initial commit
This commit is contained in:
Binary file not shown.
Binary file not shown.
@@ -0,0 +1,239 @@
|
||||
# SEC101 13 06 25
|
||||
|
||||
## OIV -> Opérateurs d'importance Vitale
|
||||
|
||||
https://openclassrooms.com/fr/courses/2222496-centralisez-et-securisez-votre-annuaire-active-directory
|
||||
|
||||
## Concepts Fondamentaux du risque :
|
||||
|
||||
### Définitions :
|
||||
|
||||
- ISO 31000 : Effet de l'incertitude sur l'atteinte des objectifs
|
||||
- Formule classique : Risque = Probabilité * Impact
|
||||
- Vision moderne : Risque = Menace * Vulnérabilité * Impact
|
||||
|
||||
### Gestion des Risques
|
||||
|
||||
- Processus d'identification, d'évaluation et de traitement des risques
|
||||
- Approche systématique et continue
|
||||
- Intégration dans la gouvernance organisationnelle
|
||||
|
||||
### Analyse des Risques
|
||||
|
||||
- Phrase du precessus de gestion des risques
|
||||
- Compréhension détaillée de la nature du risque
|
||||
- Estimation du niveau de risque
|
||||
|
||||
## Classification des Risques
|
||||
|
||||
### Par nature :
|
||||
|
||||
- Risques Stratégiques -> business
|
||||
- Risques opérationnels
|
||||
- Risques techniques
|
||||
- Risques réglemettaires
|
||||
|
||||
### Par Origine :
|
||||
|
||||
- Risques internes
|
||||
- Risques externes
|
||||
- Risques mixtes
|
||||
|
||||
## Cycle de vie standard (ISO 31000)
|
||||
|
||||
Contexte -> Surveillance et revenue -> Traitement des risques -> identification des risques -> Analyse des risques -> Evaluations des risques
|
||||
|
||||
## Communication et consultation
|
||||
|
||||
- Parties prenantes
|
||||
- Modalités
|
||||
|
||||
## EBIOS Risk Manager
|
||||
|
||||
- Cadrages et socles de sécurité
|
||||
- Source de risque
|
||||
- Scénarios stratégiques
|
||||
- Scénarios opérationnels
|
||||
- Traitement du risque
|
||||
|
||||
Aventage :
|
||||
|
||||
- Moderne
|
||||
- prise en compte du contexte métier
|
||||
- méthode francaise
|
||||
- gratuite
|
||||
|
||||
Limites :
|
||||
|
||||
- Compexité de mise en oevure
|
||||
- Necessite une expertise importante
|
||||
- chronophage
|
||||
- moins connue à l'internationnal
|
||||
|
||||
## MEHARI
|
||||
|
||||
- Classification des enjeux
|
||||
- Odit de mesure
|
||||
- Analyse de l'odit (des risques)
|
||||
- Plan de sécrité
|
||||
|
||||
Avantage :
|
||||
|
||||
- Approche quantitative
|
||||
- Base de connaissance riche
|
||||
- Claculs automatisés
|
||||
- Résultat reproductibles
|
||||
- Suivi dans le temps facilité
|
||||
|
||||
Limite
|
||||
|
||||
- Complexité de paramétrage
|
||||
|
||||
## OCTAVE Allegro
|
||||
|
||||
## NIST Risk Management Framework
|
||||
|
||||
- Stratégie organisationnelle de gestion des risques
|
||||
- Classification
|
||||
- Selection de sécurité
|
||||
- Déploiement des controles
|
||||
- Test d'efficacité
|
||||
- Décision d'acceptation du risuqe
|
||||
- Surveillance continu
|
||||
|
||||
> ISO 27005
|
||||
|
||||
## FAIR
|
||||
|
||||
- Risk = TEF * LEM
|
||||
- TEF = Threat Event Frequency
|
||||
- LEM = Loss event magnitude
|
||||
|
||||
## AMDEC
|
||||
|
||||
- Préparation
|
||||
- Constitution d'equipe
|
||||
- Définition du perimètre
|
||||
- Décomposition fonctionnelle
|
||||
- Analyse
|
||||
- identifiaction des modes de défaillance
|
||||
- Analyse des causes
|
||||
- Evaluation des effet
|
||||
- Evaluation
|
||||
- Gravité (G)
|
||||
- Occurence (O)
|
||||
- Détéction (D)
|
||||
- Critcité = G * O * D
|
||||
- Actions
|
||||
- priorisation selon criticité
|
||||
- plan d'action correctives
|
||||
- Suivi et mise à jour
|
||||
|
||||
|
||||
|
||||
# Etude de cas
|
||||
|
||||
## Lab 1 : Analyse EBIOS Express
|
||||
|
||||
> Objectif : Réaliser une analyse EBIOS simplifiée de l’Active Directory (AD)
