Introduction aux différentes menaces informatiques et cybersécurité

1. Introduction à la cybersécurité

La généralisation de l'informatique et d'Internet a transformé notre façon de travailler, de communiquer et de partager l'information. En parallèle, cette transformation numérique a multiplié les risques et les menaces informatiques. Les conséquences peuvent être graves : vol de données, pertes financières, atteinte à la réputation, voire arrêt total de l'activité.

Ce cours vise à présenter les différentes menaces informatiques (malwares, ransomware, virus, phishing, etc.), leurs modes opératoires, leurs impacts et les bonnes pratiques pour s'en prémunir.

---

2. Panorama des menaces informatiques

2.1 Les malwares (logiciels malveillants)

Un malware (diminutif de malicious software) est un programme conçu pour nuire à un système informatique. On retrouve dans la famille des malwares :

1. Virus

• Définition : Programme malveillant capable de se répliquer en s'attachant à d'autres programmes ou fichiers.
• Mode opératoire : Un virus se propage lorsqu'un fichier infecté est copié ou exécuté.
• Risques :
  • Dommages sur les fichiers du système ou des documents utilisateurs
  • Ralentissement des performances de la machine
  • Détérioration volontaire de données

2. Vers (Worms)

• Définition : Contrairement aux virus, les vers sont capables de se propager de manière autonome (sans nécessiter l'exécution d'un fichier infecté).
• Mode opératoire : Ils utilisent souvent les réseaux (Internet, réseaux internes) pour se propager et exploitent les vulnérabilités des systèmes ou des applications.
• Risques :
  • Saturation du réseau
  • Dénis de service (DoS)
  • Propagation rapide sur un grand nombre de machines

3. Chevaux de Troie (Trojans)

• Définition : Logiciel qui se présente comme légitime ou inoffensif mais contient un contenu malveillant.
• Mode opératoire : Se cache souvent dans un programme ou un document apparemment légitime (ex. : jeux piratés, pièces jointes, fausses mises à jour).
• Risques :
  • Installation d'une porte dérobée permettant à un attaquant de prendre le contrôle à distance
  • Vol de données sensibles (identifiants, mots de passe, documents)

4. Ransomware (logiciels de rançon)

• Définition : Logiciel malveillant qui chiffre les données de la victime et exige le paiement d'une rançon pour en récupérer l'accès.
• Mode opératoire : Souvent diffusé via des pièces jointes infectées, des liens de phishing ou encore des vulnérabilités logicielles.
• Risques :
  • Perte d'accès à ses données (fichiers personnels, documents professionnels)
  • Exfiltration de données et chantage à la publication
  • Potentielles pertes financières directes (paiement de la rançon)

5. Spyware (logiciels espions)

• Définition : Logiciel conçu pour espionner l'utilisateur et récolter des informations (habitudes de navigation, mots de passe, etc.).
• Mode opératoire : Peut se dissimuler dans des applications, des barres d'outils de navigateur ou des kits de logiciels gratuits douteux.
• Risques :
  • Vol de données d'identification (mots de passe, numéros de carte bancaire)
  • Atteinte à la vie privée

6. Keylogger (enregistreur de frappes)

• Définition : Programme (ou dispositif matériel) qui enregistre chaque frappe au clavier.
• Mode opératoire : Il peut être installé par un cheval de Troie ou un attaquant local.
• Risques :
  • Récupération des identifiants et mots de passe
  • Surveillance constante de l'activité de l'utilisateur

2.2 Le phishing (hameçonnage)

• Définition : Technique visant à tromper un internaute pour lui faire divulguer des informations sensibles (identifiants, coordonnées bancaires, etc.).
• Mode opératoire :
  • Campagnes d'emails usurpant l'identité d'une entité légitime (banque, administration, fournisseur).
  • Liens redirigeant vers des pages factices conçues pour recueillir vos identifiants.
• Risques :
  • Compromission de comptes (emails, réseaux sociaux, comptes bancaires).
  • Usurpation d'identité, fraudes financières.

2.3 Les attaques par déni de service (DDoS)

• Définition : Rendre un service ou un serveur indisponible en le submergeant de requêtes.
• Mode opératoire :
  • Réseau de machines compromises (botnets) qui envoient un volume massif de trafic vers une cible.
  • Saturation de la bande passante ou des ressources du système.
• Risques :
  • Indisponibilité du service (site web, application) pouvant provoquer des pertes financières et de réputation.

