Cybersécurité

USSI7C • 10 septembre 2025
348k Atteintes numériques 2024
+74% Augmentation des attaques

Catégories de Menaces

Espionnage

Vol d'informations sensibles à des fins stratégiques

Déstabilisation

Manipulation et perturbation des systèmes

Sabotage

Destruction ou dysfonctionnement des infrastructures

Cybercriminalité

Activités criminelles dans l'espace numérique

Cas d'étude : Stuxnet

Stuxnet est un logiciel malveillant découvert en 2010, conçu pour cibler les systèmes industriels, notamment ceux utilisés dans le programme nucléaire iranien. Ce ver sophistiqué a été capable de saboter des centrifugeuses en modifiant leur fonctionnement tout en dissimulant ses activités. Stuxnet est considéré comme l'une des premières cyberarmes connues, illustrant l'impact potentiel des attaques informatiques sur des infrastructures physiques.

Motivations des Cyberattaques

Appât du gain

Attaques pour obtenir un profit financier, souvent par des groupes criminels

Pré-positionnement

Infiltration durable d'un système pour préparer sabotage ou espionnage

Espionnage

Vol discret de données sensibles à des fins étatiques ou économiques

Déstabilisation

Manipulation de contenus ou attaques pour influencer et perturber

Bonnes Pratiques

Sécurité des Mots de Passe

Formule de l'Entropie

E = log₂(R^l)
E = entropie en bits • R = taille du jeu de caractères • l = longueur
80 Bits minimum (CNIL 2022)
12 Caractères recommandés

Facteurs de Devinabilité

Longueur du mot de passe
Plus il est long, plus il est difficile à deviner
Complexité
Majuscules, minuscules, chiffres et caractères spéciaux
Informations personnelles
Éviter les données personnelles facilement devinables
Réutilisation
Chaque compte doit avoir un mot de passe unique

Sécurité et Droit du Numérique

RGPD

Réglementation européenne visant à protéger les données personnelles des individus au sein de l'Union européenne

NIS 2

Directive européenne visant à renforcer la cybersécurité. Impose des obligations aux opérateurs de services essentiels

Protection de la Vie Privée

Article 8 CEDH
Droit au respect de la vie privée et familiale, du domicile et de la correspondance
Article 9 Code civil
Protection de la vie privée, interdisant la diffusion d'informations sans consentement
Article L1121-1 Code du travail
Protection de la vie privée des salariés, notamment la surveillance au travail
Conservation des données de connexion (max 1 an) :
Les FAI, hébergeurs et opérateurs doivent conserver les données permettant d'identifier la source de connexion, sauf réquisition judiciaire.

Gestion des Risques

Définition du Risque

Le risque est l'effet de l'incertitude sur les objectifs de sécurité de l'information.
Il résulte de la combinaison de la probabilité d'un événement et de ses conséquences.

Triangle CID - Besoins de Sécurité

Confidentialité

Prévenir une exposition illégitime ou accidentelle de l'information

Intégrité

Empêcher la modification non autorisée de l'information

Disponibilité

S'assurer que le système est fonctionnel et accessible

Catégories d'Impact

Dommages physiques/numériques

Causés à des actifs ou des individus

Perte financière

Impact économique direct ou indirect

Effet psychologique

Dépression, stress, perte de confiance

Atteinte à la réputation

Dégradation de la confiance clients/partenaires

Obligations de l'Organisation

Inventorier les actifs
Identifier et répertorier les actifs importants de l'organisation
Apprécier les risques
Identification, analyse et évaluation des risques
Traiter les risques
Mettre en place des mesures de sécurité adaptées

Stratégies de Traitement du Risque

Éviter

Ne pas engager l'activité à risque

Réduire

Mesures de sécurité pour diminuer le risque

Transférer

Transférer le risque à un tiers (assurance)

Accepter

Accepter le risque tel quel (ex: risque faible)

PSSI (Politique de Sécurité des Systèmes d'Information)
• Définit la façon dont les objectifs CID sont déclinés sur le périmètre étudié
• Définit les rôles et responsabilités en matière de sécurité

