

# Cas d'utilisation de sécurité
<a name="dd-detect-security-use-cases"></a>

Cette section décrit les différents types d'attaques qui menacent votre flotte d'appareils et les mesures recommandées que vous pouvez utiliser pour surveiller ces attaques. Nous vous recommandons d'utiliser les anomalies métriques comme point de départ pour étudier les problèmes de sécurité, mais vous ne devez pas baser votre détermination des menaces de sécurité uniquement sur une anomalie métrique. 

Pour enquêter sur une alarme d'anomalie, corrélez les détails de l'alarme avec d'autres informations contextuelles telles que les attributs de l'appareil, les tendances historiques des métriques de l'appareil, les tendances historiques des métriques du profil de sécurité, les métriques personnalisées et les journaux pour déterminer si une menace de sécurité est présente.

## Cas d'utilisation côté cloud
<a name="Cloud-side-threats"></a>

Device Defender peut surveiller les cas d'utilisation suivants du côté du AWS IoT cloud.

**Vol de propriété intellectuelle :**  
Le vol de propriété intellectuelle consiste à voler les propriétés intellectuelles d'une personne ou d'une entreprise, notamment des secrets commerciaux, du matériel ou des logiciels. Cela se produit souvent au cours de la phase de fabrication des appareils. Le vol de propriété intellectuelle peut prendre la forme d'un piratage, d'un vol d'appareil ou d'un vol de certificat d'appareil. Le vol de propriété intellectuelle basé sur le cloud peut se produire en raison de l'existence de politiques autorisant un accès involontaire aux ressources de l'IoT. Vous devez revoir vos [politiques en matière d'IoT](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) et activer les [contrôles d'audit trop permissifs](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html) pour identifier les politiques trop permissives.    
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**MQTT-based data exfiltration: ** (Exfiltration de données basée sur MQTT)  
L'exfiltration de données se produit lorsqu'un acteur malveillant effectue un transfert de données non autorisé depuis un déploiement IoT ou depuis un appareil. Le pirate lance ce type d'attaques via MQTT contre des sources de données situées dans le cloud.    
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Impersonation:** (Usurpation d'identité)  
Dans le cadre d'une attaque par usurpation d'identité, les pirates se font passer pour des entités connues ou fiables dans le but d'accéder à des services AWS IoT, à des applications ou à des données situés dans le cloud, ou de prendre le contrôle d'appareils IoT.     
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Cloud Infrastructure abuse:** (Utilisation abusive de l'infrastructure cloud)  
L'utilisation abusive des services AWS IoT cloud se produit lors de la publication ou de l'abonnement à des rubriques contenant un volume de messages élevé ou contenant des messages de grande taille. Des politiques trop permissives ou l'exploitation des vulnérabilités des appareils à des fins de commande et de contrôle peuvent également entraîner une utilisation abusive de l'infrastructure cloud. L'un des principaux objectifs de cette attaque est d'augmenter votre facture AWS. Vous devez revoir vos [politiques en matière d'IoT](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) et activer les [contrôles d'audit trop permissifs](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html) pour identifier les politiques trop permissives.    
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

## Cas d'utilisation côté appareil
<a name="Device-side-threats"></a>

Device Defender peut surveiller les cas d’utilisation suivants du côté de votre appareil.

**Denial-of-service attack:** (Attaque par déni de service)  
Une attaque par déni de service (DoS) vise à arrêter un appareil ou un réseau, le rendant ainsi inaccessible aux utilisateurs auxquels il est destiné. Les attaques DoS bloquent l'accès en inondant la cible de trafic ou en lui envoyant des demandes qui ralentissent le système ou provoquent une défaillance du système. Vos appareils IoT peuvent être utilisés dans le cadre d'attaques DoS.    
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Lateral threat escalation:** (Escalade latérale de la menace)  
L'escalade latérale des menaces commence généralement par l'accès d'un pirate à un point du réseau, par exemple un appareil connecté. Le pirate essaie ensuite d'augmenter son niveau de privilèges ou son accès à d'autres appareils par le biais de méthodes telles que le vol d'informations d'identification ou l'exploitation de vulnérabilités.    
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Data exfiltration or surveillance:** (Exfiltration ou surveillance de données)  
L'exfiltration de données se produit lorsqu'un logiciel malveillant ou un acteur malveillant effectue un transfert de données non autorisé à partir d'un appareil ou d'un point de terminaison du réseau. L'exfiltration de données a généralement deux objectifs pour le pirate : obtenir des données ou de la propriété intellectuelle, ou effectuer la reconnaissance d'un réseau. La surveillance signifie qu'un code malveillant est utilisé pour surveiller les activités des utilisateurs dans le but de voler des informations d'identification et de recueillir des informations. Les indicateurs ci-dessous peuvent fournir un point de départ pour étudier l'un ou l'autre type d'attaque.    
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Cryptocurrency mining** (Minage de crypto-monnaies)  
Les pirates exploitent la puissance de traitement des appareils pour exploiter les cryptomonnaies. Le minage de cryptomonnaies est un processus de calcul intensif, qui nécessite généralement une communication réseau avec d'autres pairs et pools de minage.    
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Commande et contrôle, logiciels malveillants et rançongiciels**  
Les logiciels malveillants ou les rançongiciels limitent le contrôle que vous avez sur vos appareils et limitent leurs fonctionnalités. Dans le cas d'une attaque par rançongiciel, l'accès aux données serait perdu en raison du chiffrement utilisé par le rançongiciel.    
****Métriques associées :****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)