Grâce aux progrès technologiques, de nombreux appareils sont utilisés au quotidien pour interconnecter les utilisateurs du monde entier. Cependant, avec cette connectivité accrue, le risque de vols, de fraudes et d'infractions augmente par exploitation des faiblesses de l'infrastructure technologique. Cet article divise l'infrastructure de technologie de l'information en sept domaines. Chaque domaine nécessite des contrôles de sécurité appropriés pour répondre aux exigences de la triade CID.
Cet article aborde la législation qui concerne les exigences dans les domaines de la technologie et de la cyber sécurité. Nombre de ces lois portent sur divers types de données que l'on trouve dans divers secteurs industriels et sur les concepts de confidentialité et de sécurité de l'information. Plusieurs agences du gouvernement des États-Unis réglementent la conformité d'une entreprise avec ces types de lois. Le spécialiste de la cyber sécurité doit comprendre comment la loi et les intérêts de l'entreprise contribuent à guider ses décisions en matière d'éthique. La cyber éthique étudie les effets de l'utilisation d'ordinateurs et de la technologie sur les individus et sur la société.
Les entreprises emploient des spécialistes de la cyber sécurité pour pourvoir différents postes : testeurs d'intrusions (pen testeurs), analystes de sécurité et autres professionnels de la sécurité du réseau. Ces spécialistes de la cyber sécurité contribuent à la protection des données personnelles et sécurisent l'utilisation des services réseau. Cet article décrit les étapes à suivre pour devenir un spécialiste de la cyber sécurité. Enfin, il aborde différents outils accessibles au spécialiste de la cyber sécurité.
Les menaces et les vulnérabilités les plus fréquentes
Le domaine de l'utilisateur englobe les utilisateurs qui ont accès au système d'information de l'entreprise. Les utilisateurs peuvent être des collaborateurs, des clients, des sous-traitants et toute autre personne qui a besoin d'accéder aux données. Les utilisateurs sont souvent le maillon faible des systèmes de sécurité de l'information et représentent une réelle menace pour la confidentialité, l'intégrité et la disponibilité des données de l'entreprise.
Bien souvent, les utilisateurs adoptent des comportements risqués ou peu sécurisés qui peuvent affaiblir le meilleur système de sécurité. Voici les menaces auxquelles doivent faire face de nombreuses entreprises :
Aucune solution technique, aucun contrôle et aucune contre-mesure ne permettent de mieux sécuriser les systèmes d'information que l'adoption de comportements et de processus appropriés par les personnes qui les utilisent.
Gérer les menaces provenant des utilisateurs
Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces liées aux utilisateurs :
Les menaces fréquentes concernant le matériel
Le terme périphérique fait référence à tout ordinateur de bureau, ordinateur portable, tablette ou smartphone qui se connecte au réseau.
Les éléments suivants illustrent les menaces pour ces appareils :
Gestion des menaces pour les équipements
Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces visant les appareils :
Les menaces fréquentes visant le réseau local (LAN)
Un réseau local rassemble des appareils interconnectés par le biais de câbles ou d'ondes radio. Le domaine du réseau LAN nécessite des contrôles d'accès stricts et une sécurité renforcée, dans la mesure où les utilisateurs peuvent accéder aux systèmes, aux applications et aux données de l'entreprise par ce biais.
Les éléments suivants présentent une menace pour le réseau local :
Gestion des menaces visant le réseau local
Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces visant le réseau local :
Menaces fréquentes visant le cloud privé
Le domaine du cloud privé comprend l'infrastructure informatique, les ressources et les serveurs privés accessibles aux membres d'une entreprise via Internet.
Les éléments suivants présentent une menace pour le cloud privé :
Gestion des menaces visant le cloud privé
Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces visant le cloud privé :
Menaces fréquentes visant le cloud public
Le domaine du cloud public comprend les services hébergés par un fournisseur cloud, un opérateur télécom ou un fournisseur d'accès à Internet. Même si les fournisseurs du cloud implémentent des contrôles de sécurité pour protéger celui-ci, c'est aux entreprises de protéger leurs ressources dans le cloud. Les entreprises ont le choix entre trois modèles de service différents :
Les éléments suivants présentent une menace pour le cloud public :
Gestion des menaces visant le cloud public
Les entreprises peuvent mettre en place diverses mesures pour gérer les attaques qui menacent leurs installations physiques :
Menaces fréquentes visant les installations physiques
Le domaine des installations physiques comprend tous les services utilisés par une entreprise dont le système de chauffage, de ventilation et de climatisation (CVC), l'eau et la détection d'incendie. Ce domaine comprend également les mesures de sécurité mises en œuvre pour protéger physiquement l'installation.
