Understanding Defense
Comprendre les stratégies de défense en profondeur, les frameworks de sécurité et les réglementations qui structurent la posture de sécurité d'une organisation.
- Maîtriser le concept de Defense in Depth
- Connaître les politiques de sécurité essentielles
- Comprendre les frameworks NIST CSF et MITRE ATT&CK
- Appliquer le modèle Diamond of Intrusion
- Identifier les principales réglementations de conformité
🏰 18.1 — Defense in Depth
La Defense in Depth (défense en profondeur) est une stratégie de sécurité qui consiste à empiler plusieurs couches de protection. Si une couche est franchie, la suivante prend le relais. Aucune mesure de sécurité unique n'est suffisante à elle seule.
Imagine un château fort médiéval. Pour atteindre le roi, un envahisseur doit franchir les douves, escalader les murs d'enceinte, passer les tours de guet, traverser la cour intérieure gardée, puis forcer la porte du donjon. Chaque obstacle ralentit et affaiblit l'attaquant. La Defense in Depth applique le même principe : chaque couche est un obstacle supplémentaire.
Clique sur chaque couche pour découvrir les mesures de sécurité associées :
La première ligne de défense : empêcher l'accès physique non autorisé aux équipements.
- Contrôle d'accès physique : badges, biométrie, gardiens
- Vidéosurveillance (CCTV) et alarmes
- Verrouillage des salles serveurs et armoires réseau
- Protection environnementale : détection incendie, climatisation
Analogie : les douves et le pont-levis du château.
Protéger le périmètre réseau et contrôler le trafic entrant et sortant.
- Firewalls : filtrage du trafic par règles
- IDS/IPS : détection et prévention d'intrusion
- Segmentation réseau : VLANs, DMZ
- VPN : tunnels chiffrés pour les accès distants
- NAC (Network Access Control)
Analogie : les murs d'enceinte et les tours de guet.
Sécuriser chaque machine individuellement, qu'il s'agisse d'un serveur ou d'un poste de travail.
- Antivirus / EDR (Endpoint Detection and Response)
- Patch management : mises à jour régulières
- Hardening : désactivation des services inutiles
- Host-based firewall et HIDS
- Configuration sécurisée (baselines)
Analogie : les gardes à chaque porte du château.
Sécuriser les logiciels et applications contre les vulnérabilités.
- Secure coding : OWASP Top 10, validation des entrées
- WAF (Web Application Firewall)
- Tests de sécurité : SAST, DAST, pentests
- Authentification forte et gestion des sessions
- Mises à jour applicatives
Analogie : les serrures et pièges à l'intérieur du donjon.
Protéger les données elles-mêmes, la ressource la plus précieuse.
- Chiffrement : at rest (AES) et in transit (TLS)
- Classification des données : public, interne, confidentiel, secret
- DLP (Data Loss Prevention)
- Backup & Recovery : sauvegardes régulières
- Contrôle d'accès aux données : RBAC, ACLs
Analogie : le coffre-fort au coeur du donjon.
📋 18.2 — Politiques de sécurité
Les politiques de sécurité sont des documents formels qui définissent les règles, les responsabilités et les comportements attendus au sein d'une organisation. Sans politiques claires, la sécurité repose sur l'improvisation.
Les politiques de sécurité, c'est comme le code de la route. Sans règles écrites et partagées, chaque conducteur inventerait ses propres règles. Le résultat serait le chaos. Les politiques de sécurité établissent un cadre commun que tout le monde doit suivre.
La politique d'utilisation acceptable définit ce que les employés ont le droit de faire (et de ne pas faire) avec les ressources informatiques de l'entreprise.