|
||||
|
||||
### Identifier 5 valeurs métier critiques
|
||||
|
||||
- Authentification des utilisateurs (SSO, accès ERP/CRM)
|
||||
- Annuaire d’entreprise (gestion des identités)
|
||||
- Continuité des opérations (accès réseau, services)
|
||||
- Intégrité des configurations systèmes (GPO, DNS)
|
||||
- Traçabilité & conformité (logs, audits AD)
|
||||
|
||||
### Lister 10 biens supports essentiels
|
||||
|
||||
- DC-PARIS-01 (contrôleur principal + FSMO)
|
||||
- DC-PARIS-02 (Global Catalog + DNS)
|
||||
- DC-LYON-01 (DHCP + AD)
|
||||
- DC-LILLE-01 (R&D + DNS)
|
||||
- DNS intégré à l’AD
|
||||
- Base NTDS.dit (contenu de l’annuaire)
|
||||
- GPO « Server-Security-Baseline »
|
||||
- Comptes Domain Admins
|
||||
- SQL-PARIS-01 (ERP, CRM)
|
||||
- Outil de monitoring MONITOR-PARIS-01
|
||||
|
||||
### Définir 3 scénarios de risque majeurs
|
||||
|
||||
- Compromission d’un compte « Domain Admin »
|
||||
- Attaque de ransomware via GPO modifiée
|
||||
- Altération de la réplication AD (rupture de disponibilité inter-sites)
|
||||
|
||||
### Évaluer vraisemblance et impact
|
||||
|
||||
- Compromission Admin → Impact 5 / Vraisemblance 4
|
||||
- GPO détournée → Impact 4 / Vraisemblance 3
|
||||
- Rupture de réplication → Impact 3 / Vraisemblance 2
|
||||
|
||||
### Proposer 5 mesures prioritaires
|
||||
|
||||
- Mise en œuvre de l’authentification MFA pour les comptes privilégiés
|
||||
- Revue des délégations AD et durcissement des GPO
|
||||
- Surveillance active via SCOM (alertes critiques AD)
|
||||
- Segmentation réseau des DC (VLAN Management)
|
||||
- Test mensuel de restauration AD (System State)
|
||||
|
||||
## Lab 2 : Matrice de Risque AD
|
||||
|
||||
> Objectif : Construire votre matrice de risque spécifique
|
||||
|
||||
### Placer vos scénarios identifiés
|
||||
|
||||
- Ex : Compromission Admin → Zone critique (rouge)
|
||||
- GPO détournée → Zone haute (orange)
|
||||
- Réplication AD dégradée → Zone moyenne (jaune)
|
||||
|
||||
### Ajuster selon votre contexte
|
||||
|
||||
- Contrainte : fonctionnement 24/7 sur les sites critiques
|
||||
- Maintenance limitée : impacte les mesures applicables
|
||||
- Services externalisés : Azure AD / ADFS → nouveaux vecteurs
|
||||
|
||||
### Identifier zones rouges
|
||||
|
||||
- Compromission de comptes à privilèges
|
||||
- Absence de logs fiables sur événements critiques
|
||||
|
||||
### Prioriser les actions
|
||||
|
||||
- MFA, surveillance avancée (SIEM), cloisonnement
|
||||
- Quick wins : suppression comptes inactifs, révision mots de passe
|
||||
|
||||
## Lab 3 : Plan d'Action
|
||||
|
||||
> Objectif : Créer une roadmap de sécurisation AD
|
||||
|
||||
### Partir des risques identifiés
|
||||
|
||||
- Compromission comptes
|
||||
- Propagation via GPO
|
||||
- Attaque persistante (APT)
|
||||
|
||||
### Définir mesures court terme
|
||||
|
||||
- Revue immédiate des droits Domain Admins
|
||||
- Application GPO de baseline sur tous les DC
|
||||
- Activation logs avancés sur MONITOR-PARIS-01
|
||||
|
||||
### Planifier actions long terme
|
||||
|
||||
- Mise en place d’un PAM (Privileged Access Management)
|
||||
- Migration partielle vers Azure AD + segmentation
|
||||
- Réécriture des scripts de maintenance et surveillance
|
||||
|
||||
### Estimer efforts et coûts
|
||||
|
||||
- MFA : faible coût / impact fort
|
||||
- PAM : effort élevé / ROI sécurité important
|
||||
- Surveillance : moyen coût / gain visibilité élevé
|
||||
|
||||
### Créer planning projet
|
||||
|
||||
- Phase 1 (1 mois) : mesures urgentes / quick wins
|
||||
- Phase 2 (3 mois) : surveillance et durcissement GPO
|
||||
- Phase 3 (6 mois) : PAM + restructuration AD
|
||||
Binary file not shown.