2.4 Les exploits de vulnérabilités (Zero-Day, etc.)

• Définition : Attaques exploitant des failles de sécurité dans un logiciel ou un système d'exploitation, souvent non corrigées ou récemment découvertes.
• Mode opératoire :
  • Les attaquants découvrent ou acquièrent la connaissance d'une faille (souvent avant les éditeurs).
  • Ils développent un exploit (code qui profite de la faille) et l'utilisent contre des cibles vulnérables.
• Risques :
  • Infiltration dans le système sans déclencher d'alertes (attaque furtive).
  • Prise de contrôle total de la machine ou du serveur.

2.5 Les menaces internes (insider threats)

• Définition : Les menaces internes proviennent des employés, sous-traitants ou partenaires ayant un accès légitime aux ressources de l'entreprise.
• Mode opératoire :
  • Vol ou fuite intentionnelle de données sensibles.
  • Négligences (ex. : partage d'identifiants, mauvaise configuration).
• Risques :
  • Détournement de données confidentielles.
  • Atteinte à l'intégrité et à la réputation de l'entreprise.

---

3. Modes opératoires courants

• Courriers électroniques (Emails)
  • Phishing (hameçonnage)
  • Pièces jointes infectées
  • Liens malveillants
• Navigateur Web
  • Téléchargement de fichiers infectés
  • Sites compromis (drive-by download)
  • Plugins et extensions non fiables
• Clés USB ou disques durs externes
  • Support contaminé qui infecte directement le système une fois connecté
  • Autorun/Autoplay (sur certains systèmes d'exploitation)
• Réseaux sociaux et messageries instantanées
  • Liens malveillants envoyés par des comptes compromis
  • Ingénierie sociale (ex. : se faire passer pour un ami ou un contact professionnel)
• Vulnérabilités dans les logiciels
  • Applications non mises à jour (système d'exploitation, navigateurs, logiciels tiers)
  • Failles « zero-day » exploitées par des cybercriminels

---

4. Risques et conséquences

• Perte de données
  • Effacement ou chiffrement de documents importants (ransomware).
  • Nécessité de restaurer depuis des sauvegardes (si disponibles).
• Vol d'informations et espionnage
  • Vol de secrets industriels, de dossiers clients ou de brevets.
  • Récupération de mots de passe et d'accès à d'autres systèmes.
• Risques financiers
  • Pertes directes (rançon, fraude, vols de fonds).
  • Pertes indirectes (interruption de l'activité, coûts de remediation, baisse de productivité).
• Atteinte à la réputation
  • Exposition de failles de sécurité ou de données sensibles.
  • Perte de confiance des clients et partenaires.
• Risques juridiques et réglementaires
  • Non-respect du RGPD (Règlement Général sur la Protection des Données) en cas de vol de données personnelles.
  • Sanctions financières et pénales potentiellement élevées.

---

5. Mesures de prévention et bonnes pratiques

5.1 Protection technique

1. Antivirus et pare-feu (Firewall)

• Installer un logiciel antivirus et le maintenir à jour.
• Activer le pare-feu du système d'exploitation et/ou utiliser un pare-feu dédié.

2. Mises à jour régulières (patch management)

• Mettre à jour le système d'exploitation (Windows, macOS, Linux).
• Mettre à jour les logiciels et applications régulièrement (navigateur, suite bureautique, etc.).
• Désinstaller ou désactiver les plugins et services non utilisés (principe de minimisation).

3. Filtrage et segmentation du réseau

• Séparer le réseau « invités » du réseau « professionnel ».
• Mettre en place des règles de filtrage sur le routeur ou le pare-feu.
• Utiliser des VLAN ou des sous-réseaux pour cloisonner les machines critiques.

4. Sauvegardes (Backups)

• Mettre en place une stratégie de sauvegarde régulière (quotidienne, hebdomadaire, etc.).
• Conserver les sauvegardes hors-ligne ou dans un cloud sécurisé.
• Tester régulièrement la restauration des données pour vérifier l'intégrité des sauvegardes.

5.2 Bonnes pratiques utilisateurs

1. Gestion des mots de passe

• Utiliser des mots de passe forts (longueur, caractères variés).
• Changer les mots de passe par défaut sur les équipements.
• Éviter la réutilisation d'un même mot de passe sur plusieurs services.
• Utiliser un gestionnaire de mots de passe (KeePass, 1Password, Bitwarden, etc.).

2. Sensibilisation au phishing

• Vérifier l'expéditeur de l'email et l'URL du site avant de renseigner des informations sensibles.
• Ne pas cliquer sur des liens suspects ou télécharger des pièces jointes non attendues.
• Signaler tout email suspect à l'équipe de sécurité ou à l'assistance informatique.

