CISSP

Dernière mise à jour : 19 février 2019

Contenu

Management du Risque et de la Sécurité

US : Identification > Authentication > Authorization > Auditing > Accounting

FR : Identification > Authentification > Autorisation/Habilitation > Traçabilité > Imputabilité

L’imputabilité (qui a réalisé une action donnée) est différent de la non répudiation (un sujet ne peut pas nier avoir réalisé une action).

Droit : S’applique sur Sujet, Action, Objet.

Gouvernance

  • Alignée avec la stratégie de l’entreprise
  • Le Top Management définit périmètre, budget, objectifs, priorités, met en place la gouvernance, et est responsable de la sécurité en dernier ressort
  • Le management de la SSI s’assure que les principes sont suivis et que les risques sont gérés et acceptables
  • La SSI doit être pensée dès le stade initial de conception
  • La SSI est de la responsabilité de tous
  • Le RSSI est responsable de la protection de l’information

Due Care

Les choix doivent être faits raisonnablement afin de conduire à un niveau de sécurité correct (politique).

Due Diligence

La mise en œuvre de la SSI doit être effective et efficace (actions).

ISO 31000:2009  

Norme référentielle de management de la SSI.

Définitions de documents

  • Politique : orientation stratégique. Doit être valide 2-3 ans, mais revue tous les ans ou en cas de réorganisation importante
  • Norme/Standard : Règles obligatoires à suivre
  • Base de référence/Baseline : Règles minimales à suivre
  • Procédures : Documentation détaillée pour une tâche spécifique
  • Directive/Guideline : Recommandations, non obligatoires. Guides opérationnels de mise en œuvre des procédures

Analyse de Risque

RisquePotentiel de préjudice ou de perte, souvent défini par un événement et/ou une conséquence.Un Risque possède un impact, une fréquence, une certitude/probabilité.Exemple : Risque de perte financière suite à la panne électrique du Data CenterNotions : Source, cause, événement, conséquenceAutre définition : Probabilité qu’une menace utilise une vulnérabilité
MenaceCause possible d’un événement ou d’un incident. Scenario lié.Nature, Origine, Motivation, Moyens alloués à l’agent de menace (attaquant)Exemple d’origines : Accident, malveillanceCf ISO 27005:2011
Facteur d’expositionPourcentage mesurant la perte de valeur d’un actif quand la menace se réalise.Peut dépendre des contre-mesures.
IncidentUn incident est la réalisation d’une menace.
Probabilité d’occurrenceFréquence ou taux de réalisation d’une menace.Peut dépendre des contre-mesures (réduction de la probabilité) et des MOM de l’attaquant (Moyens, Opportunités, Motivation)
VulnérabilitéFragilité d’un système (opérationnelle, technique, physique, humaine). Représente une opportunité d’attaque
ImpactConséquence, dommage (image de marque, perte financière, engagement de responsabilité, perte de productivité)
ContrôleSynonyme de contre-mesure, mesure, dispositif de sécurité…

RISQUE = MENACE + VULNERABILITES

NIVEAU DE RISQUE = PROBA. OCCURRENCE x IMPACT POTENTIEL

Niveau de Risque est souvent appelé exposition au risque, risque estimé, voire risque.

ALE = SLE x ARO

Annual Loss Expectancy = SLE x Annual Rate of Occurrence

SLE = AV x EF

Single-loss Expectancy = Asset Value x Exposure Factor

SLE = Perte réelle quand la menace se réalise

ALE = Perte réelle attendue, lissée sur une année

Mesures de sécurité

  • Organisationnelle
  • Techniques/Logiques
  • Physiques
  • De type :
    • Préventif
    • Détection
    • Correctif
    • Directif (règlement, etc)
    • Dissuasif
    • De reprise
    • Compensatoire

L’approche peut être « Best Practices » (simple mais moins efficace) ou « Piloté par les Risques » (plus complexe mais plus efficace).

Management du risque (ISO 27005)

  • Etablissement du contexte
  • Appréciation des risques (identification, estimation des risques, évaluation des risques)
  • Traitement des risques
  • Acceptation des risques
  • Communication sur les risques
  • Monitoring et revue des risques

Risk Assessment = Appréciation des risques (identification des actifs à protéger, des menaces et agents menaçants, mesure de sécurité existantes, vulnérabilités présentes, impacts potentiels)

Risk Analysis = Analyse des risques, suivant une méthode (EBIOS, MEHARI)

Traitement du risque
  • Accepter
  • Eliminer
  • Transférer
  • Réduire
Communication
  • Sensibilisation
  • Formation (professionnels impliqués dans les processus SSI)
  • Education (experts SSI)

Sécurité des Actifs

Classification et Labellisation

Classification

Donnée sensible : confidentielle, protégée, propriétaire

Sécurité de l’Engineering

Menaces

  • Canaux cachés : mémoire et temporel (plus sophistiqué).
  • Entrées de service (maintenance hook)
  • Défaut de synchronisation (TOC/TOU, Time-of-check/Time-of-use) ou Race Condition
  • Buffer Overflow

Modèles de sécurité

ESA, Entreprise Security Architecture

Description précise et complète.

