Cybersécurité : les nouveaux défis de la SSI

  • 6,382 views
Uploaded on

Panorama des cyber menaces et des moyens d'y répondre. Conférence donnée à l'école d'informatique EPSI Nantes le 6 février 2013.

Panorama des cyber menaces et des moyens d'y répondre. Conférence donnée à l'école d'informatique EPSI Nantes le 6 février 2013.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
6,382
On Slideshare
0
From Embeds
0
Number of Embeds
5

Actions

Shares
Downloads
748
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Cybersécurité Les nouveaux défis de la sécurité des systèmes d’information Nicolas CAPRONI Consultant en sécurité des systèmes d’information BSSI Conseil & Audit Mercredi 6 février 2013dimanche 24 février 13
  • 2. Plan de l’intervention 1. Introduction à la SSI 2. Panorama des cyber menaces 3. Se protéger face aux cyber attaques N’hésitez pas m’interrompre pour me poser des questions ! 2 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 3. Introduction à la SSI • Qu’est-ce-que la SSI ? • Et la cybersécurité ? • Les enjeux de la cybersécuritédimanche 24 février 13
  • 4. La Sécurité des Systèmes d’Information • La sécurité des systèmes d’information (SSI) « est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité du système dinformation » • L’objectif est de prévenir les menaces et d’assurer la disponibilité, la confidentialité et lintégrité d’un système d’information. 4 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 5. Cybersécurité ? • Plusieurs définitions : – « Etat recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense » Définition de l’ANSSI • Mais aussi cyberdéfense, cyberattaque, cyberespace, cyberespionnage, cyberconflit, cyberterrorisme, cybercriminalité... 5 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 6. Cybersécurité ? • Plusieurs définitions : – Le terme est devenu à la mode et finalement revient à parler de SSI de façon encore plus globale (au niveau d’un Etat) – On retrouve des dérivés : cyberdéfense qui a une connotation militaire et gouvernementale. – « Ensemble des mesures techniques et non-techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels » Définition de l’ANSSI – Et la tendance est à rajouter le terme cyber partout... 6 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 7. Les enjeux de la cybersécurité • Quels enjeux – Pour les entreprises • Financier (perte de chiffre d’affaires, perte d’avantage concurrentiel...) • Juridique (amendes, non respect de réglementation sectorielle, non respect de la loi informatique & Libertés…) • Perte d’image (réputation, confiance des clients…) – Pour les Etats : • Stratégique (une problématique de défense et sécurité nationale) • Diplomatique • Economique • Militaire 7 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 8. Panorama des cyber menaces • Profils et motivation des attaquants • Les 4 grandes cyber menaces d’aujourd’huidimanche 24 février 13
  • 9. Panorama des cyber menaces • Explosion du nombre de cyber attaques • Des menaces de plus en plus nombreuses et complexes » une militarisation du cyberespace • Des profils d’attaquants très différents » n’oublions la menace interne • Des motivations diverses 9 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 10. Panorama des cyber menaces 10 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 11. Panorama des cyber menaces • Bilan 2012 du CERT-IST – Les principaux sujets de l’actualité 2012 : » Cloud et BIG-Data » Smartphones » Réseaux sociaux » Hacktivisme » BYOD » Cyber-espionnage et APT » La montée des états » Cybercrime » Vol de données personnelles 11 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 12. Panorama des cyber menaces http://hackmageddon.com 12 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 13. Panorama des cyber menaces • On peut identifier plusieurs types d’attaquants – Cybercriminel – Cyber espion – Hacktiviste • Et pourquoi pas demain ? – Cyber soldat – Cyber terroriste ? 13 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 14. Panorama des cyber menaces • Des motivations différentes – L’argent, le gain financier – Le vol d’informations confidentielles / stratégiques / personnelles – La déstabilisation : nuire à l’image de marque de l’organisation – L’idéologie (politique, religieuse...) – La vengeance – Le sabotage – ... 