Clever Geek Handbook

Entreprises de sécurité: principales menaces et solutions

Dans le monde moderne, l'information est une ressource importante, sa sécurité et sa bonne utilisation font partie des tùches principales pour le développement de l'organisation et de la production et la réduction du niveau des différents risques. Le problÚme urgent le plus important pour une entreprise est celui de la sécurité de l'information.



image alt




Dans cet article, nous examinerons



  • Qu'est-ce que la sĂ©curitĂ© de l'information?
  • Quelle est la diffĂ©rence entre la sĂ©curitĂ© de l'information et la cybersĂ©curitĂ©?
  • Objectifs de sĂ©curitĂ© de l'information pour l'organisation et l'entreprise
  • Types de sĂ©curitĂ© de l'information
  • Risques gĂ©nĂ©raux pour la sĂ©curitĂ© des informations
  • Incidents de sĂ©curitĂ© trĂšs mĂ©diatisĂ©s en 2019
  • Technologies de sĂ©curitĂ© de l'information


La sécurité de l'information (InfoSec) permet aux organisations et aux entreprises de protéger les informations numériques et analogiques. InfoSec couvre la cryptographie, l'informatique mobile, les médias sociaux, les infrastructures et les réseaux contenant des informations privées, financiÚres et d'entreprise. La cybersécurité, en revanche, protÚge à la fois les données brutes et significatives, mais uniquement contre les menaces Internet.

Les organisations accordent une attention particuliĂšre aux problĂšmes de sĂ©curitĂ© des informations pour de nombreuses raisons. L'objectif principal d'InfoSec est de garantir la confidentialitĂ©, l'intĂ©gritĂ© et la disponibilitĂ© des informations sur l'entreprise. Comme InfoSec couvre de nombreux domaines, il inclut souvent la mise en Ɠuvre de divers types de sĂ©curitĂ©, notamment la sĂ©curitĂ© des applications, la sĂ©curitĂ© de l'infrastructure, la cryptographie, la rĂ©ponse aux incidents, la gestion des vulnĂ©rabilitĂ©s et la reprise aprĂšs sinistre.



Qu'est-ce que la sécurité de l'information?



InfoSec, ou Information Security, est un ensemble d'outils et de techniques utilisĂ©s pour protĂ©ger vos informations numĂ©riques et analogiques. InfoSec couvre une variĂ©tĂ© de domaines informatiques, y compris la sĂ©curitĂ© de l'infrastructure et du rĂ©seau, l'audit et les tests. Il utilise des outils tels que l'authentification et les autorisations pour empĂȘcher les utilisateurs non autorisĂ©s d'accĂ©der aux informations privĂ©es. Ces mesures vous aideront Ă  prĂ©venir les dommages causĂ©s par le vol, l'altĂ©ration ou la perte d'informations.



Quelle est la différence entre la sécurité de l'information et la cybersécurité?



La cybersĂ©curitĂ© et la sĂ©curitĂ© de l'information couvrent diffĂ©rents objectifs et domaines, mais elles prĂ©sentent Ă©galement des caractĂ©ristiques communes. La sĂ©curitĂ© de l'information est une catĂ©gorie plus large de protection qui englobe la cryptographie, l'informatique mobile et les mĂ©dias sociaux. Il traite de la sĂ©curitĂ© des informations, utilisĂ©e pour protĂ©ger les informations contre les menaces non humaines, telles que les pannes de serveur ou les catastrophes naturelles. À son tour, la cybersĂ©curitĂ© ne couvre que les menaces Internet et les donnĂ©es numĂ©riques. En outre, la cybersĂ©curitĂ© assure la protection des donnĂ©es brutes et non classifiĂ©es, contrairement Ă  la sĂ©curitĂ© des informations.



Objectifs de sécurité de l'information pour l'organisation et l'entreprise



Il existe trois objectifs principaux protégés par la sécurité de l'information , collectivement connus sous le nom de CIA:



  • – . . - , .

  • – . . , , .
  • – , . , , . , - .




Lors de l'examen de la sĂ©curitĂ© des informations de sĂ©curitĂ©, il existe plusieurs classifications. Ces classifications couvrent les types spĂ©cifiques d'informations, les outils utilisĂ©s pour protĂ©ger les informations et les domaines dans lesquels les informations doivent ĂȘtre protĂ©gĂ©es.



Sécurité des applications



Les politiques de sécurité des applications protÚgent les applications et les interfaces de programmation d'application (API). Vous pouvez utiliser ces stratégies pour prévenir, détecter et corriger les bogues ou autres vulnérabilités dans vos applications. Si elles ne sont pas sécurisées, les vulnérabilités des applications et des API peuvent devenir une passerelle vers des systÚmes plus larges, mettant vos informations en danger.