ISO/IEC 15288

Ingénierie des systèmes

Modèle V (cycle en V)

Connu, chaque phase de test répond à une phase de conception

NIST SP 800-14

Principes généraux de sécurité des systèmes

ISO/IEC 15408 – Critères Communs

Norme internationale

NIST SP 800-27 Rev A (cycle de vie des systèmes)

Initiation, développement/acquisition, implémentation, opérations/maintenance, fin de vie

ISO/IEC 21827 – SSE/CMM

System Security Engineering/Capability Maturity Model

Métrique standard couvrant les pratiques d’ingénierie de sécurité.

Zachman Framework

Framework d’architecture d’entreprise. Règle des 6 « W » : what, how, where, who, when, why.

Modèles : visionary, owner, designer, builder, implementer, worker

SABSA (Sherwood Applied Business Security Architecture)

Approche basée sur l’analyse des exigences métier, donc approche par les risques (« risk driven »). Distinct de Zachman, mais structure proche (6 « W »).

TOGAF

Architecture d’entreprise.

  • ADM : Architectural Development Method (processus)
  • ACF : Architecture Capability Framework (composants)

ITIL

Qualité de service.

Architecture physique d’un ordinateur

Généralités

  • Instruction CPU : extraire (lire), décoder, exécuter, écrire
  • Processus : contrôlé par l’OS. Thread (ou fil) : contrôlé par un processus.
  • VM : Hyperviseur Type I = Bare Metal ; Type II = Nécessite un OS

Conception sécurisée

  • Isolation temporelle, physique, virtuelle
  • Isolation de processus : encapsulation, multiplexage temporelle, nommage
  • Protection par anneau :
    • 0 : OS
    • 1 : I/O
    • 2 : Utilitaires (drivers…)
    • 3 : Utilisateur (applications)
  • TCB défini par le livre Orange (DoD) : c’est le minimum dont on est sûr. On ne communique avec le TCB qu’avec « Trust Paths », contrôlés et vérifiés.
    • Reference Monitor : spécifications. Contrôle d’accès (MAC, RBAC, DAC…)
    • Security Kernel : mise en œuvre. Communication via trust Paths.

Types de modèles de sécurité

Définition des droits

DAC : A la discrétion d’un utilisateur propriétaire de la ressource

MAC : Application d’une politique de sécurité, type militaire

RBAC : Matrice de droits, basé sur des rôles/fonctions

Rule Based AC : Basé sur des règles (ex : firewall)

Modèles de sécurité

Machine à états

Flux d’information (ex : Bell LaPadula, Biba)

Non interférence

Bell-LaPadula

Assure la confidentialité. On ne peut écrire que vers le haut (vers un niveau de confidentialité supérieur), ce qui évite de « déclassifier » une information.

  • Règle simple (no read up) : « append » vers le haut
  • Règle étoile (no write down) : « read » vers le bas
Biba

Assure l’intégrité des données. Un sujet ne peut pas écrire vers le haut (niveau de confidentialité supérieur).

  • Règle simple (no read down) : ne peut pas lire vers le bas
  • Règle étoile (no write up) : ne peut pas écrire vers le haut
  • Invocation property (?)
Brewer Nash (« Chinese wall »)

Matrice. But : éviter les conflits d’intérêt. Adresse la confidentialité.

The Brewer and Nash model, also known as the Chinese Wall model was designed to allow access controls to dynamically change based on previous actions that a user performed. This model’s main goal is to protect an organization’s assets from a user’s conflict of interests by automatically denying access to resources that would cause a conflict of interest.

Clark Wilson

Gère l’intégrité des données, destiné aux environnements commerciaux classiques. Basé sur une matrice de contrôle d’accès.

  • Séparation des tâches pour éviter collusion entre utilisateurs ;
  • Cohérence des transactions (« well formed »), pour toujours rester dans un état cohérent.

The Clark-Wilson model was developed as an extension to the Biba model. Concepts in the model revolve around the inability to directly access and/or manipulate objects to prevent data corruption.

This security model was developed with a great deal of focus on information integrity and fraud prevention. It requires the use of an abstraction layer that prevents subjects from directly accessing the object. The abstraction layer enforces the integrity of the object.

Graham Denning

Matrice. Adresse l’intégrité des données. Les sujets ont des droits transférables. Décrit la création des objets et le contrôle de la modification des accès.

HRU (Harrisson-Russo Ullman)

Matrice, intégrité des données. S’occupe des droits d’accès et l’intégrité de ces droits.

