❄️ Les synthèses

safran

Nov 18, 20245 min read

  • OT operational technolog → industrie
  • machine d’usinage, code legacy
  • Safran
    • Présente dans le monde entier
    • Création de moteurs ainsi que l’équipement interne des avions
    • 1400-1500 personnes usine Safran Area Boosters
      • Truc dans le moteur qui va prendre l’air
    • Safran Test Cells india → 1 personne xD
    • Brevets déposés, protection des informations
  • Définitions de cybersecurité
    • SI → système d’information
      • Ensemble de moyens destinés à gérer de l’information
      • Cela inclut également les personnes car la majorités des attaques inclus un élément humain
      • Erreurs de procédures → c’est toi qui a détruit le disque dur? Ah non pourquoi ?
    • SSI → sécurité des système d’information
      • Disponibiilité
        • Fonctionnement sans faille
      • Intégrité
        • Les données ne doivent pas pouvoir être modifiée de manière inappropriée
      • Confidentialité
        • Seule les bonnes personnes doivent pouvoir accéder aux informations → contrôle des accès
      • Tracabilité
        • Garantie que les accès aux éléments sont tracés et que ces traces sont conservées et exploitables
        • Si quelqu’un supprime tout, on doit pouvoir le détecter, savoir qui c’est et quand
  • Définitions
    • Actifs → un bine ou un service ayant une certaine valeur dans l’entreprise
    • Vulnérabilité → faiblesse dans la sécurité d’un système qui faciliterait la concrétisation d’une menace
    • Risque → danger et inconvénients auxquels on est exposés
    • Menace → chose suspetible de porter préjudice au système d’information
    • Exemple
      • Actifs (voiture)
      • Possède des Vulnérabilité (Porte mal faite)
      • Entraine des Risques (vol dans la voiture)
        • Engendre des impacts, le plus souvent économiques
      • Menace (voleur) → action ou évènement cible des actifs et exploite des vulnérabilités
      • Protections protègent contre les menaces et réduisent les vulnérabilités
        • Protéger contre les menaces
        • Réduisent les vulnérabilités
        • Limite les impacts (par exemple une assurance)
  • Gouvernance de la sécurité des systèmes d’information
    • Groupe (direction sureté et fonctionnelle)
    • Dans chaque société un responsable sécurité systèmes information
    • Correspondant SSI dans chaque filiale de chaque société
  • Acronymes
    • SI → système d’information
    • DSI → Directeur des systèmes d’information
    • DDSI → Directeur du digital et des systèmes d’informations
    • SSI → Sécurité des systèmes d’informations
    • RSSI → Responsable de la sécurité des systèmes d’informations
  • La sécurité est un rôle de “direction” de tout le monde car tout le monde dans les sociétés sont concernés par la sécurité
  • Référentiel de sécurité
    • Politique générale de sécurité (PGSSI), aussi utilisée pour l’extérieur
      • PSSI → Politique de la sécurité des systèmes d’information → beaucoup plus technique et utilisée pour l’usage interne
    • Charte auquel tout le monde est concerné et le fait que tout le monde est surveillé
    • Règles de sécurités → règles de base
    • Directives générales et techniques → applications des règles de base
    • Bonnes pratiques → information et sensibilisation
    • Audits de sécurité et de conformité
  • Formation et sensibilisation à la cybersécurité
    • Campagne de phishing
      • Les pires sont souvent les département informatique et sécurité duh
    • SOC Security Operation Center
      • Collecte de données (par exemple Crowdstrike)
      • Analyse automatique des données → 1To de log par jour
        • Erreur Windows par exemple
        • Equipement réseaux, (machin vient de se connecter, etc)
      • Division des systèmes en différentes zones
        • On ne fait pas confiance aux autres services et autres zones
        • Zones → campus (utilisateur), serveur, domain controller (gestion des utilisateurs)
        • Segmentation du réseau
          • Confiance
          • Restreinte
          • Externe
  • Incidents et crises
    • Incident “unplanned interruption to a service”
    • Crisis “impact significatifs potentiel aux opérations et à l’image de marque de l’entreprise”
    • CSIRT → Computer Security Incident Response Team
      • Tennir au courant de la sécurité générale
      • Publier un récapitulatif mensuel des alertes de sécurité
      • Plus de la prévention
    • CERT → Computer Emergency Response Team
      • Exercice de crise fait fréquemment (une fois par an) pour tester les processus
      • Diagnostic et plan de continuité d’activité
      • Communiquer, organiser et gestion de la crise
      • Normaliser le retour, et sortie de la crise pour le retour à la normale afin de revenir dans le mode opérationel
    • CERT, SOC, CSIRT sont des équipes internes à l’entreprise
      • Global pour tout le groupe, pas pour chaque section de chaque société
      • 300 personnes liées à la cybersécurité sur 90 000 personnes dans l’entreprise
  • Types de menaces
    • Malwares
    • Intelligence économique
    • Vol d’ordinateur
    • Facteur humain, malveillance volontaire ou involontaire
    • Réglementation, RGPD par exemple
      • Dérogation à la réglementation → 4% du chiffre d’affaire en amende
    • Menaces externes
    • Panne informatique
    • Risque sanitaire
      • Pandémie, etc
  • Menaces
    • Flipper Zéro, JetKVM
  • Protections
    • Politiques et procédures et sensibilisation
    • Sécurité physique (gardiens, verrous, alarmes, etc)
    • Périmètre (parfeux, routeurs externes, vpn, reverse proxy, etc)
    • Réseau interne (filtrage et coisonnement du réseau, IPSec)
    • Hote (consolidation de l’OS, authentification, mises à jour, antivirus)
    • Application (consolidation de l’application, authentification, habilitation)
    • Donnée (chiffrement, partionnement, backups, etc)
  • Contraintes légales et réglementaires
    • NIS2 (réglementation relative à la cybersécurité) et GDPR (réglementation par rapport à la protection des données privées)
    • Contraintes spécifique au secteur
  • Frameworks et normes
    • Bonnes praitque, exemple OWASP, cybersecurity fundamentals
    • Documentation très importante
  • Code review
    • Tiering de développement
    • Test de code
    • Campagne de test d’intrusion
  • BOSCARD
    • Background conetxte
    • Objective résultat à atteindre
    • Scope pérmiètre du projet
    • Contraintes décisions déjà prises, temps et budget
    • Asumptions, hypothèses à considérer pour le design de la solution
    • Risques à ne pas faire le projet → PRINCE2
    • Deliverables → attendu du projet
    • LE tout est validé par le PCB (Process Control Board) dont fait partie le RSSI
  • Suivi du projet à l’aide d’une fiche SSI
    • Security by design, la sécurité pensée dès le début du projet et tout au long de ce dernier
    • Opportunité (BOSCARD)
    • Cadrage, présentation du projet, risques et réponses aux questions et assets
      • Remplir la fiche sur la présentation du projet
    • Lancement de la fiche avec les autres documents du projet
    • Conception les onglets de la fiche et vérifier les différentes mesures à implémenter
    • Réaliser, Compléter la fiche des mesures à implémenter
    • Tester, prevue des mesures implémentées et les audits de sécurités si nécessaire
    • Dépoyer en faisant des audits si nécessaire
    • Transéférer, expliquer la fiche SSI à l’équipe

Graph View

Backlinks

  • No backlinks found