Mécanismes de Sécurité

Gestion des comptes et permissions
Dispositifs de contrôle d'accès et de permissions
Authentification et chiffrement
Systèmes d'authentification et de chiffrement
Protection antivirus
Solutions de détection et protection contre les malwares
Infrastructure réseau
Pare-feu, VPN, IDS/IPS, gestion des logs
6 Catégories d'actifs
Appareils • Logiciels • Données
Services • Personnes • Infrastructures
2 Critères d'évaluation
Vraisemblance (probabilité)
Impact (conséquence)

6 Menaces les Plus Courantes

Phishing

Hameçonnage par email ou sites frauduleux

Ransomware

Rançongiciel chiffrant les données

Vol de données

Exfiltration d'informations sensibles

Vol de mots de passe

Compromission des identifiants

Catastrophes naturelles

Risques environnementaux physiques

Defacement

Perturbation ou défiguration de sites web

Surface d'Attaque

Pour identifier les vulnérabilités, il convient de déterminer la surface d'attaque :
l'ensemble des points d'entrée par lesquels un attaquant peut tenter de compromettre le système.

Mesures de Sécurité

Approche par la Conformité

Les mesures de sécurité visent à réduire les risques en instaurant des contrôles complémentaires.
L'approche par conformité consiste à suivre les directives d'un guide de sécurité reconnu,
souvent combinée avec une approche basée sur les scénarios de risques.

Critical Controls CIS - Niveaux d'Implémentation (IGP)

IGP1 - Cyber Hygiène de Base
Protège contre 77% à 86% des sous-techniques d'attaquants (MITRE ATT&CK). Mesures essentielles, simples et abordables
Exemples IGP1
Navigateurs/clients messagerie non obsolètes • Filtrage DNS contre domaines malveillants
IGP2 et IGP3
Niveaux supérieurs avec contrôles sophistiqués : surveillance réseau, sécurité applicative, tests d'intrusion
Niveau "Raisonnable" de Sécurité
Une entreprise atteint un niveau raisonnable en implémentant les principes de base (CIS IGP1 ou guide ANSSI). Les entreprises avec données sensibles nécessitent des mesures complémentaires (approche par le risque).

Défense en Profondeur

Stratégie impliquant plusieurs niveaux de mesures de sécurité :
• Données • Applications • Systèmes • Réseaux • Périmètres physiques
• Politiques • Procédures • Personnel

NIST CSF 2.0 - Cadre de Cybersécurité

6 Groupes de Processus
Identifier • Protéger • Détecter • Répondre • Restaurer • Gouverner (central)

Cryptographie

Principe de Kerckhoff
Un système de chiffrement doit rester sécurisé même si tout est connu à l'exception de la clé secrète.

Substitution

Remplacement de chaque élément du message par un autre élément

Transposition

Réarrangement des éléments du message sans les modifier

Roue de César - Exemple

Clé de chiffrement : décalage de 17
"iiasaintnazaire" → "zzrjrzekerqrziv"

Espace de Clé

Le nombre total de clés possibles dans un système de chiffrement donné.
Déterminé par la longueur de la clé et le nombre de symboles utilisés pour la clé.

Exercices Pratiques

Vigilance Mail

Analyse URL
URL avec note faible sur VirusTotal, connue pour le phishing → malicieuse
Validation domaine
Absence de champ TXT = serveur non validé par le domaine (très mauvais signe)
Analyse fichier
Hash permet d'identifier les fichiers indépendamment du nom. Un même fichier = un seul hash
Bulk mail / Gray mail
Messages en masse d'expéditeurs légitimes, passent les filtres antispam grâce à leur bonne réputation

Certificats Mozilla

Autorités de certification
Vérifient la sécurisation des sites et préviennent lors du non-respect des pratiques de sécurité
Organisation hiérarchique
Certificats racines au sommet, CA intermédiaires en dessous. Différents certificats par fonctionnalité
Problèmes certificats
Certificat autosigné, expiré, signalé ou avec problèmes de sécurité