- Usage autorisé des équipements (ordinateur, téléphone, email)
- Sites web et applications interdits
- Règles sur l'utilisation personnelle des ressources professionnelles
- Conséquences en cas de violation
Définit les exigences pour la création et la gestion des mots de passe.
| Critère | Exigence typique |
|---|---|
| Longueur minimale | 12 à 16 caractères |
| Complexité | Majuscules, minuscules, chiffres, symboles |
| Expiration | 60 à 90 jours (ou jamais avec MFA) |
| Historique | Interdiction de réutiliser les 10 derniers mots de passe |
| Verrouillage | Après 5 tentatives échouées |
Définit comment les données doivent être classifiées et protégées selon leur niveau de sensibilité.
| Niveau | Description | Exemple |
|---|---|---|
| Public | Accessible à tous | Site web, communiqués de presse |
| Internal | Réservé aux employés | Annuaire interne, procédures |
| Confidential | Accès restreint | Données clients, plans stratégiques |
| Secret / Top Secret | Accès très limité | Secrets commerciaux, données gouvernementales |
Encadre l'utilisation des appareils personnels dans un contexte professionnel.
- Exigences minimales : OS à jour, antivirus, chiffrement activé
- MDM (Mobile Device Management) : logiciel de gestion obligatoire
- Séparation des données : conteneur professionnel isolé
- Wipe à distance : possibilité d'effacer les données pro en cas de perte ou vol
- Réseaux autorisés : Wi-Fi de l'entreprise uniquement via VPN
Définit les procédures à suivre en cas d'incident de sécurité. Souvent basée sur le framework NIST SP 800-61.
- Preparation : former l'équipe, préparer les outils
- Detection & Analysis : identifier et confirmer l'incident
- Containment : limiter la propagation (short-term et long-term)
- Eradication : éliminer la cause racine
- Recovery : restaurer les systèmes
- Post-Incident Activity : lessons learned, mise à jour des procédures
🏛️ 18.3 — Framework NIST CSF
Le NIST Cybersecurity Framework (CSF) est un cadre de référence créé par le National Institute of Standards and Technology. Il fournit une structure en 5 fonctions pour gérer et réduire les risques de cybersécurité. Clique sur chaque fonction pour en savoir plus :
Comprendre l'environnement de l'organisation pour gérer les risques.
- Asset Management : inventaire de tous les actifs (matériels, logiciels, données)
- Risk Assessment : évaluation des risques et des vulnérabilités
- Governance : politiques et procédures de sécurité
- Business Environment : comprendre la mission et les objectifs
Question clé : "Qu'avons-nous à protéger et quels sont nos risques ?"
Mettre en place les mesures de sécurité pour protéger les actifs critiques.
- Access Control : gestion des accès et authentification
- Awareness Training : sensibilisation des employés
- Data Security : chiffrement, DLP
- Protective Technology : firewalls, IPS, antivirus
Question clé : "Comment protégeons-nous nos actifs ?"
Identifier rapidement les événements et incidents de sécurité.
- Continuous Monitoring : SIEM, surveillance des logs
- Anomaly Detection : détection de comportements suspects
- Security Events : alertes et corrélation d'événements
- Detection Processes : procédures de triage et escalade
Question clé : "Comment détectons-nous les incidents ?"
Agir rapidement et efficacement face à un incident de sécurité détecté.
- Response Planning : plan d'intervention prédéfini
- Communications : notification interne et externe
- Analysis : investigation forensique
- Mitigation : confinement et atténuation
- Improvements : amélioration continue post-incident
Question clé : "Que faisons-nous quand un incident survient ?"
Restaurer les systèmes et services affectés et revenir à la normale.
- Recovery Planning : DRP (Disaster Recovery Plan), BCP
- Backup Restoration : restauration à partir des sauvegardes
- Communications : informer les parties prenantes
- Improvements : intégrer les leçons apprises
Question clé : "Comment revenons-nous à la normale ?"
⚔️ 18.4 — MITRE ATT&CK en détail
Le framework MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances qui catalogue les tactiques et techniques utilisées par les attaquants dans le monde réel. C'est un outil indispensable pour les analystes SOC et les threat hunters.
MITRE ATT&CK, c'est comme un livre de recettes des attaquants. En connaissant les "recettes" (techniques) que les hackers utilisent, les défenseurs peuvent préparer des contre-mesures spécifiques pour chaque étape de l'attaque.