Modes de sécurité opérationnelle

Accord de confidentialité plus, selon le cas :

Autorisation adéquateApprobation formelle d’accès du propriétaireAccès (besoin d’en connaître)
ExclusifTous les utilisateurs accèdent à toutes les donnéesToutesToutesToutes
Dominante sécuritéTous les utilisateurs accèdent à certaines donnéesToutesToutesCertaines
CloisonnéIdemToutesCertainesCertaines
Multi-niveauxidemCertainesCertainesCertaines

Exclusif : système isolé en général.  

Méthodes d’évaluation de la sécurité et critères

Livre orange (DoD)

TCSEC 

Trusted Computer System Evaluating Criteria (1983)

Niveaux croissants :

  • D : Minimal
  • C : Sécurité discrétionnaire (DAC)
    • C1 : Intégrité, DAC, isolation des processus privilégiés
    • C2 : DAC plus fin, piste de vérification, isolation des ressources, documentation…
  • B : Protection obligatoire (MAC)
    • B1 : Etiquette de sensibilité, contrôle d’accès obligatoire, traitement des failles
    • B2 : Protection structurée, documentée, et formalisée, analyse des canaux mémoire, contrôles renforcés
    • B3 : Exigences monitorées (suivies, vérifiées), administration de la sécurité, détection automatique d’intrusion, analyse des canaux temporels
  • A1 : Protection vérifiée (tout est documenté de manière formelle)

Livre rouge (DoD)

TNI

Trusted Network Implementation

  1. Application du livre Orange au réseau local et étendu

Niveaux : ø < C1 (minime) < C2 (moyen) < B1 (bon)

ITSEC

Information Technology Security Evaluation Criteria, initiative européenne dans les années 1990.

Niveaux de E0 (non confiance) à E6 (confiance maximale).

Concepts/fonctionnalités prendre en compte :

  • Identification
  • Authentification
  • Contrôle d’accès
  • Imputabilité
  • Vérification
  • Réutilisabilité des objets
  • Fidélité (intégrité)
  • Fiabilité du service
  • Echange de données

Prédéfinition de classes.

Critères Communs (ISO 15408)

Norme internationale, couvrant divers systèmes et produits de sécurité (AV, firewalls, PKI, OS, routeurs, switchs, VPN, puces…).

  • Cible d’évaluation (Target Of Evaluation) : objet à certifier
  • Profil de protection (PP) : Exigences (pour une catégorie de produit). Correspond aux besoins de l’utilisateur
  • Cible de sécurité (Security Target) : Exigences utilisées pour la base de l’évaluation (niveau de sécurité souhaité, pour le produit à évaluer)
  • Composants : la politique de sécurité est décrite à l’aide de composants.
SFR = Security Functionnal Requirements (exigences fonctionnelles) ➔ incluses dans le ST

Il existe 11 familles de composants SFR.

  • FAU audit de sécurité, FCO communication, FCS support cryptographiques, FDP protection données utilisateur, FIA identification et authentification, FMT gestion de la sécurité, FPR vie privée, FPT protection de la solution de sécurité de la TOE (TSF), FRU utilisation des ressources, FTA accès TOE, FTP chemins/canaux sécurisés.
SAR = Security Assurance Requirements ➔ Evaluation

Il existe 10 familles de composants SAR.

  • ACM gestion de la configuration, ADO distribution et opération, ADV développement, AGD gestion des directives, ALC support du cycle de vie, ATE tests, AVA évaluation des vulnérabilités, AMA maintenance de l’assurance, APE évaluation du profil de protection, ASE évaluation de la cible de sécurité.
Niveaux CC (Evaluation Assurance Level)
  • EAL1 : Testé fonctionnellement
  • EAL2 : Testé structurellement (= C1)
  • EAL3 : Testé et vérifié méthodiquement (= C2)
  • EAL4 : Conçu, testé, et vérifié méthodiquement (=B1)
  • EAL5 : Conçu de façon semi-formelle et testé (= B2)
  • EAL6 : Conception vérifiée de façon semi-formelle et testé (= B3)
  • EAL7 : Conception vérifiée de façon formelle et testé (A1)
Processus d’évaluation
  • Evaluation du PP (cohérent, complet)
  • Evaluation de la ST (capable d’évaluer la TOE correspondante)
  • Evaluation de la TOE : détermination du niveau EAL.
  • Evaluation de l’assurance : Démontre que l’assurance établie en TOE est entretenue/maintenue.

CERTIFICATION = Vérification.

ACCREDITATION = Acceptation formelle de la direction du niveau de sécurité et du niveau de risque associé.

Common Structural Coverage metrics

  • Statement/Decision/Condition/Multiconditions/Loop/Path/DataFlow
  • Vérification des programmes informatiques ?

