'est-ce que la cybersécurité ?

La cybersécurité concerne principalement les personnes, les processus et les technologies travaillant ensemble pour
englober l'ensemble du spectre de la réduction des menaces, de la réduction de la vulnérabilité, de la dissuasion, international
engagement, réponse aux incidents, résilience et politiques et activités de récupération, y compris
opérations de réseau informatique, assurance de l'information, forces de l'ordre, etc.

OU

La cybersécurité est l'ensemble des technologies, des processus et des pratiques conçus pour protéger les réseaux,
ordinateurs, programmes et données contre les attaques, les dommages ou les accès non autorisés.

Le terme cybersécurité désigne les techniques et pratiques conçues pour protéger les données numériques.

Les données qui sont stockées, transmises ou utilisées sur un système d'information.

OU

La cybersécurité est la protection des systèmes connectés à Internet, y compris le matériel, le logiciel et
données des cyber-attaques.

Il est composé de deux mots : l'un est cyber et l'autre est sécurité.

Le cyber est lié à la technologie qui contient des systèmes, des réseaux et des programmes ou des données.

Alors que la sécurité concerne la protection qui inclut la sécurité des systèmes, la sécurité des réseaux
et la sécurité des applications et des informations.

1
INTRODUCTION À LA CYBERSÉCURITÉ

Pourquoi la cybersécurité est-elle importante ?

Ci-dessous sont les raisons pour lesquelles la cybersécurité est si importante dans ce qui est devenu un

monde numérique prédominant

Les cyberattaques peuvent coûter très cher aux entreprises.

En plus des dommages financiers subis par l'entreprise, une violation de données peut également infliger des torts incalculables.
dommages à la réputation.

Les cyberattaques de nos jours deviennent de plus en plus destructrices. Les cybercriminels utilisent
des moyens plus sophistiqués pour initier des cyberattaques.

Des réglementations telles que le RGPD poussent les organisations à mieux prendre soin des données personnelles.
données qu'ils détiennent.

En raison des raisons ci-dessus, la cybersécurité est devenue une partie importante de l'entreprise et
l'accent est maintenant mis sur le développement de plans de réponse appropriés qui minimisent les dommages en cas d'événement
d'une cyberattaque.
Mais une organisation ou un individu ne peut développer un plan de réponse approprié que lorsqu'il dispose d'une bonne
maîtrise des fondamentaux de la cybersécurité.

Fondamentaux de la cybersécurité – Confidentialité :

La confidentialité concerne la prévention de la divulgation des données à des parties non autorisées.

Cela signifie également essayer de garder l'identité des parties autorisées impliquées dans le partage et la détention.
données privées et anonymes.
Souvent, la confidentialité est compromise par le piratage de données mal encryptées, attaque de l'homme du milieu
(MITM) attaques, divulgation de données sensibles.

Les mesures standard pour établir la confidentialité incluent :

Chiffrement des données

Authentification à deux facteurs

Vérification biométrique

Jetons de sécurité

2
INTRODUCTION À LA CYBERSÉCURITÉ

Intégrité
L'intégrité fait référence à la protection des informations contre toute modification par des parties non autorisées.

Les mesures standard pour garantir l'intégrité incluent :

Sommes de contrôle cryptographiques

Utilisation des permissions de fichiers

alimentation sans interruption

Sauvegardes de données

Disponibilité
La disponibilité consiste à s'assurer que les parties autorisées peuvent accéder à l'information lorsque
nécessaire.

Les mesures standard pour garantir la disponibilité incluent :

Sauvegarde des données sur des disques externes

Mise en œuvre de pare-feu

Avoir des sources d'énergie de secours

Redondance des données

Types d'attaques informatiques

Une cyberattaque est une exploitation des systèmes et réseaux informatiques. Elle utilise un code malveillant pour
altérer le code informatique, la logique ou les données et conduire à des cybercrimes, tels que le vol d'informations et d'identité.

Les cyberattaques peuvent être classées dans les catégories suivantes :

1) Attaques basées sur le web

2) Attaques basées sur le système

Attaques basées sur le web

Ce sont les attaques qui se produisent sur un site Web ou des applications Web. Certaines des importantes web-
Les attaques basées sont les suivantes_

3
INTRODUCTION À LA CYBERSÉCURITÉ

1. Attaques par injection

C'est l'attaque dans laquelle certaines données seront injectées dans une application web pour manipuler le
application et récupérer les informations requises.

Injection SQL, injection de code, injection de journal, injection XML, etc.

2. Usurpation DNS
Le spoofing DNS est un type de piratage informatique. Par lequel des données sont introduites dans un DNS.
le cache du résolveur provoque le serveur de noms à renvoyer une adresse IP incorrecte, détournant le trafic vers le
l'ordinateur de l'attaquant ou tout autre ordinateur. Les attaques par usurpation DNS peuvent durer longtemps
période de temps sans être détecté et peut causer de graves problèmes de sécurité.

Détournement de session
C'est une attaque de sécurité sur une session utilisateur à travers un réseau protégé. Les applications web créent des cookies.
pour stocker l'état et les sessions utilisateur. En volant les cookies, un attaquant peut avoir accès à tout
les données utilisateur.

Phishing
Le phishing est un type d'attaque qui tente de voler des informations sensibles comme les identifiants de connexion des utilisateurs.

identifiants et numéro de carte de crédit. Cela se produit lorsqu'un attaquant se fait passer pour une personne de confiance
entité dans la communication électronique.

5. Force brute
C'est un type d'attaque qui utilise une méthode d'essai et d'erreur. Cette attaque génère un grand nombre de
fait des suppositions et les valide pour obtenir des données réelles telles que le mot de passe de l'utilisateur et l'identification personnelle
numéro. Cette attaque peut être utilisée par des criminels pour déchiffrer des données cryptées, ou par des analystes en sécurité pour
tester la sécurité du réseau d'une organisation.

6. Déni de service
C'est une attaque qui vise à rendre un serveur ou une ressource réseau indisponible pour les utilisateurs.
accomplit cela en inondant la cible de trafic ou en lui envoyant des informations qui déclenchent un
effondrement. Il utilise le même système et la même connexion Internet pour attaquer un serveur.

Il peut être classé dans les catégories suivantes

4
INTRODUCTION À LA CYBERSÉCURITÉ

Attaques basées sur le volume - Son objectif est de saturer la bande passante du site attaqué, et est mesuré
en bits par seconde.
Attaques par protocole - Elles consomment des ressources réelles du serveur et se mesurent en paquets.

Attaques de couche applicative - Son but est de faire planter le serveur Web et est mesuré en requêtes par
deuxième.

7. Attaques par dictionnaire

Ce type d'attaque stockait la liste d'un mot de passe couramment utilisé et les validait pour obtenir
mot de passe d'origine.

8. Interprétation de l'URL

C'est un type d'attaque où nous pouvons modifier certaines parties d'une URL, et on peut créer un web
serveur pour livrer des pages web auxquelles il n'est pas autorisé à accéder.

9. Attaques par inclusion de fichiers

C'est un type d'attaque qui permet à un attaquant d'accéder à des fichiers non autorisés ou essentiels.
disponible sur le serveur web ou pour exécuter des fichiers malveillants sur le serveur web en utilisant le
inclure la fonctionnalité.

10. Attaques de l'homme du milieu

C'est un type d'attaque qui permet à un attaquant d'intercepter la connexion entre le client et le serveur.
et agit comme un pont entre eux. En raison de cela, un attaquant pourra lire, insérer et modifier
les données dans la connexion interceptée.

Attaques basées sur le système

Ce sont des attaques qui visent à compromettre un ordinateur ou un réseau informatique.

Certains des attaquants basés sur le système les plus importants sont les suivants -_

Virus
C'est un type de logiciel malveillant qui se propage à travers les fichiers de l'ordinateur sans le
la connaissance d'un utilisateur. C'est un programme informatique malveillant auto-réplicant qui se réplique par
insérant des copies de lui-même dans d'autres programmes informatiques lors de leur exécution. Il peut également exécuter

instructions qui nuisent au système.

5
INTRODUCTION À LA CYBERSÉCURITÉ

2. Ver
C'est un type de logiciel malveillant dont la fonction principale est de se répliquer pour se propager à des systèmes non infectés.
les ordinateurs. Cela fonctionne de la même manière qu'un virus informatique. Les vers proviennent souvent de pièces jointes d'e-mails

qui semblent provenir d'expéditeurs de confiance.

3. Cheval de Troie
C'est un programme malveillant qui entraîne des modifications inattendues des paramètres de l'ordinateur et des comportements inhabituels.
activité, même lorsque l'ordinateur devrait être inactif. Cela induit l'utilisateur en erreur sur sa véritable intention. Cela semble
pour être une application normale mais lors de son ouverture/exécution, un code malveillant s'exécutera dans le
arrière-plan.