TTP : Tactics, Techniques & Procedures
Tactics : les objectifs de l'attaquant
Chaque tactique représente un objectif que l'adversaire cherche à atteindre :
| Tactique | Objectif |
|---|---|
| Reconnaissance | Collecter des informations sur la cible |
| Initial Access | Obtenir un premier accès au réseau |
| Execution | Exécuter du code malveillant |
| Persistence | Maintenir l'accès au système |
| Privilege Escalation | Obtenir des droits plus élevés |
| Defense Evasion | Éviter la détection |
| Credential Access | Voler des identifiants |
| Lateral Movement | Se déplacer dans le réseau |
| Collection | Rassembler les données cibles |
| Exfiltration | Extraire les données hors du réseau |
| Impact | Détruire ou perturber les systèmes |
Techniques : les méthodes utilisées
Chaque tactique contient plusieurs techniques. Exemples pour Initial Access :
- T1566 — Phishing : emails malveillants avec pièces jointes ou liens
- T1190 — Exploit Public-Facing Application : exploiter une vulnérabilité web
- T1078 — Valid Accounts : utiliser des identifiants volés
- T1195 — Supply Chain Compromise : compromettre un fournisseur
- T1133 — External Remote Services : VPN, RDP exposés
Chaque technique a un identifiant unique (T####) et peut avoir des sub-techniques (T1566.001 = Spearphishing Attachment).
Procedures : l'implémentation spécifique
Les procédures décrivent comment un groupe d'attaquants spécifique implémente une technique.
APT29 (Cozy Bear) utilise la technique T1566.001 (Spearphishing Attachment) en envoyant des documents Word avec des macros VBA qui téléchargent un payload Cobalt Strike.
Les procédures sont les éléments les plus spécifiques et les plus utiles pour la threat intelligence et la détection.
Utilisation pour la détection et le Threat Hunting
| Usage | Description |
|---|---|
| Règles de détection | Créer des règles SIEM/EDR basées sur les techniques ATT&CK (ex : détecter les tentatives de credential dumping T1003) |
| Gap analysis | Identifier les techniques pour lesquelles l'organisation n'a aucune détection |
| Threat Hunting | Rechercher proactivement des traces de techniques spécifiques dans les logs |
| Red Team / Purple Team | Simuler des attaques basées sur ATT&CK pour tester les défenses |
| Threat Intelligence | Mapper les techniques utilisées par des groupes APT spécifiques |
💎 18.5 — Modèle Diamond of Intrusion
Le Diamond Model of Intrusion Analysis est un modèle analytique qui décompose toute intrusion en quatre éléments interconnectés. Il aide les analystes à structurer leur compréhension d'un incident et à pivoter entre les éléments pour enrichir l'analyse.
L'acteur malveillant qui mène l'attaque.
- Qui ? APT group, cybercriminel, hacktiviste, insider
- Motivation : espionnage, profit financier, sabotage, idéologie
- Attribution : souvent difficile, basée sur les TTPs et l'infrastructure
Les outils et techniques utilisés par l'adversaire.
- Malware : RAT, ransomware, rootkit
- Exploits : zero-day, n-day
- Outils : Cobalt Strike, Mimikatz, PowerShell
- Niveau de sophistication variable
Les ressources utilisées pour mener et contrôler l'attaque.
- C2 servers (Command & Control)
- Domaines malveillants, DNS dynamique
- Adresses IP, hébergeurs bulletproof
- Email d'envoi de phishing
La cible de l'attaque.
- Organisation ciblée : secteur, taille, géolocalisation
- Persona : employé spécifique ciblé (spear phishing)
- Actifs visés : serveurs, données, propriété intellectuelle
- Vulnérabilités exploitées chez la victime
⚖️ 18.6 — Compliance et réglementations
La compliance (conformité) consiste à respecter les lois, réglementations et standards applicables à une organisation. Les réglementations varient selon le secteur d'activité, la géographie et le type de données traitées.
