Alignez et synchronisez les objectifs commerciaux avec l'environnement actuel des cybermenaces afin de garantir que la formation et la sensibilisation de votre personnel hybride soient effectivement mises en œuvre.

(2) Technologies. Des obstacles à une cybersécurité et une protection de la vie privée adéquates pour les infrastructures IT/OT/IoT sont manifestes, tels que le manque d'identification et d'inventaire des actifs, et la confusion entre les réseaux OT/IT/IoT/cloud/edge. Il est essentiel de commencer par des pratiques de base, en considérant par exemple les Contrôles Critiques comme fondement d'une cybersécurité et d'une protection de la vie privée optimales, et en soulignant une première étape cruciale : « améliorer la visibilité des actifs et de l'infrastructure ». Les facteurs affectant les infrastructures actuelles doivent être évalués, notamment l'utilisation d'appareils mobiles/sans fil, les modifications des procédures opérationnelles liées à la migration vers les services cloud, et l'exhaustivité des informations, de la documentation et des renseignements. Un inventaire des actifs OT/IT/IoT doit être établi avant d'étendre l'utilisation ou le déploiement des technologies d'automatisation et de contrôle industriels pour soutenir les processus opérationnels ou la production. Il convient également de mettre en place un processus permettant de maintenir un inventaire des actifs IT/OT/IoT tolérant aux pannes et résistant aux cyberattaques, ainsi qu'une base de référence opérationnelle d'états connus pour une comparaison continue.

(3) Processus, gestion et gouvernance. Les processus doivent impérativement s'appuyer sur des technologies éprouvées dans le développement de la stratégie, car l'automatisation d'un processus défaillant peut accroître les risques pour la cybersécurité et la confidentialité des données de l'organisation. Il convient d'investir dans une gestion et une évaluation formelles des processus actuels afin d'identifier les faiblesses (vulnérabilités) avant de créer l'environnement souhaité, y compris les technologies qui le sous-tendent. Cette gestion et cette évaluation doivent mobiliser toutes les ressources internes et externes, y compris les audits formels. Un environnement de gestion et de gouvernance hautement mature, proactif, redondant et auto-évaluatif est essentiel pour minimiser les défaillances et les cyberattaques, tout en garantissant efficacité et rapidité.

cybersécurité-exploration-2-semaineOBJECTIFS.

La cybersécurité et la protection de la vie privée intègrent un ensemble de technologies, de processus, de techniques, de mécanismes de gestion et de gouvernance, de pratiques, etc., conçus pour protéger proactivement les réseaux, les ordinateurs, les programmes, les données et les personnes contre les cyberattaques, les dommages ou les accès non autorisés. Le répertoire des objectifs de cybersécurité et de protection de la vie privée s'élargit quotidiennement et comprend notamment :
1) La confidentialité des données, des informations et des renseignements. Les cybercriminels utilisent l'exploration de données, le rapprochement et le profilage des ordinateurs, les renifleurs de paquets, les enregistreurs de frappe, les chevaux de Troie, les cookies, les réseaux de zombies, etc., pour compromettre la vie privée. La protection inclut le chiffrement, la stéganographie, les canaux subliminaux, l'anonymat, le chiffrement ZK, la fragmentation Shamir, le dépôt de clés, l'OT, la tromperie, etc.
2) La disponibilité du système. La protection inclut les sauvegardes, les redondances, les systèmes d'alimentation sans coupure (UPS/SAI), etc.
3) L'intégrité des données. La protection inclut les signatures numériques conventionnelles, les signatures aveugles, les adresses MAC, les hachages, les sauvegardes, etc.
4) L'intégrité du matériel. La protection est assurée par PUF, DAIM et d'autres technologies.
5) Autorisation. Octroi de privilèges et de permissions permettant à une entité d'effectuer certaines opérations (lecture, écriture, exécution, suppression, création, etc.) sur un objet/une ressource spécifique (fichier, répertoire, imprimante, etc.).
6) Authenticité des données. Protection par signatures numériques, adresses MAC, hachages, sauvegardes et autres méthodes.
7) Traçabilité des actions. Protection par journaux, pistes d'audit, logiciels malveillants itinérants, sauvegardes redondantes et autres méthodes.
8) Fraîcheur des données. Protection par horodatages NTP signés et numéros de séquence robustes basés sur un générateur de nombres pseudo-aléatoires (PRNG) tels que LCG, LFSR/NLFSR, canaux subliminaux, filigranes/stéganographie, anonymisation, ZK, OT, ZT et autres méthodes.
9) Non-répudiation des actions. Protection par signatures numériques, TTP et notaires électroniques.
10) Confidentialité de l'identité. Protection par anonymat (TOR, k-anonymat, routage Onion, canaux subliminaux, etc.).
11) Authentification de l'entité. Protégée par une authentification multifactorielle robuste (simple ou mutuelle) entre l'utilisateur et le serveur utilisant des mots de passe/codes PIN à très haute entropie, la biométrie (physiologique et comportementale), des cartes à puce de proximité, la technologie ZK, des jetons matériels, des jetons logiciels (logiciel d'authentification par jeton tel que RSA Secur-ID pour Windows MS), la géolocalisation intérieure et extérieure, l'horodatage NTP, etc.

