Les défis de la sécurité informatique en 2012.

4,437
-1

Published on

Conférence sur les "défis de la sécurité informatique en 2012".
Animé par Jérôme Saiz - SecurityVibes, le 7 février 2012.

Conférence organisé par le Club IES - IAE de Paris alumni.

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,437
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Les défis de la sécurité informatique en 2012.

  1. 1. 2012 Les défis de la sécurité informatique Club IES, 7 février 2012 Jérôme Saiz / SecurityVibes
  2. 2. Qui ? SecurityVibes  Communauté de professionnels de la sécurité IT  Magazine  Evénements  Soutien de Philippe Courtot, Qualys Jérôme Saiz  Journaliste, spécialiste des questions de sécurité  Geek de cœur  EPITA : « Technologies & Marché de la sécurité »  LesNouvelles.net SecurityVibes 2
  3. 3. Menu La menace a évolué Les nouveaux acteurs Le rôle du RSSI Contre-mesures réalistes 3
  4. 4. MenuLa menace a évolué 4
  5. 5. Evolution De l’amateur au vénal Du visible (égo) au discret (exploitation) Exploitation = argent = professionnalisation  9 millions de $ / 49 villes US / 130 DAB / une heure (WorldPay, 2009)  6,7 millions de $ / 3 jours / DAB + virements (Postbank, 2012)  Des comptes dédiés ouverts pendant une année  Malgré 2 millions de $ de logiciels anti-fraude Retour à l’amateur avec les hacktivistes 5
  6. 6. Evolution Niveau technique en baisse Vrai pour le grand public  Arnaques Facebook, « badware »…  Aucun besoin de sophistication technique  L’utilisateur est (i)responsable de son infection Moins pour l’entreprise  Attaques ciblées, social engineering, APT, Stuxnet  Kits d’infection et de copie rapide (smartphone, laptop) 6
  7. 7. Evolution Trois menaces 2012 Réseaux sociaux  Grand public : arnaques en hausse  Sondages & SMS surtaxés, vraies fausses vidéos virales, vol du carnet d’adresses  Entreprises : repérage, renseignement, ciblage Mobiles  Grand public : vol de données, arnaques bancaires (apps piégées)  Entreprises : BYOD Documents piégés  Attaques ciblées via Flash / PDF / MS Office 7
  8. 8. MenuDe nouveaux acteurs 8
  9. 9. Acteurs Les Hacktivistes « Altermondialistes numériques »  Non-violent, illégal, digital et politique Armes : vol de données et déni de service distribué (DDoS)  Pas de consensus sur la « légitimité » de l’un ou de l’autre  DDoS = « sitting » pacifique ou acte violent de neutralisation ?  Vol de données = militantisme ou vol ? 9
  10. 10. Acteurs Les Hacktivistes Pas d’objectif unique / clair  Liberté d’expression ?  Anticapitalisme ?  Nihilisme 2.0 ?  Ecologie ?  Intérêts personnels ?  Manipulation ? (PSYOP militaire)  « Psychological operations are planned operations to convey selected information and indicators to foreign audiences to influence their emotions, motives, objective reasoning, and ultimately the behavior of foreign governments, organizations, groups, and individuals » (Wikipedia) 10
  11. 11. Acteurs Les Hacktivistes Des actions perçues (aussi) positivement  Développement d’outils de chiffrement (PGP)  Miroirs de sites censurés  Assistance technique anti censure Dialogue difficile à initier  Qui est représentatif ?  Emotion vs business 11
  12. 12. Acteurs Les Hacktivistes « Si vous dirigez un pays et que vous ne vous comportez pas correctement, avec les réseaux sociaux les utilisateurs ont désormais le moyen de vous faire tomber » (David Jones, DG Havas @ Davos 2012)  Vrai également pour les entreprises « Chaque utilisateur a désormais les moyens de lancer un mouvement de masse. Mais ces cyber mouvements sociaux ne créent pas de leaders » (idem)  Débordements et réflexe de meute (ex : Orange / Free)  Dialogue rationnel difficile 12
  13. 13. Acteurs Les Hacktivistes Exemple : Anonymous  Une idée plutôt qu’une organisation  La liberté d’expression, la désobéissance civile  Pas d’intérêt pour les données personnelles  Structure fluide et décentralisée  Basée sur la volonté du groupe (désignation libre des cibles + LOIC)  Héritage de 4chan  DDoS (majoritaire) et intrusions (rares)  Dissensions régulières & inévitables  Risques de dérapage  Anonymous vs Zetas  Enrôlement forcé (cas PasteHTML.com) 13
  14. 14. Acteurs Les Hacktivistes Le défi Veille d’actualité Veille réseau sociaux Matrice de risque actualité / activité de l’entreprise à développer Communication de crise 14
  15. 15. Acteurs Le crime organisé Les Sopranos sur Internet ? Pas vraiment  Le web comme soutien aux activités illégales traditionnelles  Communication, organisation, protection des données  Blanchiment d’argent (fraude transnationale)  Contrefaçon, pédopornographie, prostitution  Approche « utilitaire » des technologies 15