La compliance, c'est comme le permis de conduire. Pour avoir le droit de rouler (opérer), il faut respecter des règles précises. Si tu ne les respectes pas, tu risques des amendes, la suspension de ton permis, voire la prison. Pour les entreprises, ne pas être conforme peut coûter des millions.
| Réglementation | Domaine | Portée géographique | Focus principal | Sanctions |
|---|---|---|---|---|
| GDPR | Données personnelles | Union Européenne (+ mondial si données UE) | Protection des données personnelles des citoyens UE | Jusqu'à 4% du CA mondial ou 20M EUR |
| PCI-DSS | Paiement par carte | Mondial | Sécurisation des données de cartes bancaires | Amendes, perte du droit de traitement |
| HIPAA | Santé | États-Unis | Protection des données de santé (PHI) | Jusqu'à 1,5M $ par violation/an |
| SOX | Finance / Comptabilité | États-Unis (sociétés cotées) | Intégrité des rapports financiers | Amendes + peines de prison |
| ISO 27001 | Sécurité de l'information | Mondial (volontaire) | Système de management de la sécurité (ISMS) | Perte de certification |
🔬 18.7 — Exercice : Associe les mesures aux couches Defense in Depth
Pour chaque mesure de sécurité, fais-la glisser vers la couche de Defense in Depth correspondante :
🏗️ Physical
🌐 Network
💻 Host
📱 Application
📊 Data
🎯 18.8 — Concepts fondamentaux de la defense
Edge Router : la premiere ligne de defense
Dans une approche Defense in Depth, l'edge router (routeur de bordure) est la premiere ligne de defense. C'est le dernier routeur sous le controle de l'organisation avant Internet. Il filtre le trafic avec des ACL basiques avant que celui-ci n'atteigne le firewall.
La triade CIA
Les trois piliers fondamentaux de la securite de l'information :
| Pilier | Definition | Exemple de mesure |
|---|---|---|
| Confidentiality (Confidentialite) | Seules les personnes autorisees peuvent acceder aux informations sensibles | Authentification sur un serveur web, chiffrement des donnees |
| Integrity (Integrite) | Les donnees sont protegees contre toute modification non autorisee | Hashing (SHA-256), signatures numeriques, controle de version |
| Availability (Disponibilite) | Les utilisateurs autorises ont un acces permanent aux ressources et services | Liens redondants, clustering, sauvegardes, load balancing |
Trois elements pour une protection reseau efficace
Pour mettre en oeuvre une protection reseau efficace, il faut identifier trois choses :
| Element | Definition | Exemple |
|---|---|---|
| Resources requiring protection | Les actifs informationnels et equipements a proteger | Serveurs, bases de donnees, propriete intellectuelle |
| Threats to resources | Les dangers potentiels qui menacent ces ressources | Malwares, hackers, catastrophes naturelles, menaces internes |
| Vulnerabilities | Les faiblesses dans les systemes ou leur conception | Logiciels non patches, mots de passe faibles, mauvaise config |
Types de politiques d'entreprise
Les organisations definissent differents types de politiques avec des portees distinctes :
| Type de politique | Portee | Contenu |
|---|---|---|
| Company Policy (Politique d'entreprise) | Protege les droits des employes et les interets de l'entreprise | Code de conduite, ethique, anti-discrimination, reglement interieur |
| Employee Policy (Politique RH) | Identifie le salaire, le calendrier de paiement et les avantages | Grille salariale, conges, assurances, primes, avantages sociaux |
| Security Policy (Politique de securite) | Definit les exigences de configuration systeme et les regles de securite | Politique de mots de passe, AUP, classification des donnees, BYOD, incident response |
Asset Management et surface d'attaque
L'asset management (gestion des actifs) est essentiel pour une entreprise en croissance car il permet d'identifier la surface d'attaque croissante face aux menaces. Sans inventaire precis de tous les actifs (serveurs, postes, appareils mobiles, applications cloud), il est impossible de les proteger efficacement.
🔄 18.9 — Business Continuity & Disaster Recovery
La continuité d'activité (BC) et la reprise après sinistre (DR) sont deux disciplines complémentaires qui garantissent qu'une organisation peut survivre à un incident majeur.