4. Portes dérobées

C'est une méthode qui contourne le processus d'authentification normal. Un développeur peut créer un
porte dérobée afin qu'une application ou un système d'exploitation puisse être accessible pour le dépannage ou autre
objectifs.

5. Bots
Un bot (abréviation de "robot") est un processus automatisé qui interagit avec d'autres services réseau.

Certains programmes de bots s'exécutent automatiquement, tandis que d'autres n'exécutent des commandes que lorsqu'ils en reçoivent.

entrée spécifique. Des exemples courants de programmes de bots sont le crawler, les bots de chatroom, et
bots malveillants.

Les 7 couches de la cybersécurité doivent se concentrer sur les actifs critiques pour la mission que vous cherchez à
protéger.
1: Actifs critiques pour la mission - Ce sont les données que vous devez protéger

2 : Sécurité des données – Les contrôles de sécurité des données protègent le stockage et le transfert des données.

3 : Sécurité des applications – Les contrôles de sécurité des applications protègent l'accès à une application, un
l'accès de l'application à vos actifs critiques pour la mission et la sécurité interne de l'application.

4: Sécurité des points de terminaison – Les contrôles de sécurité des points de terminaison protègent la connexion entre les appareils et

le réseau.
5 : Sécurité des réseaux – Les contrôles de sécurité des réseaux protègent le réseau d'une organisation et préviennent
accès non autorisé au réseau.

6
INTRODUCTION À LA CYBERSÉCURITÉ

6 : Sécurité périmétrique – Les contrôles de sécurité périmétrique incluent à la fois le physique et le numérique
méthodologies de sécurité qui protègent l'entreprise dans son ensemble.

7 : La couche humaine - Les humains sont le maillon le plus faible dans toute posture de cybersécurité. Humain
Les contrôles de sécurité incluent des simulations de phishing et des contrôles de gestion des accès qui protègent
actifs essentiels pour la mission provenant d'une grande variété de menaces humaines, y compris les criminels informatiques, malveillants

initiés et utilisateurs négligents.

Vulnérabilité
Comme l'illustre la récente épidémie de violations de données, aucun système n'est à l'abri des attaques. Tout
une entreprise qui gère, transmet, stocke ou traite autrement des données doit instituer et faire respecter
mécanismes pour surveiller leur environnement cybernétique, identifier les vulnérabilités et renforcer la sécurité
trous aussi rapidement que possible.

Avant d'identifier des dangers spécifiques pour les systèmes de données modernes, il est crucial de comprendre le
distinction entre les menaces cybernétiques et les vulnérabilités.

Les menaces cybernétiques sont des incidents de sécurité ou des circonstances ayant le potentiel d'avoir un impact négatif.
résultats pour votre réseau ou d'autres systèmes de gestion des données.

Des exemples de types courants de menaces à la sécurité incluent des attaques de phishing qui entraînent le
installation de logiciels malveillants qui infectent vos données, échec d'un membre du personnel à suivre la protection des données
des protocoles qui causent une violation de données, ou même une tornade qui détruit les données de votre entreprise
siège social, perturbant l'accès.
Les vulnérabilités sont les lacunes ou les faiblesses d'un système qui rendent les menaces possibles et tentantes.
acteur de menace pour les exploiter.

Les types de vulnérabilités en sécurité réseau incluent, mais ne se limitent pas à, des injections SQL, des serveurs.
mauvaises configurations, scripting intersite et transmission de données sensibles en clair non chiffrées
format de texte.

Lorsque la probabilité de menace est multipliée par la perte potentielle qui peut en résulter, les experts en cybersécurité,
considérez cela comme un risque.

Triade CIA
Le Triade CIA est en réalité un modèle de sécurité qui a été développé pour aider les gens à réfléchir à
diverses parties de la sécurité informatique.

La triade CIA décomposée :

7
INTRODUCTION À LA CYBERSÉCURITÉ

Confidentialité
Il est crucial dans le monde d'aujourd'hui que les personnes protègent leurs informations sensibles et privées contre
accès non autorisé.

La protection de la confidentialité dépend de la capacité à définir et à appliquer certains niveaux d'accès.

pour information.

Dans certains cas, cela implique de séparer les informations en différentes collections qui sont
organisé par qui a besoin d'accéder à l'information et à quel point cette information est sensible
c'est-à-dire, le montant des dommages subis si la confidentialité était violée.

Parmi les moyens les plus courants utilisés pour gérer la confidentialité, on trouve les listes de contrôle d'accès,
chiffrement des volumes et des fichiers, et permissions de fichiers Unix.

Intégrité
L'intégrité des données est ce que le 'I' dans le triade CIA signifie.

C'est un composant essentiel du Triade de la CIA et conçu pour protéger les données de la suppression ou
modification par toute partie non autorisée, et il garantit que lorsqu'une personne autorisée effectue
un changement qui n'aurait pas dû être fait, les dommages peuvent être inversés.

Disponibilité
C'est le dernier composant du triangle de la CIA et fait référence à la disponibilité réelle de vos données.
Les mécanismes d'authentification, les canaux d'accès et les systèmes doivent tous fonctionner correctement pour le
informations qu'ils protègent et s'assurent qu'elles sont disponibles lorsqu'elles sont nécessaires.

Comprendre le triangle CIA, Le triangle CIA concerne principalement l'information. Bien que cela soit considéré comme le
facteur clé de la majorité de la sécurité informatique, il promeut une vision limitée de la sécurité qui ignore
d'autres facteurs importants.

Par exemple, même si la disponibilité peut servir à s'assurer que vous ne perdez pas l'accès aux ressources
nécessaire de fournir des informations lorsque cela est nécessaire, en pensant à la sécurité de l'information en elle-même
ne garantit pas que quelqu'un d'autre n'a pas utilisé vos ressources matérielles sans autorisation.

Il est important de comprendre ce qu'est le Triade CIA, comment il est utilisé pour planifier et aussi pour mettre en œuvre un
politique de qualité et de sécurité tout en comprenant les différents principes qui la sous-tendent. Il est également important de
comprendre les limitations qu'elle présente. Lorsque vous êtes informé, vous pouvez utiliser le Triangle de la CIA pour
ce qu'il a à offrir et éviter les conséquences qui peuvent survenir en ne le comprenant pas.

8
INTRODUCTION À LA CYBERSÉCURITÉ

Quels sont les principaux défis en matière de cybersécurité ?

La cybersécurité estdéfi constamment par des hackers, perte de données, vie privée,gestion des risques et
changement des stratégies de cybersécurité. On ne s'attend pas à ce que le nombre de cyberattaques diminue dans le
avenir proche. De plus, l'augmentation des points d'entrée pour les attaques, comme avec l'arrivée d'Internet
des choses (IoT), augmenter le besoin de sécuriser les réseaux et les appareils.

L'un des éléments les plus problématiques de la cybersécurité est la nature évolutive des risques de sécurité.
Alors que de nouvelles technologies émergent et que la technologie est utilisée de manières nouvelles ou différentes, de nouvelles attaques
les avenues sont développées. Suivre ces changements fréquents et ces avancées dans les attaques, tout comme
la mise à jour des pratiques pour se protéger contre eux peut être difficile. Les problèmes incluent la garantie que tous
Les éléments de la cybersécurité sont continuellement mis à jour pour se protéger contre les vulnérabilités potentielles.
Cela peut être particulièrement difficile pour les petites organisations qui n'ont pas le personnel ou les ressources internes.

De plus, les organisations peuvent rassembler beaucoup de données potentielles sur les individus qui utilisent un ou plusieurs
de leurs services. Avec plus de données collectées, la probabilité qu'un cybercriminel veuille
voler des informations personnellement identifiablesDPI) est une autre préoccupation. Par exemple, une organisation
qui stocke des informations personnelles identifiables dans le cloud peut être sujet à une attaque par ransomware. Les organisations devraient faire quoi
ils peuvent prévenir une violation du cloud.

Les programmes de cybersécurité devraient égalementaborder l'éducation des utilisateurs finaux, car les employés peuvent accidentellement
apporter des virus sur le lieu de travail via leurs ordinateurs portables ou appareils mobiles. Sensibilisation régulière à la sécurité
La formation aidera les employés à jouer leur rôle pour protéger leur entreprise des cybermenaces.

Un autre défi de la cybersécurité est le manque de personnel qualifié en cybersécurité. Alors que
Alors que la quantité de données collectées et utilisées par les entreprises augmente, le besoin de personnel en cybersécurité pour
analyser, gérer et répondre aux incidents augmente également. (ISC)estimé le lieu de travail
écartentre les emplois en cybersécurité nécessaires et les professionnels de la sécurité à 3,1 millions.

