Ce livre sur la cyber résilience en entreprise est destiné aux personnes en charge de mettre en œuvre la sécurité informatique au sein des entreprises (DSI, RSSI, Directeur Cybersécurité, experts et consultants…) qui souhaitent comprendre les enjeux et contraintes de la cybersécurité et qui souhaitent s’impliquer dans l’amélioration continue de la sécurité des Systèmes d’Information. Il est un véritable guide pour la mise en œuvre de la cyber résilience des systèmes d’information reposant sur quatre dimensions : cyber-prévention, cyber-détection, cyber-protection et cyber-remédiation.

Avec une approche pragmatique et progressive, l’auteur expose les enjeux et présente les principaux référentiels et les différentes réglementations en vigueur (NIST CSF, RGPD, ITIL, SecNumCloud, ISO27k, ISO 22031, ISO 20000, HDS). Il fournit ensuite une explication détaillée d’une analyse de risques réalisée avec la méthode EBIOS avant de transmettre au lecteur des bonnes pratiques sur la sécurisation des SI et des workloads dans le cloud public Azure.

Le recours à la sauvegarde externalisée et aux PRA/PCA avec une nouvelle approche de Resilience as a Service est explicité ainsi que la proposition de référentiel sur la sécurité applicative ou encore le fonctionnement et le contenu du SOC (Security Operations Center) idéal.

Pour finir, un chapitre complet est dédié à la présentation d’un exemple permettant de faire valoir au lecteur les bons réflexes à adopter pour l’hébergement de données de santé. Des exemples d’implémentation technique de logiciels open source sont également détaillés en annexe, notamment avec la solution de détection d'intrusions Wazuh et le scanner de vulnérabilités OpenVAS.



Quizinclus dans
la version en ligne !

• Testez vos connaissances à l'issue de chaque chapitre
• Validez vos acquis

Contexte et enjeux du paysage cyber

1. 1. Introduction
   1. 1.1 Cyber
   2. 1.2 Cyber-sécurité
   3. 1.3 Protéger
      1. 1.3.1 Protéger, tout simplement
      2. 1.3.2 Protéger les actifs numériques
      3. 1.3.3 Protéger les actifs numériques avec des moyens
      4. 1.3.4 Protéger les actifs informatiques avec un objectif
      5. 1.3.5 Protéger spécifiquement la donnée
2. 2. Thématiques de la cyber-sécurité
   1. 2.1 Les cinq domaines de couverture
   2. 2.2 Le champ réglementaire
      1. 2.2.1 Loi de programmation militaire (LPM 2018-607)
      2. 2.2.2 La directive Network and Information Security (NIS 2016/1148)
   3. 2.3 Synthèse
3. 3. Les défis de la cyber-sécurité
   1. 3.1 La double face de la transition numérique
   2. 3.2 Premiers constats
   3. 3.3 Premiers remèdes

Principaux référentiels et guides cyber

1. 1. Introduction
2. 2. Le référentiel de cyber-sécurité du NIST
   1. 2.1 Structure du CSF (CyberSecurity Framework)
      1. 2.1.1 Framework Core
      2. 2.1.2 Niveaux de mise en œuvre du CSF (ou Tiers)
      3. 2.1.3 Profils du CSF
      4. 2.1.4 La feuille de route
   2. 2.2 Le CSF en pratique
      1. 2.2.1 Les sept étapes
      2. 2.2.2 Livrable CSF
   3. 2.3 Conclusion sur le NIST CSF
3. 3. RGPD - Règlement Général sur la Protection des Données
   1. 3.1 Préambule
   2. 3.2 Définition
   3. 3.3 Articles du RGPD
   4. 3.4 Cas du registre des activités de traitement
   5. 3.5 Le rôle du DPO (Data Protection Officer)
   6. 3.6 Sanctions
4. 4. Protection des données de santé à caractère personnel - certification HDS
5. 5. La bibliothèque ITIL
   1. 5.1 Organisation des services IT
      1. 5.1.1 Verbatim
      2. 5.1.2 De la culture projet à la culture service
      3. 5.1.3 Le besoin de référentiels de bonnes pratiques
   2. 5.2 ITIL V3
   3. 5.3 ITIL V4
6. 6. Le référentiel SecNumCloud
   1. 6.1 Objectif
   2. 6.2 Principales exigences
   3. 6.3 Liste des prestataires de cloud qualifiés
   4. 6.4 Modalités
   5. 6.5 Estimation macro du coût de mise en œuvre
7. 7. Les guides de bonnes pratiques ANSSI
   1. 7.1 Les guides les plus importants

Les normes ISO résilience-compatibles

1. 1. Introduction
2. 2. Les documents normatifs de la famille ISO/CEI
   1. 2.1 Normes relatives au management de la sécurité de l'information
      1. 2.1.1 ISO/CEI 201 - Système de management de la sécurité de l'information
      2. 2.1.2 ISO/CEI 27002 - Code de bonne pratique pour le management de la sécurité de l'information
      3. 2.1.3 ISO/CEI 27005 - Gestion des risques liés à la sécurité de l'information
      4. 2.1.4 ISO/CEI 27017 - Contrôles de sécurité du cloud
      5. 2.1.5 ISO/CEI 27018 - Code de bonnes pratiques pour la protection des informations personnelles identifiables
   2. 2.2 Normes relatives au management de la continuité d'activité
      1. 2.2.1 ISO 22301 - Management de la continuité d'activité
   3. 2.3 Norme relative au management des services
      1. 2.3.1 ISO/CEI 20000 - Management des Services
   4. 2.4 Norme relative à la protection de la vie privée
      1. 2.4.1 ISO/CEI 27701 - Responsabilité et confiance pour les informations personnelles
3. 3. Schéma d'une cyber-résilience normée

L'analyse de risques avec EBIOS

1. 1. Introduction
2. 2. Présentation de la méthode EBIOS
   1. 2.1 Définition
   2. 2.2 Démarche par module
   3. 2.3 Synoptique
3. 3. Module 1 : étude du contexte
   1. 3.1 Définition du cadre de la gestion des risques
      1. 3.1.1 Cadrage de l’étude des risques
      2. 3.1.2 Description du contexte général
      3. 3.1.3 Périmètre de l'étude
      4. 3.1.4 Éléments à prendre en compte
      5. 3.1.5 Sources de menaces
   2. 3.2 Préparation des métriques
      1. 3.2.1 Définition des critères de sécurité et élaboration des échelles de besoins
      2. 3.2.2 Élaboration d’une échelle de niveaux de sécurité de gravité (ECH-NIV-GRA)
      3. 3.2.3 Élaboration d’une échelle de niveaux de vraisemblance (ECH-NIV-VRA)
4. 4. Définition des critères de gestion des risques
   1. 4.1 Identification des biens
      1. 4.1.1 Identification des biens essentiels, de leurs relations et de leurs dépositaires
      2. 4.1.2 Identification des biens supports, de leurs relations et de leurs propriétaires
      3. 4.1.3 Détermination du lien entre les biens essentiels et les biens supports
      4. 4.1.4 Identification des mesures de sécurité existantes
5. 5. EBIOS : la suite des modules

Les best practices du SI cyber-sécurisé

1. 1. Introduction
2. 2. Éléments d'architecture fondamentale
   1. 2.1 Entité centrale, appelée "HeadQuarter" (HQ)
   2. 2.2 Architecture utilisateurs
   3. 2.3 Architecture déportée agence, appelée "Branch Office" (BO)
   4. 2.4 Architecture nomade isolé
   5. 2.5 Architecture cloud public
      1. 2.5.1 Définition du cloud public
      2. 2.5.2 Les cinq caractéristiques
      3. 2.5.3 Le RACI du cloud
      4. 2.5.4 Les acteurs de classe mondiale
      5. 2.5.5 La richesse fonctionnelle
      6. 2.5.6 Enjeux et workloads
3. 3. Clients
   1. 3.1 Postes de travail
      1. 3.1.1 Contexte principal
      2. 3.1.2 Les best practices des postes clients
   2. 3.2 Mobiles
4. 4. Serveurs
5. 5. Réseaux
   1. 5.1 Télécom
   2. 5.2 Éléments actifs
6. 6. Autres dispositifs IT à sécuriser

La sécurité dans le cloud public

1. 1. Introduction
2. 2. Les enjeux
3. 3. Les solutions
   1. 3.1 Azure
      1. 3.1.1 Azure et la sécurité
      2. 3.1.2 Azure Security Center
      3. 3.1.3 Azure Sentinel
   2. 3.2 AWS
4. 4. Les étapes de sécurisation dans le cloud public
   1. 4.1 Sécurisation des liens télécoms par le SD-WAN
   2. 4.2 Sécurisation des locaux : méthodologie et bon sens
   3. 4.3 Se protéger des menaces : exemple d'un GHT
      1. 4.3.1 Un contexte particulier
      2. 4.3.2 Les enjeux de sécurité
      3. 4.3.3 Externalisation : la promesse d'un transfert du risque
      4. 4.3.4 La cible idéale
   4. 4.4 Sécuriser l'application
      1. 4.4.1 Le casse-tête chinois du legacy
      2. 4.4.2 La complexité de la sécurisation du cloud
      3. 4.4.3 La sécurité opérée : un choix raisonné
   5. 4.5 Modèle SASE
      1. 4.5.1 Le mariage du réseau et de la sécurité : Connect-it + Secure-it
      2. 4.5.2 WANaaS ou comment réussir l'unification des réseaux ?
      3. 4.5.3 Architecture SASE
      4. 4.5.4 Le marché du SASE
   6. 4.6 CASB, CSPM, CWPP
      1. 4.6.1 CASB : Cloud Access Security Broker
      2. 4.6.2 CSPM : Cloud Security Posture Management
      3. 4.6.3 CWPP : Cloud Workload Protection Platform

Sauvegarde, PCA, PRA

1. 1. Introduction
2. 2. La sauvegarde
   1. 2.1 La légitime conservation sécurisée des données critiques et sensibles
   2. 2.2 La sauvegarde (back-up) : comment restaurer les données endommagées ?
   3. 2.3 L’archivage : comment stocker à long terme ?
   4. 2.4 L’externalisation chez un hébergeur
   5. 2.5 La méthode du 3-2-1
   6. 2.6 Architecture de sauvegarde externalisée
      1. 2.6.1 On-premise
      2. 2.6.2 En cloud
3. 3. PCA/PRA
   1. 3.1 Le besoin vital de la disponibilité numérique
   2. 3.2 Le casse-tête chinois de l’implémentation du PRA
4. 4. Une transformation contextuelle nécessaire
   1. 4.1 De la continuité à la résilience
   2. 4.2 Vers la normalité de l’hybridation du SI
   3. 4.3 Le changement de logiciel, c’est maintenant
   4. 4.4 Vers la notion de cyber-résilience
      1. 4.4.1 Management
      2. 4.4.2 Élaboration
      3. 4.4.3 Réalisation
      4. 4.4.4 Contrôle
      5. 4.4.5 Information
5. 5. Architecture de PRA - cas d'usage
   1. 5.1 Contexte
   2. 5.2 Besoin
   3. 5.3 Méthodologie
   4. 5.4 Architecture de PRA
   5. 5.5 Étape de stand-by (PRA stand-by)
   6. 5.6 Étape de déclenchement du PRA (PRA activé)
   7. 5.7 Étape de production sur site secondaire (PRA actif)
6. 6. Le PRA en toute simplicité

La sécurité applicative - Label applicatif

1. 1. Introduction
2. 2. Contexte
   1. 2.1 Objet
   2. 2.2 Documents de référence
   3. 2.3 Objectifs de la politique de sécurité
      1. 2.3.1 Besoin de la politique de sécurité
      2. 2.3.2 Classification de la politique
3. 3. Présentation de la politique de sécurité
   1. 3.1 Objectifs et nomenclature des règles
4. 4. Organisation de la sécurité de l’information
   1. 4.1 Contact avec l’éditeur
      1. 4.1.1 Fonctions et responsabilités liées à la sécurité de l’information
      2. 4.1.2 Relation avec les groupes de travail spécialisés
      3. 4.1.3 La sécurité de l’information dans la gestion de projet
      4. 4.1.4 Appareils mobiles, télétravail et dispositifs médicaux
5. 5. Gestion des données
   1. 5.1 Identification des données sensibles
      1. 5.1.1 Propriété des actifs
      2. 5.1.2 Purge des données
      3. 5.1.3 Portabilité des données
      4. 5.1.4 Marquage des informations
   2. 5.2 Manipulation des supports
6. 6. Contrôle d’accès
   1. 6.1 Exigences métier en matière de contrôle d’accès
      1. 6.1.1 Politique d’accès utilisateur
      2. 6.1.2 Politique de mot de passe
      3. 6.1.3 Vérification de la politique de mot de passe
   2. 6.2 Gestion de l’accès utilisateur
      1. 6.2.1 Enregistrement et désinscription des utilisateurs
      2. 6.2.2 Gestion des informations secrètes d’authentification des utilisateurs
      3. 6.2.3 Revue des droits d’accès utilisateur
      4. 6.2.4 Utilisation d’informations secrètes d’authentification
      5. 6.2.5 Sécurisation des procédures de connexion
      6. 6.2.6 Contrôle d’accès au code source des programmes
7. 7. Cryptographie
   1. 7.1 Mesures cryptographiques
      1. 7.1.1 Politique d’utilisation des mesures cryptographiques
      2. 7.1.2 Gestion des clés
8. 8. Sécurité liée à l’exploitation
   1. 8.1 Procédures et responsabilités liées à l’exploitation
      1. 8.1.1 Gestion des changements
   2. 8.2 Sauvegarde et archivage
      1. 8.2.1 Sauvegarde des informations
   3. 8.3 Journalisation et surveillance
      1. 8.3.1 Journalisation des événements
      2. 8.3.2 Protection de l’information journalisée
      3. 8.3.3 Journaux administrateur et opérateur
      4. 8.3.4 Synchronisation des horloges
   4. 8.4 Maîtrise des logiciels en exploitation
9. 9. Sécurité des communications
   1. 9.1 Connexion de l’application aux systèmes externes
10. 10. Acquisition, développement et maintenance des systèmes d’information
    1. 10.1 Sécurité des processus de développement et d’assistance technique
       1. 10.1.1 Privacy by Design
       2. 10.1.2 Procédures de contrôle des changements de système
       3. 10.1.3 Test de la sécurité du système
    2. 10.2 Données de test
11. 11. Gestion des incidents liés à la sécurité de l’information
    1. 11.1 Gestion des incidents liés à la sécurité de l’information et améliorations
       1. 11.1.1 Responsabilités et procédures
       2. 11.1.2 Signalement des événements liés à la sécurité de l’information
       3. 11.1.3 Veille applicative
12. 12. Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
    1. 12.1 Continuité de la sécurité de l’information
13. 13. Conformité
    1. 13.1 Conformité aux exigences de sécurité

Les Security Operations Center

1. 1. Introduction
2. 2. Origine du problème
3. 3. Nécessité d'outillage
4. 4. Contenu du SOC idéal
   1. 4.1 Composante organisationnelle
   2. 4.2 Composante humaine
   3. 4.3 Composante technique
      1. 4.3.1 Antivirus classique
      2. 4.3.2 EPP (Endpoint Protection Platform)
      3. 4.3.3 EDR (Endpoint Detection and Response)
      4. 4.3.4 SIEM
      5. 4.3.5 SOAR
      6. 4.3.6 UEBA
      7. 4.3.7 Threat intelligence
5. 5. Panorama des solutions commerciales
6. 6. Étude d'opportunité d'un SOC full open source
7. 7. Spécification d'un SOC métier : le SOC santé

Écosystème de santé

1. 1. Introduction
2. 2. Préambule
   1. 2.1 Le ransomware, mon meilleur ennemi !
   2. 2.2 L'ANSSI confirme
   3. 2.3 Des conséquences à 360°
   4. 2.4 Le syndrome du « Y a qu'à - Faut qu'on »
   5. 2.5 La vraie vie
   6. 2.6 Surfer sur la vague ou attendre la prochaine ?
   7. 2.7 Branle-bas de combat au niveau national
   8. 2.8 L'indicateur de cyber-sécurité P2.5
   9. 2.9 Les gestes barrières numériques
   10. 2.10 Le pire est-il à venir ?
3. 3. Les sept erreurs à commettre pour être certain de rater son projet HDS
   1. 3.1 Faire l’impasse sur une vraie analyse de risques
      1. 3.1.1 Verbatim
      2. 3.1.2 L'analyse de risque
      3. 3.1.3 Conseil n°1
   2. 3.2 Ne pas connaître son patrimoine IT
      1. 3.2.1 Verbatim
      2. 3.2.2 La cartographie
      3. 3.2.3 Conseil n°2
   3. 3.3 Migrer son système d’information de santé à isopérimètre
      1. 3.3.1 Verbatim
      2. 3.3.2 La migration
      3. 3.3.3 Conseil n°3
   4. 3.4 Ne pas s’intéresser à la mesure de l’expérience utilisateur
      1. 3.4.1 Verbatim
      2. 3.4.2 La mesure de l'expérience utilisateur
      3. 3.4.3 Conseil n°4
   5. 3.5 Penser que c’est uniquement un projet technique
      1. 3.5.1 Verbatim
      2. 3.5.2 Un projet complexe à plusieurs facettes
      3. 3.5.3 Conseil n°5
   6. 3.6 Vouloir tout faire seul en pensant que c’est une source d’économie
      1. 3.6.1 Verbatim
      2. 3.6.2 À chacun son métier
      3. 3.6.3 Conseil n°6
   7. 3.7 Ne pas investir au moins 10 % du coût total du projet à la cyber-sécurité
      1. 3.7.1 Verbatim
      2. 3.7.2 L'assurance tranquillité
      3. 3.7.3 Conseil n°7
4. 4. La certification HDS
   1. 4.1 Le référentiel HDS 1.0 (en vigueur)
   2. 4.2 Le référentiel HDS 2.0 (à venir)

Guides ANSSI et Annexe A ISO

1. 1. Introduction
2. 2. Guides ANSSI
3. 3. Annexe A ISO 27001

Résultat de l'analyse de risques EBIOS

1. 1. Introduction
2. 2. Module 2 : étude des événements redoutés
   1. 2.1 Appréciation des événements redoutés
   2. 2.2 Évaluation de chaque événement redouté
3. 3. Module 3 : étude des scénarios de menaces
4. 4. Module 4 : étude des risques
   1. 4.1 Appréciation des risques
   2. 4.2 Évaluation des risques
   3. 4.3 Identification des objectifs de sécurité
   4. 4.4 Analyse des risques résiduels
5. 5. Module 5 : étude des mesures de sécurité
   1. 5.1 Formalisation des mesures de sécurité à mettre en œuvre
      1. 5.1.1 Détermination des mesures de sécurité

La plateforme HIPS/SIEM Wazuh

1. 1. Introduction
2. 2. Wazuh
   1. 2.1 Introduction
   2. 2.2 Architecture générale
      1. 2.2.1 Agent Wazuh
      2. 2.2.2 Server Wazuh
      3. 2.2.3 Elastic
      4. 2.2.4 Wazuh Cloud
   3. 2.3 Installation
      1. 2.3.1 Installation du manager Wazuh
      2. 2.3.2 Installation d'Elasticsearch
      3. 2.3.3 Installation et configuration de E(LK)
      4. 2.3.4 Ajout de rôles et utilisateurs E
   4. 2.4 Utilisation
   5. 2.5 Panorama des fonctionnalités de l'interface de management de Wazuh
   6. 2.6 Installation de l'agent Wazuh sur le serveur de CentOS du management Wazuh
   7. 2.7 Installation de l'agent Wazuh sous Windows
   8. 2.8 Installation d'un agent Linux sur une VM CentOS7 (IP = 192.168.0.39)
   9. 2.9 Analyse des remontées de logs des agents Windows et Linux
   10. 2.10 Détection d'une attaque par brute force SSH
   11. 2.11 Conformité RGPD

Le scanner de vulnérabilités OpenVAS

1. 1. Introduction
2. 2. OpenVAS
   1. 2.1 Introduction
   2. 2.2 La version commerciale
   3. 2.3 Comparaison des différentes versions des Security Feed
   4. 2.4 Appliances OpenVAS
   5. 2.5 Architecture générale
      1. 2.5.1 Backend
      2. 2.5.2 Frontend
      3. 2.5.3 Schéma d'architecture OpenVAS
   6. 2.6 Installation sous CentOS
      1. 2.6.1 Désactiver SE Linux
      2. 2.6.2 Autoriser les ports 9392, 443 et 80
      3. 2.6.3 Installation d'utilitaires
      4. 2.6.4 Installation du repo Atomic
      5. 2.6.5 Installation d'OpenVAS (GVM)
      6. 2.6.6 Configuration d'OpenVAS
   7. 2.7 Installation sous Kali
      1. 2.7.1 Mise à jour de Kali
      2. 2.7.2 Installation nmap
      3. 2.7.3 Installation paquet de reporting
      4. 2.7.4 Installation Client SMB
      5. 2.7.5 Installation et paramétrage OpenVAS
      6. 2.7.6 Configuration d'OpenVAS
      7. 2.7.7 Mise à jour des bases de vulnérabilités
   8. 2.8 Utilisation
   9. 2.9 Prise en main
      1. 2.9.1 Dashboards
      2. 2.9.2 Scans
      3. 2.9.3 Assets
      4. 2.9.4 Resilience
      5. 2.9.5 SecInfo
      6. 2.9.6 Configuration
      7. 2.9.7 Administration
   10. 2.10 Utilisation de l'API OpenVAS
   13. Index