Stratégies de vérifications : positive (le programme fait ce qu’on attend) ou négative (on vérifie que l’appli sait gérer les imprévus)

ISCM

Define > Establish strategy/metrics… > Implement > Analyse data collected > Respond > Review > Update

Vulnérabilités

  • Emanations (fuite « mécaniques »), canaux cachés, inférence (déduction), agrégation (combiner des infos non sensibles), datawarehouse (destruction des structures de contrôle), data mining (découverte de données).

Mesures de sécurité : connu.

Sécurité des réseaux et des télécommunications

https://www.commentcamarche.net/faq/2238-reseaux-concentrateur-hub-commutateur-switch-et-routeur

PAN : Personal Area Network.

SAN : Stockage AN.

MAN : Metropolitan AN, entre LAN et WAN

Equipements

Hub, Répéteur (1, octet) < Pont/Bridge, switch (2, trame) <  Routeur (3)[1]

  • Un hub n’est qu’une multiprise RJ45. Il peut aussi être répéteur (s’il est alimenté).
  • Un pont peut interconnecter plusieurs « réseaux » en redirigeant le trafic en fonction de l’adresse Mac. Ici, 1 port = 1 segment réseau. Tout paquet est retransmis vers tout le monde. Il peut également faire office de répéteur.
  • Un switch travaille aussi au niveau Mac. 1 port = 1 adresse Mac. Tout paquet n’est renvoyé que vers le destinataire.
  • Un routeur travaille à partir d’une table de routage, qui indique sur quel segment réseau envoyer les paquets en fonction de l’adresse Mac. Un routeur sait travailler sur plusieurs sous-réseaux, et peut en créer (VLAN) et parfois les protéger (pare-feu).

Typologie : bus, étoile, anneau (ring), arbre, tas de merde (mesh)

  • Bus, étoile : risque de collision, à gérer. Principe de base ; on écoute avant d’émettre.
  • Token ring (matériel ou virtuel) : seul la machine disposant d’un jeton peut émettre.

Mode de transmission : Unicast (un seul dest), broadcast (tout le monde), multicast (plusieurs dest.)

Réseaux

LAN

Méthode de négociation LAN :

  • CSMA/CD : Carrier Sense Multiple Access with Collision Detection (ex : ethernet)
  • CSMA/CA : Collision Avoidance (ex : wifi)
  • Polling (mainframe)
  • Token passing
WIFI

ad hoc (tout le monde se parle), infrastructure (passage par un point d’accès), maillé (plusieurs points d’accès avec routage filaire)

WAN

T1 (1.5 Gbits/s), T3 (44 .7 Gbits/s) aux USA, E1 (2.0 Gbits/s), E3 (34.3 Gbits/s) en Europe

HDLC : High-level Data Link Control. Protocole niv 2 synchrone. Améliore le SDLC (Synchronous DLC). Sont de niveau 2 OSI.

HSSI : Protocole de niveau 1

PPP : Basé sur HDLC. Authentification par PAP, CHAP, EAP

X25 : en déclin. Performances << ATM (commutation de cellules, très robuste) ou Frame Relay (packet switching, débit minimal garanti ?)

RNIS : « Numérisation » du réseau RTC (local)

MPLS : Multiprotocol Label Switching), hautes perfs. MP : peut transporter IP (v4 et v6), Ethernet, ATM, DSL, Frame Relay.

VSAT : Very Small Aperture Terminal (via satellite)

VLAN

Lan virtuel. Voir norme 802.1q

PVLAN

VLAN avec restrictions sur certains ports (uplink). Les ports restreints sont appelés ports privés.

Typiquement il y a un seul port ascendant, vers le routeur, firewall, FAI…

VLAN primaire : VLAN d’origine. Utilisé pour envoyer les flux vers les VLAN secondaires

VLAN secondaires :  

  • Isolé : Ne peut atteindre que le VLAN primaire ; les hôtes de ce VLAN ne peuvent pas communiquer non plus. Un seul isolé par VLAN primaire.
  • Communauté : Les ports d’un VLAN communautaire peuvent communiquer entre eux. Impossibilité de communiquer entre VLAN secondaires. Il peut y en avoir plusieurs.

Ports de VLAN privé :

  • Un port en mode promiscuous (P), branché au routeur ; il peut envoyer et recevoir de n’importe quel VLAN.
  • Ports hôte
    • Port isolé : ne peut communiquer qu’avec P
    • Port communautaire : peut communiquer avec P et les ports de sa communauté

Modèle OSI

  1. Physique (bit)
  2. Liaison de données (Data Link, trames ou frames) ➔ Adresse MAC (« camion de la Poste »)
  3. Réseau (Network, paquets) ➔ Adresse IP. Adressage logique d’un paquet, sélection des routes (« centre de tri postal »)
  4. Transport (datagrammes UDP, segments TCP) ➔ Livraison de données, correction d’erreurs, contrôle des flux
  5. Session ➔ RPC, SQL, NetBios Names…
  6. Présentation ➔ ASCII, EBCDIC, JPEG, GIF, chiffrement…
  7. Application ➔ HTTP, DNS, FTP, telnet, NFS, SMTP, SNMP…

Internet

Couches 5 à 7 regroupées en une seule (application).