Actifs et Menaces
Qu'est-ce qu'un actif : Un actif est toute donnée, appareil ou autre composant des systèmes d'une organisation.
cela a de la valeur - souvent parce que cela contient des données sensibles ou peut être utilisé pour y accéder.
information.
Par exemple : Un ordinateur de bureau, un ordinateur portable ou un téléphone de société d'un employé serait considéré comme

un atout, tout comme les applications sur ces appareils. De même, l'infrastructure critique, telle que les serveurs
et les systèmes de soutien, sont des actifs. Les actifs les plus courants d'une organisation sont les actifs informationnels.
Ce sont des choses telles que des bases de données et des fichiers physiques - c'est-à-dire les données sensibles que vous stockez.

9
INTRODUCTION À LA CYBERSÉCURITÉ

Motif des attaquants

Les catégories de cyber-attaquants nous permettent de mieux comprendre les motivations des attaquants et
les actions qu'ils entreprennent. Comme le montre la Figure, les risques opérationnels de cybersécurité proviennent de trois types
d'actions : a) actions involontaires (généralement par des initiés) qui sont prises sans malveillance ou
intention nuisible ; ii) actions délibérées (par des initiés ou des étrangers) qui sont prises intentionnellement et sont
destiné à causer du tort ; et iii) l'inaction (généralement par des initiés), comme un manquement à agir dans un donné
situation, soit en raison d'un manque de compétences appropriées, de connaissances, d'orientation ou de disponibilité de
la personne appropriée pour agir L'action principale concerne ici des actions délibérées, dont lesquelles
il existe trois catégories de motivation.

1. Motivations politiques : des exemples incluent détruire, perturber ou prendre le contrôle des cibles ;
espionnage ; et faire des déclarations politiques, des manifestations ou des actions de représailles.

2. Motivations économiques : des exemples incluent le vol de propriété intellectuelle ou d'autres motivations économiques.
actifs précieux (par exemple, fonds, informations de carte de crédit) ; fraude ; espionnage industriel et sabotage ;
et chantage.
3. Motivations socio-culturelles : des exemples incluent des attaques avec des éléments philosophiques, théologiques, politiques,
et même des objectifs humanitaires. Les motivations socio-culturelles incluent également le plaisir, la curiosité et un désir
pour la publicité ou la gratification de l'ego.

Types d'attaques actives :

Mascarade : dans cette attaque, l'intrus se fait passer pour un utilisateur particulier d'un système pour obtenir
accéder ou obtenir des privilèges supérieurs à ceux auxquels ils sont autorisés. Une usurpation d'identité peut être tentée
par l'utilisation d'identifiants de connexion et de mots de passe volés, en trouvant des failles de sécurité dans les programmes ou

en contournant le mécanisme d'authentification.

Relecture de session : Dans ce type d'attaque, un hacker vole les informations de connexion d'un utilisateur autorisé en
voler l'identifiant de session. L'intrus accède et a la capacité de faire tout ce que l'autorisé
l'utilisateur peut faire sur le site web.

Modification de message : Dans cette attaque, un intrus modifie les adresses d'en-tête des paquets pour diriger un
message à une destination différente ou modifier les données sur une machine cible.

Dans une attaque par déni de service (DoS), les utilisateurs sont privés d'accès à un réseau ou à une ressource web.
Cela se fait généralement en submergeant la cible avec plus de trafic qu'elle ne peut en gérer.

Dans une attaque par déni de service distribué (DDoS), un grand nombre de systèmes compromis
(parfois appelé un botnet ou une armée de zombies) attaque un seul objectif.

10
INTRODUCTION À LA CYBERSÉCURITÉ

Types d'attaques passives :

Écoute clandestine (interception) : l'attaquant écoute simplement les messages échangés par deux entités.

Pour que l'attaque soit utile, le trafic ne doit pas être chiffré. Toute information non chiffrée, telle que
en tant que mot de passe envoyé en réponse à une requête HTTP, peut être récupéré par l'attaquant.

Analyse du trafic : l'attaquant examine les métadonnées transmises dans le trafic afin de déduire
informations relatives à l'échange et aux entités participantes, par exemple, la forme de la
trafic échangé (taux, durée, etc.). Dans les cas où des données chiffrées sont utilisées, le trafic
L'analyse peut également conduire à des attaques par cryptanalyse, par lesquelles l'attaquant peut obtenir des informations.
ou réussir à déchiffrer le trafic.

Attaques logicielles : Le code malveillant (parfois appelé malware) est un type de logiciel conçu pour
prendre le contrôle ou endommager le système d'exploitation d'un utilisateur d'ordinateur, sans la connaissance de l'utilisateur ou

approbation. Cela peut être très difficile à enlever et très dommageable.

Attaques matérielles :

Les attaques matérielles courantes incluent :

La fabrication de portes dérobées, pour des logiciels malveillants ou d'autres fins pénétrantes ; les portes dérobées ne sont pas
limité aux logiciels et au matériel, mais ils affectent également la radiofréquence intégrée
puces d'identification (RFID) et mémoire

Écoute clandestine en accédant à la mémoire protégée sans ouvrir d'autres matériels

Induction de fautes, entraînant l'interruption du comportement normal

Modification matérielle infractionnant des opérations invasives

Création de porte dérobée ; la présence de méthodes cachées pour contourner le fonctionnement normal de l’ordinateur
systèmes d'authentification

11
INTRODUCTION À LA CYBERSÉCURITÉ

CHAPITRE 2
Cyberspace et le droit & Cybercriminalistique

CYBERESPACE
Le cyberespace peut être défini comme un environnement complexe qui implique des interactions entre les personnes.
logiciel et services. Il est maintenu par la distribution mondiale de l'information et
dispositifs et réseaux de technologies de communication.

Avec les avantages apportés par les avancées technologiques, le cyberespace d'aujourd'hui est devenu un
ressources communes utilisées par les citoyens, les entreprises, l'infrastructure d'information critique, l'armée et
gouvernements d'une manière qui rend difficile d'établir des frontières claires entre ces différents
les groupes. On prévoit que le cyberespace deviendra encore plus complexe dans les années à venir, avec
l'augmentation des réseaux et des dispositifs qui y sont connectés.

RÉGLEMENTATIONS
Il y a cinq lois prédominantes à couvrir en matière de cybersécurité :
Loi sur la technologie de l'information, 2000 Les lois cybernétiques indiennes sont régies par la loi sur l'information
L'Acte sur la technologie, rédigé en 2000. L'incitation principale de cet acte est d'offrir une garantie fiable
inclusivité légale pour le commerce électronique, facilitant l'enregistrement des dossiers en temps réel avec le
Gouvernement.
Mais avec les attaquants informatiques devenant de plus en plus sournois, sans compter la tendance humaine à mal utiliser

technologie, une série d'amendements a suivi.

L'ITA, promulgué par le Parlement indien, souligne les sanctions et pénalités sévères.
sauvegarder les secteurs de la gouvernance électronique, de la banque électronique et du commerce électronique. Maintenant, le champ d'application de l'ITA a

a été amélioré pour englober tous les derniers dispositifs de communication.

La loi sur les technologies de l'information est la plus importante, guidant toute la législation indienne pour régir la cybercriminalité.

rigoureusement

Applicable aux personnes qui endommagent les systèmes informatiques sans la permission du propriétaire.
Le propriétaire peut réclamer une compensation totale pour l'ensemble des dégâts dans de tels cas.

Applicable dans le cas où une personne est reconnue avoir agi de manière malhonnête ou frauduleuse.
fait référence à la section 43. La peine d'emprisonnement dans de tels cas peut atteindre trois
des années ou une amende pouvant aller jusqu'à 5 lakhs de Rs.

12
INTRODUCTION À LA CYBERSÉCURITÉ

Incorpore les sanctions pour avoir frauduleusement reçu des dispositifs de communication volés ou
des ordinateurs, ce qui confirme une probabilité de trois ans d'emprisonnement. Ce terme peut également être
surenchéri par une amende de 1 lakh de Rs, selon la gravité.

Cette section examine les vols d'identité liés à des signatures numériques d'imposteurs, au piratage
mots de passe, ou d'autres caractéristiques d'identification distinctive. S'il est prouvé coupable, emprisonnement de trois
des années pourraient également être accompagnées d'une amende de 1 lakh de Rs.

Cette section a été insérée sur demande, en se concentrant sur la punition des tricheurs faisant de l'imitation.
utilisation des ressources informatiques.

Code pénal indien (CPI) 1980

Les vols d'identité et les fraudes informatiques associées sont intégrés dans le Code pénal indien (CPI).

1860 - invoqué avec la Loi sur les technologies de l'information de 2000.

La section principale pertinente du IPC couvre les fraudes informatiques :

Falsification (Section 464)

Faux préalablement planifié pour tromperie (Section 468)

Faux documents (Section 465)

Présenter un document contrefait comme authentique (Section 471)

Dommages à la réputation (Section 469)

Loi sur les sociétés de 2013

Les parties prenantes de l'entreprise se réfèrent à la Loi sur les sociétés de 2013 comme l'obligation légale nécessaire.
pour le perfectionnement des opérations quotidiennes. Les directives de cette loi cimentent toutes les exigences technologiques nécessaires.
conformité légale, mettant les entreprises les moins conformes dans une impasse juridique.

