La sécurité des systèmes d’information est l’ensemble des moyens techniques, organisationnels, juridiques et humains visant à empêcher le mauvais usage, la modification ou le détournement des systèmes d’information.
La sécurité des systèmes d’information améliore la rentabilité de l’organisme concerné, sa réputation et les conditions de travail. Elle garantit la disponibilité, l’intégrité, la confidentialité, l’authenticité et la non-répudiation des données. Elle protège les utilisateurs, leurs proches et leurs contacts professionnels.
La sécurité des systèmes d’information devient efficace lorsque tout le monde y participe volontairement.

 

Normes, référentiels

Le système de management de la sécurité de l’information (SMSI) est un ensemble d’outils (comme le tableau de bord), de documents (comme l’analyse des risques, la PSSI) et de méthodes (comme la démarche Plan – Do – Check – Act ou PDCA), qui vise à fixer et à appliquer une politique de sécurité de l’information dans une entreprise.

• Normes ISO 27xxx.

 

Il est recommandé de faire une analyse des risques avant une PSSI. Exemples de méthodes d’analyse des risques :

• Méthode harmonisée d’analyse des risques (MEHARI).
• EBIOS Risk Manager (Expression des Besoins et Identification des Objectifs de Sécurité).
  • Scénarios :
    • La base de Scénarios du Clusif.
    • La base MITRE ATT&CK.
  • L’homologation de sécurité.

 

La politique de sécurité des systèmes d’information (PSSI) :

• Guide d’élaboration d’une PSSI.
• La PSSI de l’État (PSSIE).

 

Guides de l’ANSSI :

• La cybersécurité pour les TPE/PME en treize questions.
• Bonnes pratiques.
• MOOC de l’ANSSI (formation certifiante).

 

La protection des données à caractère personnel (RGPD) :

• Commission Nationale de l’Informatique et des Libertés (CNIL).
• L’Atelier RGPD de la CNIL (formation certifiante).
• Association francophone des autorités de protection des données personnelles (AFAPDP).
• Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP).
• Association P.U.R.R.

Ne répondez pas au téléphone à des numéros inconnus (laissez le répondeur répondre), ne les rappelez pas et ne publiez pas vos informations personnelles, votre voix, vos photos et vos vidéos sur Internet, elles seront utilisables par n’importe qui :

• Usurpation vocale : les sondages téléphoniques détournés par les cybercriminels et IA : ils clonent les voix de vos proches pour vous arnaquer.
• Scandale Facebook – Cambridge Analytica.
• Gare à l’arnaque à la carte SIM et à l’usurpation de numéro de téléphone !
• Vol de photos : quand on se fait passer pour vous sur Internet.
• Comment réagir face à une usurpation d’identité ?
• Allemagne. Une femme tue son sosie pour faire croire à sa propre mort.

 

La protection des informations et des supports classifiées :
Si vous contractez un marché concernant la défense nationale, en direct ou en sous-traitance, vous serez contacté·e par la DRSD. Elle vous fournira les textes réglementaires, vous aidera à sécuriser vos locaux et à protéger votre personnel, les informations et le matériel classifiés. Elle enquêtera et vous alertera sur d’éventuelles ingérences.

• Direction du Renseignement et de la Sécurité de la Défense (DRSD).
• Procédures d’habilitation.

 

Autres textes de référence :

• Le référentiel général de sécurité (RGS).
• La directive NIS 2.

 

Faire un signalement

• Notifier à la CNIL une violation de données personnelles.
• Déposer une plainte à la CNIL.
• Signaler une fraude à la carte bancaire (Perceval).
• Signaler un courriel usurpant l’identité d’un service de police ou de gendarmerie.
• Signaler un contenu illicite sur le Web : plateforme PHAROS du ministère de l’intérieur.
• Signaler une escroquerie en ligne :
  • Plateforme téléphonique Info Escroqueries au 0 805 805 817 (numéro vert, appel gratuit depuis la France).
  • Dispositif THESEE.
• Signaler une attaque informatique : 17Cyber.
• Signaler à Google une page web d’hameçonnage.
• Signaler une faille de sécurité ou une vulnérabilité :
  • CERT-FR.
  • Article 47 de la loi pour une République numérique.
• Plainte en ligne (police et gendarmerie).

 

Aides techniques et juridiques

• Informations sur les menaces numériques.
• Alertes de sécurité : CVE, NIST National Vulnerability Database (NVD), European Union Vulnerability Database.
• Le Service Veille ZATAZ alerte sur les fuites de données.
• Pour vérifier si votre adresse électronique ou votre numéro de téléphone font partie d’une fuite de donnée : HaveIBeenPwned, Cybernews, Check your hack ou plus complet, la base de données d’Hasso-Plattner-Institut. Voir aussi C’est qui qui a fuité aujourd’hui ? et Ransomware.live.
• No More Ransom pour déchiffrer les disques chiffrés par certains rançongiciels.
• VirusTotal : antivirus en ligne (attention à ne pas y téléverser un fichier avec des données personnelles).
• Exodus : détection de pisteurs dans les applications pour smartphones.
• Des enquêteurs, des experts judiciaires et des magistrats œuvrent dans le domaine de l’investigation numérique (analyse forensique) :
  • Association francophone des spécialistes de l’investigation numérique (AFSIN).
  • CAINE, distribution Linux pour l’analyse forensique.
• Poser une question à la brigade numérique de la gendarmerie nationale.