Classe d’adresse :

  • A : 0 x x x x … donc 0.0.0.0 à 127.255.255.255 (/8)
  • B : 1 0 x x x… donc 128.0.0.0 à 191.255.255.255 (/16)
  • C : 1 1 0 x x … donc 192.0.0.0 à 223.255.255.255 (/24)
  • D : 1 1 1 0 x … donc 224.0.0.0 à 239.255.255.255 (/4)
  • E : le reste > 240.0.0.0, réservée

Classes privées (RFC1918) :

  • A : 10.0.0.0/8 (10.0… à 10.255…) disposant de 224 adresses
  • B : 172.16.0.0/12 (172 .16.0… à 172.31.255…) soit 16 réseaux de classe B contigus (220 adresses)
  • C : 192.168.0.0/16, 255 réseaux de classe C contigus (216 adresses)

TCP vs UDP : protocoles de niveau 4 (transport) mais TCP est « fiable » (demande un accusé de réception du paquet), UDP est en « best effort ».

Routage

Algorithmes de routage :

  • EGP/Extérieur AS : (p) path vector
    • BGP v4 (« path vector routing protocol ») (p)
  • IGP/Intérieur EAS : (d) distance vector, (l) link state, hybride.
    • RIP v1 et v2 (d), IGRP (d), EIGRP (d), OSPF (l), IS-IS (l)

Authentification réseau

En PPP

PAP : Password Authentication Protocol, mot de passe en clair

CHAP : Challenge-Handshake AP : pas de mot de passe, challenge

EAP : Utilisation de certificats X509

En centralisé

AAA : Authentication, Autorisation, Accountability

Ex : Radius, Diameter, Tacacs, Kerberos, Sesame

Parefeux

  • Gen 1 : packet filtering (ACL), layer 3
  • Gen 2 : proxy FW (socks). Semblable à G1 mais en rupture de flux (proxy). Peut être implémenté en « application layer proxy FW » (1 par protocole)
  • Gen 3 : stateful FW, avec historique, moteur d’analyse des états, etc
  • Gen 4 : Gen 3 en proxy.
  • Gen 5 : Kernel Proxy FW. Tentative de Cisco, mais abandonné.
Figure 2-1. Simple firewall architecture (dual-homed)Figure 2-2. Single-firewall DM2 architecture (three-homed)
Figure 2-3. « Screened subnet » DM2 architectureFigure 2-4. Better screened subnet architecture (fully firewalled variant)

Isolation par VPN

  • PPTP : Propre à Microsoft. Encapsulation GRE. Niveau LAN (uniquement @IP)
  • L2TP : PPTP + L2F de Cisco. Niveau WAN
  • IPSEC : Canaux sécurisés entre ordinateurs plutôt qu’entre applis comme avec SSL. Défini dans différents RFC (2401, 2402, 2406, 2408)
    • SA : Security Association (Security Parameter Index + @IP dest + protocole de sécurité (AH ou ESP))
      • SA de transport (liaison point à point, couches 4 à 7 OSI)
      • SA tunnel (entre sites ou accès distant, couches 3-4 ?)
    • IKE : RFC2409, échange de clé (Internet Key Exchange)
      • Combinaison ISAKMP et OAKLEY
      • Phase 1 (« admin ») : authent, établissement paramètres IPSEC.
      • Phase 2 : établissement de tunnels secondaires pour échange des données (renouvellement ce clé ➔ nouveau tunnel secondaire)
    • AH (Authentication Header)/ESP (Encapsulating Security Payload)
      • AH, protocole 51, établit l’identité des systèmes
      • EPS, protocole 50, chiffre les données échangées
      • Peuvent être en mode transport (entre 2 hôtes) ou tunnel (entre 1 hôte ou 1 passerelle avec une autre passerelle). Une passerelle n’a besoin que du mode tunnel, un hôte doit supporter tunnel et transport.
    • Mode transport = entête original + nouvel header + payload original…
    • Mode tunnel = on encapsule (entête original + payload original)
    • Note : Chiffrement ➔ ajout d’un trailer de « signature »

Vocabulaire réseau

Frame Relay

ATM

NAT/PAT : Network AT ou Port AT

DNP3 : Protocole niveau 2 utilisé dans les systèmes industriels. Aucune sécurité.