14 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 15. Panorama des cyber menaces • Des cyber « armes » – Les attaques par DDoS (déni de service distribué) – Les malwares (ver, virus, cheval de Troie...) – Les RAT (Remote Administration Tool) – L’exploitation de faille connues ou inconnues (0-day) – Le social engineering – ... • Des techniques d’attaques qui se combinent et des outils qui sont plus ou moins complexes à développer 15 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 16. Panorama des cyber menaces • On peut classer les cyber attaques dans 4 familles : – La cybercriminalité – Le cyber espionnage – La déstabilisation – Le sabotage 16 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 17. Panorama des cyber menaces • La cybercriminalité Profil des attaquants : Cybercriminel (money mule, programmeur de malware, mafia...) – Un phénomène mondial en plein essor Modes opératoires : Phishing, Scam, Fraudes à la carte – Une économie souterraine bancaire, vols de données » impossible à chiffrer de façon personnelles, vol d’identifiants (réseaux social, messagerie globale électronique, iTunes, PayPal...), Ransomwares, Botnet, DDoS... » Fraude bancaire en Europe : 1,5 milliard d’euros (Europol) Cibles / victimes : • Les particuliers – Professionnalisation des cybercriminels • Les entreprises – Développement du CaaS (Crime-as-a- • L’Etat et les administrations publiques Service) 17 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 18. Panorama des cyber menaces • La cybercriminalité – Le phénomène des ransomwares » stopransomware.fr – Usurpe l’identité des forces de police et de gendarmerie – Joue sur la peur des internautes – Demande de paiement 18 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 19. Panorama des cyber menaces • La cybercriminalité – Le phishing (exemple EDF) – EDF a communiqué sur les milliers de campagne de phishig qui visent ses clients – 40 000 signalements en janvier 19 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 20. Panorama des cyber menaces • La cybercriminalité – Le phishing (surtout les banques) – Quelques conseils : • Faire attention aux e-mails «suspects» • Vérifier l’orthographe • Aucune organisation ne vous demandera jamais vos coordonnées bancaires par mail 20 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 21. Panorama des cyber menaces • La cybercriminalité – Les botnets – Réseaux de PC « zombies» » infectés par un malware » serveurs de C&C – Les possibilités : » Vol de données bancaires » Vol d’identifiants de réseaux sociaux... » DDoS 21 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 22. Panorama des cyber menaces • Cybercriminalité : la face cachée 22 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 23. Panorama des cyber menaces • Cybercriminalité : professionnalisation et industrialisation 23 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 24. Panorama des cyber menaces • Cyber espionnage Profil des attaquants : Etats, entreprises, groupes – Une menace très active, comme au plus fort cybercriminels, cyber mercenaires de la guerre froide Modes opératoires : APT, malwares de type Chevaux – Des attaques discrètes, peu onéreuses et de Troie (ou RAT), spear phishing, très accessibles techniquement social engineering, 0-day – Recherche et exfiltration de données Cibles / victimes : confidentielles, stratégiques à haute valeur • Les entreprises (tout secteur ajoutée confondu) • Les centres de recherche – L’émergence des APT (Advanced Persistent • L’Etat et les administrations publiques Threat) » Mythe marketing ou réalité ? 24 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 25. Panorama des cyber menaces • Cyber espionnage – En 2011, Bercy a été victime d’une cyber attaque • Première affaire de ce genre révélée en France • « De l’espionnage pur » selon l’ANSSI » Vols de données liées au G20 (hypothèse) • Communication de l’ANSSI pour sensibiliser les acteurs politiques et économiques (entreprise) à ces nouvelles menaces 25 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 26. Panorama des cyber menaces • Cyber espionnage – L’affaire du piratage de Bercy 26 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 27. Panorama des cyber menaces • Cyber espionnage – Les réseaux informatiques de l’Elysée, victimes d’une campagne d’espionnage entre les deux tours de l’élection présidentielle – Révélée par Le Télégramme en juillet 2012 – Les Etats-Unis soupçonnés d’être à l’origine de cette opération (L’Express) – Aucun commentaire officiel (ANSSI et Présidence de la République) 27 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 28. Panorama des cyber menaces • Cyber espionnage – Le mode opératoire supposé de l’attaque contre l’Elysée 28 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 29. Panorama des cyber menaces • Cyber espionnage – Des opérations à l’échelle mondiale • En janvier 2013, Kaspersky dévoile « Red October » • Une campagne mondiale de cyber espionnage 29 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 30. Panorama des cyber menaces • La carte des victimes de Red October 30 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 31. Panorama des cyber menaces • Cyber espionnage – D’autres organisations espionnées : » Google, Adobe dans l’opération Aurora » Lockheed Martin » RSA » Areva en 2011 » Des médias américains (New York Times, Washington Post, CNN, Wall Street Journal...) » Des Etats du Moyen-Orient (via le malware Flame) – Des soupçons qui se portent régulièrement sur la Chine ou la Russie – Les limites de l’attribution des cyber attaques... 