| Concept | Description | Focus |
|---|---|---|
| BCP (Business Continuity Plan) | Plan global pour maintenir les opérations critiques pendant et après un sinistre | L'ensemble de l'organisation |
| DRP (Disaster Recovery Plan) | Plan technique pour restaurer les systèmes IT après un sinistre | Infrastructure IT uniquement |
| RTO (Recovery Time Objective) | Durée maximale acceptable d'interruption d'un service | Ex : RTO = 4h → le service doit être rétabli en 4h max |
| RPO (Recovery Point Objective) | Quantité maximale de données qu'on accepte de perdre | Ex : RPO = 1h → backup toutes les heures minimum |
| MTBF (Mean Time Between Failures) | Temps moyen entre deux pannes d'un système | Mesure de fiabilité |
| MTTR (Mean Time To Repair) | Temps moyen pour réparer après une panne | Mesure de maintenabilité |
Sites de reprise
| Type de site | Équipement | Données | Temps d'activation | Coût |
|---|---|---|---|---|
| Hot Site | Complet et opérationnel | Répliquées en temps réel | Minutes à heures | Très élevé |
| Warm Site | Partiellement équipé | Backups récents | Heures à jours | Moyen |
| Cold Site | Local vide (électricité, réseau) | Aucune | Jours à semaines | Faible |
📊 18.10 — Classification des données
La classification des données est le processus d'attribution d'un niveau de sensibilité aux données pour déterminer les contrôles de sécurité appropriés. C'est un pilier fondamental de la gouvernance de la sécurité.
| Niveau (Gouvernement) | Niveau (Entreprise) | Description | Exemple |
|---|---|---|---|
| Top Secret | Restreint / Confidentiel | Divulgation causerait des dommages exceptionnellement graves | Plans militaires, codes nucléaires |
| Secret | Confidentiel | Divulgation causerait des dommages sérieux | Données financières, secrets commerciaux |
| Confidential | Interne / Privé | Usage interne uniquement, divulgation non souhaitée | Emails internes, organigrammes |
| Unclassified | Public | Aucune restriction de diffusion | Communiqués de presse, site web public |
- Data Owner — Responsable de la classification et de la politique d'accès (souvent un cadre dirigeant)
- Data Custodian — Responsable technique de la protection (backups, chiffrement, contrôles d'accès)
- Data Steward — Garant de la qualité et de la conformité des données
- Data User — Utilise les données conformément à la politique de classification
🎓 18.11 — Programme de sensibilisation à la sécurité
Un programme de sensibilisation à la sécurité (Security Awareness Program) éduque les employés sur les menaces et les bonnes pratiques. C'est souvent la mesure de sécurité la plus rentable car les erreurs humaines sont le vecteur d'attaque #1.
Éléments d'un programme efficace
- Formation initiale — À l'embauche, couvrant les politiques de sécurité et les responsabilités
- Formation continue — Mises à jour régulières sur les nouvelles menaces (ex : phishing, ransomware)
- Simulations de phishing — Tests réguliers pour mesurer la vigilance des employés
- Politiques d'utilisation acceptable (AUP) — Règles claires sur l'usage des systèmes
- Signalement d'incidents — Procédure simple pour que les employés rapportent les activités suspectes
- Métriques et évaluation — Mesurer l'efficacité (taux de clic phishing, incidents signalés)
📝 18.12 — Quiz de revision
🔬 18.7 — Lab : Appliquer le Defense-in-Depth
Classe chaque mesure de securite dans la couche de defense appropriee du modele Defense-in-Depth.
Exercice : Associe chaque framework a son objectif
Points clés du Module 18
- La Defense in Depth empile 5 couches : Physical, Network, Host, Application, Data
- Les politiques de sécurité (AUP, mots de passe, BYOD, Incident Response) formalisent les règles de l'organisation
- Le NIST CSF structure la sécurité en 5 fonctions : Identify, Protect, Detect, Respond, Recover
- MITRE ATT&CK catalogue les TTPs (Tactics, Techniques, Procedures) des attaquants réels
- Le Diamond Model analyse les intrusions via 4 sommets : Adversary, Infrastructure, Capability, Victim
- La compliance (GDPR, PCI-DSS, HIPAA, SOX, ISO 27001) est un minimum requis, pas une garantie de sécurité
- Être conforme ne signifie pas être sécurisé — la sécurité va au-delà de la conformité
- La continuité d'activité (BCP) couvre toute l'organisation, le DRP se concentre sur l'IT
- RTO = durée max d'interruption, RPO = perte de données max acceptable
- La classification des données détermine les contrôles de sécurité appliqués
- La sensibilisation des employés est la mesure de sécurité la plus rentable