Disques

  • Raid 0 : disques en // (perf uniquement)
  • Raid 1 : mirroring
  • Raid 5 : répartition (au moins 3 disques) avec parités
  • Raid 6 : RAID 5 mais tolère la panne de 2 disques. Au moins 4 disques.
  • Raid 10 : 0 + 1
  • Sauvegardes incrémentale (= depuis la dernière svg) différentielle (= depuis la dernière svg complète)

Cryptographie

  • Confidentialité ➔ Chiffrer
  • Intégrité ➔ Hacher
  • Authenticité et intégrité ➔ Signer. Permet aussi la non-répudiation

Anciens procédés

  • Chiffre de César ➔ Substitution
  • Procédé de Vigénère ➔ Substitution polyalpha
  • Chiffre de Vernam ➔ Masque jetable (longueur de clé = longueur de message)

Algorithmes modernes

  • Principe de Kerckoff : la force repose sur la clé et non le secret de l’algo.
  • Le chiffrement peut se faire en bloc, en continu, ou par masque jetable
  • Algo symétriques : difficiles à casser (clés > 128 bits), rapide, mais prb échange de clé (pour N correspondants, il faut échanger n(n-1)2 clés.
  • Algo asymétriques : pas d’échange de clé mais lent (1000 à 10 000 fois plus lent), besoin de clés plus grandes (sauf courbes elliptiques)

Symétriques

Modes d’opérations cryptographiques
Figure 1 ECB (Electronic Codebook)Figure 2 CBC (Cipher Block Chaining )
Figure 3 CFB (Cipher Feedback) type fluxFigure 4 OFB (Output Feedback) type flux précalculable
Figure 5 Compteur type flux précalculable
Algos symétriques
  • Lucifer/DES : Bloc 64 bits, clé 56 bits. Utilise ECB et CBC généralement.
  • Rijndael : symétrique, remplace DES/3DES. Clés et blocs de 128 à 256 bits.
  • AES : Rijndael + qqs paramètres. Clés : 128, 192 ou 256 bits. Bloc 128 bits.
  • IDEA, utilisé dans PGP
  • RC2, RC5, RC6 (Ronald RIVEST)

Asymétriques

  • RSA (nombres premiers)
  • Diffie-Hellman, El-Gamal, Elliptic Curve Cryptosystem (logarithmes discrets)
  • PGP

Protocoles internet

  • TLS (> SSL), permet de sécuriser tout protocole TCP
  • S/MIME : Secure MIME, basé sur PKCS (Private Key Cryptography Strandards) et X509
  • PGP (Phil ZIMMERMANN), utilise IDEA et RSA
  • SET (Visa, Mastercard), remplacé par 3DSecure
  • S-HTTP : Authent. mutuelle par certificat
  • IKE : Echange de clé sur internet (basé sur ISAKMP et OAKLEY)
  • IPSEC : utilise les protocoles AH (Authent. Header) et ESP (Encaps. Security Payload)
  • SSH

Hachage

  • MD2, MD4, MD5 (R. Rivest encore)
  • HAVAL
  • SHA (160, 256, 512 bits)
  • RIPMED-160
  • MAC/HMAC : Fonctions de hachage avec clé secrète assurant intégrité et authenticité
    • MAC : message + clé
    • HMAC : itérations cryptos…

Signature

Intégrité et authenticité (calcul d’un hash du message, puis chiffrement asymétrique du hash).

Algos : RSA (FIPS-186), DSA, ECDSA

Autorité de certification

Composantes : Certificat > Autorité de certification (émet et vérifie les certificats) > Autorité d’enregistrement (vérifie l’identité, envoie les demandes à l’AC) > Référentiel des certificats (conserve les certificats, gère les CRL)

Vocabulaire cryptographie

Link encryption : chiffrement au niveau 2 (data link). Nécessite la confiance en tous les éléments supérieur du reseau…

End-to-end : Niveau applicatif ?

SP-Networks : Substitutions-Permutations

Attaques

  • Side-channel analysis (émanations, puissance électrique…)
  • Fault analysis
  • Probing attack (observation autour de l’unité cryptographique)

IAM

Approche : physique, logique, administrative

[802.1x : authent/ident réseau, niveau OSI 2]

Méthode IAAI : Identification, Authentification, Autorisation (besoin d’en connaître, moindre privilège), Imputabilité.

[PAM : account, auth, password, session]

SASL : Simple Authentication and Security Layer (IETF). Relatif au mot de passe ?

Biométrie : CER (Crossover Error Rate) = EER (point où FAR = FRR). FRR : Type I. FAR : Type II.

Contrôles centralisés d’accès aux systèmes

Radius

AS : Serveur d’Authentification, point d’entrée. Basé sur n’importe quelle BD (fichier, LDAP, AD, mySQL…)

NAS : Network Access Server

TACACS+

Propriétaire Cisco, basé sur TACACS

Diameter

Radius + TACACS+ avec améliorations

Kerberos

Point critique : échange initial des clés (car basé sur de la crypto symétrique)

Contrôles décentralisés

Contrôle au plus près des ressources, souvent via des domaines de sécurité

Exemple : Windows Workgroup

Modèles de contrôle

Définit comment un sujet accède à un objet.