31 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 32. Panorama des cyber menaces • Déstablisation Profil des attaquants : Hacktivistes, cybercriminels, Etats, – Montée en puissance de l’hacktivisme entreprises... – Trois modes d’action principaux : Modes opératoires : DDoS, vol de données, failles » la saturation (DDoS pour paralyser applicatives (web), intrusion, un site web ou un service) rumeur... » le vol de données et la publication Cibles / victimes : sur Internet • Les entreprises (tout secteur confondu) » Le défacement des sites Internet • Les Etats et les administrations publiques – Motivations : • Les citoyens » idéologiques (religieuses, politiques...) » Opportunisme 32 » S’amuser, le défi technique Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 33. Panorama des cyber menaces • Déstabilisation – L’exemple des Anonymous / LulzSec / AntiSec » Défendre la liberté d’expression sur Internet » Combattre la censure » S’amuser (LulzSec) 33 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 34. Panorama des cyber menaces • Déstabilisation : exemple des Anoymous – Derrière les Anonymous se cachent des « hackers » mais aussi et surtout des « script kiddies » » Des « hackers » qui ont des compétences techniques particulières » Des « script kiddies » à qui on fournit des outils de piratage « clé en main » – Toute organisation (entreprise, administration…) est une potentielle cible. » C’est une menace opportuniste : elle varie selon les failles informatiques (et humaines) détectées de l’organisation ciblée » Des entreprises / Etats peuvent devenir des cibles privilégiées » Certaines #opérations des Anonymous sont des réactions / contestations liées à l’actualité (exemple : fermeture de 34 MegaUpload) Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 35. Panorama des cyber menaces • Déstabilisation – Retour sur l’opération #PayBack des Anonymous • Après la publication de plus de 250 000 câbles diplomatiques américains en février 2010, Wikileaks fait l’objet de blocages financiers. • En réaction, Anonymous a lancé l’opération #PayBack qui a pris la forme d’une campagne d’attaques DDoS contre les sites web de Visa, MasterCard, Paypal et de la banque suisse PostFinance. 35 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 36. Panorama des cyber menaces • Déstabilisation – Retour sur le piratage de la société HBGary Federal • En février 2011, Anonymous s’attaque à la société HBGary Federal. En exploitant une faille de sécurité sur leur site web, les attaquants constatent que les mots de passes sont réutilisés sur un compte Twitter, Linkedin mais également d’un compte gérant tous les adresses e-mail de l’entreprise. • La société avait déclaré vouloir dénoncer aux autorités certains membres des «Anonymous. En représailles, Anonymous a publié des e-mails et des fichiers confidentiels appartenant à la société. Le mois suivant, le directeur d’HBGary est contraint de démissionner. 36 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 37. Panorama des cyber menaces • Déstabilisation – Retour sur le piratage de la société Stratfor • En décembre 2011, Anonymous s’attaque à la société d’intelligence économique, Stratfor. En exploitant une faille de sécurité sur leur site Internet, les attaquants réussissent à « pivoter » sur des serveurs internes à l’entreprise mal protégés. • Anonymous (avec le collectif #AntiSec) réussit alors à voler l’ensemble des e-mails de la société et efface les données de plusieurs serveurs. Les attaquants réussissent également à mettre la main sur la liste des clients de Stratfor et sur leurs données bancaires. 