Les événements suivants présentent une menace pour les installations de l'entreprise :
Gestion des menaces visant les installations physiques
Les entreprises peuvent mettre en place diverses mesures pour gérer les attaques qui menacent leurs installations physiques :
Menaces fréquentes visant les applications
Le domaine des applications regroupe l'ensemble des systèmes, applications et systèmes critiques. Il comprend, en outre, le matériel et toute la conception logique nécessaire. Les entreprises font migrer des applications telles que la messagerie, les activités de sécurité et la gestion de bases de données vers le cloud public.
Les éléments suivants présentent une menace pour les applications :
Gestion des menaces visant les applications
Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces visant le domaine des applications :
L'éthique est la petite voix intérieure qui guide un spécialiste de la cyber sécurité pour savoir ce qu'il doit faire ou pas, que cela soit légal ou non. L'entreprise confie au spécialiste de la cyber sécurité les données et ressources les plus sensibles. Le spécialiste de la cyber sécurité doit comprendre comment la loi et les intérêts de l'entreprise contribuent à guider ses décisions en matière d'éthique.
Les cybercriminels qui pénètrent dans un système par effraction, volent des numéros de carte de crédit ou libèrent un ver se rendent coupables d'actes contraires à l'éthique. Comment une entreprise perçoit-elle les agissements d'un spécialiste de la cyber sécurité qui adopte le même modus operandi qu'un cybercriminel ? Il se peut, par exemple, qu'un spécialiste de la cyber sécurité puisse stopper la propagation d'un ver en lui appliquant un correctif de manière anticipée. En réalité, le spécialiste libère lui aussi un ver qui n'a cependant rien de malveillant. Cette pratique est-elle autorisée ?
Les systèmes éthiques suivants envisagent l'éthique selon divers points de vue.
Éthique utilitariste
L'utilitarisme est une doctrine fondée au XIXe siècle par Jeremy Benthan et John Stuart Mill. Selon cette doctrine, toute action où le bien l'emporte sur le mal constitue un choix éthique.
Approche des droits
Cette doctrine reconnaît à chaque individu le droit de faire ses propres choix. Elle examine dans quelle mesure une action affecte les droits des autres individus pour juger si elle est bonne ou mauvaise. Ces droits sont notamment le droit à la vérité, à la vie privée et à la sécurité, et ils prévoient que la société applique équitablement les lois à tous ses membres.
Approche du bien commun
Selon cette approche, le bien commun est tout ce qui est profitable à la communauté. Dans ce cas, un spécialiste de la cyber sécurité examine en quoi une action affecte le bien commun de la société ou de la communauté.
Il n'existe aucune réponse absolue aux problèmes éthiques auxquels doivent faire face ces spécialistes. Le bien et le mal sont deux notions à géométrie variable qui dépendent de la situation et du point de vue éthique.
Le Computer Ethics Institute (CEI) est une ressource qui s'adresse à l'ensemble du secteur des technologies de l'information. Il permet d'identifier et d'évaluer les questions éthiques et d'y répondre. Le CEI a été l'une des premières organisations à identifier les problèmes éthiques et de politique publique résultant de la croissance rapide du secteur des technologies de l'information. Cette figure présente les dix commandements de l'informatique édictés par le Computer Ethics Institute (CEI).
La loi interdit les comportements indésirables. Malheureusement, les progrès réalisés dans le domaine des technologies de l'information surpassent ceux effectués dans le domaine de la législation et du compromis. Un certain nombre de lois et de réglementations affectent le cyber-espace. Plusieurs lois spécifiques régissent les politiques et procédures élaborées par une entreprise pour garantir leur conformité.