3. Limiter les privilèges

• Ne pas se connecter en tant qu'administrateur pour un usage quotidien.
• Appliquer le principe du moindre privilège (donner aux utilisateurs uniquement les droits dont ils ont besoin).

4. Sécuriser l'accès physique

• Verrouiller sa session lorsqu'on quitte son poste.
• Protéger les locaux et les appareils contre les accès non autorisés.

5. Double authentification (2FA / MFA)

• Activer la double authentification lorsque c'est possible (sur les comptes emails, services cloud, etc.).
• Utiliser des applications d'authentification (Google Authenticator, Microsoft Authenticator) ou des clés physiques (YubiKey).

---

6. Gestion des incidents et réponse aux menaces

1. Plan de réponse aux incidents

• Définir clairement les rôles et responsabilités en cas d'incident (équipe IT, responsable sécurité, direction).
• Établir les procédures à suivre (isoler la machine infectée, informer les équipes, contacter les fournisseurs de solutions de sécurité, etc.).

2. Détection et surveillance

• Mettre en place des outils de détection d'intrusion (IDS/IPS).
• Surveiller les journaux (logs) des serveurs et des applications.
• Recourir à des solutions de SIEM (Security Information and Event Management) pour centraliser et corréler les événements de sécurité.

3. Communication de crise

• Informer rapidement et clairement les utilisateurs et les parties prenantes en cas de brèche ou d'incident majeur.
• Respecter les obligations légales de notification (CNIL en France pour les données personnelles par exemple).

4. Analyse post-incident (retour d'expérience)

• Identifier les failles exploitées et corriger les vulnérabilités.
• Mettre à jour les politiques et procédures de sécurité.
• Former à nouveau le personnel si une erreur humaine a favorisé l'incident.

---

7. Études de cas et exemples concrets

1. Virus historiques

• ILOVEYOU (2000) : propagé par email, a causé des milliards de dollars de dommages.
• Conficker (2008) : un ver qui a infecté des millions de machines en exploitant une vulnérabilité Windows.

2. Attaques ransomware

• WannaCry (2017) : exploitant une vulnérabilité SMB dans Windows, a touché des hôpitaux et entreprises à travers le monde.
• NotPetya (2017) : ciblant l'Ukraine, a rapidement contaminé des multinationales, causant des pertes financières massives.

3. Campagnes de phishing

• Emails se faisant passer pour des banques (BNP, Société Générale, etc.) ou des organismes gouvernementaux (Impôts, AMELI).
• Pages factices imitant le site officiel pour récupérer les identifiants et mots de passe.

4. Fuites de données (Data Breaches)

• Vol de millions de comptes chez Yahoo (2013-2014).
• Exposition de données d'entreprises françaises suite à un piratage de leur prestataire.

---

8. Conclusion et ressources

La cybersécurité est un enjeu majeur pour toute organisation et pour tout utilisateur connecté. Les menaces informatiques sont variées et évoluent constamment. Il est essentiel d'adopter une posture proactive : se tenir informé, mettre à jour ses systèmes, sensibiliser les utilisateurs et préparer une réponse rapide en cas d'incident.

Ressources utiles

• ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) : https://www.ssi.gouv.fr/
  • Guides, alertes de sécurité, bonnes pratiques.
• CNIL (Commission Nationale de l'Informatique et des Libertés) : https://www.cnil.fr/
  • Informations sur la protection des données personnelles et les obligations légales (RGPD).
• CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) : https://www.cert.ssi.gouv.fr/
  • Bulletins d'alerte, recommandations techniques, bonnes pratiques.
• Blogs et sites spécialisés (ex. : ZDNet, BleepingComputer, SecurityWeek)
  • Actualités sur les nouvelles menaces et vulnérabilités.

En quelques mots ...

• Les menaces informatiques (virus, ransomwares, chevaux de Troie, etc.) sont nombreuses et évoluent sans cesse.
• Les vecteurs d'attaque incluent les emails, la navigation web, le partage de supports amovibles et les vulnérabilités logicielles.
• Les conséquences d'une cyberattaque peuvent être financières, juridiques ou réputationnelles et entraîner la perte de données.
• Les bonnes pratiques incluent la mise à jour régulière des systèmes, l'utilisation d'antivirus/pare-feu, la sensibilisation des utilisateurs, la sauvegarde des données et la mise en place de procédures de réponse aux incidents.

---