CR300

– Introduction à la
cybersécurité
Introduction et sécurité des actifs

CR300 - Sécurité des actifs 1

Plan du cours
• Formation VIA
• Structure du cours
• Pourquoi la cybersécurité?
• Objectifs de la sécurité
• Définitions
• Risques et menaces

CR300 - Sécurité des actifs 2

Qui suis-je?
• Sécurité applicative à Lightspeed
• Anciennement architecture sécurité nuagique chez Morgan Stanley
• Consultant en sécurité T.I.

CR300 - Sécurité des actifs 3

Me joindre
• Courriel: mickael.emirkanian@polymtl.ca
• Disponibilités:
• En ligne 15 minutes après le cours
• Par courriel en tout temps (prévoir 24h pour une réponse)

CR300 - Sécurité des actifs 4

Structure du cours
• Sections:
1. Fondements de la cybersécurité
2. Cryptologie
3. Sécurité des communications et des réseaux
4. Gestion des identités et contrôles d’accès
5. Sécurité applicative et développement logiciel
6. Architecture de la sécurité et modélisation de menaces
7. Assurance, validation et essais de sécurité
8. Gestion d’incidents et investigations
9. Sécurité des opérations et continuité d’affaires
10. Éthique et vie privée

CR300 - Sécurité des actifs 5

Règlements
• Aucune forme de fraude, plagiat, tricherie ne sera tolérée (article 9 des
règlements pédagogiques des certificats
http://www.polymtl.ca/sg/docs_officiels/2420reglement.php#p9).

• Toute absence à un examen ou retard dans la remise du travail de session

devra être justifié au Bureau des affaires académiques (article 15 des
règlements pédagogiques des certificats
http://www.polymtl.ca/sg/docs_officiels/2420reglement.php#p15).

• L’étudiant doit respecter l’engagement pris lors de la signature du code de

conduite.

CR300 - Sécurité des actifs 6

Évaluation
• 2 devoirs (2 x 15%)
• 1 travail de session (30%)
• 1 examen final (40%)

CR300 - Sécurité des actifs 7

Devoirs
• 2 devoirs à faire à l’extérieur du cours
• Théorique (quizz Moodle) et pratique (exercice)
• Dates de remise:
• 16 octobre
• 6 novembre

CR300 - Sécurité des actifs 8

Travail de session
• Étude de cas et partie pratique
• À rendre le 4 décembre

CR300 - Sécurité des actifs 9

Examen final
• 11 décembre, 19h-21h30
• En salle (Campus Polytechnique Montréal ou Cegep Ste-Foy Québec)
• Couvre l’ensemble des notions vues durant le cours et les
travaux/devoirs

CR300 - Sécurité des actifs 10

Sondage

CR300 - Sécurité des actifs 11

Plan du cours
• Structure du cours
• Pourquoi la cybersécurité?
• Objectifs de la sécurité
• Définitions
• Risques et menaces

CR300 - Sécurité des actifs 12

L’ubiquité de systèmes distribués
• Infonuagique
• Mobile
• Internet de choses (IoT)
• Contrôles industriels
• Systèmes embarqués

CR300 - Sécurité des actifs 13

Exemple de brèches
• Données financières
• Target, Home Depot, Wendy’s

• Mots de passe et donnés personnelles

• Yahoo, Adobe, LinkedIn, Ashley Madison …
• haveibeenpwned.com

• Véhicules
• Jeep[1]

[1] https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
CR300 - Sécurité des actifs 14
Données financières
• Target (2013)
• 40M cartes de crédit/débit
• Home Depot (2014)
• 56M cartes de crédit/débit
• Wendys (2016)
• Nombre inconnu - investigation en cours

CR300 - Sécurité des actifs 15

De l’argent
• Rançongiciel: Prise en otage de fichiers (cryptés ou effacés) pour une
rançon
• Victimes:
• Petites, moyennes, grandes entreprises
• Gouvernements, hôpitaux, postes de polices
• Vol des échanges de Bitcoin
• MtGox (850,000BTC = $620M)
• Bitfinex (120,000BTC = $70M)

CR300 - Sécurité des actifs 16

Différentes menaces
• Différentes menaces avec différentes capacités:
• Crime organisé
• État-nation
• Script kiddie

CR300 - Sécurité des actifs 17

L’internet est un domaine de guerre
• Espionnage, sabotage, menaces persistantes avancées (APT):
• Stuxnet, Duku, Project Sauron

• Gouvernements investissent beaucoup dans la cybersécurité:

• Pour l’attaque et la défense

CR300 - Sécurité des actifs 18

La cyber sécurité est en évolution constante
• Nouvelles menaces/vulnérabilités au quotidien
• Important de rester au courant
• Liste de diffusions
• Blogues

CR300 - Sécurité des actifs 19

 Autre cours du programme
• CR330 Audit internet et conformité
• CR350: Réseautique et sécurité
• CR410: Gestion des identités et des accès
• CR440: Sécurité applicative
• CR340: Détection et réponses aux incidents
• CR470: Tests d’intrusion
• CR490: Cryptographie appliquée
• …
http://www.polymtl.ca/etudes/certificats/cheminement/cybersecurite.php
CR300 - Sécurité des actifs 20
Plan du cours
• Structure du cours
• Pourquoi la cybersécurité?
• Objectifs de la sécurité
• Définitions
• Risques et menaces

CR300 - Sécurité des actifs 21

Qu’est-ce que la sécurité?
• Situation dans laquelle quelque chose n’est exposée à aucun danger, à
aucun risque, […] de vol, de détérioration
• Absence ou limitation des risques dans un domaine précis

• Sécurité de l’information:
• Protection de l’information: protection des systèmes qui
• utilisent
• stockent
• transmettent ces informations
• Comprend: outils, politiques, sensibilisation, éducation, et technologies

CR300 - Sécurité des actifs 22

Comment gérer la sécurité
• La sécurité des systèmes doit être:
• Partie de la mission de l’entreprise
• À un coût acceptable/suffisant
• La responsabilité d’une groupe
• Réévaluée périodiquement
• En fonction des facteurs légaux
• En fonction des facteurs humains

CR300 - Sécurité des actifs 23

La sécurité est un besoin d’affaires
• Assure la continuité des affaires
• Permet l’opération sécuritaire des systèmes de gestion d’information
• Protège les actifs informationnels de l’organisation
• Les données
• Les systèmes

CR300 - Sécurité des actifs 24

La sécurité des systèmes d’information
• Comprendre chaque élément ce système d’information:
• Matériel, logiciel
• Libraires logicielles, données, personnes et procédures

• Un système peut être sujet ou objet d’une attaque:

• Objet: le système subit une attaque
• Sujet: le système conduit une attaque

CR300 - Sécurité des actifs 25

Objectifs de la sécurité des systèmes d’information

• Confidentialité: Les données ne peuvent être accédées que par les

personnes autorisées; tout autre accès n’est pas permis

• Intégrité: Les données ne peuvent pas être altérées ou corrompues

de façon illicite: les données doivent demeurer exactes et complètes

• Disponibilité (availability): Le système doit fonctionner sans erreurs

et garantir l’accès aux services, sans dégradations

CR300 - Sécurité des actifs 26

Objectifs de la sécurité des systèmes d’information

• Authentification: Valider l’identité d’un individu ou système

• L’identification permet de connaître l’identité, l’authentification la vérifier
• Autorisation: Valider les privilèges et accès d’un individu ou système
• Audit (comptabilité, traçabilité ou preuve): Tous accès et opérations
sont tracées, et que ces traces sont conservées en cas d’enquête ou
validation
• Non-répudiation et imputation: Un utilisateur ou système ne peut
nier une action ou opération effectuée: les actions actions ne peuvent
pas être attribuées à aucun autre utilisateur

CR300 - Sécurité des actifs 27

Plan du cours
• Structure du cours
• Pourquoi la cybersécurité?
• Objectifs de la sécurité
• Définitions
• Risques et menaces

CR300 - Sécurité des actifs 28

Actif
Préserver la confidentialité, l’intégrité et la disponibilité des actifs

• Actif informationnel: document ou donnée (papier et électroniques)

• Actif informatique: tout système informatiques ou de
télécommunication qui:
• Permet la manipulation, transformation, transmission, réception et le
stockage d’actifs informationnels

CR300 - Sécurité des actifs 29

Erreur et vulnérabilité
• Une erreur (ou bug logiciel) est lorsqu’un système informatique entre dans un
état pour lequel il n’a pas été conçu:
• négligence
• erreur de programmation
• mauvaises données
• échec de matériel

• Une vulnérabilité ou faille: une faiblesse dans un système informatique portant

atteinte au fonctionnement normal:
• Provient habituellement de bugs logiciels
• Permet à un attaquant d’exploiter le système:
• duper l’application
• extraire des données
• exécuter des commandes
• contourner des contrôles d’accès
• …