Cyber crime
Un ordinateur peut être impliqué dans une cyberattaque de différentes façons. Il y a le crime assisté par ordinateur, le crime ciblant les ordinateurs et le crime indirect par ordinateur. La pornographie enfantine est un exemple d'infraction relative à l'informatique ; l'ordinateur est un périphérique de stockage et n'est donc pas l'outil utilisé pour commettre le crime.
Plusieurs raisons expliquent l'augmentation de la cybercriminalité. De nombreux outils sont aujourd'hui disponibles sur Internet et il n'est nul besoin d'être un expert pour les utiliser.
Organisations créées pour combattre le cyber crime
Il existe un certain nombre d'agences et d'organismes qui contribuent à combattre le cybercrime.
Législation informatique dans le domaine civil, pénal et réglementaire
Aux États-Unis, il existe trois sources principales de législation et de réglementation : le droit écrit, la législation administrative et le droit commun. Ces trois sources impliquent la sécurité informatique. Le Congrès des États-Unis a mis en place des agences administratives fédérales et un cadre réglementaire qui comprend des sanctions civiles et pénales en cas de manquement aux règles.
Le droit pénal applique un code moral généralement accepté et soutenu par le gouvernement. Les réglementations établissent des règles conçues pour faire face aux conséquences au sein d'une société en rapide évolution en appliquant des sanctions en cas de violation des dites règles. La loi américaine de répression des fraudes et des abus liés à l'informatique (Computer Fraud and Abuse Act - CFAA), par exemple, est un texte législatif. Sur le plan administratif, la Federal Communications Commission et la Federal Trade Commission ont été confrontées à des problèmes tels que la fraude et le vol de propriété intellectuelle. Enfin, la jurisprudence de la common law fournit des précédents et une base constitutionnelle pour l'élaboration de nouvelles lois.
Federal Information Security Management Act (FISMA)
La loi FISMA a été votée par le Congrès des États-Unis en 2002 afin de modifier l'approche du gouvernement en matière de sécurité de l'information. Les systèmes informatiques fédéraux étant les principaux créateurs et utilisateurs d'informations, ils représentent une cible de choix pour les cybercriminels. La loi FISMA s'applique aux systèmes informatiques des agences fédérales et stipule la création d'un programme de sécurité de l'information comprenant les éléments suivants :
Législation sectorielle
De nombreuses lois sectorielles s'accompagnent d'une composante ayant trait à la sécurité et/ou la confidentialité. Le gouvernement des États-Unis exige des entreprises qui opèrent dans ces secteurs qu'elles respectent ces lois. Les spécialistes de la cyber sécurité doivent être en mesure de traduire les obligations légales en pratiques et politiques de sécurité.
Gramm-Leach-Bliley Act (GLBA)
Le Gramm-Leach-Bliley Act est une loi qui concerne essentiellement le secteur de la finance. Une partie de cette loi comporte cependant des dispositions de confidentialité pour les personnes. La disposition prévoit des méthodes d'exclusion, de sorte que les individus puissent contrôler l'utilisation des informations fournies dans le cadre d'une transaction commerciale avec une entreprise qui fait partie de l'institution financière. La loi GLBA restreint le partage des données avec des entreprises tierces.
Sarbanes-Oxley Act (SOX)
Le vote de la loi Sarbanes-Oxley Act par le Congrès américain fait suite à plusieurs scandales financiers touchant des grandes entreprises aux États-Unis. L'objectif de cette loi était de réviser en profondeur les normes financières et comptables des entreprises. Elle visait plus particulièrement les normes des sociétés cotées en bourse aux États-Unis.
Le standard PCI DSS (Payment Card Industry Data Security Standard, standard sur la sécurité des données pour les industries de carte de paiement)
Dans le secteur privé aussi, on reconnaît l'importance des normes uniformes et coercitives. Un Conseil des normes de sécurité composé des principaux acteurs du secteur des cartes de paiement a développé un programme à destination du secteur privé pour améliorer la confidentialité des communications réseau.
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de règles contractuelles qui régissent la protection des données de carte de crédit dans les transactions bancaires et commerciales. La norme PCI DSS est une norme volontaire (en théorie) et les commerçants/fournisseurs peuvent choisir s'ils souhaitent ou non s'y conformer. Cependant, en cas de non-conformité, le fournisseur s'expose à des frais de transaction sensiblement plus élevés, à des amendes pouvant atteindre 500 000 dollars, voire à l'interdiction de traiter des cartes de crédit.