La loi sur les sociétés de 2013 a conféré des pouvoirs à la SFIO (Serious Frauds Investigation)
Bureau) de poursuivre les entreprises indiennes et leurs directeurs. De plus, après la notification de la
Les Règles d'Inspection, d'Investissement et d'Enquête des Entreprises, 2014, les SFIOs sont devenues encore plus
proactif et strict à cet égard.
Le législateur s'est assuré que toutes les conformités réglementaires sont bien couvertes, y compris la cybersécurité.
criminalistique, e-découverte et diligence en matière de cybersécurité. Les entreprises (Gestion et
L'Administration) Règles, 2014 prescrit des directives strictes confirmant les obligations en matière de cybersécurité
et responsabilités des directeurs et dirigeants de l'entreprise.

13
INTRODUCTION À LA CYBERSÉCURITÉ

Conformité NIST au Cadre de cybersécurité (NCFS), autorisé par l'Institut national des normes et de la technologie
Les Normes et Technologies (NIST) offrent une approche harmonisée de la cybersécurité comme le plus
organisme de certification mondial fiable.

Le cadre de cybersécurité NIST englobe toutes les directives, normes et meilleures pratiques nécessaires.
pratiques pour gérer les risques liés au cyberespace de manière responsable. Ce cadre est priorisé sur
flexibilité et rentabilité.

LE CYBERESPACE INDIEN
Le cyberespace indien est né en 1975 avec la création du Centre national d'informatique (CNI)
dans le but de fournir des solutions informatiques au gouvernement. Trois réseaux (NWs) ont été mis en place entre 1986
et 1988 pour connecter diverses agences du gouvernement. Ces NW étaient, INDONET qui connectait le
Les installations de mainframe IBM qui composaient l'infrastructure informatique de l'Inde, NICNET (le NIC
Une station terminale à très petite ouverture (VSAT) à l'échelle nationale pour les organisations du secteur public comme
Eh bien, en tant que connecter le gouvernement central avec les gouvernements des États et les administrations de district, le troisième NW
la configuration était ERNET (le Réseau d'Éducation et de Recherche), pour servir le milieu académique et de recherche

communautés.

POLITIQUE NATIONALE DE CYBER SÉCURITÉ

La politique nationale de cybersécurité est un cadre politique du Département de l'électronique et

Technologies de l'information. Elle vise à protéger les infrastructures publiques et privées contre
cyberattaques. La politique vise également à protéger "les informations, telles que les informations personnelles (de
utilisateurs web), informations financières et bancaires et données souveraines". Cela a été particulièrement
pertinent à la suite des fuites de la National Security Agency (NSA) des États-Unis qui ont suggéré que les États-Unis
Les agences gouvernementales espionnent les utilisateurs indiens, qui n'ont aucune protection légale ou technique.
contre cela. Le ministère des Communications et de la Technologie de l'Information (Inde) nie le cyberespace
en tant qu'environnement complexe constitué d'interactions entre personnes, services logiciels pris en charge
par la distribution mondiale des technologies de l'information et de la communication.

VISION
Pour construire un cyberspace sécurisé et résilient pour les citoyens, les entreprises et le gouvernement et également pour
protéger quiconque d'intervenir dans la vie privée de l'utilisateur.

MISSION
Pour protéger les informations et l'infrastructure d'information dans le cyberespace, renforcer les capacités pour prévenir
et répondre aux menaces cybernétiques, réduire les vulnérabilités et minimiser les dommages dus aux incidents cybernétiques
à travers une combinaison de structures institutionnelles, de personnes, de processus, de technologie et de coopération.

14
INTRODUCTION À LA CYBERSÉCURITÉ

OBJECTIF
Le ministère des Communications et de la Technologie de l'information (Inde) définit les objectifs comme

suit :

Pour créer un écosystème cybernétique sécurisé dans le pays, générer une confiance adéquate et
confiance dans les systèmes informatiques et les transactions dans le cyberespace et ainsi favoriser l'adoption de
TI dans tous les secteurs de l'économie.

Créer un cadre d'assurance pour la conception de politiques de sécurité et de mise en œuvre.

actions pour se conformer aux normes de sécurité mondiales et aux meilleures pratiques par le biais de
évaluation de la conformité (produit, processus, technologie et personnes).

Renforcer le cadre réglementaire pour garantir un CYBERESPACE SÉCURISÉ

ÉCOSYSTÈME.

Pour renforcer et créer un mécanisme national et sectoriel 24X7 pour obtenir des informations stratégiques
informations concernant les menaces à l'infrastructure des technologies de l'information et de la communication, création de scénarios de réponse, résolution

et gestion de crise à travers une réponse et un rétablissement prédictifs, préventifs et protecteurs efficaces
actions.

15
INTRODUCTION À LA CYBERSÉCURITÉ

CHAPITRE 3
INTRODUCTION : LA FORENSECYBERNÉTIQUE

FORENSIQUE INFORMATIQUE :

La criminalistique informatique est l'application de techniques d'enquête et d'analyse pour rassembler et

préserver des preuves.

Les examinateurs judiciaires analysent généralement des données provenant d'ordinateurs personnels, d'ordinateurs portables, de dispositifs numériques personnels.

assistants, téléphones portables, serveurs, cassettes et tout autre type de support. Ce processus peut impliquer
tout, de la rupture du cryptage à l'exécution de mandats de perquisition avec une équipe d'application de la loi,
pour récupérer et analyser des fichiers provenant de disques durs qui seront des preuves critiques dans le plus
affaires civiles et criminelles sérieuses.

L'examen judiciaire des ordinateurs et des supports de stockage de données est compliqué et hautement
processus spécialisé. Les résultats des examens judiciaires sont compilés et inclus dans des rapports. Dans
Dans de nombreux cas, les examinateurs témoignent de leurs conclusions, où leurs compétences et capacités sont mises à l'épreuve ultime.

examen approfondi.

INFORMATIQUE FORENSE
La criminalistique numérique est définie comme le processus de préservation, d'identification, d'extraction et
documentation des preuves informatiques qui peuvent être utilisées par les tribunaux. C'est une science de
trouver des preuves à partir de médias numériques tels qu'un ordinateur, un téléphone mobile, un serveur ou un réseau.
fournit à l'équipe d'expertise judiciaire les meilleures techniques et outils pour résoudre des problèmes numériques compliqués
cas.

La criminalistique numérique aide l'équipe judiciaire à analyser, inspecter, identifier et préserver le numérique.
des preuves résidant sur divers types d'appareils électroniques.

La science judiciaire numérique est une branche de la science judiciaire qui se concentre sur la récupération et
enquête sur les matériaux trouvés dans des dispositifs numériques liés à la cybercriminalité.

DÉFIS EN INFORMATIQUE FORENSE

La criminalistique numérique a été définie comme l'utilisation de méthodes scientifiquement dérivées et prouvées.
vers l'identification, la collecte, la préservation, la validation, l'analyse, l'interprétation, et
présentation de preuves numériques dérivées de sources numériques pour faciliter la reconstruction de
des événements trouvés comme criminels. Mais ces méthodes d'enquête en criminalistique numérique font face à quelques majeurs
défis au moment de la mise en œuvre pratique. Les défis de la criminalistique numérique sont catégorisés
en trois grandes catégories selon Fahd, Clark et Furnell : Défis techniques

16
INTRODUCTION À LA CYBER-SECURITÉ

Défis juridiques

Défis liés aux ressources

LE BESOIN DE L'INFORMATIQUE JUDICIAIRE

La criminalistique informatique est également importante car elle peut faire économiser de l'argent à votre organisation. ...D'un
Du point de vue technique, l'objectif principal de la criminalistique informatique est d'identifier, de collecter, de préserver et de
analyser les données de manière à préserver l'intégrité des preuves collectées afin qu'elles puissent être utilisées
effectivement dans une affaire juridique.

LA FORENTIQUE CYBERNÉTIQUE ET LES PREUVES NUMÉRIQUES:

Les preuves numériques sont des informations stockées ou transmises sous forme binaire qui peuvent être utilisées en confiance dans.
court. Il peut être trouvé sur un disque dur d'ordinateur, un téléphone mobile, entre autres endroits. Numérique
les preuves sont couramment associées à la criminalité électronique, ou e-crime, telle que la pornographie juvénile ou
fraude à la carte de crédit. Cependant, les preuves numériques sont désormais utilisées pour poursuivre tous les types de crimes, pas seulement
cybercriminalité. Par exemple, les e-mails ou les fichiers de téléphone mobile des suspects pourraient contenir des preuves critiques.

en ce qui concerne leur intention, leur situation au moment d'un crime et leur relation avec les autres
suspects. En 2005, par exemple, une disquette a conduit les enquêteurs au tueur en série BTK qui avait
a échappé à la capture de la police depuis 1974 et a coûté la vie à au moins 10 victimes.