37 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 38. Panorama des cyber menaces • Sabotage Profil des attaquants : Etats, cybercriminels, hacktivistes, – La cyber menace la plus dangereuse entreprises ? cyber terroristes ? – Elle vise des systèmes : Modes opératoires : DDoS, malware avancé, • sensibles (d’importance vitale) destruction de matériel, destruction de données, • industriels (SCADA) altération des données... • peu protégés en matière de sécurité Cibles / victimes : informatique • Les entreprises (notamment les plus sensibles) – Un enjeu de sécurité nationale • Les Etats et les administrations publiques 38 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 39. Panorama des cyber menaces • Sabotage : exemple de Stuxnet • Ver très complexe qui exploitait plusieurs vulnérabilités 0-day de système Windows et qui visait spécifiquement un SCADA de marque SIEMENS • Sa cible : » le centre d’enrichissement d’uranium iranien de Natanz • L’objectif : » ralentir le programme nucléaire iranien » provoquer le dysfonctionnement des centrifugeuses • Les responsables : » Américains et Israéliens sont fortement soupçonnés d’être à l’origine de cette opération de sabotage 39 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 40. Panorama des cyber menaces • Sabotage : exemple de Saudi Aramco – La plus grande société pétrolière saoudienne touchée par une cyber attaque « destructrice » – 30 000 postes de travail et serveurs impacté – Les disques durs ont été effacés – Grave perturbation du SI de l’entreprise – En cause : le malware Shamoon – L’attaque a été revendiquée sur Pastebin par des hacktivistes – L’Iran est soupçonné d’être à l’origine de cette attaque 40 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 41. Panorama des cyber menaces • La question de l’attribution – Identifier l’auteur d’une cyber attaque est complexe – Dans le cyberespace, il est « facile » de brouiller les pistes – Une simple adresse IP ne mène pas au commanditaire de l’attaque » Exemple des botnets – Mais les médias et certains Etats accusent certains pays en particulier : » Chine / hackers chinois » Russie / hackers / cybercriminels russes » Iran » Etats-Unis (Stuxnet / Flame) – Difficile de démêler le vrai du faux… 41 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 42. Comment se protéger face aux cyber attaques ? • La sécurité : une démarche d’entreprise • Back to Basics : bonnes pratiques ou hygiène informatique • Après la théorie, la réalité du terrain…dimanche 24 février 13
  • 43. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Une approche « risques » – Identifier les risques liés au SI – Analyser ces risques – Les prioriser : » risques majeurs liés aux métiers / processus critiques de l’organisation – Gérer ces risques : • les traiter » les réduire » les accepter » les transférer 43 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 44. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – La SSI est plus large que la sécurité informatique – Elle ne se traite pas uniquement avec des outils techniques – Il ne faut pas oublier : » L’aspect organisationnel » L’aspect humain » L’aspect juridique 44 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 45. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Des hommes, une organisation et des outils pour sécuriser le SI de son organisation – Des hommes : » Le RSSI : véritable pilote de la sécurité des SI » La DSI et les équipes de sécurité opérationnelle : la MOE de la SSI » Les correspondants SSI : pour faire vivre la SSI dans les métiers, dans les filiales… » Les équipes CSIRT / CERT : tour de contrôle et pompiers de la SSI » Un CIL (bientôt un DPO – Data Protection Officer) 45 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 46. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Une organisation: » Un RSSI au plus proche de la DG ou de la Direction des Risques » Pour une implication des dirigeants » Une gouvernance » Une PSSI » Un socle documentaire pragmatique (qui ne reste pas au fond du tiroir) 46 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 47. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Des outils : » Des méthodes » Une méthode d’analyse de risques » Procédures en mode dégradé » Des outils juridiques » Une charte informatique » Des outils techniques » L’arsenal de la sécurité informatique (anti-malwares, IDS / IPS, SIEM, Firewall, WAF, DLP, scanner de vulnérabilité…) 47 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 48. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – 5 piliers » Anticipation » Prévention » Protection » Détection » Réaction – Dans une démarche d’amélioration continue – Dans un système de management de la sécurité 48 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 49. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Le management de la SSI – Des normes ISO 2700x » ISO 27001 : le cadre, la gouvernance de la SSI » ISO 27002 : le guide de bonnes pratiques » ISO 27004 : les indicateurs pour piloter le SMSI » ISO 27005 : la méthode d’analyse de risque 49 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 50. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – La méthode d’analyse de risques » ISO 27005 » EBIOS 2010 50 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 51. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Des outils : – La PSSI : la Politique de Sécurité de SI » Basée sur les chapitres de l’ISO 27002 (pas forcément à la lettre) – La méthode d’analyse de risque basée sur ISO 27005 » EBIOS ou méthode « maison » – Des procédures opérationnelles » Appliquer la PSSI sur le terrain – Implémenter les mesures techniques » Mettre en place des contrôles – La sensibilisation 51 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 52. Comment se protéger face aux cyber attaques • La PSSI – La définition d’orientations stratégiques signée par la Direction Générale – Une démarche basée sur l’analyse de risques SSI / thèmes ISO 27002 – Un instrument de communication et de sensibilisation – Un document qui doit vivre dans le temps Environnement Règles de sécurité Périmètre Enjeux Bonnes pratiques devant être respectés par les utilisateurs du Stratégie de Sécurité système d’information 52 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 53. Comment se protéger face aux cyber attaques • La sensibilisation : indispensable mais si compliquée Source : Solucom 2012 53 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 54. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Anticipation • Mise en place d’une veille sécurité » Analyse des menaces » Vulnérabilités • Partage d’information et retour d’expérience • Conférences, colloques, clubs, association SSI » FIC, STIC » CLUSIF, ISSA, Club EBIOS / 27001 » Forum des Compétences… • Se préparer au « pire » 54 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 55. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Prévention • Former, sensibiliser et communiquer sur plusieurs niveaux : » Les utilisateurs » Les dirigeants • Analyser les risques (dans les projets notamment) • Assurer la résilience : PSI / PCA / PRA • Auditer la sécurité du SI » Pentest (automatique, manuel) » Organisationnel » Social Engineering 55 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 56. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Protection • Implémenter les mécanismes de sécurité » IAM, gestion des habilitation, authentification forte et contrôle d’accès » Chiffrement des données » Antimalware » Firewall » Anti-DDoS » Filtrage web » Cloisonnement des réseaux » Patch Management (gestion des correctifs) 56 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 57. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Détection • Connaître son SI » Détecter les vulnérabilités • Surveiller ses réseaux informatiques » Sondes • Détecter des évènements de sécurité » SOC (Security Operation Center) » SIEM » Equipe CSIRT / CERT » Suivi des incidents sécurité 57 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 58. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Réaction • Pour répondre aux incidents de sécurité • Equipe CSIRT / CERT » Plans de réaction » Gestion de crise » Forensics » Malware reverse engineering » Désinfection virale » Assistance à la DSI 58 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 59. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Détection / Réaction sont une approche assez nouvelle mais indispensable pour détecter et répondre aux cyber attaques actuelles » Pour lutter contre les fameuses APT – Détecter reste très compliqué dans de grandes organisations – La réponse aux incident nécessite des méthodes et des experts spécialisés peu nombreux en France – Mais c’est une compétence indispensable à acquérir car quand les phases de détection et de protection ont échoué, il faut pouvoir réagir et traiter efficacement l’incident / la crise. 59 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 60. Comment se protéger face aux cyber attaques • La sécurité : une démarche d’entreprise – Il ne faut pas oublier : » La sécurité dans les projets : intégrer la SSI en amont de chaque projet » Les contrôles et les audits : pour tester les mécanismes de sécurité et vérifier leur efficacité » La conformité réglementaire » CNIL » PCI DSS » Bâle 2, Solvency 2 » … 60 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 61. Comment se protéger face aux cyber attaques • Back to Basics : bonnes pratiques ou hygiène informatique • Les fondamentaux de la sécurité ne sont pas souvent appliqués… • L’ANSSI a publié un guide d’hygiène informatique » 13 thèmes » 40 règles élémentaires à adapter au contexte de chaque organisation 61 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 62. Comment se protéger face aux cyber attaques • Back to Basics : bonnes pratiques ou hygiène informatique 1. Connaître le système d’information et ses utilisateurs 2. Maîtriser le réseau 3. Mettre à niveau les logiciels 4. Authentifier l’utilisateur 5. Sécuriser les équipements terminaux 6. Sécuriser l’intérieur