@@ -0,0 +1,2 @@
|
||||
# SEC101 26 06 25
|
||||
|
||||
@@ -0,0 +1,53 @@
|
||||
Premiere partie, question de cours, une dizaine de question : EBIOS
|
||||
|
||||
Dexieme partie, etude de scenario : RSSI dans une PME e-commerce
|
||||
|
||||
Troixieme, Cas pratique global : Diagnostic et plan d'action
|
||||
|
||||
Réponse structurées et concises
|
||||
Justifier vos reponse avec des arguments techniques.
|
||||
|
||||
Prise de note TOM :
|
||||
|
||||
auPremiere partie : EBios comment on gere, une dizaine de question ?
|
||||
deux autre partie, plus partie Etude de cas, etude sur Ebios, AD,
|
||||
|
||||
Menance internes :
|
||||
Erreur Humaine, l’acceptation le refus,
|
||||
|
||||
LES OIV ( operation d’importance vitale ) pas dans les etude de cas mas on peut en avoir a en parler
|
||||
|
||||
PCA et PRA ( plan continuter d’activité, plan de reprise d’activité )
|
||||
PCA en amont et PRA apres le problemes
|
||||
PCa est blobal y a le PRA dedans
|
||||
cycle de réponses aux incident : detection puis confinement puis eradication, recuperation, retour d’experience
|
||||
|
||||
la criticité = multiplication entre la vraissemblance et l’impact
|
||||
|
||||
ISO 270005
|
||||
methode Mairy dans quel contexte on les mets..
|
||||
Approche PDCA : on prevoit, on monte un processus pour faire doc on fait, on regarde ce qui ce passe, et on fait un etat des lieux, l’idee c’est a chque cycle on a une norme qui sert de point de depart pour le prochaine cycle
|
||||
SMSI ( system management de la securité )
|
||||
SIEM : security infirmation et event manager ) : collecte centralisé des logs, corelation d’events, detection anomalies, altertes temps reel, avantes : vision global de la securité, detection rapide des incidents
|
||||
APT advanced persistent threat : gestion des risQUES? Etude sources de risques, tout un processus entre les 2 : Ebios
|
||||
audit interne ou externe : interne : etude pour preparer l’externe qui peut eventuelleen nous certifier
|
||||
Ebios : etape :
|
||||
contexte : OIV ? OSE ? On determine le degre de securité a mettre ne place en fornction du contexte
|
||||
/ event Redouté: probleme eventuelle auquel on peut s’exposer par rapport au contexte
|
||||
|
||||
/ scenarios : d’ou ca vbient potentiellement ( les event redoutes )
|
||||
|
||||
/ risques : evaluatiobn des risques ( matrice des risques FDP )
|
||||
|
||||
/ mesures : chose mise en place
|
||||
|
||||
Taux d'incidents de sécurité détectés et traités
|
||||
Formule : (Incidents détectés et traités / Incidents totaux) × 100
|
||||
|
||||
Permet de mesurer la capacité de détection et de réaction du dispositif (SOC, SIEM, EDR…).
|
||||
|
||||
2. ⏱️ Temps moyen de réaction aux incidents (MTTR – Mean Time To Respond)
|
||||
Mesure le temps écoulé entre la détection d’un incident et sa résolution complète.
|
||||
|
||||
Plus il est bas, plus le dispositif est efficace et réactif.
|
||||
|
||||
BIN
Binary file not shown.
Binary file not shown.
Binary file not shown.
BIN
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
BIN
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
Binary file not shown.
BIN
Binary file not shown.
@@ -0,0 +1 @@
|
||||
# SEC101
|
||||
Reference in New Issue
Block a user