Les services de fédération Active Directory (AD FS) sont une solution d'authentification unique (Single Sign-On, SSO) développée par Microsoft afin d'offrir un accès sécurisé à un domaine, un terminal, une application web ou un système au sein du service d'annuaire Active Directory (AD) d'une entreprise, ainsi qu'à des systèmes tiers approuvés.
Cybersecurity 101:
Les fondamentaux de la cybersécurité
La cybersécurité prend une importance croissante dans le monde d’aujourd’hui. CrowdStrike offre des explications, des réponses et les meilleures pratiques sur une large palette de sujets touchant à la cybersécurité. Si vous recherchez des informations quant à la sécurité des endpoints, la sécurité du cloud, les différents types d’attaques, et bien d’autres problématiques encore, vous êtes au bon endroit. Bienvenue dans l’espace Cybersecurity 101 !
Catégorie:
Un adware, ou logiciel publicitaire, est un logiciel indésirable automatisé conçu pour bombarder les utilisateurs de publicités, de bannières ou de fenêtres contextuelles.
Un antivirus de nouvelle génération (NGAV, Next-Generation Antivirus) combine intelligence artificielle, détection des comportements, algorithmes de Machine Learning et atténuation des exploits, afin d'anticiper et de prévenir immédiatement toutes les menaces, connues comme inconnues.
Une architecture Zero Trust fait référence à la façon dont les terminaux et services cloud sont structurés pour permettre l'application d'un modèle de sécurité Zero Trust.
Une attaque de la supply chain est un type de cyberattaque ciblant un fournisseur tiers de confiance qui propose des services ou logiciels vitaux pour la supply chain.
Une attaque par déni de service (DoS) est une attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités de l'entreprise.
Une attaque en force est une cyberattaque au cours de laquelle un cybercriminel tente d'accéder à des données et systèmes sensibles en essayant systématiquement un maximum de combinaisons de noms d'utilisateur et de mots de passe.
Une attaque d'ingénierie sociale est une cyberattaque qui repose sur la manipulation des comportements humains, et non sur les capacités technologiques, même si elle est souvent la première étape d'une attaque plus sophistiquée.
Le rétroportage consiste à appliquer une mise à jour ou un correctif développé pour une version récente d'un logiciel à une version plus ancienne de ce même logiciel.
Un botnet est un ensemble d'ordinateurs compromis supervisés via un canal de commande et contrôle.
Le cadre MITRE ATT&CK est une base de connaissances répertoriant les tactiques et techniques utilisées par les cybercriminels tout au long du cycle de vie de l'attaque.
Un cheval de Troie est un type de logiciel malveillant, ou malware, qui prend l'apparence d'un code ou d'un logiciel légitime. Dès lors qu'ils infiltrent un réseau, les cyberattaquants disposent des mêmes possibilités d'action qu'un utilisateur légitime et peuvent donc exporter ou supprimer des fichiers, modifier des données ou compromettre le contenu du terminal.
Le chiffrement cloud est le processus de transformation des données de leur version d'origine au format texte brut en une version illisible (un texte chiffré, par exemple) avant leur transfert et leur stockage dans le cloud.
Une solution CASB est un point de contrôle de sécurité placé entre les utilisateurs d'un réseau cloud et les applications cloud, qui gère et applique toutes les règles et bonnes pratiques de protection des données, notamment l'authentification, l'autorisation, les alertes et le chiffrement.
La sécurité du cloud se réfère à la protection de tous les éléments d'un environnement cloud, y compris l'infrastructure cloud, les données cloud et les applications cloud.
Un crypto-malware est un type de logiciel malveillant, ou malware, conçu pour mener des cyberattaques de cryptopiratage à long terme.
Le cryptopiratage est l'utilisation non autorisée des ressources informatiques d'un particulier ou d'une entreprise pour le minage de cryptomonnaie.
La protection des workloads cloud est le processus consistant à surveiller les workloads cloud et les conteneurs en continu pour en éliminer les menaces.
La Cyber Kill Chain est un concept dérivé de la chaîne d’attaque militaire, une approche progressive destinée à identifier et à bloquer les activités ennemies.
Une cyberattaque est une tentative d'accès à un réseau ou système informatique menée par cyberadversaires, généralement dans le but de modifier, voler, détruire ou exposer des informations.
Une cyberattaque est une tentative d'accès à un réseau ou système informatique menée par des cybercriminels, des cyberattaquants ou des cyberadversaires, généralement dans le but de modifier, voler, détruire ou exposer des informations.
Le cyberespionnage est un type de cyberattaque au cours de laquelle un utilisateur non autorisé tente d'accéder à des données sensibles ou confidentielles ou à des éléments de propriété intellectuelle (PI) à des fins lucratives, commerciales ou politiques.
La cybersécurité a pour but d'assurer la protection des ressources numériques (réseaux, systèmes, ordinateurs, données, etc.) contre les cyberattaques.
On entend par cyberveille l'ensemble des données collectées, traitées et analysées pour comprendre les motivations, les cibles et les comportements d'attaque des cybercriminels.