  • DAC (en général décentralisé)
  • MAC (classification des objets et habilitations des sujets), en général centralisé
  • RBAC, en général hybride
  • Rule-based AC
  • Non discrétionnaire

Contrôles d’accès aux données

  • Interface restreinte (programme, vue de BD…)
  • Contenu (seuls les employés de la paye accèdent aux données/logiciel paye)
  • Contexte (horaires d’accès, lieu…)
  • Moindre privilège, besoin d’en connaître
  • Sécurité des protocoles utilisés

Bonnes pratiques

  • Séparation des fonctions, rotations
  • Désenregistrements
  • Revues périodiques
  • TI, sensibilisations…

Evaluation et test de la sécurité

Etapes d’une attaque : reconnaissance/information, scan et énumération, accès à la cible, maintien de l’accès, effacement des traces

Etapes d’un TI : reconnaissance/information (selon le type : white, gray, blackbox), scan et énumération, validation des vulnérabilités, éventuellement effacement des traces (rares)

Sécurité des opérations

Faire fonctionner les systèmes conformément à la politique et aux procédures, s’assurer que les sauvegardes sont réalisées et utilisables, répondre efficacement aux incidents de sécurité, gérer les changements (patch, configuration)

Sécurité Physique ➔ FailSafe

Mesures/Type de contrôles

  • Directifs : information, règles
  • Préventifs : supervision, gardiens, tests, sensibilisation…
  • Détection : IDS, alarmes…
  • Correctifs : antivirus, IPS…
  • Récupération/Réparateurs : sauvegardes
  • Compensatoires : alternative à un contrôle
  • Dissuasives : vidéo, affichages…

Gestion du changement : demande d’intervention (« change request »), contrôle du changement (« change »), mise en production du contrôle (« release »)

Réponse aux incidents de sécurité : Triage, Investigation, Reprise.

Sécurité du développement logiciel

Ver : N’a pas besoin d’hôte pour se propager (contrairement à un virus)

Développement

  1. Initiation du projet : analyse préliminaire
  2. Planification : définition des exigences fonctionnelles
  3. Conception : exigences fonctionnelles traduites en spécs détaillées
  4. Développement : mise en œuvre et plans de test
  5. Essai : TU, TI. Si besoin : accréditation (suite à certification). Documentation
  6. Mise en œuvre
  7. Maintenance
  8. Retrait/Elimination

CMM : Capability Maturity Model

  1. Introductif
  2. Reproductible (processus basiques)
  3. Défini : Toute l’organisation respecte les processus standards (périmètre complet, mises-à-jour)
  4. Géré : Qualité des processus contrôlée (mesuré)
  5. Optimisé : Amélioration continue institutionnalisée (amélioré)

Informatique distribué

ORB : Object Request Broker. La plupart s’appuye sur CORBA

COM : Comm sur un même sysème (-> OLE). DCOM : Entre systèmes distribués (-> ActiveX)

Méthodologie cleanroom

SGBD

  • Intégrité sémantique
  • Intégrité de l’entité (non duplication, clé primaire correcte (non nulle))
  • Intégrité référentielle (entre clés/enregistrements)
  • ACID : Atomicity, Consistency, Isolation and Durability

Sécurité physique

Interférences magnétiques : moteurs électriques, foudre, mise à la terre…

Interférences radio : néons, fils électriques, radios…

Feux

  • A : Eau, liquide ignifuge
  • B (hydrocarbures) : CO2, FM200, mousse, bicarbonates de soude et potassium
  • C (électriques) : CO2, FM200, poudre
  • D (métaux) : poudre sèche
  • K (huile de cuissson) : savon spécial, couvrir…

Halon : désormais interdit !

Normes : 20-23°C, 40-60% d’humidité

CPTED : Territorialité, Surveillance, Contrôle d’accès

Clôtures : dissuasion (1m), protection (2m), forte protection (2,5m)

Eclairage :

  • 2 lumens à 2m de hauteur pour identification visuelle
  • 5 pour un parking ?