CR300 - Sécurité des actifs 30

Menace
• Une menace (threat) est le danger qu’une vulnérabilité soit exploitée
• Agent de menaces (threat agent/actor): Individus pouvant être une
menace à un système ou une organisation
• Gestion de menaces (threat management): vérification et validation
de systèmes informatiques, mais aussi indentification de menaces
potentielles
• Chasse aux menaces (threat hunting): recherche de menaces qui
pourraient potentiellement évader les contrôles

CR300 - Sécurité des actifs 31

Catégories de menaces
• Mystification (spoofing): un utilisateur ou système fait semblant d’être un
système ou utilisateur qu’il n’est pas
• Altération (tampering): un utilisateur ou système est en mesure de
modifier un message ou des données sans avoir de droit de le faire, et ce
sans que les autres utilisateurs ou systèmes le sachent.
• Répudiation: un utilisateur est en mesure de nier son action
• Divulgation d’information: des informations sont disséminées à des
individus n’ayant pas le droit d’y accéder
• Déni de service: dégradation ou disruption disruption, partiale ou
complète, d’un service
• Élévation de privilège: un système est capable d’obtenir plus de
permissions (droits, privilèges) qu’il n’en avait auparavant

CR300 - Sécurité des actifs 32

Risque
• Intersection d’actifs, vulnérabilités et menaces
• Un risque est le potentiel de perte, destruction ou modification d’un
actif, et est le résultat d’une menace exploitant une vulnérabilité
• utilisation illégitime, perte, dommage, destruction, divulgation ou
modification d’actifs pour profit, intérêts d’autres individus ou groupes.
• Plusieurs types de risques peuvent s’appliquer:
• Risques informatiques
• Risques humains
• Risques physiques
• Risques juridiques

CR300 - Sécurité des actifs 33

Plan du cours
• Structure du cours
• Pourquoi la cybersécurité?
• Objectifs de la sécurité
• Définitions
• Risques et menaces

CR300 - Sécurité des actifs 34

Menaces informatiques
• Logiciels malveillants (malware):
• Virus: peut se répliquer et propager
• Ver: peut se répliquer et propager à travers un réseau, sans l’aide d’un humain
• Cheval de Troie: logiciel malveillant d’apparence légitime
• Porte dérobée (backdoor): Permet l’accès malicieux d’un système à distance
• Logiciel espion (spyware): Permet la collection d’information personnelles, données
ou actions effectuées sur un système
• Enregistreur de frappe (keylogger):
• Rootkit: obtient des droits d’administrateur sur un système
• Bombe logique: exécute des fonctions malicieuses sous conditions ou
environnements spécifiques
• Rançongiciel: prend en otage les données personnelles en les chiffrant
CR300 - Sécurité des actifs 35
Virus
• Peut se répliquer et propager
• Ex: ILOVEYOU (2000)

CR300 - Sécurité des actifs 36

Exemples de logiciels espions

Gh0st rat
sub7
CR300 - Sécurité des actifs 37
Autres logiciels espions

FinFisher FinSpy

CR300 - Sécurité des actifs 38

Rançongiciels

CR300 - Sécurité des actifs 39

Menaces informatiques
• Menaces réseau:
• Écoute (sniffing): récupérer communications ou information en transit
• Mystification (spoofing): faire semblant d’être un autre système ou utilisateur
• Détournement (hijacking): permet d’obtenir le contrôle d’une système (s’applique à
plusieurs niveaux)
• Man-in-the-middle: Forme de mystification où l’attaquant se trouve de façon
persistante entre l’utilisateur et un autre utilisateur ou service.
• Déni de service (denial of service DoS): Envoi de message causant une dégradation
ou interruption de service ou délai
• Réseau de robots logiciels (botnet): faire partie d’une armée de systèmes contrôlées
par un bot herder
• Spam: courriels ou messages indésirables, vecteur potentiel d’autres attaques
• Pannes matérielles ou logicielles
CR300 - Sécurité des actifs 40
Risques humains
• Erreur humaine
• Hameçonnage (phishing): message malicieux d’apparence légitime
demandant à la victime de divulguer d’information personnelles
• Ingénierie sociale (social engineering): Extirper frauduleusement des
informations d’une victime par manipulation psychologique.
• Espionnage, sabotage, vandalisme ou vol: Attaque délibérée d’un
utilisateur légitime

CR300 - Sécurité des actifs 41

Risques physiques et juridiques
• Risques physiques:
• Intrusion
• Vol ou altération de matériel
• Dommages physiques
• Forces majeures (feu, tremblement de terre, panne d’électricité, météorites)

