Sommaire du Cours
- Introduction – Triade CIA, menaces, vulnerabilites
- Cryptographie – AES, RSA, hachage, signatures
- Securite Web – OWASP Top 10, XSS, SQLi, CSRF
- Securite Reseaux – Firewalls, IDS/IPS, VPN, TLS
- Social Engineering – Phishing, pretexting, contre-mesures
- Bonnes Pratiques – MFA, backups, moindre privilege
1. Introduction a la Cybersecurite
La cybersecurite protege les systemes d'information. Objectif fondamental : garantir la triade CIA (Confidentialite, Integrite, Disponibilite).
La Triade CIA
Confidentialite
Acces reserve aux autorises. Chiffrement, controle d'acces.
Integrite
Donnees non alterees. Hachage, signatures.
Disponibilite
Systemes accessibles. Redondance, backups.
Concepts Cles
Menace : Evenement pouvant causer un dommage (hacker, malware).
Vulnerabilite : Faiblesse exploitable (bug, mauvaise config).
Risque : Probabilite qu'une menace exploite une vulnerabilite x impact.
Surface d'attaque : Points d'entree exploitables (ports, API, humains).
2. Cryptographie
La cryptographie est la science du chiffrement. Deux grandes familles : symetrique (une clef) et asymetrique (paire publique/privee).
2.1 Chiffrement Symetrique (AES)
AES – Standard actuel. Clefs : 128, 192, 256 bits. Blocs de 128 bits avec 10-14 rondes. Modes : GCM (recommande), CTR, CBC. Eviter ECB !
ChaCha20 – Moderne, utilise dans TLS 1.3 et WireGuard. DES/3DES – Obsoletes (clef 56 bits).
2.2 Chiffrement Asymetrique (RSA)
RSA – Base sur la factorisation de n = p x q. Taille minimale : 2048 bits.
- Choisir deux grands nombres premiers p et q
- n = p x q, phi(n) = (p-1)(q-1)
- Choisir e (exposant public), calculer d = e^-1 mod phi(n)
- Clef publique (n,e), clef privee (n,d)
- Chiffrement : C = M^e mod n | Dechiffrement : M = C^d mod n
ECC (Elliptic Curve) – Alternative moderne : 256 bits ECC ~ 3072 bits RSA.
2.3 Hachage & Signatures
Hachage : SHA-256, SHA-3, BLAKE3 (OK). MD5, SHA-1 (casses).
Signatures numeriques : Hash du message chiffre avec la clef privee. Verifie authenticite + integrite.
Certificats X.509 : Lient identite a clef publique. Chaine : Root CA, Intermediate CA, Certificat.
Exercice 1 – RSA pas a pas
MoyenAlice utilise p=11, q=13, e=7. Bob veut chiffrer M=42.
- Calculer n et phi(n)
- Verifier e, calculer d
- Chiffrer : C = M^e mod n
n = 11 x 13 = 143, phi(n) = 10 x 12 = 120
pgcd(7,120)=1 donc e valide. d = 103 (car 7x103=721=1 mod 120).
C = 42^7 mod 143. 42^2=1764=48 mod 143. 42^4=16 mod 143. C = 16x48x42 mod 143 = 81.
Verification : 81^103 mod 143 = 42. Correct !
3. Securite Web – OWASP Top 10
L'OWASP publie le Top 10 des risques de securite applicative les plus critiques. Voici les attaques incontournables.
Attaques Detaillees
Cross-Site Scripting (XSS)
L'attaquant injecte du JavaScript malveillant execute dans le navigateur de la victime.
Types : Reflected (URL), Stored (BDD), DOM-based (cote client).
Contre-mesures : Echappement HTML, Content-Security-Policy (CSP), HttpOnly cookies, validation des entrees.
Injection SQL (SQLi)
L'attaquant insere des fragments SQL dans les champs de saisie.
Defense : Requetes preparees (PreparedStatement), ORM, validation stricte, WAF.
CSRF (Cross-Site Request Forgery)
L'attaquant fait executer des actions non desirees via le navigateur de la victime authentifiee.
Defense : Jetons anti-CSRF, en-tete SameSite, verification Origin/Referer.
Exercice 2 – Identifier et corriger une vulnerabilite
MoyenCe code PHP est vulnerable. Identifiez les problemes et proposez une correction :
Problemes : (1) Injection SQL – $mot concatene directement. (2) XSS – $row['nom'] affiche sans echappement.
Correction : Utiliser des requetes preparees + htmlspecialchars().
4. Securite Reseaux
La securite reseau protege l'infrastructure contre interceptions et attaques via des dispositifs de filtrage, detection et chiffrement.
Dispositifs de Securite
Firewall
Filtre le trafic entrant/sortant. Types : Packet Filtering (niveau 3/4), Stateful (maintient l'etat), Application Gateway (niveau 7), NGFW (tout-en-un + IPS).
IDS / IPS
IDS (Detection) – Alerte. IPS (Prevention) – Bloque automatiquement. Methodes : signature-based (attaques connues) vs anomaly-based (comportement anormal).
VPN (Virtual Private Network)
Tunnel chiffre a travers un reseau non securise.
- IPsec : Niveau IP (couche 3). Modes Transport et Tunnel.
- SSL/TLS VPN : Niveau applicatif (OpenVPN). Plus flexible.
- WireGuard : Moderne (~4000 lignes), Curve25519, ChaCha20. Performant et auditable.