Sécurité des infrastructures



Les stratégies de sécurité de l'infrastructure protÚgent les composants de l'infrastructure, notamment les réseaux, les serveurs, les appareils clients, les appareils mobiles et les centres de données. La connexion croissante entre ces derniers et d'autres composants de l'infrastructure met les informations en danger sans précautions appropriées.



Ce risque provient du fait que la connectivité expose les vulnérabilités de vos systÚmes. Si une partie de votre infrastructure tombe en panne ou est compromise, tous les composants dépendants sont également affectés. Par conséquent, un objectif important de la sécurisation de votre infrastructure est de minimiser les dépendances et d'isoler les composants tout en garantissant l'interopérabilité.



Sécurité du cloud



La sécurité du cloud offre une protection similaire à la sécurité des applications et de l'infrastructure, mais se concentre sur les composants et les informations connectés au cloud ou au cloud. Cloud Security ajoute des protections et des outils supplémentaires pour se concentrer sur les vulnérabilités provenant des services Internet et des environnements partagés tels que les clouds publics. Lorsque vous utilisez des ressources et des applications cloud, vous avez souvent un contrÎle total sur vos environnements, car l'infrastructure est généralement gérée pour vous. Cela signifie que les pratiques de sécurité du cloud doivent prendre en compte des contrÎles limités et prendre des mesures pour limiter la disponibilité et les vulnérabilités des sous-traitants ou des fournisseurs.



image alt




Cryptographie La



cryptographie utilise le cryptage pour protéger les informations en masquant leur contenu. Lorsque les informations sont cryptées, elles ne sont disponibles que pour les utilisateurs disposant de la clé de cryptage correcte. Si les utilisateurs ne disposent pas de cette clé, les informations ne sont pas disponibles pour elle. Les équipes de sécurité peuvent utiliser le cryptage pour protéger la confidentialité et l'intégrité des informations tout au long de leur vie, y compris pendant le stockage et la transmission. Cependant, une fois que l'utilisateur déchiffre les données, il devient vulnérable au vol, à l'exposition ou à la modification.



Les équipes de sécurité utilisent des outils tels que des algorithmes de cryptage ou des technologies comme la blockchain pour crypter les informations. Les algorithmes de chiffrement tels que la norme de chiffrement avancé (AES) sont plus courants car ils sont plus pris en charge pour ces outils et moins de frais généraux liés à leur utilisation. Réponse aux



incidents La



rĂ©ponse aux incidents est un ensemble de procĂ©dures et d'outils qui peuvent ĂȘtre utilisĂ©s pour identifier, enquĂȘter et rĂ©pondre aux menaces ou aux Ă©vĂ©nements perturbateurs. Il rĂ©pare ou attĂ©nue les dommages causĂ©s aux systĂšmes Ă  la suite d'attaques, de catastrophes naturelles, de pannes systĂšme ou d'erreurs humaines.

Un outil de réponse aux incidents couramment utilisé est le plan de réponse aux incidents (IRP). Les IRP définissent les rÎles et les responsabilités pour la réponse aux incidents. Ces plans contiennent également des informations sur la politique de sécurité, les directives ou les procédures d'action.



Gestion des vulnérabilités La



gestion des vulnérabilités est une pratique visant à atténuer les risques inhérents à une application ou un systÚme. L'idée derriÚre cette pratique est de découvrir et de corriger les vulnérabilités avant que les problÚmes ne soient révélés ou exploités. Moins un composant ou un systÚme présente de vulnérabilités, plus vos données et ressources sont sécurisées.

Les techniques de gestion des vulnérabilités reposent sur des tests, des audits et des analyses pour détecter les problÚmes. Ces processus sont souvent automatisés pour garantir que les composants sont évalués par rapport à une norme spécifique et pour s'assurer que les vulnérabilités sont découvertes le plus rapidement possible. Une autre technique que vous pouvez utiliser est Threat Scan, qui consiste à examiner les systÚmes en temps réel pour identifier les signes de menaces ou détecter les vulnérabilités potentielles.



Reprise aprĂšs sinistre



Les stratĂ©gies de reprise aprĂšs sinistre protĂšgent votre organisation contre les pertes ou les dommages causĂ©s par des Ă©vĂ©nements imprĂ©vus. Par exemple, les ransomwares, les catastrophes naturelles ou les points de dĂ©faillance uniques. Les stratĂ©gies de reprise aprĂšs sinistre dĂ©finissent gĂ©nĂ©ralement comment les informations peuvent ĂȘtre rĂ©cupĂ©rĂ©es, comment les systĂšmes peuvent ĂȘtre rĂ©cupĂ©rĂ©s et comment les opĂ©rations peuvent ĂȘtre reprises. Ces stratĂ©gies font souvent partie d'un plan de gestion de la continuitĂ© des activitĂ©s (BCM) conçu pour permettre aux organisations de maintenir leurs opĂ©rations avec un temps d'arrĂȘt minimal.



Risques généraux pour la sécurité des informations



Dans vos activités quotidiennes, de nombreux risques peuvent affecter la sécurité de votre systÚme et de vos informations. Voici quelques risques courants à prendre en compte.



L'ingénierie sociale implique l'utilisation de la psychologie pour inciter les utilisateurs à fournir des informations ou à accéder à des attaquants. HameçonnageEst l'un des types courants d'ingénierie sociale, généralement effectuée par e-mail. Dans les attaques de phishing, les attaquants se font passer pour des sources fiables ou légitimes, demandant des informations ou avertissant les utilisateurs de prendre des mesures. Par exemple, les e-mails peuvent demander aux utilisateurs de vérifier leur identité ou de se connecter à leurs comptes via un lien (malveillant) inclus. Si les utilisateurs obéissent, les attaquants peuvent accéder aux informations d'identification ou à d'autres informations sensibles.



Menaces persistantes avancĂ©es(APT) sont des menaces dans lesquelles des individus ou des groupes ont accĂšs et restent sur vos systĂšmes pendant une pĂ©riode prolongĂ©e. Les attaquants mĂšnent ces attaques pour collecter des informations confidentielles au fil du temps ou comme base d'attaques futures. Les attaques APT sont menĂ©es par des groupes organisĂ©s qui peuvent ĂȘtre financĂ©s par des États-nations rivaux, des organisations terroristes ou des concurrents industriels.



Menaces liĂ©es aux informations privilĂ©giĂ©esLes vulnĂ©rabilitĂ©s sont-elles crĂ©Ă©es par des individus de votre organisation. Ces menaces peuvent ĂȘtre accidentelles ou dĂ©libĂ©rĂ©es et inclure des attaquants qui abusent des privilĂšges «lĂ©gitimes» pour accĂ©der aux systĂšmes ou aux informations. En cas de menaces accidentelles, les employĂ©s peuvent par inadvertance partager ou divulguer des informations, tĂ©lĂ©charger des logiciels malveillants. Lors de menaces dĂ©libĂ©rĂ©es, les initiĂ©s endommagent, tĂ©lĂ©chargent ou volent dĂ©libĂ©rĂ©ment des informations Ă  des fins personnelles ou professionnelles.



Le cryptojacking , également appelé crypto mining, se produit lorsque des attaquants abusent des ressources de votre systÚme pour exploiter la crypto-monnaie. Les attaquants y parviennent généralement en incitant les utilisateurs à télécharger des logiciels malveillants ou en ouvrant des fichiers avec des scripts malveillants activés.



DĂ©ni de service distribuĂ© (DDoS). Les attaques DDoS se produisent lorsque les attaquants surchargent des serveurs ou des ressources avec des requĂȘtes. Les attaquants peuvent mener ces attaques manuellement ou via des botnets, des rĂ©seaux d'appareils compromis utilisĂ©s pour propager les sources de demande. Le but d'une attaque DDoS est d'empĂȘcher les utilisateurs d'accĂ©der aux services ou de distraire les Ă©quipes de sĂ©curitĂ© lors d'autres attaques.

Ransomware utilise des logiciels malveillants pour crypter vos donnĂ©es et les stocker contre une rançon. En rĂšgle gĂ©nĂ©rale, les attaquants ont besoin d'informations pour qu'une action soit entreprise, ou un paiement de l'organisation en Ă©change du dĂ©chiffrement des donnĂ©es. Selon le type de ransomware que vous utilisez, vous ne pourrez peut-ĂȘtre pas rĂ©cupĂ©rer les donnĂ©es cryptĂ©es. Dans ces cas, vous ne pouvez rĂ©cupĂ©rer les donnĂ©es qu'en remplaçant les systĂšmes infectĂ©s par des sauvegardes propres.



Attack Man-in-the-middl (MitM) Les attaques MitM se produisent lorsque les messages sont transmis sur des canaux non sécurisés. Lors de ces attaques, les attaquants interceptent les demandes et les réponses pour lire du contenu, manipuler des données ou rediriger les utilisateurs.

Types d'attaques MitM:

  • – IP- , .

  • IP- – , .
  • – , .


2019



En mars , Norsk Hydro, le plus grand producteur mondial d'aluminium, a été contraint de suspendre ses installations de production en raison d'une attaque du ransomware LockerGoga. Selon les estimations de la société, les dommages causés par l'incident étaient d'environ 35 à 41 millions de dollars. Parmi les victimes de divers programmes de rançongiciels figuraient également le fabricant suisse d'équipements spéciaux Aebi Schmidt, la société allemande Rheinmetall, etc.



