L'objectif n'est pas d'apprendre l'assembleur mais simplement d'illustrer la compilation. Vous trouverez dans cette fiche 4 exemples montrant l'utilisation d'une affectation, d'une structure conditionnelle, d'une structure itérative et d'une fonction.
Une **menace** fait référence à un incident susceptible de nuire à un système ou à l’ensemble d'une organisation. Il existe trois principaux types de menaces:
- les menaces naturelles (par exemple, les inondations ou une tempête),
- les menaces non intentionnelles (par exemple, un employé qui accède par erreur à une information erronée),
- les menaces intentionnelles.
Une **vulnérabilité** fait référence à une faiblesse connue d’une ressource pouvant être exploitée par un ou plusieurs attaquants. Il s’agit d’un problème connu qui permet à une attaque de réussir.
Par exemple, lorsqu’un membre de l’équipe démissionne et que vous oubliez de désactiver son accès aux comptes externes, de modifier ses identifiants, votre entreprise reste ouverte aux menaces intentionnelles. Cependant, la plupart des vulnérabilités sont exploitées par des attaquants automatisés et non par un humain.
Un **risque de sécurité** est la probabilité qu'une vulnérabilité soit exploitée par une menace.
Pour évaluer les risques, il existe plusieurs méthodes, dont EBIOS qui propose d'établir une matrice de vraissemblance/gravité des risques :
## 2. Quelques exemples de risques de sécurité sur les données
Voici quelques exemples de risques les plus connus concernant l'accès légal ou illégal à des données. On pourrait, à partir de ces exemples, illustrer la matrice EBIOS dans le cas d'entreprises. Ce ne sera pas fait ici car le risque est directement dépendant du métier (un *spyware* n'aura pas tout à fait le même impact sur le SI du lycée Monnet-Mermoz que sur le SI d'une centrale nucléaire).
### 2.1. Les *spywares*
Un *spyware* est un programme qui recueille des informations sur les usages d'une personne. Il peut être utilisé à des fins légales de profilage (marketing) ou à des fin illégales de cyber-criminalité (voir [fiche 4](https://gitlab.com/sio-2021-2022/fiches-recaps/-/blob/main/Bloc3-%20Cybers%C3%A9curit%C3%A9%20des%20services%20informatiques/SIO1/Fiche4%20S%C3%A9curit%C3%A9%20et%20suret%C3%A9.md)).
*Solutions*
Installer un antispyware qui recherche et détruit ces programmes (Malware Byte, Spybot, etc.)
Former les utilisateurs pour éviter ces installations
Utiliser des [firewalls IPS](https://www.stormshield.com/fr/actus/alerte-securite-windealer-la-reponse-des-solutions-stormshield/) avec des signatures spécifiques
### 2.2. Les *Cookies*
Un cookie est une chaîne de caractères envoyés par un serveur web via une réponse HTTP et qui transite à chaque nouvelle requête (voir [fiche récap n°2](https://gitlab.com/sio-2021-2022/fiches-recaps/-/blob/main/Bloc3-%20Cybers%C3%A9curit%C3%A9%20des%20services%20informatiques/SIO1/Fiche2%20Traitement%20de%20donn%C3%A9es%20personnelles.md))
Selon le RGPD, les sites sont obligés d'être transparents quant à l'usage des cookies. Mais ne soyons pas naïfs, la technologie a toujours 10 ans d'avance sur la loi :
[Le chantage numérique](https://www.journaldunet.com/solutions/dsi/1509881-les-ransomwares-restent-la-principale-menace-des-entreprises-en-2022/)(ou*ransomware*) est une technique qui consiste à crypter des fichiers à distance, puis de proposer à la victime de les débloquer via Internet en échange d'une rançon. C'est un des risques les plus élevé pour les entreprises en 2022 :
*Solutions*
Difficile car relève souvent de [l'ingénierie sociale](https://terranovasecurity.com/fr/quest-ce-que-l-ingenierie-sociale/)
Interdire les anonymiseurs, proxies TOR, etc.
Permettre aux [IPS](https://www.stormshield.com/fr/produits-et-services/produits/protection-des-reseaux/fonctionnalites/moteur-ips-ids-stormshield/) de détecter et bloquer ces [C&C](https://www.varonis.com/fr/blog/quest-ce-que-le-cc)
## 3. Quelques autres menaces
Les menaces pour l'entreprise sont multiples. Elles n'impactent pas forcément les données mais peuvent aussi influer sur le SI dans son intégralité. Voici quelques autres exemples de risques que l'on peut trouver.
### 3.1. Canular
Les canulars (ou *hoaxs*) sont des messages sur les réseaux sociaux ou des mails qui colportent des mensonges ou des rumeurs : chaîne de solidarité, nouveau virus, théories conspirationnistes, etc. Ils sont destinés à abuser de la crédulité des internautes. Au-delà d'un risque direct sur les données, ils nuisent à la réputation de l'entreprise.
Apporter un regard critique sur ces informations et contrôler leur source
Démentir rapidement si l'entreprise est visée (payer un bon *community manager*)
### 3.2. Pourriel
Le pourriel (spam) est un courriel indésirable, envoyé en masse à des fins publicitaires ou malhonnêtes. Il sature le réseau et encombre les boîtes aux lettres. Les pourriels représentent près de 75% des messages.
*Solution*
Installer un anti-spam sur les serveurs de mail qui élimine les courriels indésirables
### 3.3. Les réseaux sociaux
Un réseau social est composé d’une semble d’acteurs (individus ou organisations) et de relations sociales entre ces acteurs (échange d’informations). Un réseau social peut comporter différents groupes. Selon cette définition, les réseaux sociaux ont toujours existé mais les TIC et internet ont créé des médias sociaux permettant de les entretenir et de les étendre.
**Les réseaux sociaux grand public**
*Facebook*, *Twitch*, *Instagram*, *Foursquare*, *Twitter*, *Discord* : au sein de ces réseaux se créent des groupes en fonction de centres d’intérêts.
Ces réseaux permettent un contact rapide, gratuit, géographiquement illimité et un partage d’informations large dans une communauté choisie.
Le modèle économique permettant la gratuité du service repose sur le recueil et la commercialisation des données personnelles pour permettre des publicités personnalisées. L’exposition des données personnelles aux autres membres est paramétrable.
La présence des entreprises sur ces réseaux est confiée à un **gestionnaire de communautés** (***community manager***), aux compétences spécifiques, garant de l’identité numérique de l’organisation.
**Les réseaux sociaux professionnels**
Les réseaux *Viadeo*, *LinkedIn* sont aussi grand public, au sens où ils sont ouverts à tous, mais à visée davantage professionnelle. Les entreprises les utilisent pour trouver, par exemple, des partenaires d’affaires (investisseurs, fournisseurs) ou encore augmenter leur visibilité sur le marché de l’emploi.
Les réseaux sociaux sont d’une grande souplesse par leur caractère informel mais il y a la nécessité d’encadrer les échanges. La gestion de la e-reputation consiste à surveiller les contenus diffusés (sur les réseaux sociaux, les blogs, les forums…), à réagir si nécessaire et à diffuser du contenu positif (agir plutôt que réagir)
L’émergence des réseaux sociaux, blogs, forums est celle d’une communication non institutionnelle c’est à dire d’informations non maîtrisées par l’organisation.