Continuité des activités/Reprise après sinistre

PCA : Comprend le plan de reprise

  • Initiation et management du projet
  • Evaluation de l’état actuel (Ident menaces, gestion des risques, BIA/Business Impact Analysis)
    • D’abord identifier tous les actifs (Business Units) puis déterminer fonctions et processus critiques.
    • Evaluer le MTD : Max Tolerable Downtime (Délai max admissible pour le retour à la normale)

Non-essential (30 j) < Normal (7 j) < Important (72 h) < Urgent (24 h) < Critique (minutes)

  • Déterminer les ressources IT nécessaires aux fonctions et processus IT critiques
  • RTO : Recovery Time Objective  (Délai max d’interruption admissible). Peut se rapporter aux coûts…
  • RPO : Recovery Point Objective (Délai max admissible de perte de données)
  • WRT : Work Recovery Time (Délai de récupération)

Conformité

HIPAA : Assurances (confidentialité)

Gramm-Leach-Billey (GLBA) : sécurité et confidentialité institutions financières

SOX : Sociétés côtés

Preuve :

  • Exacte
  • Admissible (inclut la pertinence, la légalité de son obtention…)
  • Authentique
  • Convaincante
  • Complète

Niveaux de preuve US :

  • Best (original)
  • Secondary (copie)
  • Direct (objet/sujet en lui-même)
  • Conclusive (irréfutable)
  • Corroborative
  • Circumstancial (faits indirects, certains mais impossible à relier de façon certaine)

Ethique

  • Protéger la société, le bien commun, les infrastructures
  • Agir honorablement, honnêtement, de façon juste, responsable et légale
  • Fournir les services avec compétence et application
  • Faire avancer et protéger la profession

Vocabulaire

Accountability : Imputabilité ou responsabilité

DMIA : Délai Maximum d’Interruption Admissible (RTO, Recovery Time Objective)

CMDB : Configuration Management DB

COBIT : Control Objectives for Information and related Technology. Bonne gouvernance des

ressources informatiques. Base « minimale » de services de sécurité à implémenter.

CVC : Chauffage, Ventilation, Climatisation

Disaster Recovery ➔ Technical Env.

FRAP (Facilitated Risk Analysis Process) : Analyse d’un système ou application à la fois

ISO 27002 : Recueil de bonnes pratiques

ICS : Industrial Control Systems (SCADA)

Socket : IP, port, protocole

X501/X500

Tactical Szcurity Plan : Un aspect spécifique d’un plan stratégique. Ex : emploi de nouvelles technos de sécurité

Electronic vaulting ➔ Sasuvegarde hors site par voie électronique

Remote journaling ➔ Transactions/Journal de logs envoyés vers secours/mirroir

Classification données US : confidential > private > sensitive > internal use > public

IPv6 : 128 bits

CMM : Initial, Repeatable, Defined, Managed, Optimized

  • Incident
  • Problème : incident qui se répète
  • Changement
  • Configuration

Attaques

SMURF : attaque réseau distribuée (via broadcast)

Teardrop attack : données incomplètes (le serveur attend la suite en vain)

War Driving : attaque sur les points d’accès, par récupération d’info en voiture…

Whaling : phishing vers le top management

Vishing : phishing par téléphone

Piggybacking : utiliser les identifiants de qqn d’autre

Tailgating : pousser au portillon…

Baiting

Due diligence takes place in planning, and is done to ensure that all possible weaknesses and threats were considered. Due care is the set of actions to mitigate weaknesses in the current situation.

A risk is the likelihood that a threat agent will take advantage of a vulnerability. It ties the vulnerability, threat and the likelihood of being exploited, to the business impact that could result.

A company purchased anti-virus software from a leading vendor and installed it. However, the signatures were not kept up-to-date. This is a vulnerability since the company is now prone to virus attacks. The threat is that a virus will actually show up and disrupt systems. Risk is the likelihood of the virus showing up.

A good business continuity plan will be structured as Initiation phase, Activation phase, Recovery phase, and Reconstruction phase.

PII does not include information that is readily available from a telephone directory. However, when it is combined with a third item of information, such as an account number, it becomes private.

Radio frequency interference (RFI) can be caused by devices that produces radio waves and is commonly caused by fluorescent lights in buildings. Shielded cabling and proper placement of cables are ways to help prevent interference due to fluorescent lighting.

Security plans should be designed to be useful for at least three years. 

Standards refer to mandatory activities or rules.

End-to-end encryption : in this form of encryption, details such as the addresses, routing information, header and trailer information are not encrypted, thereby enabling an attacker to gain details without the need for decryption. In contrast, link encryption (also known as online encryption) provides better security against packet-sniffers.

Code of Ethics Canons

  • Protect society, the common good, necessary public trust and confidence, and the infrastructure.
  • Act honorably, honestly, justly, responsibly, and legally.
  • Provide diligent and competent service to principles.
  • Advance and protect the profession.

HORS CISSP

Cf site zerodium

Outils cités

  • Google ! (Google Dorks)
  • Maltego : recueil d’infos
  • Httprint : infos sur le serveur (fingerprinting)
  • The harvester (cf Kali Linux)
  • Web Data Extractor
  • NMAP, Netcat, Hping, Angry IP Scanner
  • Unicorn.net ou org (obsolète)
  • Détections de vuln. manuels : Nessus, WPScna, ISS, Saint
  • Détections de vuln. auto. : Core Impact, Canvas, Retina
  • Commandes Win : net view, net use, nbstats, currport, netstat
  • Volatility