 

cybersécurité-exploration-3-semaineCONTRÔLES, CYBERMENACES ET STRUCTURES DES CYBERATTAQUES.

Un large éventail de contrôles critiques de cybersécurité et de protection de la vie privée peut être identifié, tels que : inventaire des appareils autorisés/non autorisés et connus/inconnus ; inventaire des logiciels autorisés et non autorisés ; configurations sécurisées pour le matériel, les logiciels et les microprogrammes ; gestion continue des vulnérabilités (prévention/détection, évaluation et remédiation proactive) ; utilisation contrôlée des privilèges d’administrateur ; maintenance, surveillance et analyse des journaux d’audit ; protection des navigateurs Web et de la messagerie électronique ; cyberdéfenses proactives contre les logiciels malveillants et les virus ; limitation et contrôle des ports réseau ; capacités de récupération proactive et préventive des données ; configurations sécurisées pour les périphériques réseau ; cyberdéfenses proactives des frontières et périmètres visibles et invisibles ; protection des données, des informations et des renseignements ; contrôle d’accès basé sur le besoin d’en connaître ; contrôle d’accès sans fil (WiFi 6-7, Bluetooth, Threads, LoRaWAN, 2G/3G/4G/5G/6G, etc.) ; surveillance et contrôle des comptes ; gestion et évaluation des compétences en cybersécurité et formation certifiée appropriée. Sécurité des logiciels et micrologiciels (systèmes d'exploitation, applications, API, etc.) ; gestion et réponse proactive aux cyberincidents ; tests d'intrusion (PenTest), audits complets (de tous types, y compris l'examen des certifications par des organismes accrédités selon des normes nationales et internationales telles que l'ISO, le NIST, l'ENS, etc.), exercices réguliers de type « Red Team », etc. Selon la norme ISO 7498-2, il existe quatre types génériques de cybermenaces :
1) Interruption. Une ressource système stratégique devient inaccessible. Cela relève du domaine de la CIA (Confidentialité, Intégrité, Disponibilité). Un brouilleur RF ou une attaque DoS/DDoS peuvent être utilisés pour provoquer une interruption. Les contre-mesures comprennent : pour assurer la tolérance aux pannes, la haute disponibilité et les hautes performances des disques durs, la technologie RAID (Redundant Array of Independent Disks) de haut niveau ; les canaux de sauvegarde et de redondance, les onduleurs, etc.
2) Interception. Une partie non autorisée accède à un élément stratégique. Cela relève du domaine de la CIA (Confidentialité, Intégrité, Disponibilité). Les outils utilisés à cette fin incluent les renifleurs de paquets, les botnets, les enregistreurs de frappe logiciels/matériels, les chevaux de Troie, les cookies de traçabilité, les outils de craquage de mots de passe, les logiciels malveillants, les logiciels espions, les logiciels malveillants de type « creeper », l'espionnage psychique, etc. Les contre-mesures comprennent le chiffrement, le bourrage de trafic, la stéganographie, les logiciels anti-malware, les claviers virtuels, le jeu de la Bataille navale, les canaux subliminaux, etc. Mimikatz est un outil open source permettant l'extraction de mots de passe des systèmes Windows.
3) Modification. Une partie non autorisée modifie un élément stratégique. Cela relève du domaine d'intégrité de la CIA. Parmi les outils utilisés pour créer des logiciels malveillants/virus figure YARA, un outil qui détecte les schémas d'écriture et identifie les signatures de logiciels malveillants. Les contre-mesures incluent les sauvegardes, les signatures numériques avancées, etc.