Le Dark Web est la partie d'Internet où les utilisateurs peuvent accéder à du contenu web non indexé dans l'anonymat le plus total, grâce à une panoplie de techniques de chiffrement.
La détection et l'intervention managées (MDR) sont un service de cybersécurité qui allie technologie et expertise humaine pour mettre en place des opérations de Threat Hunting, de surveillance et d'intervention.
Pour faire simple, une solution de détection et d'intervention sur les endpoints (EDR) est une solution de cybersécurité qui détecte et atténue les cybermenaces en surveillant en continu les endpoints et en analysant leurs données.
Dans cet article, nous examinons deux des éléments les plus importants de toute architecture de cybersécurité – les solutions de détection et d'intervention sur les endpoints (EDR) et les antivirus de nouvelle génération.
Un endpoint est un terminal qui peut être connecté à un réseau comprenant des ordinateurs de bureau, des ordinateurs portables, des téléphones mobiles, des tablettes et des serveurs.
Un ethical hacker, également appelé « white hat », est un pirate informatique embauché pour s'introduire en toute légalité dans les ordinateurs et réseaux d'une entreprise afin de tester la sécurité globale de l'entreprise.
Une vulnérabilité zero day est une vulnérabilité de sécurité ou une faille logicielle inconnue qu'un cybercriminel peut cibler avec du code malveillant.
Un logiciel malveillant ou fileless malware utilise des outils natifs légitimes intégrés à un système pour lancer une cyberattaque. Contrairement à un logiciel malveillant classique, aucun code n'est installé sur le système cible par le cyberattaquant, ce qui complique sa détection.
La gestion du niveau de sécurité du cloud (CSPM) automatise l'identification et la correction des risques dans les infrastructures cloud.
La gestion des correctifs consiste à identifier et à déployer des mises à jour logicielles, également appelées « correctifs » ou « patchs », sur différents endpoints, notamment des ordinateurs, des terminaux mobiles et des serveurs.
La gestion des vulnérabilités est un processus régulier et continu consistant à identifier, évaluer, signaler, gérer et corriger les vulnérabilités de sécurité des endpoints, des workloads et des systèmes.
Le harponnage, ou spear phishing, est un type d'attaque de phishing qui cible des entreprises ou des individus précis, souvent par l'intermédiaire d'e-mails malveillants.
Un honeypot est un mécanisme de cybersécurité qui utilise une cible d'attaque fabriquée de toutes pièces pour éloigner les cybercriminels de cibles légitimes et qui recueille également des renseignements sur l'identité, les méthodes et les motivations des cyberadversaires.
La réponse à incident consiste en une série d'étapes mises en place pour prévenir, détecter et bloquer les compromissions de données, ainsi que pour restaurer les systèmes.
Un indicateur de compromission (IOC) est un élément d'investigation numérique qui indique qu'un endpoint ou un réseau a été compromis.
Les indicateurs d'attaque servent à déterminer l'intention des cyberattaquants indépendamment des outils utilisés lors de l'attaque.
L'investigation numérique et la réponse à incident sont un domaine de la cybersécurité qui couvre l'identification, l'investigation et la correction des cyberattaques.
L'expression « lateral movement» désigne les techniques utilisées par un cyberattaquant, après avoir obtenu un accès initial à un réseau, pour s'y insinuer plus profondément à la recherche de données sensibles et d'autres ressources de grande valeur.
Compte tenu de l'évolution des ransomwares depuis des outils de petite délinquance à une manne financière majeure pour les entreprises criminelles internationales, il est essentiel que les entreprises prennent toute la mesure de cette menace.
Un logiciel malveillant ou malware sur mobile est spécifiquement conçu pour cibler des terminaux mobiles, comme des smartphones et des tablettes, dans le but d'obtenir l'accès à des données privées.
Le malvertising ou est une technique de cyberattaque relativement récente qui consiste à injecter un code malveillant dans des publicités en ligne.
Un logiciel malveillant, ou malware, est un programme ou un code créé dans le but de causer des dommages à un ordinateur, un réseau ou un serveur.
Le malware analysis a pour but de comprendre le comportement d'une URL ou d'un fichier suspect et de déterminer l'objectif recherché. Les résultats de l'analyse contribuent à la détection et à l'atténuation des menaces potentielles.
Une attaque de type man-in-the-middle (MITM) est un type de cyberattaque dans le cadre de laquelle un cybercriminel espionne la conversation entre un utilisateur du réseau et une application web.
Une menace persistante avancée (Advanced Persistent Threat - APT) est une cyberattaque sophistiquée de longue durée, au cours de laquelle un intrus établit une présence non détectée sur un réseau pour voler des données sensibles sur une période prolongée.
Windows New Technology LAN Manager (NTLM) est une suite de protocoles de sécurité mise à disposition par Microsoft pour confirmer l'identité des utilisateurs et protéger l'intégrité et la confidentialité de leurs activités.
Un pen test, parfois appelé pen test ou piratage éthique, simule une cyberattaque observée dans le monde réel afin de tester les capacités de cybersécurité d'une entreprise et d'en exposer les vulnérabilités.