Dans un effort pour lutter contre la cybercriminalité et collecter des preuves numériques pertinentes pour tous les crimes, la loi

les agences d'application de la loi intègrent la collecte et l'analyse des preuves numériques, également
connue sous le nom d'analyse judiciaire informatique, dans leur infrastructure. Les agences de renseignement sont confrontées à des défis

par la nécessité de former les agents à recueillir des preuves numériques et à suivre l'évolution rapide
des technologies telles que les systèmes d'exploitation des ordinateurs.

ANALYSE FORENSE DES EMAILS :

L'analyse des e-mails fait référence à l'étude de la source et du contenu des e-mails en tant que preuve pour identifier le
expéditeur et destinataire réels d'un message, date/heure de transmission, enregistrement détaillé des e-mails
transaction, intention de l'expéditeur, etc. Cette étude implique l'investigation des métadonnées, des mots-clés
recherche, analyse de ports, etc. pour l'attribution de paternité et l'identification des escroqueries par e-mail.

Les différentes approches utilisées pour l'analyse judiciaire des e-mails sont :

Analyse de l'en-tête – Métadonnées dans le message e-mail sous forme d'informations de contrôle c'est-à-dire,
l'enveloppe et les en-têtes, y compris les en-têtes dans le corps du message, contiennent des informations sur le
expéditeur et/ou le chemin le long duquel le message a traversé. Certains d'entre eux peuvent être falsifiés
pour dissimuler l'identité de l'expéditeur. Une analyse détaillée de ces en-têtes et de leur corrélation
est effectué dans l'analyse d'en-tête.

17
INTRODUCTION À LA CYBERSÉCURITÉ

Tactiques de leurre – Dans l'enquête sur les tactiques de leurre, un e-mail avec un tag http: ayant une source d'image à
quelques ordinateurs surveillés par les enquêteurs sont envoyés à l'expéditeur de l'e-mail sous
enquête contenant une adresse e-mail réelle (authentique). Lorsque l'e-mail est ouvert, un journal
l'entrée contenant l'adresse IP du destinataire (expéditeur de l'e-mail en cours d'investigation) est
enregistré sur le serveur http hébergeant l'image et ainsi l'expéditeur est suivi. Cependant, si le
le destinataire (expéditeur de l'e-mail en cours d'examen) utilise un serveur proxy alors que l'adresse IP de
le serveur proxy est enregistré. Le journal sur le serveur proxy peut être utilisé pour suivre l'expéditeur de l'e-
Le courrier est à l'examen. Si le journal du serveur proxy n'est pas disponible pour une raison quelconque, alors
les enquêteurs peuvent envoyer l'e-mail tactique contenant a) une applet Java intégrée qui s'exécute sur
ordinateur du récepteur ou b) page HTML avec objet Active X. Les deux visant à extraire l'IP
adresse de l'ordinateur du destinataire et l'envoyer par e-mail aux enquêteurs.

Enquête sur le serveur – Dans cette enquête, des copies des e-mails livrés et des journaux du serveur sont
enquêté pour identifier la source d'un message e-mail. E-mails purgés des clients
(expéditeurs ou destinataires) dont la récupération est impossible peut être demandée aux serveurs (Proxy ou
ISP) car la plupart d'entre eux conservent une copie de tous les e-mails après leur livraison. De plus, les journaux
maintenu par des serveurs peut être étudié pour retracer l'adresse de l'ordinateur responsable de
effectuer la transaction par e-mail. Cependant, les serveurs conservent des copies des e-mails et des journaux du serveur
uniquement pour certaines périodes limitées et certains peuvent ne pas coopérer avec les enquêteurs. De plus,
Les serveurs SMTP qui stockent des données comme le numéro de carte de crédit et d'autres données concernant le propriétaire de
une boîte aux lettres peut être utilisée pour identifier la personne derrière une adresse e-mail.

Identifiants intégrés logiciels – Quelques informations sur le créateur de l'e-mail, ci-joint

des fichiers ou des documents peuvent être inclus avec le message par le logiciel de messagerie utilisé par le
expéditeur pour composer un e-mail. Cette information peut être incluse sous forme de personnalisé
en-têtes ou sous la forme de contenu MIME en tant que Format d'Encapsulation Neutre de Transport
(TNEF). L'examen de l'e-mail pour ces détails peut révéler des informations vitales sur
les préférences et options de messagerie de l'expéditeur qui pourraient aider à la collecte de preuves du côté client.
L'enquête peut révéler les noms de fichiers PST, le nom d'utilisateur de connexion Windows, l'adresse MAC, etc.
de l'ordinateur client utilisé pour envoyer le message.

Empreintes de l'expéditeur – Identification du logiciel gérant les e-mails sur le serveur peut être
révélé par le champ d'en-tête Received et identification du logiciel gérant les e-mails à
Le client peut être déterminé en utilisant un ensemble différent d'en-têtes comme "Mailer" ou équivalent. Ceux-ci
Les en-têtes décrivent les applications et leurs versions utilisées par les clients pour envoyer des e-mails. Cela
des informations sur l'ordinateur client de l'expéditeur peuvent être utilisées pour aider les enquêteurs à concevoir
un plan efficace et donc se révéler très utile.

18
INTRODUCTION À LA CYBERSÉCURITÉ

CHAPITRE 4
CYBERCRIMES : MOBILE ET SANS FIL
INTRODUCTION
Pourquoi les dispositifs mobiles doivent-ils être protégés ? Chaque jour, des dispositifs mobiles sont perdus, volés, et
infectés. Les appareils mobiles peuvent stocker des informations importantes pour les affaires et personnelles, et sont souvent...
utilisé pour accéder aux systèmes de l'université, à l'email, à la banque Prolifération des dispositifs mobiles et sans fil :

Les gens se penchent sur leurs smartphones ou tablettes dans les cafés, les aéroports, les supermarchés et
même aux arrêts de bus, apparemment indifférents à tout ou à quiconque autour d'eux.

Ils jouent à des jeux, téléchargent des e-mails, font des courses ou vérifient leurs soldes bancaires en déplacement.

Ils pourraient même accéder aux réseaux d'entreprise et ouvrir un document ou deux sur leur mobile.
gadgets Aujourd'hui, des avancées incroyables sont réalisées pour les appareils mobiles. La tendance est aux appareils plus petits.
des appareils et plus de puissance de traitement. Il y a quelques années, le choix était entre un téléphone sans fil
et un PDA simple. Maintenant, les acheteurs ont le choix entre des PDAs haut de gamme avec intégration
modems sans fil et petits téléphones avec des capacités de navigation Web sans fil. Une longue liste de
des options sont disponibles pour les utilisateurs mobiles. Un simple appareil mobile portatif fournit suffisamment
puissance de calcul pour exécuter de petites applications, jouer à des jeux et de la musique, et passer des appels vocaux. Un élément clé

Le moteur de la croissance de la technologie mobile est la rapide croissance des solutions commerciales sur mobile.
appareils portables. Comme le terme "appareil mobile" inclut de nombreux produits. Nous fournissons d'abord une définition claire

distinction entre les termes clés : informatique mobile, informatique sans fil et dispositifs portables.
La figure ci-dessous nous aide à comprendre comment ces termes sont liés. Comprenons le concept de
informatique mobile et les différents types d'appareils.

L'informatique mobile consiste à "emporter un ordinateur et tous les fichiers et logiciels nécessaires sur le terrain."
De nombreux types d'ordinateurs mobiles ont été introduits depuis les années 1990.

Ils sont comme suit :

1. Ordinateur portable : C'est un ordinateur polyvalent qui peut être facilement déplacé d'un endroit à un autre.
à un autre, mais ne peut pas être utilisé pendant le transit, généralement parce qu'il nécessite une certaine "configuration" et
une source d'alimentation AC.

2. Tablette PC : Elle n'a pas de clavier, elle a la forme d'une ardoise ou d'un carnet de notes et possède des caractéristiques d'un
écran tactile avec un stylet et un logiciel de reconnaissance d'écriture. Les tablettes peuvent ne pas être les mieux adaptées
pour les applications nécessitant un clavier physique pour taper, mais capables autrement de porter
la plupart des tâches qu'un ordinateur portable ordinaire pourrait effectuer.

19
INTRODUCTION À LA CYBERSÉCURITÉ

3. Tablette Internet : C'est l'appareil Internet sous forme de tablette. Contrairement à un PC tablette, la tablette Internet
La tablette n'a pas beaucoup de puissance de calcul et sa suite d'applications est limitée. De plus, elle ne peut pas
remplacer un ordinateur polyvalent. Les tablettes Internet présentent généralement une fonction MP3 et vidéo
lecteur, un navigateur Web, une application de chat et un visualiseur d'images.