4) Fabrication. Une partie non autorisée introduit un agent pathogène dans le système. Cela relève du domaine d'intégrité de la CIA. Les outils utilisés pour la fabrication incluent la répétition de messages (contre-mesure : utilisation d'horodatages), l'écriture non autorisée et l'insertion d'une caméra de surveillance clandestine (solution : utilisation de la technologie PUF). Pour contrer les cyberattaques, il est essentiel de comprendre leur structure. On peut résumer une cyberattaque en cinq phases : (a) Reconnaissance. Des informations sont collectées illégalement sur le système, de manière active ou passive. (b) Analyse. Les vulnérabilités exploitables sont testées et sondées. (c) Obtention d'un accès. Une ou plusieurs vulnérabilités sont exploitées pour accéder malicieusement au système. (d) Maintien de l'accès. L'attaquant reste dans le système pour atteindre l'objectif de la cyberattaque, en se déplaçant latéralement. Il demeure dissimulé à l'état latent. (e) Dissimulation/effacement des traces. Le cyberattaquant dissimule et tente d'effacer les preuves (journaux, enregistrements, etc.) de la cyberattaque. De manière plus complète et détaillée, une cyberattaque est définie comme la chaîne d'attaque cybernétique (CKC), qui comprend les phases suivantes (plus le nombre de phases est élevé, plus le coût de la défense est important) : (1) Pré-compromission. Cette phase se divise en trois étapes : (a) Reconnaissance. Cela implique d'identifier les ordinateurs ou les employés ciblés par la cyberattaque. Les réseaux sociaux, les enquêteurs, les capteurs, etc., sont utilisés à cette fin. (b) Activation. Il s'agit de déterminer les vecteurs de cyberattaque utilisés. (c) Distribution. Comment la charge utile malveillante a-t-elle été distribuée ? (2) Compromission. Cette étape se divise en deux phases : (a) Exploitation. Quelles vulnérabilités ont été exploitées ? (b) Installation. Quels modules et noms de fichiers contiennent le logiciel malveillant ? (3) Post-compromission. Cette étape se divise en deux phases : (a) Commande et contrôle (C&C). À quels serveurs C&C malveillants le logiciel malveillant se connecte-t-il ? (b) Actions. Actions malveillantes à mener, avec des déplacements latéraux, immédiats ou futurs (en phase de latence). Différents types d'informations sur les cybermenaces peuvent être identifiés, tels que : (i) Indicateurs de compromission (IOC), qui sont des éléments techniques du logiciel malveillant ou de ses communications pouvant indiquer une compromission de la cybersécurité. Il s'agit d'éléments observables (événements bénins ou malveillants sur un réseau ou un système) ou d'artefacts techniques suggérant une cyberattaque imminente, en cours ou une compromission déjà survenue mais dissimulée. Parmi les indicateurs de compromission, on peut citer l'adresse MAC/IPv4/IPv6 d'un serveur C&C ou C2 (Commande et Contrôle, mécanisme utilisé par les logiciels malveillants pour communiquer avec les contrôleurs) suspect, un nom de domaine DNS (Système de noms de domaine) suspect, une URL (Uniform Resource Locator) pointant vers du contenu malveillant, le hachage d'un fichier exécutable malveillant, l'objet d'un courriel malveillant, les adresses électroniques de spammeurs ou d'hameçonneurs, les noms de domaine pleinement qualifiés (FQDN), les