Définitions complètes des termes de sécurité, cadres et méthodologies utilisés dans les tests d'intrusion, la conformité et le DevSecOps.
Guides de configuration de sécurité basés sur le consensus et les meilleures pratiques, développés par le Center for Internet Security. Les CIS Benchmarks fournissent des recommandations de durcissement spécifiques pour les systèmes d'exploitation (Windows, Linux, macOS), les plateformes cloud (AWS, Azure, GCP), les appareils réseau et les applications pour réduire la surface d'attaque.
Un modèle de service fournissant un leadership stratégique en sécurité sans embaucher un Chief Information Security Officer à temps plein. Les services vCISO incluent des conseils de sécurité de niveau exécutif, la gestion des risques, la supervision de la conformité, le développement du programme de sécurité, les évaluations de fournisseurs et les rapports au niveau du conseil d'administration.
Un cadre de conformité développé par l'AICPA qui évalue comment les organisations gèrent les données clients selon cinq critères de confiance : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée. SOC2 Type I évalue la conception des contrôles ; Type II évalue l'efficacité opérationnelle dans le temps. Essentiel pour les entreprises SaaS.
Une méthodologie de test de sécurité qui analyse les applications en cours d'exécution pour détecter les vulnérabilités en simulant des attaques contre des systèmes en direct. Les outils DAST testent les applications de l'extérieur (test boîte noire), identifiant des problèmes comme l'injection SQL, XSS, les failles d'authentification et les erreurs de configuration.
La pratique d'intégration des tests et pratiques de sécurité tout au long du cycle de développement logiciel, faisant de la sécurité une responsabilité partagée entre les équipes de développement, sécurité et opérations. Le DevSecOps implique des tests de sécurité automatisés (SAST, DAST), l'analyse des dépendances, la sécurité de l'infrastructure-as-code et la surveillance continue.
Technique post-exploitation où les attaquants se déplacent à travers un réseau de système en système après la compromission initiale, cherchant à accéder à des ressources supplémentaires, escalader les privilèges et atteindre des cibles de haute valeur. Les techniques courantes incluent Pass-the-Hash, Pass-the-Ticket et l'exploitation de services distants.
Une technologie révolutionnaire du noyau Linux permettant aux programmes de s'exécuter en sandbox dans le noyau sans modifier le code source ou charger des modules de noyau. En sécurité, eBPF alimente les outils d'observabilité, de réseau (Cilium) et de sécurité d'exécution de nouvelle génération avec un overhead minimal.
Une technique d'attaque où les adversaires obtiennent des permissions de niveau supérieur à celles initialement obtenues, passant généralement d'un accès utilisateur standard à des privilèges administrateur ou root. L'escalade verticale augmente l'accès sur le même système ; l'escalade horizontale accède à d'autres comptes au même niveau.
Une extension du DevSecOps qui se concentre spécifiquement sur la sécurisation des workflows basés sur Git, des dépôts et des pipelines CI/CD. Les pratiques GitSecOps incluent la protection des branches, les commits signés, l'analyse des secrets, les hooks pre-commit pour les vérifications de sécurité et les mesures de sécurité de la chaîne d'approvisionnement.
Une technique d'attaque Active Directory où les adversaires demandent des tickets de service pour des comptes avec des Service Principal Names (SPNs), puis cassent le chiffrement du ticket hors ligne pour révéler le mot de passe du compte de service. Le Kerberoasting réussi mène souvent à l'escalade de privilèges.
Une base de connaissances accessible mondialement des tactiques et techniques adverses basées sur des observations réelles. MITRE ATT&CK fournit un langage commun pour décrire le comportement des attaquants à travers la kill chain, permettant la modélisation des menaces, l'ingénierie de détection, les opérations red team et l'analyse des lacunes de sécurité.
Voir Test d'Intrusion.
Un format de signature générique pour les systèmes SIEM permettant des règles de détection portables entre différentes plateformes. Les règles SIGMA décrivent des patterns suspects dans les données de logs (événements Windows, logs de serveur web, etc.) et peuvent être converties en requêtes pour Splunk, Elastic, Microsoft Sentinel et d'autres outils.
Un outil de correspondance de patterns utilisé principalement pour l'identification et la classification de malwares. Les règles YARA décrivent des patterns (chaînes, séquences d'octets, conditions) pour identifier des familles de malwares, des fichiers suspects ou des indicateurs de compromission.
Une méthodologie de test de sécurité qui analyse le code source, le bytecode ou les binaires pour détecter les vulnérabilités de sécurité sans exécuter l'application. Les outils SAST (comme Semgrep, Bearer, SonarQube) identifient les problèmes tôt dans le développement incluant l'injection SQL, XSS, la cryptographie non sécurisée et les secrets codés en dur.
Un inventaire formel et lisible par machine des composants logiciels et dépendances utilisés dans la construction d'une application. Les SBOMs permettent le suivi des vulnérabilités, la conformité des licences et la sécurité de la chaîne d'approvisionnement. Les formats incluent SPDX et CycloneDX.
Un cadre de sécurité pour assurer l'intégrité des artefacts logiciels tout au long de la chaîne d'approvisionnement. SLSA fournit des niveaux d'assurance incrémentaux (1-4) couvrant l'intégrité de la source, l'intégrité de la construction et la provenance.
Une cyberattaque simulée réalisée par des professionnels de la sécurité pour identifier les vulnérabilités des systèmes, réseaux et applications avant que de vrais attaquants ne puissent les exploiter. Contrairement aux évaluations de vulnérabilités, le test d'intrusion implique une exploitation active pour démontrer l'impact réel d'une attaque.
Voir Règles YARA.
Un modèle de sécurité basé sur le principe "ne jamais faire confiance, toujours vérifier" qui exige une vérification stricte de l'identité pour chaque personne et appareil tentant d'accéder aux ressources, indépendamment de l'emplacement réseau. Zero Trust élimine la confiance implicite, implémente l'accès au moindre privilège et valide continuellement la posture de sécurité.
Notre équipe peut vous aider à implémenter ces pratiques de sécurité. Commencez par une consultation.
Contactez-nous