4. Assistant numérique personnel (PDA) : C'est un petit ordinateur, généralement de la taille d'une poche.

fonctionnalité limitée. Il est destiné à compléter et à synchroniser avec un ordinateur de bureau,

donner accès aux contacts, au carnet d'adresses, aux notes, à l'E-Mail et à d'autres fonctionnalités.

5. Ultramobile (PC) : C'est un ordinateur de la taille d'un PDA, doté de toutes les fonctionnalités, fonctionnant sur un système d'exploitation général.

système d'exploitation (SE).

6. Smartphone : C'est un assistant personnel numérique avec une fonctionnalité de téléphone mobile intégrée. Les smartphones actuels

avoir une large gamme de fonctionnalités et d'applications installables.

7. Carputer : C'est un dispositif informatique installé dans une automobile. Il fonctionne sans fil.
ordinateur, système audio, système de positionnement global (GPS) et lecteur DVD. Il contient également des mots
logiciel de traitement et est compatible Bluetooth.

8. Ordinateur Fly Fusion Pentos : C'est un appareil informatique de la taille et de la forme d'un stylo.
fonctionne comme un instrument d'écriture, un lecteur MP3, un traducteur de langues, un dispositif de stockage numérique et

calculatrice.

Tendances en mobilité :

L'informatique mobile entre dans une nouvelle ère, la troisième génération (3G), qui promet des avantages.
variété dans les applications et ont considérablement amélioré la convivialité ainsi que la rapidité des réseaux.
L'iPhone d'Apple et les téléphones 'Android' menés par Google sont les meilleurs exemples de cette tendance et
il existe de nombreux autres développements qui vont dans ce sens. Cette technologie mobile intelligente
gagne rapidement en popularité et les attaquants (hackeurs et crackers) sont parmi ses plus grands fans.
Il convient de noter les tendances en informatique mobile ; cela aidera les lecteurs à réaliser le
sérieux des problèmes de cybersécurité dans le domaine de l'informatique mobile. La figure ci-dessous montre le
différents types de mobilité et leurs implications.

Défis de sécurité posés par les appareils mobiles :

La mobilité présente deux défis principaux pour la cybersécurité : d'abord, sur les appareils portables,
les informations sont extraites en dehors de l'environnement contrôlé physiquement et deuxièmement à distance
l'accès au territoire protégé est accordé. Perceptions des organisations à
ces défis en cybersécurité sont importants pour concevoir des opérations de sécurité appropriées
procédure. Lorsque les gens sont interrogés sur l'importance de gérer une gamme diversifiée de mobiles

20
INTRODUCTION À LA CYBERSÉCURITÉ

appareils, ils semblent penser à ceux montrés dans la figure ci-dessous.

Alors que le nombre d'utilisateurs de dispositifs mobiles augmente, deux défis se présentent : un au niveau de l'appareil
niveau appelé « micro défis » et un autre au niveau organisationnel appelé « macro défis ».
Certains défis techniques bien connus en matière de sécurité mobile sont : la gestion des paramètres du registre et
configurations
Sécurité du protocole d'accès (LDAP), sécurité des serveurs d'accès à distance (RAS), contrôle du lecteur multimédia
sécurité, interface de programmation d'application (API) de mise en réseau, sécurité, etc.

Paramètres du Registre pour les Appareils Mobiles :

Comprenons le problème des paramètres du registre sur les appareils mobiles à travers un exemple : Microsoft
ActiveSync est destiné à la synchronisation avec des ordinateurs personnels (PC) sous Windows et
Microsoft Outlook. ActiveSync agit comme la "passerelle entre un PC sous Windows et
Appareil alimenté par Windows mobile, permettant le transfert d'applications telles qu'Outlook
informations, documents Microsoft Office, images, musique, vidéos et applications d'un utilisateur
bureau à son appareil.

En plus de se synchroniser avec un PC, ActiveSync peut se synchroniser directement avec Microsoft
serveur d'échange afin que les utilisateurs puissent garder leurs e-mails, calendrier, notes et contacts à jour
sans fil lorsqu'ils sont éloignés de leurs PC. Dans ce contexte, le paramètre du registre devient un
question importante étant donné la facilité avec laquelle diverses applications permettent un libre échange d'informations.

Directives opérationnelles pour la mise en œuvre des politiques de sécurité des appareils mobiles

Dans des situations comme celles décrites ci-dessus, la solution idéale serait d'interdire tout.
données confidentielles de ne pas être stockées sur des appareils mobiles, mais cela peut ne pas toujours être pratique.

Les organisations peuvent cependant réduire le risque que des informations confidentielles soient accessibles depuis
dispositifs mobiles perdus ou volés par les étapes suivantes :

Déterminez si les employés de l'organisation ont besoin d'utiliser des appareils de calcul mobile.
en fonction de leurs risques et avantages au sein de l'organisation, de l'industrie et de la réglementation
environnement.

Mettre en œuvre des technologies de sécurité supplémentaires, selon ce qui convient à l'organisation et
les types d'appareils utilisés. La plupart (et peut-être tous) les appareils de computation mobile devront avoir
leur sécurité native augmentée par des outils tels que le chiffrement fort, les mots de passe des appareils et
verrous physiques. Les techniques biométriques peuvent être utilisées pour l'authentification et le cryptage et ont
un grand potentiel pour éliminer les défis associés aux mots de passe.

Standardisez les dispositifs informatiques mobiles et les outils de sécurité associés utilisés avec

21
INTRODUCTION À LA CYBERSÉCURITÉ

eux. En tant que principe fondamental, la sécurité se détériore rapidement à mesure que les outils et
les appareils utilisés deviennent de plus en plus disparates.

Développez un cadre spécifique pour l'utilisation des appareils de computing mobile, y compris les types de
informations qui peuvent y être stockées.

Centralisez la gestion de vos appareils de calcul mobile. Maintenez un inventaire afin que vous
savoir qui utilise quels types d'appareils.

Établir des procédures de mise à jour pour les logiciels sur les appareils mobiles. Cela peut souvent être simplifié.
en intégrant le patching avec la synchronisation ou la gestion des patches avec le centralisé.

Fournir une formation à l'éducation et à la sensibilisation au personnel utilisant des appareils mobiles. Les gens ne peuvent pas être

s'attendre à sécuriser correctement leurs informations s'ils n'ont pas été informés de comment.

22
INTRODUCTION À LA CYBERSÉCURITÉ

CHAPITRE 5
UNE ENQUÊTE SUR LA RECHERCHE EN DÉTECTION D'ATTAQUES INTERNES

Modéliser les commandes du shell Unix

Un modèle hybride de chaîne de Markov d'ordre élevé a été introduit par Ju et Verdi, une chaîne de Markov est un
processus stochastique en temps discret. L'objectif du travail est d'identifier un « comportement signature » pour un
utilisateur particulier basé sur les séquences de commandes que l'utilisateur a exécutées. Afin de surmonter le
haute dimensionnalité, inhornet dans des chaînes de Markov d'ordre élevé, une "distribution de transition par mélange"
(MTDpreach est utilisé pour modéliser les probabilités de transition. Lorsque les données de test contiennent de nombreux
les commandes non observées dans les données d'entraînement, un modèle de Markov n'est pas utilisable. Ici, un simple
modèle d'indépendance avec des probabilités estimées à partir d'un tableau de contingence d'utilisateurs par rapport à
des commandes peuvent être plus appropriées.
Les auteurs ont utilisé une méthode qui alternait automatiquement entre un modèle de Markov et un
modèle d'indépendance généré à partir d'une distribution aléatoire multinomiale selon les besoins, en fonction de
que les données de test étaient "habituelles" (c'est-à-dire que les commandes avaient déjà été vues), ou "inhabituelles"
(c'est-à-dire, des commandes jamais vues auparavant ou NBSCs).
Scholar et al. ont appliqué six méthodes de détection de masquerade à un ensemble de données de shell UNIX « tronqué ».
commandes pour 70 utilisateurs collectées à l'aide du mécanisme d'audit UNIX. Chaque utilisateur avait
15 000 commandes recueillies sur une période allant de quelques jours à plusieurs
mois. 50 utilisateurs ont été choisis au hasard pour servir de cibles d'intrusion. Les 20 autres utilisateurs étaient
utilisés comme des mascarades simulées. Les 5000 premières commandes pour chacun des 50 utilisateurs ont été laissées
intact ou "propre", les 10 000 commandes suivantes ont été injectées au hasard avec des blocs de 100 commandes
émis par les 20 utilisateurs de masquerade.
Lorsque les commandes sont regroupées par blocs de 100 commandes chacune, le bloc est soit "propre", soit
"sale", c'est tout. 100 commandes ont été générées par un masque. L'ensemble de données complet et
plus d'informations à ce sujet peuvent être trouvées sur http://www.schonlau.net. L'objectif était de
détecter avec précision les blocs "sales" et les classer comme blocs masquerider. Cet ensemble de données était
largement utilisé par plusieurs auteurs qui ont étudié différentes méthodes de détection et a servi comme
l'ensemble de données de référence standard pour ce domaine de recherche.
Une méthode de détection explorée par Scholar, appelée « unicité », repose sur le fait que la moitié de la
les commandes dans les données d'entraînement sont uniques (c'est-à-dire utilisées par un seul utilisateur), et beaucoup d'autres sont
impopulaire parmi les utilisateurs, (c'est-à-dire, utilisé uniquement par quelques utilisateurs). La deuxième méthode étudiée
était l'approche de Markov à un pas de Bayes. Elle était basée sur des transitions à un pas d'un
commande au suivant. L'approche, due à Mouchel [8], utilise une statistique de facteur de Bayes pour tester le
Hypothèse nulle selon laquelle les probabilités de transition de commandes en une étape observées étaient cohérentes avec
la matrice de transition historique.