charges utiles PDU, les informations matérielles, les numéros de téléphone/messagerie instantanée, les messages sur les forums, la ville du cyberattaquant, le hachage d'un fichier, l'empreinte numérique du périphérique basée sur un PUF, etc. (ii) TTP (Tactiques, Techniques et Procédures). Elles décrivent le comportement de l'agent de la cybermenace. Les tactiques (TTP) sont des descriptions générales des comportements, les techniques (TTP) sont des descriptions détaillées des comportements dans le contexte d'une tactique, et les procédures (TP) sont des descriptions encore plus détaillées, de niveau inférieur, dans le contexte d'une technique. Les TTP peuvent décrire la tendance d'un acteur de la cybermenace à utiliser une variante de logiciel malveillant spécifique, un ordre d'opérations, un outil de cyberattaque (par exemple, une cyberarme), un mécanisme de diffusion (par exemple, le phishing ou une attaque par point d'eau) ou une faille de sécurité. (iii) Alertes de cybersécurité. Également appelées avis, bulletins et notes de vulnérabilité, il s'agit de brèves notifications techniques concernant les vulnérabilités actuelles (CVE : Common Vulnerabilities and Exposures, disponible sur http://cve.mitre.org), les failles de sécurité et autres problèmes de cybersécurité. Les alertes de cybersécurité proviennent de sources telles que l'US-CERT (United States Computer Emergency Readiness Team), les ISAC (Information Sharing Analysis Centers), la NVD (National Vulnerability Database, qui fournit les valeurs CVSS (Common Vulnerability Scoring System) des vulnérabilités), les PSIRT (Product Security Incident Response Teams), les fournisseurs de services de cybersécurité commerciaux et les chercheurs en cybersécurité, etc. (iv) Rapports de renseignement sur les cybermenaces. Il s'agit généralement de documents décrivant les tactiques, techniques et procédures (TTP), les acteurs de la cybermenace, les types de systèmes et d'informations ciblés, ainsi que d'autres informations relatives aux cybermenaces permettant à une organisation d'avoir une meilleure connaissance de la situation. Le renseignement sur les cybermenaces est une information hautement traitée sur les cybermenaces, agrégée, transformée, analysée, interprétée ou enrichie afin de fournir le contexte nécessaire aux processus décisionnels en matière de cybersécurité. (v) Configurations d'outils. Ce sont des lignes directrices pour la configuration et l'utilisation des outils/mécanismes qui prennent en charge la collecte, le partage, le traitement, l'analyse et l'utilisation automatisés des informations/renseignements sur les cybermenaces. Par exemple, les informations de configuration d'un outil peuvent inclure des instructions sur l'installation et l'utilisation d'un utilitaire de détection et de suppression de rootkit, la création et la personnalisation de signatures de détection d'intrusion (par exemple, Snort), de listes de contrôle d'accès (ACL) pour les routeurs, de règles de pare-feu, de fichiers de configuration de filtrage web, de listes de capacités pour le contrôle d'accès et les autorisations, etc. (vi) Exploration de données/Big Data/Analyse pour le renseignement sur les cybermenaces. ThreatMiner présente des exemples de logiciels malveillants, de domaines, d'hôtes et d'adresses électroniques pour l'exploration de données en vue du renseignement sur les cybermenaces (CRITS – Collective Research Into Threats).