Restrictions du chiffrement pour l'import/export (Import/Export Encryption Restrictions)
Depuis la Seconde Guerre mondiale, les États-Unis réglementent l'exportation de la cryptographie pour des raisons de sécurité nationale. Le Bureau de l'industrie et de la sécurité du département du Commerce des États-Unis contrôle désormais l'exportation de la cryptographie à des fins civiles. Il existe encore des restrictions à l'exportation vers les États dits « voyous » et les organisations terroristes.
Les pays peuvent décider de limiter l'importation des technologies de cryptographie pour les raisons suivantes :
Les entreprises collectent toujours plus d'informations personnelles sur leurs clients, des mots de passe de compte aux adresses e-mail en passant par des informations médicales et financières hautement confidentielles. Les entreprises de toute taille reconnaissent l'importance du Big Data et de l'analyse des données. Cela les incite à recueillir et à stocker des informations. Les cybercriminels cherchent constamment de nouveaux moyens d'obtenir ces précieuses informations ou d'accéder aux données les plus confidentielles et sensibles d'une entreprise en vue de les exploiter. Les entreprises qui collectent des données sensibles doivent faire leur maximum pour les protéger. La collecte de données étant aujourd'hui une pratique très répandue, plusieurs lois obligent les sociétés qui s'y adonnent à informer les utilisateurs de toute faille de sécurité à ce niveau.
Loi sur la confidentialité des communications électroniques (Electronic Communications Privacy Act - ECPA)
La loi sur la confidentialité des communications électroniques (Electronic Communications Privacy Act - ECPA) traite une multitude de questions juridiques ayant trait à la confidentialité, découlant de l'utilisation croissante d'ordinateurs et d'autres technologies propres aux télécommunications. Les sections de cette loi portent sur la messagerie électronique, les communications cellulaires, la vie privée sur le lieu de travail et une multitude d'autres problèmes liés à la communication électronique.
Loi sur la répression des fraudes et infractions dans le domaine informatique (Computer Fraud and Abuse Act - 1986)
La loi sur la répression des fraudes et infractions dans le domaine informatique est en vigueur depuis plus de 20 ans. Cette loi jette les bases des lois américaines qui rendent illégal l'accès non autorisé à des systèmes informatiques. En vertu de cette loi, est considéré criminel le fait d'accéder sciemment et sans autorisation à un ordinateur appartenant au gouvernement ou utilisé dans le cadre du commerce interétatique. La loi CFAA considère également comme un crime l'utilisation d'un ordinateur pour perpétrer un crime de nature interétatique.
Cette loi considère comme un crime le trafic de mots de passe ou d'informations d'accès du même type, ainsi que le fait de transmettre sciemment un programme, du code ou une commande qui occasionnera des dommages.
Protection de la confidentialité
Les lois suivantes promulguées aux États-Unis protègent la confidentialité.
Loi sur la confidentialité de 1974 (Privacy Act of 1974)
Cette loi établit un Code de pratiques équitables en matière de renseignements qui régit la collecte, la maintenance, l'utilisation et la diffusion de données d'identification relatives à des personnes et conservées dans des systèmes d'enregistrements par des agences fédérales.
Loi sur la liberté d'information (Freedom of Information ACT - FOIA)
Le Freedom of Information Act (FOIA) permet un accès public aux dossiers du gouvernement des États-Unis. Cette loi comporte un principe de divulgation, de sorte qu'il incombe au gouvernement d'expliquer sa décision de ne pas divulguer les informations demandées.
Il existe neuf exemptions de divulgation afférentes à cette loi.
Loi pour la protection de la vie privée et des dossiers scolaires (Family Education Records and Privacy Act - FERPA)
Cette loi fédérale autorise les étudiants à accéder à leurs dossiers scolaires. Le Family Education Records and Privacy Act fonctionne sur une base volontaire, en ce sens que l'étudiant doit approuver la divulgation des informations avant leur divulgation effective. Lorsqu'un étudiant fête son dix-huitième anniversaire ou s'inscrit dans un établissement d'enseignement post-secondaire (quel que soit son âge), les droits prévus par la loi FERPA, qui appartenaient jusqu'alors à ses parents, lui sont transmis.
