2012 07-05-spn-sgi-v1-lite

793 views
720 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
793
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
14
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

2012 07-05-spn-sgi-v1-lite

  1. 1. Atelier Sécurité IT Sébastien Gioria Rencontres du Numérique Poitiers - 5 Juillet 2012Thursday, July 5, 12
  2. 2. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 2Thursday, July 5, 12
  3. 3. http://www.google.com/search? q=sebastien%20gioria •Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y •OWASP France Leader & Founder - Evangéliste • OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) •Président CLUSIR Poitou-Charentes •Responsable du Groupe Sécurité des @SPoint Applications Web au CLUSIF CISA && ISO 27005 Risk Manager • +15 ans d’expérience en Sécurité des Systèmes d’Information • Différents postes de manager SSI dans la banque, l’assurance et les télécoms • Expertise Technique • PenTesting, • Secure-SDLC • Gestion du risque, Architectures fonctionnelles, Audits • Consulting et Formation en Réseaux et SécuritéThursday, July 5, 12
  4. 4. CLUSIF • Association sans but lucratif (création début des années 80) • > 600 membres (50% offreurs, 50% utilisateurs) • Promouvoir la sécurité de l’information • Partager – Echanges homologues-experts, savoir-faire collectif, fonds documentaire • Anticiper les tendances – faire connaître les attentes auprès des offreurs • Sensibiliser les acteurs 4Thursday, July 5, 12
  5. 5. CLUSIF - CLUSIR • CLUSIR : – Association loi de 1901 libre de ses choix, statuts et travaux, agréé par le CLUSIF. – S’engage à respecter le code d’éthique du CLUSIF. – Peut utiliser les moyens du CLUSIF (documents, agence de presse, conférenciers, …). • Le CLUSIR Poitou-Charentes : – Rompre l’isolement du RSSI/DSI – Partager les bonnes pratiques, via des groupes de travail ou non: – Informer et sensibiliser le dirigeant Thursday, July 5, 12
  6. 6. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 6Thursday, July 5, 12
  7. 7. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4Thursday, July 5, 12
  8. 8. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4Thursday, July 5, 12
  9. 9. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4Thursday, July 5, 12
  10. 10. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4Thursday, July 5, 12
  11. 11. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4Thursday, July 5, 12
  12. 12. La sécurité informatique , une affaire pour tous ! Disponibilité SOX PCI-DSS BALE Solvabilité 2 Critères de CNIL sécurité d’un Système LSF DGI d’Information CONTRAINTES REGLEMENTAIRESConfidentialité Intégrité • Protection du savoir faire. • Protection des données personnelles. • Protection du patrimoine de l’entreprise. COMPLEXITE • Respect des obligations légales. 8Thursday, July 5, 12
  13. 13. Agenda • Introduction • Risques et Menaces –Le vol –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 9Thursday, July 5, 12
  14. 14. Vol d’informations • Toute donnée est bonne à exploiter : – Fichier des tarifs ou des clients. – Fichiers salariés. – Processus et savoir faire. – Proposition commerciale. – Carte Bancaire. – Des fichiers de traces techniques. • Chaque donnée volée se vend sur Internet : – CB : moins de 1 $/numéro de carte – Les fichiers de traces : de l’ordre de 100 $ Vol et perte d’informations 26Thursday, July 5, 12
  15. 15. Pourquoi voler des informations ? • Les voleurs d’informations sont bien organisés et sont de divers milieux : – Les gouvernements – La mafia – Des entreprises – Des étudiants/particuliers • Percer des secrets d’Etat. • Blanchir de l’argent (via le recrutement de «mules»). • Dénigrer une société/une personne. • Augmenter sa compétitivité. Ø Ou  tout  simplement  se  faire  de  l’argent  de  poche  !! Vol et perte d’informations 27Thursday, July 5, 12
  16. 16. Vol de portable ? 15Thursday, July 5, 12
  17. 17. 39Thursday, July 5, 12
  18. 18. 14Thursday, July 5, 12
  19. 19. Ingéniérie sociale... 15Thursday, July 5, 12
  20. 20. Cartes Bancaires 16Thursday, July 5, 12
  21. 21. Cartes Bancaires 16Thursday, July 5, 12
  22. 22. Cartes Bancaires 16Thursday, July 5, 12
  23. 23. Cartes Bancaires 16Thursday, July 5, 12
  24. 24. Cartes Bancaires 16Thursday, July 5, 12
  25. 25. Cartes Bancaires 16Thursday, July 5, 12
  26. 26. Cartes Bancaires 16Thursday, July 5, 12
  27. 27. Mauvais cru 2011.... Source Panorama Clusif 2011 17Thursday, July 5, 12
  28. 28. Agenda • Introduction • Risques et Menaces – Le vol de données – L’intrusion – Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 18Thursday, July 5, 12
  29. 29. Comment se passe une intrusion informatique par Internet • Le pirate récupère des informations sur la cible (société) : – Via les moteurs de recherche – Via le site Internet de la société – Via les informations publiques disponibles sur Internet • Le pirate « cartographie » le réseau de la cible : – Il envoie des informations (légitimes ou illégitimes) à destination des serveurs Internet de la société et construit la carte du réseau Vol et perte d’informations 28Thursday, July 5, 12