cybersécurité-exploration-4-wCYBERDÉFENSES UTILISÉES DANS LES PROCESSUS DE CYBERSÉCURITÉ/CONFIDENTIALITÉ.

La cybersécurité et la protection de la vie privée intègrent des processus comprenant un éventail croissant de cyberdéfenses, notamment :
1) La prévention. Elle consiste à renforcer la sécurité et la résilience des systèmes, à les isoler à l’aide de VLAN, de DMZ ou de VPN, et à prévenir les cyberattaques (grâce à des outils comme les IPS, les DLP et les antivirus).
2) Le contrôle, la régulation et la gestion. Ce volet utilise divers outils tels que la gestion des identités et des accès (IAM), les listes de contrôle d’accès (ACL), les pare-feu de nouvelle génération (NGFW), la gestion unifiée des menaces (UTM), la gestion des événements et des incidents de sécurité (SIEM), la prévention des fuites de données (DLP) et les systèmes de prévention des intrusions (IPS).
3) La détection précoce. Elle inclut la détection de tous les types d’incidents, d’événements, de cyberattaques et d’intrusions, le confinement des incidents, leur confirmation et leur priorisation à l’aide d’outils comme les IDS, HIDS, NIDS et AIDS.
4) La visibilité en temps réel. L’objectif est d’identifier le moment de l’infection à l’avance et d’alerter les outils automatisés et les administrateurs. Cela minimise la période de vulnérabilité entre le lancement d'une cyberattaque et sa prévention/détection.
5) Prédiction. Basée sur des indications de comportements extrêmes potentiels. Gestion et évaluation des vulnérabilités et expositions, prédiction des cyberattaques à l'aide d'analyses comportementales (par exemple, NBA, UEBA, EDR), SIEM/gestion des journaux, NGSOC (Centre d'opérations de sécurité de nouvelle génération), surveillance et analyse forensique des réseaux et des terminaux, etc., réseaux neuronaux, IA et tous ses dérivés : systèmes experts, apprentissage fédéré/FL, apprentissage profond/DL, apprentissage automatique/ML (impliqué à chaque étape du cycle de classification, de l'origine d'un objet à ses nombreuses relations, etc.). Trois technologies d'apprentissage automatique sont :
a. SVM (Machine à vecteurs de support). Analyse les données, les caractéristiques et les modèles de contenu pour effectuer des prédictions avec un degré de précision supérieur aux réseaux bayésiens ; elle nécessite l'analyse de moteurs d'IA redondants et, le cas échéant, une intervention humaine pour atteindre un niveau de confiance acceptable.
b. Réseaux bayésiens. Ces méthodes analysent les caractéristiques des sites pour effectuer des prédictions et fournir un modèle permettant de distinguer les sites réputés fiables des sites à risque.
c. MED (Discrimination à Entropie Maximale). Il s'agit d'une extension de la SVM plus performante pour la classification de données bruitées et complexes, mais qui exige une puissance de calcul importante. La MED peut être intégrée à l'apprentissage actif (processus par lequel d'autres unités d'IA et des experts humains fournissent un retour d'information à l'algorithme d'apprentissage automatique lorsqu'il rencontre des difficultés pour classifier certains objets pendant l'entraînement), au retour d'information actif (processus d'intégration du retour d'information humain à l'algorithme d'apprentissage automatique pendant qu'il effectue des classifications en situation réelle, et non seulement pendant l'entraînement) et à l'apprentissage profond (qui utilise une approche par couches pour améliorer l'efficacité de la classification).
6) Inférence. Cette étape consiste à inférer tous types d'informations à l'aide d'outils tels que le Big Data, l'analyse de données, l'intelligence artificielle (apprentissage automatique, apprentissage profond, etc.). Les signatures, les traces et autres indices sont utilisés.
7) Anticipation. Anticiper les cybermenaces, les événements malveillants, etc. (à l'aide de capteurs) et se préparer avec des ressources suffisantes.
8) Analyse.utiliser des outils tels que le sandboxing avec antivirus, les honeypots/honeynets, les DMZ, les mécanismes de leurre, etc.
9) Réponse proactive :
10) Rapports proactifs : générer des rapports de conformité personnalisés.
11) Leurre/Désinformation/Désorientation : utiliser des outils tels que les honeypots/honeynets, les plateformes de leurre distribuées (DDP), etc.
12) Confinement : contenir les cybermenaces, les infections, etc., puis les neutraliser de manière appropriée, par exemple en restaurant des sauvegardes redondantes.
13) Remédiation : utiliser des sauvegardes, la redondance des ressources, etc. 14de cybersécurité
) Périmètre et compartimentage des infections et des réseaux : utiliser des VLAN, un pare-feu de nouvelle génération (NGFW), le sandboxing, les DMZ, etc.
15) Défenses cybernétiques réactives : agir contre les violations de cybersécurité passées ou actuelles.
susceptibles de se produire et celles en cours.
17) Défenses prédictives en matière de cybersécurité. Elles agissent contre les violations de cybersécurité potentielles, futures, inattendues ou latentes.