TLS 1.3 – Le Protocole qui Securise le Web
TLS (Transport Layer Security) remplace SSL. Version 1.3 (2018) : handshake simplifie, forward secrecy obligatoire, algorithmes obsoletes supprimes.
- ClientHello : cipher suites + clef Diffie-Hellman ephemer.
- ServerHello : cipher choisi + certificat + clef DH.
- Clef de session via ECDHE.
- Donnees chiffrees avec AES-GCM ou ChaCha20-Poly1305.
Perfect Forward Secrecy (PFS) : La compromission future de la clef privee ne permet pas de dechiffrer les sessions passees.
Attaque Man-in-the-Middle (MITM)
Mallory intercepte la communication entre Alice et le serveur. Sur un Wi-Fi public : Evil Twin (faux point d'acces), usurpation DNS, certificat auto-signe.
Contre-mesures : VPN, verification du certificat, HSTS, DNS over HTTPS (DoH).
5. Social Engineering
Le social engineering exploite la psychologie humaine, souvent le maillon le plus faible. L'attaquant manipule la victime pour obtenir des informations ou acces.
Types d'Attaques
| Technique | Description | Vecteur |
|---|---|---|
| Phishing | Email frauduleux imitant une entite legitime | Email, SMS, appel |
| Spear Phishing | Phishing cible et personnalise | Email pro |
| Pretexting | Scenario credible invente | Tel, email, presentiel |
| Baiting | Appat (cle USB infectee, faux logiciel) | Physique, web |
| Tailgating | Suivre une personne autorisee | Physique |
Scenario Realiste – Phishing Cible
De : support@isep-edu.com<br> Objet : Urgent – Validation compte etudiant<br> Votre compte sera suspendu dans 24h. Cliquez : isep-edu.com/verification
Indices de phishing : Domaine suspect (isep-edu.com vs isep.fr), urgence artificielle, absence de personnalisation.
Contre-Mesures Efficaces
- Verifier l'expediteur : Examiner l'adresse email complete et le domaine
- Ne jamais cliquer sur les liens suspects : Saisir l'URL manuellement
- Verifier les demandes inhabituelles par un canal different
- Formation reguliere : Simulations de phishing, sensibilisation continue
- MFA : Limite l'impact meme si les identifiants sont voles
6. Bonnes Pratiques de Securite
Authentification Multi-Facteurs (MFA)
Combine au moins 2 des 3 facteurs :
- Ce que tu sais – Mot de passe, PIN
- Ce que tu as – Token physique, smartphone (TOTP), cle YubiKey
- Ce que tu es – Biometrie : empreinte, reconnaissance faciale
Recommandation : FIDO2/Passkeys > TOTP > SMS (vulnerable au SIM-swapping).
Sauvegardes – Regle 3-2-1
3 copies des donnees
2 types de supports
1 copie hors site
Moderne : 3-2-1-1-0 : +1 copie immuable (air-gapped) + 0 erreur (tester la restauration).
Principe du Moindre Privilege
Chaque utilisateur/processus ne dispose que des permissions strictement necessaires. RBAC (Role-Based Access Control), JIT (Just-in-Time), Zero Trust.
Mises a Jour & Patch Management
- Activer les mises a jour automatiques pour les logiciels grand public
- Surveiller les CVE (Common Vulnerabilities and Exposures)
- Delai de correction (MTTR) : < 30 jours pour les vulnerabilites critiques
Exercice Recapitulatif – Audit PME
Scenario Global – Consultant en Cybersecurite
DifficileContexte : PME de 50 employes. Problemes identifies :
- Wi-Fi WPA2 avec mot de passe partage et ancien
- Site web sans HTTPS
- Reutilisation des mots de passe
- Aucune sauvegarde automatisee
- Pare-feu obsolete (2018, jamais mis a jour)
- CEO victime d'un appel "support Microsoft"
Questions : (1) Classifiez chaque probleme selon la triade CIA. (2) Proposez des solutions priorisees. (3) Quick wins (premieres 48h).
1. Analyse CIA :
| # | Probleme | CIA | Gravite |
|---|---|---|---|
| 1 | Wi-Fi faible | C, I | Haute |
| 2 | Pas de HTTPS | C, I | Critique |
| 3 | Reutilisation MDP | C, I | Haute |
| 4 | Pas de backups | D | Critique |
| 5 | Firewall obselete | C, I, D | Moyenne |
| 6 | Vishing CEO | C, I, D | Critique |
2. Solutions priorisees :
- HTTPS (immediat) : Let's Encrypt, redirection HTTP vers HTTPS, HSTS
- Sauvegardes (J+1) : Solution cloud automatisee, regle 3-2-1
- MFA (J+7) : Sur tous les comptes critiques
- Gestionnaire MDP (J+14) : Bitwarden, mots de passe uniques
- Wi-Fi (J+14) : WPA3-Enterprise avec 802.1X
- Formation (continu) : Sensibilisation trimestrielle, simulations phishing
3. Quick wins (48h) :
- Activer HTTPS via Let's Encrypt (~30 min)
- Changer le mot de passe Wi-Fi
- Alerter tout le personnel sur la tentative de vishing
- Auditer la machine du CEO
- Lancer une sauvegarde complete immediate
QCM – Teste tes Connaissances
8 questions pour evaluer ta maitrise du cours. Propulse par le moteur QCM de NESTI STUDIO.