  30. 30. Ce que vous voyez 20Thursday, July 5, 12
  31. 31. Ce que voit un pirate Vol et perte d’informations 29Thursday, July 5, 12
  32. 32. Comment se passe une intrusion informatique par Internet • Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées. • Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille. • Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …) Vol et perte d’informations 30Thursday, July 5, 12
  33. 33. Comment se passe une intrusion informatique par Internet • Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées. • Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille. • Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …) Vol et perte d’informations 30Thursday, July 5, 12
  34. 34. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 23Thursday, July 5, 12
  35. 35. Un peu d’histoire 1969 2042Début 1988 1992 1997 2000 2004 2006 2008 2009 2010d’internetLe premier Ver (Morris)s’attaque aux serveurs Création de Mail Invention du Google protocole SSL (par Le début des réseaux NetScape) sociaux (facebook, Arrivée du Web twitter, linkedin, (Mosaic, HTTP/ viadeo, …) 0.9) Début du Haut débit pour tous… Aurora… Le cloud computing, la démocratisation de la virtualisation La première cyber-attaqueThursday, July 5, 12
  36. 36. Si je ne suis pas sur Internet, j’ai raté ma vie personnelle Les réseaux sociaux comme support de l’activisme… ® Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville •2011 => Le phénomène Anonymous... •2012 ? Les réseaux sociaux et protection de la vie privée un concept dépassé ? ® Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook ® Août 2009 : 45% des recruteurs consultent des réseaux sociaux ® Décembre 2009 : Épinglés sur Twitter pour alcool au volant ® Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée « Les gens sont à laise, non seulement avec le fait de partager plus dinformations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg.Thursday, July 5, 12
  37. 37. site:*.gouv.fr "index of" 26Thursday, July 5, 12
  38. 38. Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle • Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate) – Exemple : site:*.gouv.fr "index of" • Google est le premier site amenant du trafic : – Achats de mots clés, mauvais référencement, pollution des statistiques •Février 2012 : Google Bombing sur François HollandeThursday, July 5, 12
  39. 39. Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle • Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate) – Exemple : site:*.gouv.fr "index of" • Google est le premier site amenant du trafic : – Achats de mots clés, mauvais référencement, pollution des statistiques •Février 2012 : Google Bombing sur François HollandeThursday, July 5, 12
  40. 40. Si je ne suis pas sur Internet, je ne suis pas compétitif• Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP(Internet) : énergie, surveillances et accès, pilotage des processus industriels (SCADA), … • Détection de fumée Orange : http://mamaison.orange.fr/ • SFR HomeScope : http://www.sfr.fr/vos-services/equipements/ innovations/sfr-homescope/• Automne 2009, des chercheurs démontre que l’isolation dans le Cloud EC2 d’amazon, c’est pas si bien faite que cela.• Septembre 2009 : PME Française de VPC, vol de la base de données SQL via un fichier servant a la sauvegarde qui a été « oublié » sur le serveur Web. ⇒ Mailling des voleurs aux clients pour les informer…• Janvier 2010 : un hacker diffuse des scènes pornographiques sur des panneaux de publicité en Russie….Thursday, July 5, 12
  41. 41. 29Thursday, July 5, 12
  42. 42. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 30Thursday, July 5, 12
  43. 43. Comment sécuriser son système d’informations • S’assurer d’avoir mis en place des outils de sécurité tels des anti-virus, des firewalls, …. • S’assurer que les données sont bien sauvegardées régulièrement et qu’il est possible de les restaurer ! • Etre attentif à tout comportement anormal sur un poste informatique. 9Thursday, July 5, 12
  44. 44. Comment sécuriser son système d’informations • Vérifier régulièrement qu’il n’y a pas eu d’altération de tout ou partie des applications métiers et de leurs bases associées. • Fournir à tout salarié une charte de bon comportement informatique. • Sensibiliser l’ensemble du personnel à la sécurité ! • Tester régulièrement sa sécurité (physique, logique et humaine !) 10Thursday, July 5, 12
  45. 45. « Si vous trouvez que lEducation coûte trop cher, essayez lignorance ! » Abraham LINCOLN 33Thursday, July 5, 12
  46. 46. Annexes 34Thursday, July 5, 12
  47. 47. Risques et solutions Risque Conséquences Parade  à  considérer Destruction de la •Perte d’informations et de •Site de secours salle informatique services •Sauvegarde externalisée •Plan de reprise formalisé Destruction de la •Perte d’archives •Externalisation des médiathèque •Perte de sauvegardes archives et des •Perte de données applicatives sauvegardes •Copie sur disque des données Destruction/Arrêt de •Arrêt de serveurs •Redondance des la climatisation •Altération des supports climatiseurs •Indisponibilité de l’immeuble •Plans et moyens de ou de la salle secours pour les serveurs Destruction/Coupure •Panne de disques et •Batteries et Onduleurs de l’alimentation détérioration de données régulièrement testés électrique •Arrêt de serveurs •Dédoublement des •Altération des supports arrivées électriques Continuité et reprise d’activité 21Thursday, July 5, 12