 

cybersécurité-exploration-5-semaineASPECTS FINAUX.

Actuellement, la surveillance continue de la cybersécurité et de la protection de la vie privée est primordiale dans les écosystèmes informatiques, opérationnels et de l'Internet des objets, ainsi que dans les écosystèmes hétérogènes, malgré les tendances actuelles telles que la numérisation et l'utilisation exponentielle des nouvelles technologies, du marketing innovant, de la blockchain, de la réalité augmentée/virtuelle/à l'obscurité, du big data, de l'intelligence artificielle/des robots de modélisation et de l'apprentissage automatique, etc. L'objectif, qui consiste à répondre aux exigences en matière de cybersécurité et de protection de la vie privée et à élaborer des protocoles de bonnes pratiques présentant le plus haut niveau de maturité, est de développer des capacités, des connaissances, des renseignements, des services, des tactiques, des stratégies, des composants, etc. En matière de cybersécurité et de protection de la vie privée, il est utile d'employer diverses approches, dont l'OODA (Observer, S'orienter, Décider et Agir). Parmi les méthodes utilisées pour propager les cybermenaces, on peut citer : l'ingénierie sociale (l'art et la science de la tromperie exploitant toutes les vulnérabilités humaines telles que la cupidité, la luxure, la paresse, la négligence, la lâcheté, l'ignorance, l'incapacité, etc.), les diversions (utilisation de fausses informations, des médias sociaux, de écrans de fumée associés à des attaques par déni de service pour éviter les soupçons et assurer la persistance de l'attaque), le BYOD (Bring Your Own Device) (l'organisation autorise ses employés à utiliser leurs propres appareils et téléphones portables, qui peuvent être infectés) et les vulnérabilités de l'infrastructure (qui peuvent être informatiques, réseau, de cybersécurité, organisationnelles, humaines, liées à l'IA, à la gouvernance/gestion, etc.).

 

 

cybersécurité-exploration-51-wRÉFÉRENCES.

- Areitio, J. « Sécurité de l’information : réseaux, informatique et systèmes d’information ». Cengage Learning-Paraninfo. 2023.
- Areitio, J. « Annulation précoce par DAIM/MIAD des singularités et des techniques générant des cyberattaques insidieuses ». Conectronica Magazine. N° 256. Mai 2023.
- Gupta, I. « Opérationnalisation des attentes et cartographie des défis liés aux mesures de confidentialité et de protection des données : une synthèse bibliographique générée par machine ». Springer 2024.
- Hubbard, D.W. et Seiersen, R. « Comment mesurer n’importe quel risque en cybersécurité ». Wiley John and Sons 2023.
- Wilson, D.C. « Cybersécurité ». Collection « Essential Knowledge » du MIT. MIT Press. 2022.
- Stewart, A.J. « Un système vulnérable : l’histoire de la sécurité de l’information à l’ère informatique ». Cornell University Press. 2023.
- Xu, Z., Choo, K.-KR, Dehghantanha, A., Parizi, R. et Hammoudeh, M. « Cyber ​​Security Intelligence and Analytics ». Springer. 2020.
- Di Pietro R. « New Dimensions of Information Warfare ». Springer. 2021.
- Smith : JEH « The Internet Is Not What You Think It Is: A History, a Philosophy, a Warning ». Éd. – Princeton University Press – 2023.
- Gupta, I. « Expectations vs Realities of Information Privacy and Data Protection Measures: A Machine-generated Literature Overview ». Springer – 2023.
- Yu, S. et Cui, L. « Security and Privacy in Federated Learning ». Springer – 2023.
- Knijnenburg, BP, Page, X., Wisniewski, P. (Éd.), Lipford, HR et al. « Perspectives sociotechniques modernes sur la vie privée. » Springer-2022.

 

Auteur : Prof. Dr. Javier Areitio Bertolín – Directeur du groupe de recherche Réseaux et Systèmes.