Loi américaine de répression des fraudes et des abus liés à l'informatique (Computer Fraud and Abuse Act - CFAA)
Cette loi fédérale s'applique à la collecte en ligne de données personnelles par des individus ou des entités soumises aux lois des États-Unis concernant les enfants de moins de 13 ans. Une autorisation parentale est requise pour recueillir et utiliser les données concernant des enfants (13 ans et moins).
Loi américaine sur la protection en ligne de la vie privée des enfants (U.S. Children's Online Privacy Protection Act - COPPA)
Cette loi fédérale s'applique à la collecte en ligne de données personnelles par des individus ou des entités soumises aux lois des États-Unis concernant les enfants de moins de 13 ans. Une autorisation parentale est requise pour recueillir et utiliser les données concernant des enfants (13 ans et moins).
Loi américaine sur la protection des enfants sur Internet (U.S. Children's Internet Protection Act - CIPA)
Le Children's Internet Protection Act a été voté en 2000 par le Congrès des États-Unis pour éviter que les enfants de moins de 17 ans n'aient accès à du contenu Internet choquant et à caractère obscène.
Loi pour la protection de la vie privée contre la surveillance vidéo (Video Privacy Protection Act - VPPA)
Le Video Privacy Protection Act protège un individu contre toute divulgation à des tiers des titres de cassettes vidéo, DVD et jeux vidéo loués. Les protections sont accordées par défaut, ce qui signifie que le loueur de vidéos doit obtenir le consentement du client d'exercer son droit d'exclusion s'il souhaite divulguer des informations personnelles sur les locations. De nombreux défenseurs de la vie privée considèrent le Video Privacy Protection Act comme la loi la plus stricte des États-Unis en termes de respect de la vie privée.
Loi sur la protection des données médicales (Health Insurance Portability & Accountability Act)
Cette loi rend obligatoires les protections relatives au stockage physique, à la maintenance, à la transmission et à l'accès aux informations médicales des personnes. Le Health Insurance Portability & Accountability Act oblige les entreprises qui utilisent des signatures électroniques à respecter les normes qui garantissent l'intégrité des informations, l'authentification des signataires et la non-répudiation.
Projet de loi du Sénat de Californie 1386 (SB 1386)
La Californie a été le premier État à promulguer une loi concernant la notification de la divulgation non autorisée d'informations permettant d'identifier une personne. Depuis, de nombreux autres États lui ont emboîté le pas. Toutes ces lois traitant d'avis de divulgation sont différentes, d'où l'impérieuse nécessité d'établir une loi fédérale unificatrice. Cette loi exige que les agences informent les consommateurs de leurs droits et responsabilités. Elle oblige l'État à informer les citoyens en cas de perte ou de divulgation d'informations permettant de les identifier. Depuis la promulgation de la loi du Sénat de Californie 1386, de nombreux autres États s'en sont inspirés pour modeler leur législation.
Règles de confidentialité
Les politiques constituent la meilleure manière de garantir la conformité à l'échelle d'une entreprise. Les politiques de confidentialité jouent un rôle important au sein de l'entreprise, en particulier avec les nombreuses lois promulguées pour protéger la vie privée. L'une des conséquences directes des lois en matière de confidentialité fut l'émergence d'un nouveau besoin, à savoir l'élaboration de règles de confidentialité d'entreprise liées à la collecte des données.
Évaluation de l'impact sur la vie privée (PIA – Privacy Impact Assessment)
Une évaluation de l'impact sur la vie privée garantit un traitement adéquat, à l'échelle de l'entreprise, des informations permettant d'identifier une personne.
Avec l'explosion du nombre de connexions Internet et réseau au niveau mondial, l'accès non autorisé à un système informatique, connu également sous le nom d'intrusion, est devenu un problème majeur qui peut avoir des répercussions tant sur le plan national qu'international. De nombreux pays se sont dotés de lois régissant ce type de crime, mais il peut subsister des lacunes au niveau du traitement.
Convention sur le Cyber crime
La Convention sur la cybercriminalité est le premier traité international portant sur les crimes perpétrés sur Internet (UE, États-Unis, Canada, Japon et autres). Les politiques communes traitent la cybercriminalité et répondent aux problématiques suivantes : violation de droits d'auteur, fraude informatique, pornographie enfantine et violations de la sécurité du réseau.
