Please enable JavaScript.
Coggle requires JavaScript to display documents.
03 - Mesures de securite, 6 février 2022Mesures de sécurité, menaces -…
03 - Mesures de securite
Vulnérabilités
Complexité croissante des logiciels:
millions de lignes de code
Terminologie ISO/IEC 27000:2018(F)
Vulnérabilité – définition
Vulnérabilité ≠ exposition (‘exposure’)
Vulnérabilité ‘zero-day’
Prévention: gestion des vulnérabilités
Définir l’objectif de temps de réponse
Être alerté des vulnérabilités
Gestion des correctifs
Quand appliquer les correctifs ?
Mises à jour périodiques planifiées
Séparation des environnements
Pourquoi faut-il geler une ‘baseline’ ?
Procédure de mise à jour en urgence
Processus de mise à jour
Procédure de mise à jour en
catastrophe
Sans dispositif de mise à jour
automatique…
Scan de vulnérabilité
Scans de vulnérabilité
Appelé également Dynamic Application
Security Testing (DAST)
Exemple de durcissement du JRE11:
java.security
Common Vulnerability Scoring
System (CVSS) version 3.1
Appelé également Dynamic Application
Security Testing (DAST)
Types de vulnérabilité
Exemple de vulnérabilité due à un
problème de configuration
Durcissement de configuration
‘config hardening’
Pourquoi ne pas exiger TLS 1.3 ?
Guides de durcissement des éditeurs et tiers
Technical State
Compliance Monitoring (TSCM)
Types de vulnérabilité
Scan extérieur ou intérieur
Exemple avec RHEL / CentOS (1/2)
Les vulnérabilités publiques sont
répertoriées sur cve.mitre.org
Score CVSS et chaîne vecteur
Composants de base obligatoires du
score CVSS
Où trouver les scripts ‘exploit’ ?
Sans oublier ce qu’on peut trouver
avec de simples recherches Google
Modélisation des menaces
Intérêt de la modélisation des
menaces
Sécurité du code
Impacts
Gestion des risques
Organisation de la sécurité
Attaques
Sensibilisation des utilisateurs à la sécurité informatique
Éléments d’une politique de sécurité
Modèle du château-fort
6 février 2022Mesures de sécurité
menaces