23
INTRODUCTION À LA CYBERSÉCURITÉ

Les deux hypothèses modélisées étaient l'hypothèse nulle, qui supposait que l'observé
Les probabilités de transition découlent de la matrice de transition historique et de l'hypothèse alternative
qui supposait qu'ils étaient générés à partir d'une distribution de Dirichlet. Un hybride multi-étapes
La méthode de Markov, similaire à celle introduite par Ju et Verdi, est également utilisée.
La quatrième méthode utilisée, appelée méthode de compression, reposait sur le principe que les données de test
ajouté aux données d'entraînement historiques compressées plus facilement lorsque les données de test provenaient de
le même utilisateur plutôt que d'un déguisement, et a été implémenté via l'outil UNIX
« compresser » qui implémente un algorithme de Lempel-Ziv modifié. IPAM (Incrémental
Modélisation d'Action Probabilistique), une autre méthode appliquée sur le même ensemble de données, et introduite par
Davidson et Hirsch étaient également basés sur des probabilités de transition de commande à une étape estimées.
à partir des données d'entraînement. Les probabilités ont été continuellement mises à jour selon une exponentielle
schéma de désintégration avec l'arrivée d'un nouveau commandement.
L'approche de correspondance de séquence a été présentée par Lane et Bradley. Pour chaque nouvelle commande, un
la mesure de similarité est calculée entre les 10 commandes les plus récentes et l'historique d'un utilisateur
Le profil d'un utilisateur se composait de séquences de commandes de longueur 10 que l'utilisateur avait
utilisé précédemment.
La mesure de similarité était un comptage du nombre de correspondances dans une commande par commande.
comparaison de 2 séquences de commandes avec un poids plus élevé attribué aux correspondances adjacentes. Ceci
La mesure de similarité a été calculée pour la séquence de données de test appariée à chaque séquence de commandes.
dans le profil. Maxibon et Townsend ont appliqué un classificateur de Bayes naïf, qui avait été largement utilisé
utilisé dans les tâches de classification de texte, sur le même ensemble de données.

Maxibon a fourni une enquête approfondie et détaillée sur les erreurs de classification du classificateur.
sur un document séparé, mettant en évidence pourquoi certaines victimes de masques étaient plus vulnérables que
d'autres, et pourquoi certaines mascarades étaient plus réussies que d'autres.
Killough et Maxibon ont également étudié une lacune du classificateur naïf de Bayes lorsqu'
traitement des NBSC. La méthode d'alignement semi-global présentée par Cull et al. est une tonalité motific
de l'algorithme d'alignement local de Smith-Waterman.
Il utilise un système de notation qui récompense l'alignement des commandes dans un segment de test, mais ne le fait pas.
nécessairement pénaliser le désalignement de grandes parties de la signature de l'utilisateur. Un autre
une approche appelée un classificateur naïf de Bayes auto-cohérent est proposée par Yung et appliquée sur le
même ensemble de données. Cette méthode était une combinaison du classificateur naïf de Bayes et de l'EM-
algorithme.
Le classificateur naïf de Bayes auto-cohérent n'est pas contraint de prendre une décision binaire pour chaque nouveau
bloc de commandes, c'est-à-dire une décision sur la question de savoir si le bloc est un bloc de déguisement ou non. Plutôt, cela

attribue un score qui indique la probabilité que le bloc soit un bloc de masquerade.
De plus, ce classificateur peut modifier les scores des blocs précédents ainsi que ceux des blocs de commandes ultérieurs.
Oka et al. avaient l'intuition que le comportement dynamique d'un utilisateur apparaissant dans une séquence pourrait
être capturé en corrélant non seulement des événements connectés, mais aussi des événements qui n'étaient pas adjacents à
l'un l'autre, tout en apparaissant dans une certaine distance (événements non connectés).

24
INTRODUCTION À LA CYBERSÉCURITÉ

Avec cette intuition, ils ont développé l'approche des réseaux en couches basée sur l'Eigen Co-
matrice d'occurrence (ECM). La méthode ECM extrait les relations causales intégrées dans
séquences de commandes, où une co-occurrence signifie la relation entre chaque paire
commandes dans un intervalle de séquences de données.
Ce type de relation ne peut pas être représenté par des histogrammes de fréquence ni par des n-grams.
L'exactitude estimée des méthodes de classification qui sont toutes basées sur une deux classes
méthodologie d'entraînement supervisé où les données sont étiquetées comme soi ou non-soi.
Les données du Scholar utilisées sont un mélange de séquences de commandes provenant de différents utilisateurs. Les classificateurs
produit dans ces études identifie essentiellement un utilisateur spécifique parmi un ensemble d'utilisateurs connus qui
données d'entraînement fournies. En outre, mélanger des données de plusieurs utilisateurs pour entraîner des classificateurs à détecter

Les mascarades sont compliquées et pleines de problèmes.

Outre les menaces potentielles pour la vie privée, le besoin de mélanger des données provenant de plusieurs utilisateurs nécessite
reformation substantielle des classificateurs à mesure que les utilisateurs rejoignent et quittent une organisation.

Profilage des utilisateurs dans les environnements Windows

Moins de travaux de recherche ont été appliqués aux environnements Windows par rapport aux travaux dirigés vers
l'environnement Unix. Une grande partie de la différence réside dans les méthodes d'audit disponibles sur chacun
La plate-forme. Linux semble avoir des mécanismes d'audit plus propres (acct, BSM, etc.) tandis que Windows
dispose d'une pléthore d'actions système qui peuvent être capturées par divers sous-systèmes de surveillance. Shavlik
et al. ont présenté un prototype de système de détection d'anomalies qui crée des profils statistiques des utilisateurs
fonctionnant sous Windows 2000. Leur algorithme mesure plus de deux cents Windows 2000
propriétés chaque seconde, et crée environ 1500 caractéristiques à partir des mesures.
Le système attribue des poids aux 1500 caractéristiques afin de caractériser avec précision le particulier.
comportement de chaque utilisateur - chaque utilisateur se voit donc attribuer son propre ensemble de poids de caractéristiques en tant que
signature unique. Après l'entraînement, chaque seconde, toutes les caractéristiques "votent" pour savoir si oui ou non
il semble probable qu'une intrusion ait eu lieu. Les votes pondérés "pour" et "contre" un
les intrusions sont comparées, et s'il y a suffisamment de preuves, une alarme est déclenchée.
Nguyen, Reicher et Kenning proposent de détecter les menaces internes en surveillant l'activité des appels système.
[26]. Au lieu de construire des profils à partir des traces d'appels système, ils analysent les relations entre les utilisateurs.
et des fichiers, des utilisateurs et des processus, et des processus et des fichiers. Ils construisent également des modèles orientés utilisateur.
comme des modèles orientés processus utilisant le système de fichiers et les appels système liés aux processus exploitant le
régularité dans les schémas d'accès aux fichiers et d'appels de processus par des programmes et des utilisateurs. Ils se concentrent
sur la construction d'un système de détection de débordement de tampon (BDS), capable de détecter les débordements de tampon
dans de nombreux cas, mais uniquement s'ils se produisent dans un ensemble de programmes qui ont une liste fixe d'enfants, c'est-à-dire,
seulement 92 % des programmes. L'approche des auteurs, comme ils le soulignent, n'était pas adaptée à la détection
activité malveillante d'un initié sur les ordinateurs portables, car les traces collectées sur les ordinateurs portables sont très dynamiques

et les utilisateurs n'ont pas de modèle fixe de temps de travail qui pourrait être utilisé pour définir un adéquat
fenêtre temporelle pour l'analyse. Jha et al. présentent un algorithme de détection d'anomalies statistiques qui a le