• Risque juridiques: lois régissant les systèmes informatiques à travers

le monde
• Protection des données des utilisateurs
• Protection de la vie privée

CR300 - Sécurité des actifs 42

Exploit, brèche, compromission
• L’exploitation d’une faille est un exploit, entraîne une brèche et compromet le système
• Procédure ou code informatique permettant l’exploitation de la vulnérabilité:
• À travers le réseau ou localement
• L’attaquant peut ensuite effectuer des opérations impossibles auparavant:
• S’emparer d’un ordinateur
• S’emparer d’un réseau
• Accéder à des données
• Plusieurs types:
• Dépassement de tampon/de tas (buffer/heap overflow)
• Injection SQL
• Cross-site-scripting (XSS)
• Injection de code (code injection)
• …
• Connus ou inconnus (0-day)

CR300 - Sécurité des actifs 43

Contrôle
• Un contrôle de sécurité permet de réduire le risque de menaces aux
actifs
• Un contrôle peut être:
• Préventif: empêcher les erreurs
• Détectif: détecter les erreurs
• Correctif: corriger les erreurs lorsqu’elles surviennent
• Compensatoire: contrebalancer les erreurs
• Dissuasif: dissuader un adversaire

CR300 - Sécurité des actifs 44

Politiques et mécanismes
• Une politique de sécurité dicte ce qui peut ne peut pas être fait
• par un actif ou un utilisateur
• Ex: chaque utilisateur doit d'authentifier afin d'accéder au site web
• Un mécanisme de sécurité est une méthode, outil ou procédure
permettant de faire respecter (implémente) une politique de sécurité
• Ex: L’authentification basique HTTP est utilisée pour le site

CR300 - Sécurité des actifs 45

Assomptions et confiance (trust)
• La confiance est à la base de la sécurité:
• Certaines assomptions sont faites sont rarement validées:
• Librairies logicielles
• Systèmes d’exploitation
• Algorithmes cryptographiques
• Micrologiciels (firmware) :carte réseau/vidéo, processeur …

• Où arrêter?
• Dépend du degré de confiance, ou du degré d’assurance recherché

CR300 - Sécurité des actifs 46

Assurance
• L’assurance permet de gérer le risque des actifs informatiques en
mesurant la confiance en la sécurité des actifs
• Processus répétable permettant de quantifier la sécurité d'un actif,
valide le bon fonctionnement des politiques et mécanismes de
sécurité:
• Énumération/classification
• Analyse de risque
• Gestion de risque des actifs
• Évaluation et audit
• Plusieurs cadres (frameworks) d’assurance: RiskIT, CobiT, PCI DSS, ISO
27002

CR300 - Sécurité des actifs 47

Le cycle de vie des systèmes d’information
• Une spécification: définir, formellement ou informellement, ce qu'un
système peut ou ne peut pas faire:
• Les exigences d’affaires
• Un design: satisfait les spécifications si et seulement si le design ne
permet pas au système de violer les spécifications:
• Technologies permettant de satisfaire aux exigences d’affaires
• L’implémentation: création d'un système qui satisfait le design, lui-
même satisfaisant les spécifications:
• Composantes logicielles et processus associés implémentant le design
• La maintenance: tâches nécessaires pour supporter le système pour
le reste de sa vie utile
CR300 - Sécurité des actifs 48
Où appliquer la sécurité?
• La sécurité doit être appliquée à tous les étapes du cycle de vie
• Les coûts de mitiger un bug augmente considérablement:

Source: https://www.microsoft.com/en-us/SDL/about/benefits.aspx
CR300 - Sécurité des actifs 49
L’équilibre de la sécurité
• Impossible d’obtenir la sécurité absolue:
• Non-binaire (sécure/non-sécure)
• Processus continu
• Équilibre entre protection et disponibilité:
• Assurer le bon fonctionnement tout en protégeant contre les menaces
• Aussi un équilibre économique:
• Valeur des actifs et coûts nécessaires pour sécuriser ces actifs
• Valeur des actifs pour un adversaire et capacités:
• Ex: DDoS

CR300 - Sécurité des actifs 50

L’équilibre de la sécurité
• Faire confiance, mais aussi vérifier la confiance
• Sécuritaire aujourd’hui n’est pas sécuritaire à jamais
• La complexité est souvent l’ennemi de la sécurité
• Comprendre technologies et enjeux:
• Risques, vulnérabilités …
• Milieu d’affaires

CR300 - Sécurité des actifs 51

Prochaine séance
Gestion de risques

CR300 - Sécurité des actifs 52