Fin juin, les dĂ©tails d'une campagne de cyberespionnage Ă  grande Ă©chelle ont Ă©tĂ© publiĂ©s, au cours de laquelle des criminels ont infiltrĂ© les rĂ©seaux des plus grandes entreprises de tĂ©lĂ©communications du monde afin d'intercepter des informations sur des individus spĂ©cifiques. L'organisateur de la campagne aurait Ă©tĂ© le groupe APT10 associĂ© Ă  la RPC. Les attaquants ont rĂ©ussi Ă  voler environ 100 Go d'informations et, Ă  l'aide des enregistrements dĂ©taillĂ©s des appels (CDR), Ă  suivre les mouvements et les actions des personnes d'intĂ©rĂȘt.



Technologies de sécurité de l'information



La création d'une stratégie efficace de sécurité de l'information nécessite l'utilisation de divers outils et technologies. La plupart des stratégies utilisent une combinaison des technologies suivantes.



image alt


Les pare - feu sont une couche de protection qui peut ĂȘtre appliquĂ©e aux rĂ©seaux ou aux applications. Ces outils vous permettent de filtrer le trafic et de transmettre les donnĂ©es de trafic aux systĂšmes de surveillance et de dĂ©tection. Les pare-feu utilisent souvent des listes et des stratĂ©gies d'autorisation ou de refus Ă©tablies qui dĂ©terminent le dĂ©bit ou la quantitĂ© de trafic autorisĂ©.



Solutions SIEMpour la gestion des incidents et des Ă©vĂ©nements de sĂ©curitĂ© vous permet de recevoir et de corrĂ©ler les informations de diffĂ©rents systĂšmes. Cette agrĂ©gation de donnĂ©es permet aux Ă©quipes de dĂ©tecter plus efficacement les menaces, de mieux gĂ©rer les alertes et de fournir un meilleur contexte pour les enquĂȘtes. Les solutions SIEM sont Ă©galement utiles pour consigner les Ă©vĂ©nements systĂšme ou pour gĂ©nĂ©rer des rapports sur les Ă©vĂ©nements et les performances. Vous pouvez ensuite utiliser ces informations pour valider ou optimiser les configurations.



Stratégies de prévention des pertes de données(DLP) comprend des outils et des techniques qui protÚgent les données contre la perte ou la modification. Cela comprend la classification des données, la sauvegarde des données et la surveillance du partage des données à l'intérieur et à l'extérieur de l'organisation.



Les systÚmes de détection d'intrusion (IDS) sont des outils de surveillance du trafic entrant et de détection des menaces. Ces outils mesurent le trafic et vous avertissent de tous les cas qui semblent suspects ou malveillants.



SystÚme de prévention des intrusions (IPS) - Ces solutions répondent au trafic identifié comme suspect ou malveillant en bloquant les demandes ou en mettant fin aux sessions utilisateur. Vous pouvez utiliser des solutions IP pour contrÎler le trafic réseau en fonction de politiques de sécurité spécifiques.



User Behavioral Analytics (UBA) - Les solutions UBA collectent des informations sur les actions des utilisateurs et mettent en corrélation leur comportement avec une base de référence. Les solutions utilisent ensuite cette base de référence comme comparaison avec de nouveaux comportements pour identifier les incohérences. La solution marque alors ces incohérences comme des menaces potentielles.



La cybersécurité de la blockchain est une technologie qui repose sur des événements transactionnels immuables. Dans la technologie blockchain, les réseaux distribués d'utilisateurs vérifient l'authenticité des transactions et maintiennent l'intégrité.



DĂ©cisions sur la cybersĂ©curitĂ©Les EDR vous permettent de suivre l'activitĂ© des terminaux, de dĂ©tecter les activitĂ©s suspectes et de rĂ©pondre automatiquement aux menaces. Ces solutions sont conçues pour amĂ©liorer la visibilitĂ© des points de terminaison et peuvent ĂȘtre utilisĂ©es pour empĂȘcher les menaces d'entrer dans vos rĂ©seaux ou les informations qui s'Ă©chappent. Les solutions EDR sont basĂ©es sur des mĂ©canismes de collecte, de dĂ©tection et de journalisation des Ă©vĂ©nements en continu sur les terminaux.



Gestion de la position de sécurité dans le cloud(CSPM) est un ensemble de pratiques et de technologies que vous pouvez utiliser pour évaluer la sécurité de vos ressources cloud. Ces technologies vous permettent d'analyser les configurations, de comparer les défenses par rapport aux benchmarks et de garantir une application cohérente des politiques de sécurité. Souvent, les solutions CSPM fournissent des recommandations ou des instructions de dépannage que vous pouvez utiliser pour améliorer votre état de sécurité.


More articles:


All Articles