ie.md



Piraterie


Motivations des pirates

Espionnage d'état
Sécurité d'état
Intelligence économique
Argent (chantage/ranson/opération commanditée)
(H)ac(k)tivisme
Goût du challenge
Curiosité / ennui (script kiddies)
Vengeance
Pentesting (à titre préventif)


Social engineering


Social engineering


le web est piégeable


https://www.amazon.fr@bg.box.sk/artcile.htm

ne pointe pas vers un article sur amazon.fr


 le web est piégeable


Vérifier l'url dans son navigateur


Le cadenas vert (https) ne suffit pas

obtenir des certificats pour une url malveillante est simple

Let's encrypt


Idéalement regarder les informations du certificat SSL


Google Fu

Google Hacking Database (GHDB)


Shodan HQ


Découverte de l'internet ...

en mode combinatoire
en analysant les bannières des services


Prise en main rapide

Shodan for penetration testers
Les dernières requêtes pour l'inspiration


IE offensive (pentest)


 Piraterie

Choisir de bons mots de passe
Mettre à jour

son système
ses logiciels


Limiter les informations en ligne
Sécuriser les systèmes d'information
Sensibiliser les acteurs des systèmes d'information


Problématique nationale

La défense en profondeur


exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu'un composant particulier de sécurité est compromis ou défaillant
Sébastien Le Prestre de Vauban

Stratégie de la défense en profondeur

n'évite pas l'attaque

ralentit l'attaquant

chacun est un maillon des chaînes fonctionnelles Sécurité Défense & SSI et doit


Sécurité = réduire le risque = rendre les attaques coûteuses

Stratégie de la défense en profondeur
Chaque maillon est reponsable

de l'analyse des risques inhérents à son périmètre pour mieux les maîtriser
de l'anticipation & de la prévention des accidents et des actes de malveillance
de l'amélioration continuelle de la sécurisation de son périmètre

le risque 0 n'existe pas
la sécurité peut toujours être améliorée


la chaîne Sécurité Défense


la chaîne Sécurité Défense

Le SGDSN


service du premier ministre

pilote de la politique nationale en matière de SSI

pour chaque ministère

un HFDS
un conseiller du ministre pour la défense, la sécurité et la vie de la nation


s'appuie sur l'ANSSI


la chaîne SSI


la chaîne SSI

Le HFDS désigne et dirige

pour chaque ministère

un FSSI

charger de porter la réglementation SSI vers chaque établissement publique

un AQSSI par éatblissement
un RSSI par établissement

chargés de la gestion et du suivi des moyens de sécurité des SI


l'ANSSI


l'ANSSI

force d'intervention (CERT-FR) & de prévention
contribue à l'élaboration de la stratégie nationale et européenne SSI

EBIOS Expression des Besoins et Identification des Objectifs de Sécurité

Livre blanc sur la sécurité et la défense nationale

renforcé par la LPM

protège 218 OIV (Opérateurs d'Importance Vitale) en France


... d'importance Vitale
SAIV (Secteur d'Activités d'Importance Vitale) - selon article R1332-2 du Code de la défense français

Secteurs étatiques : activités civiles de l’Etat, activités militaires de l’Etat, activités judiciaires
Secteurs de la protection des citoyens : santé, gestion de l'eau, alimentation
Secteurs de la vie économique et sociale de la nation : énergie, communication, électronique, audiovisuel et information (les quatre représentent un secteur), transports, finances, industrie
La liste exhaustives est secret défense


Tour du monde SSI

l'Allemagne ont le BSI

les Pays-Bas ont la NLNCSA
l'Union Européenne a l’ENISA

le Royaume-Uni a le GCHQ et le CESG

les États-Unis ont la NSA et son programme PRISM et le DHS

Five Eyes


Tour du monde SSI

Israël a l'Unité 8200 et un programme de cyber bouclier

la Chine a l'unité 61 398

la Russie  a le programme SORM et le FSB

la Corée du nord aurait une armée de 200 trolls & 3000 cyberguerriers