  16. 16. Acteurs Le crime organisé La réalité : des gangs 100% virtuels  1 casse @ $1 million ou 1 million d’arnaques @ 1$ ?  Ticket d’entrée faible, risque faible, gains élevés  Gourmands, très spécialisés, très organisés  Codeur, exploiteur, « carder », associé, mule…  Ne se rencontrent (presque) jamais  Géométrie variable  Constitution de groupes ad-hoc  Communication exclusivement en ligne  Des spécialités régionales  Russie (piratage, exploits), Brésil (malware bancaire), Chine (hébergement)… 16
  17. 17. Acteurs Le crime organisé Exemple : Liberty Reserve  Monnaie parallèle  hors système bancaire international  Difficile d’atteinte  « Puisque nous sommes basés à Nevis (Costa Rica), vous devez être un meurtrier, un ravisseur ou un baron de la drogue pour nous forcer à divulguer des informations sensibles »  Structure décentralisée  Emetteur et grossistes indépendants  Opérations 100% virtuelles  Transactions via MSN, Yahoo! Messenger, ICQ vers des comptes en ligne  Pas de logs 17
  18. 18. Acteurs Le crime organisé Le défi Contrôles internes / fraude interne Protection des clients  Moyens de paiement, achats, escroqueries en ligne Conformité réglementaire  (un défi à part entière !) 18
  19. 19. Acteurs Les Etats Cyberguerre ≠ espionnage  Guerre = opérations militaires, dégâts matériels, victimes  = Cyber-sabotage Confusion  N’importe qui peut se joindre à la bataille  Attaque Russe contre la Géorgie, Estonie : nationalistes ? Hacktivistes ?  Attaques contre le cyber ou attaque avec des armes cyber ?  Contre : détruire l’infrastructure SI (armes cyber ou physiques)  Avec : utiliser des armes cyber pour provoquer des dégâts physiques 19
  20. 20. Acteurs Les Etats Le cyber comme nouveau théâtre d’opération  Terre, Air, Mer, Espace et Cyber (US)  Attaques cyber : « un acte de guerre » (US) Des armes opérationnelles  Stuxnet  Opération Orchard (Israël), tests Aurora (US) Des Etats organisés  ANSSI (France), US Cyber Command (US), Grande Bretagne (GCHQ), ENISA (EU), KKL (Estonie) + Russie, Chine, Israël, Corée(s), Iran ? 20
  21. 21. Acteurs Les Etats Mais encore beaucoup (trop) de questions  Nature des armes cyber ?  Armes de dissuasion ? Armes « e-bactériologiques » ? Armes tactiques ?  Quid de la couche radio ? (GPS Jammer ?)  Doctrines d’utilisation ?  Quels objectifs ? (Perturbations civiles ? Sabotage d’infrastructures critiques ? Neutralisation d’objectifs militaires ?)  Quelle réponse ? « Do we do it by going back over the network ? Would it be easier to send a group of special forces in and blow the servers up ? » (Michael Chertoff, ex-directeur US homeland security)  Attribution ?  Dissémination & contrôle ? 21
  22. 22. Acteurs Les Etats+ d’info « Nature des armes cybernétiques et stabilité du système international » Guy-Philippe Goldstein Sur SecurityVibes : http://goo.gl/1nGeD 22
  23. 23. Acteurs Les Etats Le défi Se rapprocher de votre agence nationale Redondance, protection des données, PCA/PRA Sensibiliser les utilisateurs  Cyber-espionnage plutôt que cyberguerre 23
  24. 24. MenuLe rôle du RSSI 24
  25. 25. RSSI Le rôle du RSSI Plus seulement un technicien  SMSI, gestion du risque, organisation… (si maturité suffisante de l’entreprise) Communiquant / manager / politique Et désormais aussi un peu juriste  Obligations de conformité réglementaire (CNIL & métiers)  Montée dans le nuage = contrats & responsabilités Et surtout visionnaire  Technologies et pratiques émergentes : quel impact ?  BYOD, mobilité, SaaS, télétravail, recrutement, mini-sites… 25
  26. 26. RSSI Le rôle du RSSI+ d’info « Le RSSI : un schizophrène en évolution ? » Jean-François Louapre, RSSI AG2R – La Mondiale Sur SecurityVibes : http://www.securityvibes.com/docs/DOC-1448 26
  27. 27. RSSI Le rôle du RSSI Le défi De nouveaux camarades de jeu  CNIL = CIL  Risque = Risk Manager De nouvelles pratiques  Les métiers accèdent aux offres SaaS directement  La protection de l’information dépasse le cadre du SI  Collaboration avec le responsable IE 27
  28. 28. MenuContre-mesures réalistes 28
  29. 29. Contre-mesuresLes contre-mesures réalistes « Back to basics » (*) http://goo.gl/Bwfou * Retour aux fondamentaux 29
  30. 30. Contre-mesures Les contre-mesures réalistes « Back to basics » (retour aux fondamentaux)  Si pas encore fait : inutile d’aller plus loin  Si déjà fait : vous savez le chemin qui reste à parcourir.  Et n’avez pas besoin de mes conseils ;) 30
  31. 31. Contre-mesuresLes contre-mesures réalistes Le défi Retour aux fondamentaux  Reprenez le contrôle ! Sensibilisez Observez ! 31
  32. 32. Et maintenant ?Restons en contact !http://fr.linkedin.com/in/jsaizhttp://twitter.com/securityvibesfrhttp://www.facebook.com/secvibes 32
  33. 33. Merci !Place aux questions 33

×