loader image

Au début du traité De la guerre, Carl Von Clausewitz explique la guerre comme suit :

Je ne commencerai pas par exposer une définition littéraire pédante de la guerre, mais j’entrerai directement dans le vif du sujet, dans le duel. La guerre n’est rien d’autre qu’un duel à plus grande échelle. D’innombrables duels composent la guerre, mais on peut se faire une idée de son ensemble en imaginant une paire de lutteurs. Chacun essaie par la force physique de contraindre l’autre à faire sa volonté ; son but immédiat est de projeter son adversaire afin de le rendre incapable de résister davantage.

La cybersécurité est un domaine vaste et diversifié. Que vous mettiez en place un pare-feu ou que vous créiez une politique de mot de passe, vos actions ont un impact sur tous les niveaux d’une organisation, des techniciens et du service d’assistance au PDG. tous les niveaux d’une organisation, depuis les techniciens et le service d’assistance jusqu’au PDG. La cybersécurité concerne également chaque élément technologique d’une organisation : les téléphones mobiles, les serveurs et même des dispositifs tels que les systèmes de contrôle industriel. Un domaine aussi vaste et profond peut être un peu intimidant lorsqu’on y entre pour la première fois. C’est particulièrement vrai si vous essayez d’apprendre la cybersécurité sans entrer dans le domaine. Par exemple, vous pouvez être un chef de service informatique qui souhaite en savoir plus afin de mieux protéger son organisation. Ce chapitre commence doucement : nous parlerons de ce qu’est et de ce que n’est pas la cybersécurité, ainsi que de la différence entre les hackers “white hat” et “black hat”.

Qu’est-ce que la cybersécurité ?

À la base, la cybersécurité a un objectif principal : identifier les cybermenaces dans une organisation, calculer le risque lié à ces menaces et traiter ces menaces de manière appropriée. Toutes les menaces auxquelles une entreprise est confrontée ne sont pas nécessairement traitées directement par la cybersécurité (par exemple, les pandémies ou les dommages physiques causés à un bâtiment par une tornade ou une inondation). En général, la cybersécurité utilise le modèle de la triade de la CIA pour déterminer les menaces qui relèvent de sa compétence.

La triade CIA comprend trois catégories de sécurité : la confidentialité, l’intégrité et la disponibilité. La confidentialité concerne la manière dont les actifs et les données sont exposés aux personnes ou aux processus, et garantit que seules les personnes censées accéder à une ressource peuvent le faire. L’intégrité garantit que les actifs et les données ne sont pas modifiés sans autorisation appropriée. Cela concerne non seulement des éléments tels que les entrées dans un serveur de base de données, mais aussi l’ajout d’un utilisateur à un réseau, par exemple. La disponibilité garantit que les données ou les actifs sont accessibles en cas de besoin. Pour que le travail se poursuive, vous devez être en mesure d’accéder aux données lorsque cela est nécessaire.

Cette illustration montre les éléments de la triade de la CIA positionnés dans un triangle pour démontrer comment vous pouvez avoir besoin d’équilibrer chacun d’entre eux pour maintenir la fonctionnalité des autres. Par exemple, si vous vous concentrez trop sur la confidentialité, vous risquez de verrouiller considérablement vos actifs de sorte que personne d’autre ne puisse utiliser ces données pour son travail, ce qui crée un problème de disponibilité. De même, en mettant trop l’accent sur l’intégrité, vous perdez la confidentialité, car vous devez être en mesure de lire les données pour vous assurer que rien n’a changé. En équilibrant les trois composantes de la triade, vous pouvez atteindre l’équilibre entre les éléments fondamentaux qui englobent ce que la cybersécurité fait régulièrement.

Certains experts débattent du bien-fondé de l’ajout d’éléments à la triade traditionnelle pour faire face aux nouvelles technologies ou priorités en matière de cybersécurité. Un élément souvent ajouté est la non-répudiation, c’est-à-dire l’idée que lorsqu’une personne ou une entité fait quelque chose, il doit y avoir des preuves spécifiques la liant à cette action, de sorte qu’il lui soit impossible de nier qu’elle l’a fait.

Cybersécurité et vie privée

Ces dernières années, l’accent a été mis sur la relation entre la cybersécurité et la vie privée. Dans ce contexte, la vie privée désigne les droits et les capacité d’une personne à contrôler la manière dont les informations la concernant sont stockées, partagées et utilisées. Bien que le sujet de la vie privée s’étende au-delà de la cybersécurité, la cybersécurité joue toujours un rôle énorme en garantissant que les données d’une personne sont protégées contre toute utilisation malveillante. La cybersécurité est également à l’origine d’un grand nombre de contrôles qui permettent à une entreprise de vérifier l’utilisation qu’elle fait des données et de s’assurer qu’elle respecte toutes les règles et réglementations nécessaires. À l’avenir, la protection de la confidentialité d’un utilisateur fera probablement de plus en plus partie intégrante du domaine de la cybersécurité.

Ce que la cybersécurité n’est pas

Dans un domaine aussi vaste que la cybersécurité, il est inévitable de rencontrer quelques idées fausses sur sa portée. Afin d’atténuer ces idées fausses, il est préférable de discuter de ce que la cybersécurité n’est pas. Cela aidera à définir le domaine et ce que signifie concrètement la cybersécurité.

Premièrement, la cybersécurité n’est pas synonyme de piratage informatique. Les médias voudraient vous faire croire que les professionnels de la cybersécurité ne font que taper sur un clavier pour tenter de pénétrer dans un système. Bien que les tests de pénétration – qui consistent à tenter de pénétrer dans un système que vous êtes autorisé à attaquer, comme le vôtre ou celui d’un client, afin de découvrir les vulnérabilités du point de vue de l’attaquant – fassent partie de la cybersécurité, ils ne constituent qu’une partie du domaine. Une vulnérabilité est une faille dans un système, y compris la façon dont il est configuré ou dont les gens l’utilisent. Par exemple, une erreur dans le code d’un système peut entraîner une vulnérabilité. Les attaquants créent des exploits pour tirer parti des vulnérabilités. Mais ce n’est pas parce que vous ne savez pas comment exécuter un exploit utilisant une faille dans la mémoire d’un ordinateur que vous ne pouvez pas être un expert dans la mise en place et la maintenance des pare-feu. Cela signifie que vous n’avez pas besoin de comprendre le fonctionnement de chaque outil de piratage ou de savoir exactement ce que fait le dernier exploit pour contribuer au secteur de la cybersécurité.

Deuxièmement, la cybersécurité n’est pas un jeu d’interrupteurs. Certaines personnes utilisent le terme de manipulation pour décrire ce qu’elles pensent que les ingénieurs système ou d’autres professionnels de l’informatique font : ils manipulent des interrupteurs ou configurent des systèmes sans comprendre les processus sous-jacents qui permettent à un système de fonctionner. Il est vrai que la configuration d’un système pour le sécuriser est d’une importance vitale pour la cybersécurité. Mais la sécurisation d’un système ne peut pas nécessairement se faire en suivant une liste de contrôle. Il faut examiner l’ensemble du système, en notant comment chaque composant interagit non seulement avec les autres composants, mais aussi avec les autres systèmes, pour comprendre pleinement comment sécuriser un système.
un système. En outre, les professionnels doivent faire preuve de réflexion et d’esprit critique pour savoir comment sécuriser un système dans des situations où il est impossible d’appliquer les meilleures pratiques.

Troisièmement, la cybersécurité ne requiert pas seulement des compétences techniques. Tout aussi importante que les connaissances techniques est la capacité à traduire ces informations en conseils et ressources compréhensibles par tous lorsque les professionnels font des présentations ou rédigent des rapports. Les professionnels de la cybersécurité travaillent avec tous les services d’une organisation, ce qui signifie que leurs compétences en communication interpersonnelle sont essentielles. La seule façon pour votre organisation de devenir plus sûre est que chacun comprenne son rôle dans le maintien de la sécurité, ce qui signifie que vous devez communiquer ce rôle efficacement.

Quand vous pensez au terme “hacker”, vous pensez probablement à quelqu’un qui fait quelque chose de malveillant sur ou avec un ordinateur, comme détruire des fichiers ou déverrouiller les serrures électroniques des portes pour que les voleurs puissent entrer. Si vous pensez ainsi, c’est parce que les médias utilisent généralement le mot “hacker” pour décrire les criminels informatiques. Mais tous les pirates informatiques ne sont pas des adolescents en sweat à capuche qui vivent dans des caves et tapent sur un clavier en écoutant du death metal. En fait, des personnes d’origines et de régions très diverses participent à la criminalité informatique. Le terme “hacker” est également utilisé pour décrire les bons experts en cybersécurité : l’étiquette s’applique à toute personne qui pose des questions et brise des systèmes, qu’il s’agisse d’ordinateurs ou de dispositifs physiques, pour en apprendre davantage sur eux, et pas nécessairement pour commettre des crimes. De nombreuses expressions spécifiques, telles que “bad actor”, “attacker” et “state actor”, désignent les cybercriminels. Mais dans ce livre, je les appellerai les “chapeaux noirs” (ainsi que les attaquants ou les adversaires).

Black Hats vs. White Hats

Comme je viens de le mentionner, les attaquants viennent d’horizons et d’endroits différents, mais ils partagent tous la même intention : utiliser leurs connaissances techniques pour commettre un crime. Ces crimes tournent souvent autour d’un gain financier quelconque, soit directement en volant de l’argent ou en exigeant le paiement d’une rançon, soit indirectement en volant des informations importantes, comme des numéros de sécurité sociale, pour les revendre plus tard. Il est important de noter que tous les adversaires ne cherchent pas à obtenir de l’argent. Ils peuvent être à la recherche d’informations spécifiques ou essayer de perturber un service. Il existe de nombreux arguments sur ce qui constitue un délit en matière d’utilisation malveillante d’un ordinateur. Dans le cadre de cet ouvrage, je considère que toute violation de la loi américaine actuelle sur la fraude et l’abus informatiques correspond à la définition de la cybercriminalité.

De l’autre côté du spectre se trouvent les “white hats”. Ces derniers sont des experts en cybersécurité qui appliquent leurs connaissances techniques à la sécurisation des systèmes. Il s’agit non seulement de personnes qui travaillent pour le service de sécurité d’une entreprise, mais aussi de professionnels indépendants qui effectuent des recherches sur la sécurité, comme l’analyse de logiciels malveillants ou la découverte de vulnérabilités de type “zero-day” (vulnérabilités inédites dans un système ou un logiciel). Ces personnes travaillent sans relâche pour tenter de garder une longueur d’avance sur les “black hats”.

Au milieu, dans une zone grise, se trouvent les chapeaux gris. Les activités d’un chapeau gris ne sont pas nécessairement malveillantes, mais elles ne sont pas honorables non plus. Par exemple, attaquer un système sans autorisation pour trouver des vulnérabilités que vous divulguez ensuite au propriétaire du système est une zone grise, car les chapeaux blancs n’effectuent généralement aucune attaque sans autorisation. Le choix de la zone grise dépend du point de vue de la personne. Si quelqu’un utilise ses compétences pour passer outre un filtre gouvernemental sur l’internet, il peut passer pour un attaquant aux yeux du gouvernement, mais pour un chapeau blanc aux yeux de tous ceux qui essaient d’exercer leur liberté d’expression.

Les types de “Black Hats”

Bien qu’une grande variété de personnes correspondent au rôle d’un black hat, vous pouvez néanmoins les regrouper en catégories. Ces catégories ne se veulent pas exhaustives, mais devraient vous donner une idée générale des motivations qui sous-tendent l’activité des black hat.

Script Kiddies

Les script kiddies sont des adversaires qui n’ont aucune compétence inhérente et suivent des instructions trouvées sur Internet pour exécuter leurs attaques. Ils trouvent généralement des scripts pré-écrits (d’où le nom de script kiddie) conçus pour exécuter un type d’attaque spécifique. Ils saisissent ensuite les informations relatives à leur cible et lancent le script. Traditionnellement, les script kiddies représentent une faible menace pour la plupart des organisations. Les attaques qu’ils utilisent ne sont généralement pas sophistiquées et s’appuient souvent sur des vecteurs d’attaque obsolètes ou faciles à reconnaître. Mais les script kiddies ne doivent pas être pris à la légère. Ce n’est pas parce qu’ils n’ont pas les compétences des black hats d’élite qu’ils ne peuvent pas faire de dégâts s’ils disposent des bons outils.

Les criminels organisés

Un secteur croissant du crime organisé se tourne vers les activités “black hat”, car les services de police gouvernementaux leur coupent leurs autres sources de revenus. Le crime organisé est très efficace pour recruter des personnes ayant des compétences spécialisées. Par conséquent, ces attaquants utilisent les dernières vulnérabilités, créent leurs propres logiciels malveillants et effectuent des recherches approfondies afin d’obtenir d’importantes contreparties financières pour leur travail. Cela en fait des menaces importantes. L’Europe de l’Est et la Russie sont des foyers particuliers pour ce type d’activité.

Les hacktivistes

Un hacktiviste est une personne ou un groupe qui utilise ses compétences en matière de piratage informatique à des fins politiques. Ils essaient généralement de défigurer ou de perturber des services plutôt que de voler des données ou de l’argent. Par exemple, un groupe d’hacktivistes peut prendre possession du compte Twitter d’une entreprise avec laquelle il n’est pas d’accord et l’utiliser pour écrire des messages terribles afin de salir la réputation de l’entreprise ou de promouvoir son propre programme. L’un des groupes d’hacktivistes les plus légendaires est Anonymous, qui s’en prend généralement à des gouvernements ou à d’autres organisations qu’il considère comme autoritaires par nature. Il a fait tomber des sites Web et publié des documents ayant fait l’objet de fuites, entre autres activités (bien qu’il soit difficile de savoir exactement ce que le groupe a accompli, car n’importe qui peut prétendre en être membre). Les hacktivistes peuvent représenter une menace importante pour les organisations et sont généralement plus compétents que les script kiddies.

Acteur étatique

Un acteur étatique est un black hat qui travaille pour un gouvernement. Pour beaucoup, ces agents opèrent dans une zone grise, car la légitimité de leurs actions peut sembler varier en fonction du gouvernement pour lequel ils travaillent. Néanmoins, les acteurs étatiques utilisent les mêmes techniques que les autres attaquants, et leurs attaques peuvent causer des dommages importants. Les acteurs étatiques cherchent généralement à voler des informations exclusives pour aider leur pays ou à perturber des services pour nuire à un pays étranger. La Chine, la Corée du Nord, l’Iran, La Chine, la Corée du Nord, l’Iran et la Russie ont mis en place de solides programmes liés à plusieurs campagnes de black hat majeures, notamment des intrusions chez Sony pour voler des documents internes sensibles et des perturbations des élections dans le monde entier. et la perturbation d’élections dans le monde entier. Les acteurs étatiques présentent certains des risques les plus élevés, car ils sont bien financés et disposent des dernières technologies et formations.

Menaces persistantes évoluées

Un terme plus récent, une menace persistante avancée (APT), décrit une attaque qui reste cachée pendant une période prolongée, s’enfonçant lentement dans le système cible jusqu’à ce qu’elle atteigne ses objectifs. À l’origine, les acteurs étatiques étaient les seuls types d’adversaires disposant des ressources et de l’expertise nécessaires pour mener ce type d’attaque. Mais ces dernières années, plusieurs groupes non gouvernementaux ont été en mesure d’exécuter des opérations similaires. Les APT sont extrêmement dangereux, car il est difficile de savoir où ils se trouvent dans votre organisation, à quoi ils peuvent avoir accès ou qui ils ont compromis. Les motivations des APT vont du vol de données ciblé à la simple demande de rançon.

Types de White hats

Tout comme les black hats, les white hats remplissent une grande variété de rôles nécessaires à la réussite d’un programme de cybersécurité. La cybersécurité n’est pas un monolithe ; elle couvre une multitude de domaines et de champs d’expertise, et il est extrêmement difficile pour une seule personne de s’en charger seule. Il est extrêmement difficile pour une seule personne de s’en occuper seule. Les organisations qui n’ont pas les moyens de se doter d’une équipe de sécurité dédiée devraient envisager de faire appel à une aide extérieure pour compléter leur propre personnel informatique interne et fournir des conseils si nécessaire.

Les sections suivantes présentent les différents postes de “white hat” ainsi qu’une brève description des tâches typiques de chaque poste. Cette liste n’est en aucun cas exhaustive et ne doit pas être considérée comme standard, car certaines organisations peuvent avoir des besoins différents ou des idées divergentes sur la place d’un poste dans leur structure interne. Cela dit, cette liste devrait vous donner une bonne idée des types de postes qui existent et des compétences nécessaires pour occuper des rôles spécifiques. Notez également que je ne mentionne aucun diplôme. La raison en est que la plupart des rôles dans le domaine de la cybersécurité ne requièrent pas de diplôme spécifique ; ils reposent plutôt sur les connaissances et l’expérience (qui peuvent toutes deux être accumulées ailleurs). J’ai rencontré des experts titulaires de diplômes avancés en cybersécurité et d’autres qui avaient une maîtrise en histoire militaire. Malgré tout, il peut être plus long d’acquérir les connaissances et l’expérience nécessaires sans diplôme.

Analystes en centres d’opérations de cybersécurité/sécurité

L’analyste en cybersécurité est un poste de premier échelon dont la tâche consiste à gérer et à surveiller les alertes provenant de divers outils ou dispositifs de cybersécurité. Sa tâche principale consiste à trouver tout ce qui semble suspect et à l’envoyer en haut de la chaîne pour une analyse plus approfondie si nécessaire. Souvent, ces rôles sont liés à un centre d’opérations de sécurité (SOC), une installation où les systèmes regroupent et surveillent les alertes provenant de toute une organisation.
Les analystes sont les premiers à réagir à de nombreux incidents de sécurité, car ce sont eux qui reçoivent les alertes ou qui contactent directement les utilisateurs finaux. Ces emplois exigent généralement une solide formation en informatique.
est bénéfique, mais elle n’est pas toujours requise. Pour réussir dans ce poste, une personne doit avoir une solide compréhension de la mise en réseau ou de l’administration système, avoir le souci du détail, de la patience et des compétences en matière de résolution de problèmes et de gestion des tâches.

Consultants en cybersécurité

Les consultants en cybersécurité fournissent un large éventail de services et doivent posséder une expérience approfondie en matière de sécurité. Ils sont essentiellement chargés de fournir une expertise en matière de sécurité à une organisation, quelle que soit la tâche ou le problème auquel elle est confrontée. l’organisation. Cela inclut des questions telles que la création de politiques, les contrôles de sécurité des systèmes, la réponse aux incidents, la formation et la sensibilisation, ainsi que des conseils généraux en matière de sécurité. Les consultants doivent avoir une compréhension approfondie des principes généraux de la sécurité et ont généralement une connaissance de base de la plupart des systèmes d’exploitation, des logiciels ou des dispositifs matériels spécifiques. La pensée critique, la résolution de problèmes, d’excellentes compétences verbales et écrites et des compétences en gestion des tâches sont essentielles pour ce poste.

Architectes en cybersécurité

Nous pensons généralement qu’un architecte est une personne qui conçoit des bâtiments. Un architecte en cybersécurité a un travail similaire, mais au lieu de concevoir des bâtiments, il conçoit la sécurité. Il est chargé de créer des contrôles de sécurité pour les environnements plutôt que de mettre en œuvre ou de gérer les contrôles existants. Cela signifie qu’il doit avoir une compréhension complète du fonctionnement des contrôles de sécurité et de l’environnement sur lequel il travaille. de l’environnement avec lequel ils travaillent, ainsi que de la manière dont cet environnement et les contrôles qu’il contient interagissent au cours du déroulement normal des opérations. Par exemple, un architecte de sécurité réseau conçoit les contrôles de sécurité qui protègent un environnement réseau particulier, en tenant compte des dispositifs de sécurité nécessaires, de la manière dont les informations circulent sur le réseau et de tous les contrôles de sécurité réseau nécessaires sur les systèmes individuels.

Si vous pensez qu’il s’agit d’une tâche importante et complexe, vous avez raison. Les architectes de la cybersécurité doivent avoir une grande expérience dans leur domaine d’expertise particulier, comme les réseaux ou les bases de données, en plus d’une solide formation en sécurité. Comprendre les contrôles dont un flux de travail a besoin et la manière dont ces contrôles peuvent avoir des interactions négatives avec d’autres parties d’un environnement exige un esprit critique de haut niveau et des compétences en matière de résolution de problèmes. Les architectes doivent également travailler avec des équipes diverses qui couvrent tous les aspects de l’informatique. Les architectes doivent également travailler avec des équipes diverses qui couvrent tous les aspects de l’informatique, et doivent donc affiner leurs compétences en matière de communication écrite et verbale. En outre, les architectes travaillent souvent dans le cadre d’un calendrier de production, ce qui signifie qu’ils doivent être efficaces mais diligents dans leur travail.

Responsables de la sécurité de l’information

Les organisations ont généralement un groupe de personnes chargées de gérer toutes les opérations. Ces personnes portent des titres tels que directeur général (CEO), directeur financier (CFO) ou directeur de l’information (CIO). Dans le secteur de la sécurité, le poste comparable est celui de responsable de la sécurité des informations (CISO). Le CISO supervise toutes les opérations de sécurité au sein d’une organisation :

Il prend des décisions générales sur la manière dont l’organisation doit gérer sa sécurité et sur les projets ou les ressources dont l’entreprise a besoin pour s’assurer qu’elle maintient un niveau de sécurité adéquat pour les menaces auxquelles elle est confrontée. Le CISO doit avoir une connaissance approfondie de la sécurité, mais ce qui le distingue de la plupart des professionnels de la sécurité, ce sont ses autres compétences. Pour être CISO, vous devez posséder d’excellentes compétences en gestion de projet et une expérience de la budgétisation. Vous devez également être capable de communiquer avec votre équipe et d’autres dirigeants pour expliquer les objectifs et la mission de l’organisation, ainsi que la manière dont la sécurité s’y rattache. Les RSSI passent une bonne partie de leur temps en tant que gestionnaires, que ce soit au niveau du personnel, des budgets ou des risques. La gestion des risques exige que vous identifiiez une menace, l’impact de cette menace sur l’organisation, la probabilité que cette menace se réalise et ce que vous pouvez faire pour l’atténuer (le chapitre 10 traite en profondeur de la gestion des risques). En tant que responsable de la sécurité de votre organisation, de solides compétences en matière de leadership sont également indispensables.

Même les petites organisations ont besoin d’un CISO. La présence d’une personne dans ce rôle, qu’il s’agisse d’un emploi à temps plein ou d’une partie des autres tâches qu’elle accomplit, fait partie intégrante de la mise en place et du maintien de la sécurité. Les petites organisations peuvent envisager de faire appel à un consultant pour fournir des conseils de niveau CISO à temps partiel.

Intervenants en cas d’incident

Un incident est tout ce qui peut arriver de grave à une organisation : par exemple, un compte est compromis, des données sont perdues ou détruites, ou un logiciel malveillant a infecté un système. un système. Les intervenants en cas d’incident sont les personnes qui réagissent lorsqu’un incident se produit. Leur tâche principale consiste à mener une enquête initiale, à préserver les informations et les preuves, à empêcher l’incident de se propager et à restaurer les systèmes affectés aussi rapidement que possible. Vous pouvez comparer un intervenant sur incident à un para-médecin. Les paramédicaux stabilisent une personne blessée et déterminent comment elle a été blessée afin que le médecin puisse la soigner complètement. Les intervenants en cas d’incident sont un peu semblables : ils ne mènent pas d’enquête complète sur ce qui s’est passé. Cette tâche est laissée aux experts médico-légaux, que nous examinerons sous peu.

En revanche, ils stabilisent les systèmes où l’incident s’est produit afin de s’assurer que l’attaque ne se propage pas à l’ensemble de l’environnement. Par exemple, ils peuvent retirer un système du réseau pour arrêter la propagation d’un logiciel malveillant. Les intervenants recueillent et conservent ensuite les preuves de l’incident. Cela signifie qu’ils vérifient les journaux, les copies des systèmes, les sauvegardes et toutes les autres informations qu’ils peuvent trouver. Une fois qu’ils ont rassemblé toutes les données et que l’incident est maîtrisé, ils travaillent à la restauration de l’environnement.

Il peut s’agir, par exemple, d’effacer un système pour supprimer toute trace de logiciel malveillant. Les intervenants en cas d’incident doivent travailler rapidement mais méthodiquement. Ils doivent avoir la tête froide sous la pression. Ils doivent faire preuve d’esprit critique et être capables de raisonner chaque action pour s’assurer qu’ils n’aggravent pas l’incident ou ne détruisent pas de preuves. Les intervenants en cas d’incident ont généralement une solide formation en sécurité, mais ils ont souvent besoin d’une formation supplémentaire sur des techniques spécifiques de réponse aux incidents. Les intervenants travaillent généralement au sein d’une grande équipe. Souvent, ils sont appelés à fournir une expertise système spécifique à cette équipe ; par exemple, ils peuvent avoir une compréhension approfondie des systèmes d’exploitation Linux.

Gestionnaires en matière de vulnérabilité et chasseurs de menaces

Alors que la réponse aux incidents consiste à réagir à un événement nuisible, la gestion des vulnérabilités tente de prévenir les événements indésirables avant qu’ils ne se produisent. Les gestionnaires de vulnérabilités recherchent les failles de sécurité dans les systèmes et tentent de les corriger.
de les corriger. Il s’agit d’un processus constant, car les systèmes évoluent en permanence et développent donc de nouvelles vulnérabilités. Un gestionnaire de vulnérabilités doit faire preuve de patience et de diligence, et ne négliger aucun détail pour s’assurer de ne laisser aucune vulnérabilité non découverte.

Les chasseurs de menaces ont un travail similaire, mais ils opèrent à une échelle plus profonde, en tentant de corréler les événements survenant dans l’ensemble d’une organisation pour détecter les menaces possibles. Ils recherchent souvent des activités black hat avancées, telles que celles menées par une APT et qui ne sont normalement pas identifiées par les alertes habituelles. Les chasseurs de menaces doivent posséder des connaissances approfondies en matière de sécurité, un sens du détail et un excellent esprit critique. Ils doivent également posséder de bonnes capacités de communication verbale et écrite pour informer tous les membres de l’organisation des menaces qu’ils détectent.

Analystes en criminalistique informatique

Une fois qu’un incident a eu lieu et que les intervenants ont terminé leur travail, l’analyse judiciaire de l’incident commence. L’analyse criminalistique informatique est le processus de récupération et d’analyse des preuves liées à un incident.

Les analystes en informatique légale peuvent faire partie de l’équipe de réponse à l’incident, mais il s’agit souvent d’un groupe distinct qui prend en charge l’enquête après que la menace a été contenue. Ces analystes effectuent une enquête approfondie et détaillée sur les preuves recueillies. Ils examinent non seulement les éléments tels que les journaux, mais aussi les processus exécutés sur un système, ce qui a été chargé en mémoire pendant l’incident, et même le code logiciel individuel. Cela exige une formation extrêmement technique et une connaissance approfondie du fonctionnement interne du code informatique. Les analystes en informatique légale utilisent une variété d’outils spécialisés qui nécessitent une formation et de la pratique pour les utiliser efficacement. formation et de la pratique pour les utiliser efficacement. Ils doivent faire preuve d’un grand souci du détail et d’une bonne capacité de communication pour transmettre leurs conclusions dans un langage accessible aux non-techniciens.

Testeurs d’intrusion

La quintessence du rôle de la plupart des personnes ayant une expertise en cybersécurité est celle de testeur de pénétration. Ils essaient de s’introduire dans un système comme s’ils étaient des black hats pour découvrir les failles et les vulnérabilités du système. Le test de pénétration est en fait un domaine mineur qui nécessite une formation poussée pour réussir.

Les testeurs de pénétration doivent posséder de solides compétences techniques, car ils doivent comprendre les concepts de sécurité et les types de techniques utilisées par les attaquants. Cela exige une formation et une pratique constantes. Les testeurs de pénétration s’appuient sur une variété d’outils pour attaquer les systèmes, chacun d’entre eux s’accompagnant de son propre ensemble de compétences. Il est également essentiel qu’ils conservent une documentation méticuleuse afin de fournir des preuves de leurs actions au client : en fin de compte, s’introduire dans un système n’a aucune importance si vous ne pouvez pas expliquer comment vous l’avez fait.

En savoir plus sur la cybersécurité et les menaces

Pour mieux comprendre la cybersécurité, il est utile de s’impliquer dans la communauté. La meilleure façon de le faire est de s’inscrire à des bulletins d’information et à des alertes. Les sections suivantes fournissent une liste de certains des meilleurs flux disponibles pour vous aider à démarrer. En parcourant ces ressources, essayez de répondre à ces questions : Quels types de menaces sont les plus courants ? Comment les différentes sources classent-elles ces menaces ? Quels conseils communs pouvez-vous trouver dans les différentes ressources pour prévenir les attaques ? Quels types de termes de recherche pouvez-vous utiliser pour trouver d’autres ressources ?

Ressources gouvernementales

Flux de menace

  • Multi-State Information Sharing and Analysis Center (MS-ISAC) : Ce site fournit des alertes sur les vulnérabilités critiques et d’autres informations relatives à la cybersécurité.
  • InfraGard : Ce programme fournit aux organisations nationales et étatiques des renseignements sur les menaces ainsi que d’autres services, notamment des formations.
  • SANS Internet Storm Center : Ce site fournit des mises à jour sur les vulnérabilités de sécurité et des articles de blog sur divers sujets de sécurité.

Blogs sur la cybersécurité

  • Krebs on Security : Rédigé par l’expert en sécurité Brian Krebs, ce site propose de nombreux articles informatifs sur les menaces actuelles et les autres tendances en matière de cybersécurité.
  • Threatpost : ce site propose des articles sur les dernières vulnérabilités et menaces exploitées.
  • FireEye : ce site contient des informations sur les menaces, des histoires du secteur et d’autres articles intéressants sur la cybersécurité.

La cybersécurité peut être un domaine intimidant à aborder. Cependant, face à une grande variété d’attaquants et de menaces, les organisations ont plus que jamais besoin de professionnels de la cybersécurité si elles veulent préserver leur sécurité. Ce chapitre vous a présenté ce qu’est la cybersécurité et les menaces qui existent. Le reste de l’ouvrage vous guidera à travers le domaine de la cybersécurité et les menaces que vous pourriez rencontrer, que vous soyez un manager, un informaticien de longue date se tournant vers un nouveau domaine ou une personne entrant tout juste dans le monde professionnel.