 

Documentation, magazines

• Open Web Application Security Project (OWASP).
• Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG).
• MISC.
• Hakin9.
• NoLimitSecu.
• The Hacker News.
• UnderNews.
• /r/netsec.
• Root Me, plateforme d’apprentissage.

 

Sauvegarde, cliché, synchronisation

Il est conseillé de faire régulièrement au moins 3 sauvegardes, de les stocker sur 2 supports différents dont 1 physiquement hors ligne hors période de sauvegarde. Mais c’est plus sûr d’avoir au moins deux supports physiquement hors ligne et jamais utilisés en même temps. Ceci afin de pallier à la destruction des sauvegardes pendant l’attaque. Exemple avec Gaskar Group, Gazprom.

• Sauvegarde :
  • Duplicati : Linux, macOS, Windows.
  • Back In Time : Linux. Une sauvegarde complète puis des sauvegardes incrémentales, avec rsync.
  • Borg. FreeBSD, Linux, macOS, NetBSD, OpenBSD.
  • Vorta : interface graphique pour Borg. Linux, macOS.
  • KBackup. Linux.
  • restic. BSD, Linux, macOS, Windows.
  • Disk ARchive (dar) : Linux, Windows, macOS. Utilisation en ligne de commande.
  • Duplicity. Linux. Utilisation en ligne de commande.
  • Déjà Dup : interface graphique pour duplicity. Linux.
  • Amanda. Serveur + agents pour postes Linux, macOS, Windows.
  • Bacula. Serveur + agents pour postes Linux, macOS, Windows.
  • Bareos : dérivé de Bacula.
  • BURP. Serveur + agents pour postes Linux, macOS, Windows.
  • UrBackup. Serveur + agents pour postes Linux, macOS, Windows.
  • Proxmox Backup Server. Serveur + agents pour postes Linux. Sauvegarde de machines virtuelles, de conteneurs et de machines physiques.
• Cliché (snapshot) :
  • rsnapshot : Linux, macOS. Utilise rsync.
• Synchronisation :
  • FullSync. Linux, macOS, Windows.
  • Unison.
  • Syncthing.
  • FreeFileSync. Linux, macOS, Windows.
  • rclone.
  • seafile.

 

Logiciels de sécurité

• Scan avec environ 70 antivirus sur VirusTotal. Antivirus ClamWin.
• Vérifier l’intégrité de fichiers transmis : GtkHash.
• ExifCleaner pour effacer les données EXIF des photographies.
• Aegis Authenticator, Bitwarden, Buttercut, KeePass, KeePassXC, KeeWeb, Passbolt, Password Safe, Secretin pour stocker ses mots de passe.
• Ajouter un mot de passe à GRUB.
• AES Crypt pour chiffrer des fichiers (chiffrement symétrique).
• GnuPG (chiffrement asymétrique) pour chiffrer et signer des fichiers et des courriers électroniques, gérer les certificats et les clés de chiffrement privées et publiques sur son ordinateur et les clés de chiffrement publiques sur les serveurs de diffusion de clés. Gpg4win est un installeur alternatif sous Windows. GPG Suite est un installeur alternatif sous macOS (la partie chiffrement des messages électroniques est payante). Note : Mozilla Thunderbird intègre nativement le chiffrement des courriels.
• OpenKeychain : chiffrement asymétrique sous Android. Suit le standard OpenPGP.
• Plateformes PKI : EJBCA, EasyRSA.
• BleachBit pour effacer les fichiers temporaires, etc.
• ShredOS (utilise nwipe) pour effacer complètement un disque. File Shredder pour effacer complètement des fichiers.
• Scanners réseau :
  • Zenmap, Angry IP Scanner, NetPeek : scan d’IP/ports.
  • OpenVAS : scan et tests de vulnérabilité.
  • Mailtrail : détection de trafic malicieux.
  • Zeek : analyse du trafic.
• Systèmes de détection d’intrusion :
  • Suricata.
  • Squey : analyse de données informatiques.
• Packetfence pour contrôler les accès aux réseaux informatiques (par exemple isoler les points d’accès Wi-Fi).
• OpenSnitch, BunkerWeb : pare-feux applicatifs.
• DynFi, OPNsense : pare-feu.
• Blocage des adresses IP malveillantes :
  • CrowdSec (avec partage des informations).
  • Fail2Ban.
  • reaction.
• Sniffeur, analyseur de protocole :
  • Wireshark et Ostinato.
  • Aircrack-ng pour trouver la clé de chiffrement d’un réseau Wi-Fi.
  • nDPI pour faire du DPI.
  • RFDump pour lire les puces RFID.
• Scanner de vulnérabilités sur les sites web : Nikto, Gryffin. Test à données aléatoires : FuzzySully pour tester les interfaces OPC UA.
• Vidéosurveillance : Frigate, Haven, Kerberos.io, QMotion, Shinobi Community Edition, ZoneMinder, Motion, iSpy, Webcamoid, Kamoso.
• Pombo pour géolocaliser un ordinateur portable volé.
• Pour vérifier que l’utilisateur n’est pas un robot.
• Autres logiciels sur Sectools.org, PRISM BREAK.
• Clés FIDO2 U2F (Universal 2nd Factor) :
  • Nitrokey.
  • Solo.
• Gestion de l’information et des événements de sécurité (SIEM) : TheHive, Cortex, Wazuh.
• Cartographie du système d’information : Mercator.
• Indicateurs sur l’efficacité des mesures de sécurité : Deming.