du réseau 7. Protéger le réseau interne de l’Internet 8. Surveiller les systèmes 9. Sécuriser l’administration du réseau 10. Contrôler l’accès aux locaux et la sécurité physique 11. Organiser la réaction en cas d’incident 12. Sensibiliser 13. Faire auditer la sécurité 62 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 63. Comment se protéger face aux cyber attaques • Back to Basics : bonnes pratiques ou hygiène informatique 63 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 64. Comment se protéger face aux cyber attaques • De la théorie à la pratique : la réalité du terrain – Insécurité permanente » De nombreuses failles » Une défense perméable – Il ne faut plus se demander si on a été victime d’une intrusion mais depuis quand ? – La sécurité n’est pas toujours une priorité : les organisations manquent d’une culture sécurité – Les bonnes pratiques de sécurité ne sont pas respectées – Pour le moment : avantage aux attaquants 64 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 65. Comment se protéger face aux cyber attaques • De la théorie à la pratique : la réalité du terrain – Des limites : • Manque de budget • Manque de moyens (humains) • Les solutions de sécurité ne sont pas adaptées aux menaces actuelles – Les nouveaux usages s’imposent sans laisser de place à la sécurité • BYOD • Cloud Computing – Convaincre sans contraindre – Allier sécurité et ergonomie 65 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 66. Comment se protéger face aux cyber attaques • La réalité du terrain : le Cloud Computing – Externalisation de services / matériels (SaaS, datacenter…) – Perte de maîtrise des données (et de la sécurité ?) » Où sont mes données ? » Qui peut les consulter ? » Comment sont-elles sécurisées ? » Comment exporter mes données vers un autre prestataire ? 66 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 67. Comment se protéger face aux cyber attaques • La réalité du terrain : le Cloud Computing – Enjeux juridiques » Quid des données personnelles ? – Enjeux de souveraineté nationale » Les acteurs américains dominent le marché du Cloud Computing » La peur du Patriot Act américain » Lancement de Clouds souverains en France : CloudWatt et Numergy 67 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 68. Comment se protéger face aux cyber attaques • La réalité du terrain : le Cloud Computing – Mais la réalité prend le dessus : » Les DSI poussent vers le Cloud. Les métiers aussi. » La réalité économique (réduction des coûts) » La flexibilité et l’agilité – Interdire le Cloud ? Non mais accompagner la DSI. » Analyser les risques. » Quelles données l’organisation se permet-elle d’externaliser ? » Quel contrat mettre en place avec le prestataire ? – Security as a Service : les solutions de sécurité dans le Cloud – Le Cloud, moins sûr que le SI interne d’une organisation ? Ca reste à démontrer… 68 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 69. Comment se protéger face aux cyber attaques • La réalité du terrain : le BYOD (Bring Your Own Device) – Utiliser son terminal personnel en entreprise » Smartphone » Tablette » Ordinateur portable ? – Le connecter au SI de l’entreprise » Il n’est pas maîtrisé par la DSI... – De nouveaux risques ? » Sécurité (malwares, fuite de données, vol du terminal…) » Juridique (vie privée) » RH (temps de travail, charte informatique) 69 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 70. Comment se protéger face aux cyber attaques • La réalité du terrain : le BYOD (Bring Your Own Device) – Interdire ? Non mais accompagner la DSI / DRH » Limiter à certaines catégories de personnel » Tout le monde a-t-il besoin d’accéder à ses données professionnelles hors de son lieu de travail ? » Qui dira non au VIP ? Ce sont souvent les premiers demandeurs – Des solutions existent (mais elles ne couvrent pas toutes les problématiques de sécurité) : » MDM (Mobile Device Management) » Solution de conteneurs sécurisés (cloisonner données personelles / professionnelles) 70 » Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 71. Comment se protéger face aux cyber attaques • La réalité du terrain : BYOD et Cloud – Deux tendances fortes aujourd’hui – Beaucoup de marketing autour de ces deux phénomènes – Mais les risques sont ils vraiment nouveaux ? » Interdire est difficile mais il faut alors accepter le risque » Sensibiliser » Et parfois contraindre quand il le faut… – Ces deux phénomènes médiatico-marketing brouillent parfois le message autour de risques plus importants 71 Nicolas CAPRONI cyber-securite.frdimanche 24 février 13
  • 72. Merci Avez-vous des questions ? Nicolas  Caproni nicolas.caproni@bssi.fr Twi2er  :  @ncaproni www.cyber-­‐securite.fr 88dimanche 24 février 13