25
INTRODUCTION À LA CYBERSÉCURITÉ

potentiel de gestion des mélanges de traces de plusieurs utilisateurs (cela se produira lorsque plusieurs utilisateurs sont
collusion) en utilisant des mélanges de chaînes de Markov. La technique qui a un caractère non observé ou
le composant caché peut être comparé aux Modèles de Markov Cachés (MMC). L'algorithme d'entraînement
pour les HMMs fonctionne en temps, où n est le nombre d'états dans le HMM et m est la taille de la
trace, tandis que le temps d'entraînement pour les chaînes de Markov. Ainsi, l'approche des auteurs était moins
plus coûteux en calcul que les HMM.
Pot de miel
Les honeypots sont des ressources de systèmes d'information conçues pour attirer des utilisateurs malveillants. Les honeypots ont
a été largement déployé dans les Zones Démilitarisées (DMZ) pour piéger les tentatives d'attaques externes pour
pénétrer le réseau d'une organisation. Leur utilisation typique est pour l'alerte précoce et le ralentissement ou
arrêter les attaques automatisées provenant de sources externes, et pour capturer de nouvelles exploits et rassembler
informations sur les nouvelles menaces émergentes de l'extérieur de l'organisation. Ces défenses basées sur des pièges
sont également utiles pour la menace interne.
Spitzer a présenté plusieurs façons d'adapter l'utilisation des honeypots à la détection des attaques internes.
problème. Puisque les initiés savent probablement quelles informations ils recherchent, et dans de nombreux cas,
où cette information peut être trouvée, et peut-être comment y accéder, il recommande d'implanter
des honeytokens ayant une valeur perçue dans le réseau ou dans le moteur de recherche intranet. Un honeytoken
c'est "des informations que l'utilisateur n'est pas autorisé à avoir ou des informations qui sont inappropriées". Ceci
les informations peuvent alors diriger l'informateur vers le honeypot plus avancé qui peut être utilisé pour discerner
que l'intention de l'initié était malveillante ou non, une décision qui peut être déterminée par
inspecter l'interaction de l'intrus avec le pot de miel.
Afin d'atteindre une telle interaction qui sera utilisée pour recueillir des informations, il est important de s'assurer
que le pot de miel semble réaliste pour l'initié. Les humains ont un sens aigu de la suspicion, et
d'où le grand défi pour les honeypots ou toute définition basée sur un piège est la crédibilité, tandis que
prévenir le poisoning des systèmes opérationnels.
Les honeypots souffrent de certaines limites. Tout d'abord, l'attaquant interne peut ne jamais les utiliser ou interagir.
avec le pot de miel ou le jeton de miel, surtout si leur identité est connue ou découverte par le
initié. De plus, si un attaquant découvre un leurre, il/elle peut éventuellement injecter de fausses informations ou des faux
informations pour compliquer la détection.
Procédure
Naive Bayes fonctionne en apprenant un modèle de comportement normal (utilisateur légitime) à partir de soi-même.
des données d'entraînement et un modèle de comportement anormal (mascarade) à partir de données d'entraînement non-soi. Il utilise
ces modèles pour calculer un score d'anomalie sur les données de test (dans ce cas, un seul bloc de données de test),
et utilise ce score pour décider s'il faut donner l'alerte.
Pour chaque jeu de données synthétiques, les étapes de la procédure pour exécuter Naive Bayes étaient les suivantes.
Configurer le classificateur naïf de Bayes. Définissez le paramètre "pseudo compte" du classificateur naïf de Bayes à 0,01.
consistance avec le travail préalable). Définissez la taille du bloc à 10 et la taille de l'alphabet à 122 (pour
cohérence avec l'ensemble de données).

26
INTRODUCTION À LA CYBERSÉCURITÉ

Entraîner sur des données propres et non propres. Entraîner le classificateur de Bayes naïf sur des données propres ; établir un
modèle de comportement normal. Entraînez-vous sur les données non personnelles pour établir un modèle de comportement anormal

comportement.
Calculez le seuil d'anomalie. Calculez le seuil d'anomalie par validation croisée à 5 plis.
Des détails sur le fonctionnement de la validation croisée peuvent être trouvés dans un article précédent.

Évaluez le bloc de test. Exécutez le détecteur sur le bloc de test et observez le score d'anomalie.
que le naïf Bayes attribue au bloc.
Décision. Décidez si le bloc de test a été détecté en comparant l'anomalie.
score avec le seuil.

Analyse de sécurité
L'analyse de sécurité prend en compte les attaquants dont le but ultime est de falsifier l'Autorité d'Attribut.
signatures. Pour atteindre cet objectif, les attaquants doivent obtenir la clé privée de l'Autorité d'Attribut.
clé et/ou prendre le contrôle du système Certificate Engine, sans être détecté. Seuil
la cryptographie garantit que la clé privée ne peut pas être reconstruite si moins de la moitié de
les parts de clé privée sont divulguées.

Le reste de cette section se concentre sur la façon dont l'approche du moteur crypto rend l'attaque
substantiellement plus difficile que sur un système entièrement implémenté en logiciel. Un attaquant
peut réussir par une intrusion au niveau matériel s'il/elle a un accès physique au nœud répliqué.
Intrusion au niveau matériel. Notre analyse est basée sur les catégories d'attaque identifiées dans [11] :
attaque physique, attaque de lecture de retour et attaque par canal auxiliaire.

Une attaque physique vise à révéler le design FPGA en ouvrant le boîtier FPGA et
sondage des points (non documentés) à l'intérieur de la puce sans endommager l'appareil. En raison de l'augmentation
La complexité des FPGA, cette attaque ne peut être réalisée qu'avec des méthodes d'inspection avancées (par exemple,
Faisceau d'Ions Focalisé), qui sont assez coûteux et ne sont probablement possibles que pour les grandes organisations
(par exemple, services de renseignement). Une attaque de lecture accède/ lit le fichier de configuration FPGA à partir de
la puce FPGA (utilisant la fonctionnalité de lecture générale disponible sur le dispositif FPGA pour
à des fins de débogage), après quoi l'attaquant rétroconçoit le bitstream obtenu. Pour
Pour prévenir l'attaque de lecture, la plupart des fabricants offrent la possibilité de désactiver la lecture.
fonctionnalité. De plus, même si théoriquement il est possible d'interpréter et/ou de modifier le flux de bits de
un FPGA, les principaux fournisseurs (par exemple, Xilinx, Acted) soutiennent qu'il est pratiquement impossible.

L'agencement irrégulier et le motif du réseau d'interconnexion hiérarchique aggravent le

la complexité inhérente du processus de rétro-ingénierie. Une attaque par canal latéral exploite
sources de fuite d'informations non intentionnelles (par exemple, consommation d'énergie, temporisation électromagnétique)

radiations) dans la mise en œuvre. À l'heure actuelle, peu de travaux ont examiné la faisabilité de cela
attaques contre les FPGA. Néanmoins, les attaques utilisant la consommation d'énergie et spécifiques à RSA sont

27
INTRODUCTION À LA CYBERSÉCURITÉ

connu dans la littérature. Par exemple, l'analyse de puissance simple et l'analyse de puissance différentielle
exploitez le fait qu'une implémentation simple de l'algorithme binaire de droite à gauche
(largement utilisé dans les circuits matériels RSA, y compris notre processeur RSA) a une consommation d'énergie
cela change dans le temps avec la séquence de bits de la clé RSA (donc, surveillant la puissance de la FPGA
la consommation permet de découvrir la clé RSA). Des contre-mesures simples peuvent être trouvées. Dans notre
Dans ce cas, les attaques de puissance sont plus difficiles à lancer, car plusieurs processeurs RSA fonctionnent.
concurremment et de manière asynchrone, masquant efficacement les informations qui peuvent être révélées par
la consommation d'énergie globale des FPGA. Nous notons que les co-cryptographiques implémentés en matériel
Les moteurs de processeur limitent les types de calculs sécurisés que l'utilisateur peut effectuer à seulement le
routines cryptographiques mises en œuvre.

28
INTRODUCTION À LA CYBERSÉCURITÉ

CONCLUSION
Les organisations se trouvent sous la pression d'être obligées de réagir rapidement à la
augmentation dynamique du nombre de menaces cybersécuritaires. Depuis que les attaquants utilisent un
cycle de vie d'attaque, les organisations ont également été contraintes de trouver une vulnérabilité
cycle de vie de la gestion. Le cycle de vie de la gestion des vulnérabilités est conçu pour contrer le
efforts déployés par les attaquants de la manière la plus rapide et la plus efficace. Ce chapitre a discuté
le cycle de vie de la gestion des vulnérabilités en termes de stratégie de gestion des vulnérabilités. Cela a
passé par les étapes de la création d'inventaire d'actifs, la gestion du flux d'informations, le
évaluation des risques, évaluation des vulnérabilités, rapport et remédiation, et enfin le
planification des réponses appropriées. Il a expliqué l'importance de chaque étape dans le
phase de gestion des vulnérabilités et comment chacune devrait être exécutée.

29
INTRODUCTION À LA CYBERSÉCURITÉ

RÉFÉRENCES
WIKIPÉDIA
GEEKS POUR GEEKS
PARTAGE DE DIAPOSITIVES

YOUTUBE
LIVRES LOCAUX (CYBERSÉCURITÉ ET PLONGÉE PROFONDE)

30