  48. 48. Risques et solutions Système Très  Haute  Disponibilité Moyenne  Disponibilité Faible  disponibilité Serveurs •Serveurs de secours •Serveurs de secours •Serveurs de Stratégique dédiés situés sur un dédiés situés sur un secours situés sur s autre site en état de autre site. un autre site, fonctionnement •Copie régulière des pouvant être •Solutions de type bases et des données mutualisés avec Cluster/LoadBalancing d’autres tâches Réseau •Redondance des •Matériel et rocade de •Matériel de Local équipements secours secours •Doublement des •Kit de câblage rocades de câblage volant. Accès •Au moins deux •Nœud de secours •Engagement réseau arrivées séparées sur externeContrat d’intervention du externe plusieurs points prévoyant l’intervention fournisseur avec d’entrées, voire de l’opérateur avec obligation de plusieurs sites engagement de résultats résultats •Maillage du réseau d’entreprise Continuité et reprise d’activité 22Thursday, July 5, 12
  49. 49. Risques et solutions Système Très  Haute  Disponibilité Moyenne  Disponibilité Faible  disponibilité Téléphonie •Doublement de •Contrat prévoyant le •Autocommutateur l’autocommutateur transfert d’appels par le de secours. dans un local distant et fournisseur vers un site •Mise en place bascule automatique de secours prêt à d’un message pré- des communications réceptionner les appels enregistré. •Transfert des appels par le fournisseur sur le site de secours. Accès •Double connexion •Connexion Internet sur le site de secours Internet Internet sur tous les avec basculement manuel sites avec des fournisseurs différents •Mise en place du protocole réseau BGP4 Continuité et reprise d’activité 23Thursday, July 5, 12
  50. 50. Les méthodes de vol employées et comment se protéger Méthode   But  poursuivi Difficulté  pour   Défense employée l’aLaquant Pourriels •Envoi de courrier •Vol de Numéro de CB, •Aucune. Les •Un bon anti- (SPAM) non sollicité à un Installation de Logiciel sites internet spam internaute Espion, … regorgent •Contrôler la d’adresses diffusion de son mails e-mail Logiciel •Installation d’un •Obtenir les informations •Faible : Il est •Disposer d’un espion logiciel sur le saisies par l’internaute sur très simple logiciel anti- (spyware) poste de tous les sites consultés d’installer un espion l’internaute •Obtenir des informations logiciel en •N’installer que Internes à la société jouant sur la des logiciels sensibilité de dont la l’Internaute provenance est vérifiée. Vol et perte d’informations 31Thursday, July 5, 12
  51. 51. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté  pour   Défense l’aLaquant Hameçonnag •Envoi d’un pourriel •Obtenir les •Moyen à •Disposer de logiciel e (Phishing) très bien fait et informations de Fort anti-hameçonnage ressemblant à un vrai connexion pour •Ne pas faire courriel du effectuer des confiance aux liens fournisseur transactions situés dans un malicieuses courriel, surtout si ils •Redirection vers un redirigent vers un site qui ressemble à site qui «ressemble» celui ciblé (souvent au site officiel des sites bancaires ou assimilés) Réseau de •Installation de logiciel •Mettre en place •Simple à •Ne pas télécharger Robots/Mules à distance via des un réseaux de Complexe : de «vidéos» (BotNet) sites Internet ou le machines •Il suffit inédites, ni de téléchargement de permettant de d’appâter les «logiciels» pour fichiers sur Internet lancer des internautes lesquels on n’est attaques de avec des pas sûr de la source grande vidéos envergure (déni « inédites » de service, Vol spam, d’informations et perte …) 32Thursday, July 5, 12
  52. 52. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté   Défense pour   l’aLaquant L’Intrusion •Recrutement d’une •Récupérer un •Simple à •Auditer informatique personne spécialisée fichier, détruire Complexe régulièrement sa pour « passer » outre des données, sécurité les contrôles de modifier des informatique par sécurité données des tests d’intrusions Le vol de •Récupérer dans un •Améliorer sa •Simple à •Sensibiliser le matériel lieu public ou non du compétitivité, Complexe personnel à la matériel ou des découvrir des sécurité documents secrets de •Mettre en place fabrication des procédés de «chiffrement de données», des verrous logiciels ou matériel pour tout ce qui est sensible. •Broyeurs de documents. 33 Vol et perte d’informationsThursday, July 5, 12
  53. 53. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté   Défense pour   l’aLaquant L’ ingénierie •Recrutement d’une •Améliorer sa •Simple •Sensibiliser les sociale personne se faisant compétitivité, salariés à la «passer» pour un découvrir des sécurité technicien de la secrets de société Vendée-NET fabrication qui doit : - Réparer le PC du PDG - Accéder à la salle de réunion pour vérifier la climatisation… Vol et perte d’informations 34Thursday, July 5, 12

×