Le phishing est un type de cyberattaque qui utilise des e-mails, des SMS, le téléphone ou les réseaux sociaux pour inciter une victime à partager des informations sensibles, comme des mots de passe ou des numéros de compte, ou à télécharger un fichier malveillant qui installera un virus sur son ordinateur ou son téléphone.
La protection avancée des endpoints est une solution de sécurité des endpoints de nouvelle génération qui tire parti de l'intelligence artificielle, du Machine Learning et d'autres fonctionnalités intelligentes d'automatisation pour assurer une cybersécurité plus complète contre un éventail de menaces modernes, dont les logiciels malveillants sans fichier, les attaques basées sur des scripts et les menaces zero day.
La prévention des fuites de données (DLP, Data Loss Prevention) est une composante de la stratégie globale de sécurité des entreprises qui couvre la détection et la prévention des pertes, des fuites ou des utilisations abusives de données dans le cadre de compromissions, d'exfiltrations et d'utilisations non autorisées.
Un ransomware est un type de logiciel malveillant qui chiffre les données d'une victime jusqu'au versement d'une rançon à l'auteur de l'attaque.
Le ransomware en tant que service (RaaS, Ransomware as a Service) est un modèle commercial dans le cadre duquel des développeurs de ransomwares louent des variantes de ransomware, de la même façon que des développeurs de logiciels légitimes louent des produits SaaS (Software as a Service).
Dans le cadre d'un exercice Red Team / Blue Team, la Red Team est composée d'experts en sécurité offensive qui tentent d'attaquer les défenses de cybersécurité d'une entreprise. La Blue Team défend quant à elle l'entreprise contre l'attaque de la Red Team et y répond.
Un rootkit est un ensemble de logiciels conçu pour permettre à des cybercriminels de prendre le contrôle d'une application ou d'un réseau informatique.
Un script intersite (XSS) est une attaque par injection de code, dans le cadre de laquelle un cyberadversaire insère un code malveillant dans un site web légitime.
Les solutions d'orchestration, d'automatisation de la sécurité et de réponse (SOAR) reposent sur un ensemble de logiciels développés pour renforcer le niveau de cybersécurité d'une entreprise.
La gestion des événements et des informations de sécurité (SIEM) est un ensemble d'outils et de services combinant les fonctionnalités de gestion des événements de sécurité (SEM) et de gestion des informations de sécurité (SIM) afin de permettre aux analystes d'examiner les données des journaux et des événements, de comprendre les menaces et de s'y préparer, ainsi que de récupérer les données des journaux et d'établir des rapports sur cette base.
Un SOC (Security Operation Center) regroupe l'ensemble des personnes, des processus et des technologies responsables de la surveillance, de l'analyse et de la préservation de la sécurité des informations d'une entreprise.
Spoofing, ou l'usurpation d'identité, est une technique consistant, pour un cybercriminel, à se faire passer pour une source connue ou de confiance.
Un spyware, ou logiciel espion, est un type de logiciel malveillant indésirable qui infecte un ordinateur ou un autre terminal et qui collecte des informations sur l'activité Internet de l'utilisateur à son insu ou sans son consentement, notamment des mots de passe, des codes PIN, des informations de paiement et d'autres données sensibles.
La surveillance du Dark Web désigne le processus consistant à repérer et à suivre les informations relatives à votre entreprise qui sont divulguées sur le Dark Web.
La sécurité de l'IoT est une subdivision de la cybersécurité qui couvre la protection, la surveillance et la neutralisation des menaces ciblant l'Internet des objets (IoT), c'est-à-dire le réseau de terminaux connectés qui collectent, stockent et partagent des données via Internet.
La sécurité des conteneurs est le processus continu de protection des conteneurs contre les vulnérabilités.
La sécurité des endpoints, ou protection des endpoints, est l'approche de cybersécurité qui vise à protéger les endpoints (ordinateurs de bureau, ordinateurs portables, terminaux mobiles, etc.) contre les activités malveillantes.
La sécurité des identités désigne une solution complète de protection de toutes les identités au sein de l'entreprise : identités du personnel et des machines, identités sur site et hybrides ou encore identités ordinaires et à privilèges.
Le Threat Hunting consiste en une recherche proactive des cybermenaces qui sont présentes dans un réseau mais n'ont pas encore été détectées.
Un Web Application Firewall (WAF) ou pare-feu d'application web est un dispositif de sécurité conçu pour protéger les entreprises au niveau des applications en filtrant, en contrôlant et en analysant le trafic HTTP (Hypertext Transfer Protocol) et HTTPS (Hypertext Transfer Protocol Secure) entre les applications web et Internet.
La technologie XDR (eXtended Detection and Response) est la nouvelle frontière en matière de sécurité et de prévention axées sur les menaces.
Le Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs, qu'ils soient internes ou externes au réseau de l'entreprise, soient authentifiés, autorisés et continuellement validés en ce qui concerne leur configuration et leur niveau de sécurité, avant de se voir accorder ou de conserver l'accès aux données et aux applications.