B3.1 - Fondamentaux de la Cybersécurité
Risques, menaces et méthode EBIOS - BTS SIO
🔐 Les fondamentaux de la cybersécurité
Cybersécurité
La cybersécurité est l'ensemble des technologies, processus et pratiques conçus pour protéger les réseaux, appareils, programmes et données contre les attaques, dommages ou accès non autorisés.
🔐 Les trois piliers de la sécurité informatique
Confidentialité
Garantir que l'information n'est accessible qu'aux personnes autorisées. Protection contre la divulgation non autorisée.
Intégrité
Assurer que l'information n'a pas été modifiée de manière non autorisée. Protection contre l'altération des données.
Disponibilité
Garantir l'accès aux informations et services quand ils sont nécessaires. Protection contre les interruptions de service.
⚠️ Risques et menaces
Distinction fondamentale
Risque : Probabilité qu'une menace exploite une vulnérabilité et cause un dommage
Menace : Cause potentielle d'un incident indésirable
Vulnérabilité : Faiblesse qui peut être exploitée par une menace
Menace : Cause potentielle d'un incident indésirable
Vulnérabilité : Faiblesse qui peut être exploitée par une menace
Types de menaces
🎭 Menaces humaines
- Attaquants externes (hackers)
- Employés malveillants
- Erreurs humaines
- Ingénierie sociale
💻 Menaces techniques
- Malwares (virus, trojans)
- Failles logicielles
- Attaques réseau
- Défaillances système
🌍 Menaces environnementales
- Catastrophes naturelles
- Pannes électriques
- Incendies
- Dégâts des eaux
⚖️ Menaces légales
- Non-conformité RGPD
- Violations contractuelles
- Sanctions réglementaires
- Litiges juridiques
💡 Fait important : 95% des cyberattaques réussies sont dues à une erreur humaine. La sensibilisation des utilisateurs est donc cruciale.
📚 Points de cours essentiels
🌍 Axe 1 - Les enjeux de la cybersécurité
La cybersécurité est un enjeu majeur pour les entreprises car une attaque peut avoir des conséquences graves :
💰 Conséquences financières
- Perte d'argent directe
- Paiement de rançons
- Perte de clients et de revenus
- Coûts de remédiation et de récupération
- Arrêt de production
- Frais juridiques et d'expertise
📉 Conséquences réputationnelles
- Perte de confiance des utilisateurs
- Détérioration de l'image de marque
- Impact sur les partenaires commerciaux
- Couverture médiatique négative
- Perte de compétitivité
- Difficultés de recrutement
⚖️ Conséquences juridiques
- Sanctions RGPD (jusqu'à 4% du CA)
- Poursuites judiciaires
- Amendes réglementaires
- Responsabilité civile et pénale
- Obligations de notification
- Audits et contrôles renforcés
👉 Exemple concret : En 2017, l'attaque WannaCry a paralysé des hôpitaux en Europe et a coûté des millions d'euros. Le NHS britannique a estimé ses pertes à plus de 100 millions d'euros.
⚖️ Axe 2 - Le cadre légal et normatif
Pour protéger les données, les entreprises doivent respecter un cadre légal et normatif strict :
🇪🇺 RGPD (Règlement Général sur la Protection des Données)
Règlement européen qui protège les données personnelles
- Consentement explicite et éclairé
- Droit à l'oubli et à la portabilité
- Notification des violations sous 72h
- Amendes jusqu'à 4% du CA mondial
- Désignation d'un DPO si nécessaire
- Privacy by design
🇫🇷 ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)
Organisme français qui définit les bonnes pratiques de sécurité
- Guides de sécurité sectoriels
- Certification des produits de sécurité
- Veille sur les menaces cyber
- Formation et sensibilisation
- Réponse aux incidents majeurs
- Référentiels de sécurité
🌐 ISO 27001
Norme internationale pour gérer la sécurité des systèmes d'information
- Système de management de la sécurité
- Analyse des risques obligatoire
- Amélioration continue (PDCA)
- Certification par tierce partie
- 114 mesures de sécurité
- Audits réguliers
💥 Axe 3 - Exemples d'attaques
Quelques attaques courantes à connaître absolument :
🎣 Phishing (Hameçonnage)
Mails frauduleux qui volent vos identifiants
- Usurpation d'identité d'organismes connus
- Sites web factices (spoofing)
- Vol de credentials et données sensibles
- Ingénierie sociale sophistiquée
- Spear phishing (ciblé)
- Taux de réussite : 30% des utilisateurs
🔒 Ransomware (Rançongiciel)
Virus qui bloque les fichiers et demande une rançon
- Chiffrement des données critiques
- Demande de rançon en cryptomonnaie
- Propagation réseau (mouvement latéral)
- Paralysie totale de l'activité
- Double extorsion (vol + chiffrement)
- Coût moyen : 4,5 millions d'euros
🌊 DDoS (Déni de Service Distribué)
Attaque qui rend un service inaccessible
- Saturation des serveurs et bande passante
- Déni de service pour les utilisateurs légitimes
- Réseaux de bots (botnets)
- Impact direct sur la disponibilité
- Attaques volumétriques ou applicatives
- Durée moyenne : 4 heures
💉 Injection SQL
Attaque qui permet d'accéder aux bases de données
- Exploitation des formulaires web
- Accès non autorisé aux données
- Modification ou suppression de données
- Escalade de privilèges
- Contournement de l'authentification
- Impact : vol de données massif
📊 Axe 4 - Calcul du risque (détaillé)
Formule fondamentale du risque
Risque = Probabilité × Impact × Vulnérabilité
Version simplifiée : Risque = Probabilité × Impact
Version simplifiée : Risque = Probabilité × Impact
📈 Évaluation de la Probabilité
Échelle de Probabilité
- Très faible (1) : < 5% - Événement exceptionnel
- Faible (2) : 5-25% - Événement rare
- Moyenne (3) : 25-75% - Événement possible
- Élevée (4) : 75-95% - Événement probable
- Très élevée (5) : > 95% - Événement quasi certain
Facteurs influençant la probabilité
- Historique des incidents
- Niveau de menace sectoriel
- Attractivité de la cible
- Mesures de protection en place
- Contexte géopolitique
- Vulnérabilités connues
💥 Évaluation de l'Impact
Échelle d'Impact
- Négligeable (1) : < 10k€ - Impact minimal
- Mineur (2) : 10k-100k€ - Impact limité
- Majeur (3) : 100k-1M€ - Impact significatif
- Critique (4) : 1M-10M€ - Impact grave
- Catastrophique (5) : > 10M€ - Impact majeur
Types d'impacts à évaluer
- Financier : Pertes directes et indirectes
- Opérationnel : Arrêt d'activité
- Réputationnel : Image de marque
- Juridique : Sanctions et amendes
- Humain : Sécurité des personnes
- Stratégique : Avantage concurrentiel
🧮 Matrice de Risque
Impact →
Probabilité ↓
Probabilité ↓
Négligeable
Mineur
Majeur
Critique
Très faible
FAIBLE
(1×1=1)
(1×1=1)
FAIBLE
(1×2=2)
(1×2=2)
MOYEN
(1×3=3)
(1×3=3)
MOYEN
(1×4=4)
(1×4=4)
Faible
FAIBLE
(2×1=2)
(2×1=2)
MOYEN
(2×2=4)
(2×2=4)
MOYEN
(2×3=6)
(2×3=6)
ÉLEVÉ
(2×4=8)
(2×4=8)
Moyenne
MOYEN
(3×1=3)
(3×1=3)
MOYEN
(3×2=6)
(3×2=6)
ÉLEVÉ
(3×3=9)
(3×3=9)
ÉLEVÉ
(3×4=12)
(3×4=12)
Élevée
MOYEN
(4×1=4)
(4×1=4)
ÉLEVÉ
(4×2=8)
(4×2=8)
ÉLEVÉ
(4×3=12)
(4×3=12)
CRITIQUE
(4×4=16)
(4×4=16)
🎯 Exemple de calcul détaillé
📋 Scénario : Attaque ransomware sur une PME de 50 employés
🔍 Analyse des composants :
• Menace : Groupe de cybercriminels spécialisé en ransomware
• Vulnérabilité : Absence de sauvegarde hors ligne + utilisateurs non sensibilisés
• Actif : Système d'information complet (serveurs, postes, données)
📊 Évaluation :
• Probabilité : Élevée (4/5) - Secteur ciblé, vulnérabilités connues
• Impact financier : Critique (4/5) - 500k€ (arrêt 2 semaines + rançon + remédiation)
• Impact réputationnel : Majeur (3/5) - Perte de confiance clients
• Impact opérationnel : Critique (4/5) - Arrêt total d'activité
🧮 Calcul du risque :
Risque = 4 × 4 = 16 → CRITIQUE
⚡ Actions prioritaires :
1. Mise en place de sauvegardes 3-2-1
2. Formation anti-phishing des utilisateurs
3. Segmentation réseau
4. Plan de continuité d'activité
🔍 Analyse des composants :
• Menace : Groupe de cybercriminels spécialisé en ransomware
• Vulnérabilité : Absence de sauvegarde hors ligne + utilisateurs non sensibilisés
• Actif : Système d'information complet (serveurs, postes, données)
📊 Évaluation :
• Probabilité : Élevée (4/5) - Secteur ciblé, vulnérabilités connues
• Impact financier : Critique (4/5) - 500k€ (arrêt 2 semaines + rançon + remédiation)
• Impact réputationnel : Majeur (3/5) - Perte de confiance clients
• Impact opérationnel : Critique (4/5) - Arrêt total d'activité
🧮 Calcul du risque :
Risque = 4 × 4 = 16 → CRITIQUE
⚡ Actions prioritaires :
1. Mise en place de sauvegardes 3-2-1
2. Formation anti-phishing des utilisateurs
3. Segmentation réseau
4. Plan de continuité d'activité
🔎 Axe 5 - Introduction à la méthode EBIOS
EBIOS Risk Manager est une méthode française d'analyse des risques développée par l'ANSSI. Elle permet une approche structurée et complète de l'évaluation des risques cyber.
🎯 Atelier 1 : Définir le contexte
Objectif : Quels actifs protéger ?• Identifier les biens essentiels (données, processus, fonctions)
• Cartographier les biens supports (matériels, logiciels, réseaux)
• Définir le périmètre d'étude
• Identifier les parties prenantes
⚠️ Atelier 2 : Identifier les événements redoutés
Objectif : Quels sont les impacts que l'on veut éviter ?• Définir les événements redoutés sur les biens essentiels
• Évaluer les impacts potentiels
• Prioriser selon la gravité
• Établir les seuils d'acceptabilité
🎭 Atelier 3 : Étudier les scénarios de menace
Objectif : Comment les attaquants peuvent-ils procéder ?• Identifier les sources de menaces
• Analyser leurs motivations et capacités
• Modéliser les scénarios d'attaque
• Évaluer la vraisemblance des scénarios
🛡️ Atelier 4 : Identifier les mesures de sécurité
Objectif : Quelles protections sont déjà en place ?• Inventorier les mesures existantes
• Évaluer leur efficacité
• Identifier les lacunes
• Proposer des mesures complémentaires
📈 Atelier 5 : Évaluer le risque et proposer des solutions
Objectif : Calculer le risque résiduel et définir un plan d'action• Calculer les risques résiduels
• Comparer aux seuils d'acceptabilité
• Proposer un plan de traitement
• Planifier la mise en œuvre et le suivi
✅ Axe 6 - Bonnes pratiques essentielles
Quelques gestes simples mais cruciaux pour renforcer la sécurité de votre organisation :
🔄 Mises à jour et correctifs
- Mettre à jour régulièrement les logiciels et systèmes
- Appliquer les correctifs de sécurité en priorité
- Maintenir un inventaire des versions
- Automatiser les mises à jour quand possible
- Tester avant déploiement en production
- Planifier les fenêtres de maintenance
🔐 Authentification forte
- Utiliser des mots de passe forts et uniques
- Activer l'authentification à deux facteurs (MFA)
- Déployer un gestionnaire de mots de passe
- Renouveler régulièrement les credentials
- Implémenter l'authentification unique (SSO)
- Surveiller les tentatives de connexion
💾 Sauvegardes et restauration
- Sauvegarder régulièrement les données critiques
- Appliquer la règle 3-2-1 (3 copies, 2 supports, 1 hors site)
- Tester régulièrement les restaurations
- Chiffrer les sauvegardes
- Automatiser les processus
- Documenter les procédures
👥 Sensibilisation et formation
- Former les utilisateurs au phishing
- Organiser des campagnes de sensibilisation
- Réaliser des simulations d'attaques
- Développer une culture de la sécurité
- Mettre à jour régulièrement les formations
- Mesurer l'efficacité des actions
🔒 Principe du moindre privilège
- Ne donner que les droits strictement nécessaires
- Réviser régulièrement les accès
- Séparer les environnements (dev/test/prod)
- Implémenter un contrôle d'accès strict
- Surveiller les activités privilégiées
- Automatiser la gestion des droits
🔍 Surveillance et détection
- Déployer des outils de monitoring
- Analyser les logs de sécurité
- Mettre en place des alertes
- Effectuer des audits réguliers
- Utiliser l'intelligence artificielle
- Maintenir une veille sur les menaces