Electronic Privacy Information Center (EPIC)
L'Electronic Privacy Information Center promeut les politiques et les lois relatives à la protection de la vie privée et pour un gouvernement ouvert à l'échelle planétaire, et se concentre sur les relations entre l'Union européenne et les États-Unis.
La base de données NVD (National Vulnerability Database) est un référentiel de données de gestion des vulnérabilités normalisé du gouvernement des États-Unis. Elle utilise le protocole SCAP (Security Content Automation Protocol). Le protocole SCAP permet d'utiliser des normes spécifiques pour automatiser la gestion et la mesure des vulnérabilités, ainsi que l'évaluation du respect de la politique.
Le protocole SCAP utilise des normes ouvertes pour énumérer les problèmes de configuration et les failles des logiciels de sécurité. Les spécifications classent et évaluent les informations relatives à la sécurité de manière normalisée. La communauté SCAP est le fruit d'un partenariat conclu entre les secteurs privé et public dans le but de faire progresser la normalisation des opérations de sécurité techniques.
La base de données NVD utilise le système d'évaluation standardisé de la criticité des vulnérabilités pour évaluer l'incidence des vulnérabilités. Une entreprise peut utiliser les résultats obtenus pour déterminer la gravité des vulnérabilités détectées sur son réseau, ce qui permet d'identifier la stratégie de prévention à mettre en œuvre.
Vous trouverez également sur ce site plusieurs listes de contrôle qui fournissent des conseils sur la configuration des systèmes d'exploitation et des applications afin de garantir un environnement hautement sécurisé.
CERT
Le Software Engineering Institute (SEI) de l'université Carnegie-Mellon aide les organisations gouvernementales et industrielles à développer, utiliser et gérer des systèmes logiciels novateurs, abordables et fiables. Il s'agit d'un centre de recherche et développement à financement fédéral parrainé par le Ministère de la Défense des États-Unis.
La Division CERT du Software Engineering Institute étudie et résout les problèmes dans le domaine de la cyber sécurité, dont les vulnérabilités de sécurité dans les logiciels et les modifications au niveau des systèmes en réseau. Elle propose également des formations en vue d'améliorer la cyber sécurité. La Division CERT offre les services suivants :
La division CERT possède une vaste base de données d'informations sur les vulnérabilités logicielles et les codes malveillants afin de faciliter l'élaboration de solutions et de stratégies de prévention.
Internet Storm Center
L'Internet Storm Center (ISC) propose un service d'alerte et d'analyse gratuit aux entreprises et utilisateurs d'Internet. Il collabore également avec les fournisseurs de services Internet pour combattre les cybercriminels. L'Internet Storm Center collecte chaque jour des millions d'entrées de journal provenant des systèmes de détection d'intrusion en utilisant des capteurs couvrant 500 000 adresses IP dans plus de 50 pays. L'ISC identifie les sites utilisés pour les attaques et fournit des données sur les types d'attaques lancées contre divers secteurs d'activité et régions du monde.
Le SANS Institute prend en charge l'Internet Storm Center. SANS constitue une source fiable pour les recherches, certifications et formations dans le domaine de la sécurité informatique.
Advanced Cyber Security Center
L'Advanced Cyber Security Center (ACSC) est une organisation à but non lucratif qui réunit les acteurs de l'industrie, le milieu universitaire et les agences gouvernementales pour contrer les cybermenaces complexes. Cette organisation partage des informations sur les menaces informatiques, participe à la recherche et au développement en matière de cyber sécurité et crée des programmes de formation visant à favoriser les professions liées à la cyber sécurité.
Les priorités de l'ACSC s'articulent autour de quatre axes majeurs :
Scanners de vulnérabilité
Un scanner de vulnérabilité recherche des faiblesses sur des ordinateurs, systèmes informatiques, réseaux ou applications. Les scanners de vulnérabilités permettent d'automatiser les audits de sécurité en analysant les risques de sécurité sur le réseau et en établissant une liste de priorités afin de traiter les points faibles. Un scanner de vulnérabilité recherche les types de vulnérabilités suivants :
Pour choisir un scanner de vulnérabilité, tenez compte de son évaluation sur le plan de la précision, de la fiabilité, de l'évolutivité et de la gestion de rapports. Deux types de scanners de vulnérabilités sont disponibles : logiciels ou basés dans le cloud.
L'analyse des vulnérabilités est essentielle au sein des entreprises qui comptent un grand nombre de segments de réseau, de routeurs, de pare-feu, de serveurs et d'autres appareils professionnels.
Un test d'intrusion (ou de pénétration) est une méthode qui consiste à tester les points de faibles d'un système en appliquant diverses techniques malveillantes. Le test d'intrusion est différent du test de vulnérabilité. Le test de vulnérabilité identifie simplement les problèmes potentiels. Dans le cadre d'un test d'intrusion, un spécialiste de la cyber sécurité pirate un site web, un réseau ou un serveur avec l'autorisation de l'entreprise en vue d'obtenir l'accès aux ressources en utilisant des noms d'utilisateur, des mots de passe ou d'autres méthodes standard. La grande différence entre un cybercriminel et un spécialiste de la cyber sécurité est que ce dernier est autorisé par l'entreprise à effectuer ces tests.
Le recours aux tests d'intrusion est généralement motivé par la volonté d'identifier et de corriger les éventuelles vulnérabilités avant qu'un cybercriminel ne les découvre. Le terme de « piratage éthique » est également utilisé pour désigner un test d'intrusion.
Analyseurs de paquets
Les analyseurs de paquets interceptent et consignent dans un journal le trafic réseau. L'analyseur de paquets capture chaque paquet, montre les valeurs des divers champs qu'il contient et analyse leur contenu. Un analyseur réseau peut capturer le trafic réseau sur les réseaux filaires et sans fil. Les analyseurs de paquets permettent d'effectuer les opérations suivantes :
L'outil de sécurité idéal adapté à toutes les situations n'existe pas ! De nombreux facteurs, tels que la situation ou les préférences personnelles, entrent en ligne de compte. Un spécialiste de la cyber sécurité doit connaître les outils à employer pour obtenir des informations fiables.
Kali
Kali est une distribution de sécurité Linux open source. Les professionnels IT l'utilisent généralement pour tester la sécurité de leurs réseaux. Kali Linux intègre plus de 300 programmes d'audit de sécurité et tests d'intrusion sur une plate-forme Linux.
Connaissance de la situation du réseau
Une entreprise doit être en mesure de surveiller ses réseaux, d'analyser les résultats obtenus et de détecter toute activité malveillante.
Définir les rôles des magiciens de la cyber sécurité
Le standard ISO définit le rôle des magiciens de la cyber sécurité. Le cadre du standard ISO 27000 exige :
On peut classer les postes relevant de la sécurité de l'information en trois catégories :
De nombreux sites web et applications mobiles diffusent des offres d'emploi dans le domaine informatique. Chaque site cible divers candidats et fournit différents outils à l'intention des personnes en quête du poste idéal. De nombreux sites sont en réalité des agrégateurs de sites d'offres d'emploi, c'est-à-dire des sites qui centralisent les résultats de recherche d'autres sites et pages d'emploi des entreprises.
Indeed.com
Indeed.com, qui se présente comme le premier site d'emploi mondial, attire chaque mois plus de 180 millions de visiteurs provenant d'une cinquantaine de pays. Ce site couvre toute la surface du globe. Il permet aux entreprises de toutes tailles de recruter les meilleurs talents, tout en présentant les meilleures opportunités aux personnes en recherche d'emploi.
CareerBuilder.com
CareerBuilder propose des offres d'emploi pour de nombreuses grandes entreprises, parmi les plus prestigieuses du secteur. Le site attire donc des candidats au profil très pointu ayant un niveau d'études plus élevé. Parmi les personnes qui répondent aux offres d'emploi publiées sur CareerBuilder, la majorité est titulaire de diplômes universitaires, d'attestations de haut niveau et de certifications du secteur.
USAJobs.gov
Tous les postes à pourvoir au sein des agences du gouvernement fédéral sont publiés sur USAJobs.
Pour ajouter un commentaire ici, vous devez être inscrit. Si vous êtes déjà inscrit, connectez-vous. Dans le cas contraire, inscrivez-vous puis connectez-vous.
La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.
Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :