Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Travailler TOUS ensemble lors d’une cybercrise!

96 views

Published on

RISQ - Colloque 2018
16h00
Bertrand Milot

Published in: Technology
  • DOWNLOAD THAT BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Full doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book that can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer that is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story That Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money That the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths that Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Travailler TOUS ensemble lors d’une cybercrise!

  1. 1. 1
  2. 2. Travailler TOUS ensemble lors d’une cybercrise ! Services-conseils en cyberdéfense, risques, performance et technologie Montréal Le 29 nov. 2018 Atelier 7
  3. 3. 33 Petite maxime pour commencer…
  4. 4. Introduction : cybercriminalité Gestion de la cybercrise « collégiale » ? Discussions et échanges 4 Agenda
  5. 5. De nombreuses cyberattaques ont été perpétrées contre les universités au cours des deux dernières années, y compris une atteinte à la sécurité à l’Université de l’Alberta vers la fin de 2016, du cyberterrorisme mettant en cause une étudiante de l’Université de Moncton au printemps dernier, des renseignements étudiants piratés à l’Université de la Fraser Valley en octobre dernier et, récemment, un courriel hameçon à l’Université Carleton. L’Université de Calgary a versé une rançon de 20 000 dollars en 2016 pour récupérer de l’information après une cyberattaque et, l’été dernier, l’Université MacEwan a été victime d’une fraude de près de 12 millions de dollars en raison de la cybercriminalité. Réagir ensemble est une nécessité. 5 Contexte
  6. 6. 6 Ça a été testé au dernier Hackfest de Québec…
  7. 7. Introduction : enjeux réels de cybercriminalité… 7
  8. 8. L’évolution des brèches de données • Près de 10 milliards de données perdues ou volées depuis 2013, soit 55 par seconde. • SEULEMENT 4 % des brèches étaient des « brèches sécurisées » où le chiffrement a été utilisé et les données volées ont été rendues inutiles. 8
  9. 9. 9 Mais pourquoi ? C’est pas juste !
  10. 10. 10 La cybercriminalité très MATURE et multi-couches
  11. 11. • Rançonnage par chiffrement ou par DDoS • Fraude au Président • E-Mules piégées pour le blanchiment bancaire moderne • Ventes de parcs de machines zombies pour spammeurs • Ventes massives de données d’identification ou de paiement • Ventes de données ciblées à vocation publique ou de PEP • Location d’applications SaaS de cyber-fraudes ou CaaS 11 La cyber-fraude, la cyber-criminalité, un marché complexe…
  12. 12. 12 L’invisibilité, la dissimulation,… l’organisation derrière le APT !
  13. 13. « Une Advanced Persistent Threat (APT) est un type de piratage informatique furtif et continu, souvent orchestré par des humains ciblant une entité spécifique. » Aujourd’hui, l’heure est aux « APT »… https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat Traduction littérale de APT : menace persistante avancée 13
  14. 14. • 100% des « backdoors » APT font seulement les connexions sortantes. • 83% des ports TCP utilisés sont 80 ou 443. Communication des APTs 14
  15. 15. Leurs autres outils : « Sky is the limit ! » 15
  16. 16. 16 Le piratage est une activité rentable! Selon une étude de la firme Trustwave en 2015 • Achat de rançongiciels pour un mois 5 900 $ US • Revenu estimé (0,5 % des victimes payent 300 $) 90 000 $ US Retour sur investissement 1 425 % Le piratage se démocratise et se multiplie grâce à des prix de plus en plus bas et une rentabilité énorme.
  17. 17. Autre exemple : Angler 17
  18. 18. Une histoire classique sur le Darkweb… 18
  19. 19. Une brèche chez un fournisseur de technologies… 19
  20. 20. Quelques jours plus tard, les données sont volées… 20
  21. 21. 21 Autre exemple…
  22. 22. 22 Cyberrésilience : l’approche en 5 étapes…
  23. 23. Que sommes-nous ? 23
  24. 24. L’organisation a une trop grande muraille à protéger… 24
  25. 25. • En 2018, les entreprises ne sont plus un écosystème unique de données cloisonnées au sein d’un seul périmètre. • Si l’entreprise moderne est une île, elle doit alors gérer un archipel où sont transigées ses informations critiques. • Cet archipel est constitué de sous- îles, de sous-entités incluant des juridictions et des enjeux et postures distinctes de cybersécurité. Sans compter les services infonuagiques et tiers divers… 25
  26. 26. Comment définir la muraille ? 26
  27. 27. Comment surveille-t-on la grande muraille de Chine 27
  28. 28. 28 Cartographier
  29. 29. Le cycle de vie de la donnée 29
  30. 30. 30 Zachman framework
  31. 31. 31 « Crown Jewels » de la cybercriminalité
  32. 32. Que se passe-t-il lors d’une cyberattaque ? 32
  33. 33. 33 Cyberrésilience : l’approche en 5 étapes…
  34. 34. 34 Où est le gyrophare ?
  35. 35. 35 Détection : la différence de vision et le décalage… Préparation de l’attaque Détection Exploitation Exfiltration Vue de l’attaquant Vue de la victime Détection ou prévention de l’attaque Détection de la brèche
  36. 36. • Cartographie : https://dnsdumpster.com/ • IoT, IT/OT et autre IoE : https://www.shodan.io/ • Google Dorks : https://www.google.com/search?q=db_password+filetype%3Aenv • Darkweb 36 Évaluer l’exposition de l’organisation
  37. 37. APPEL D’UN JOURNALISTE • “Certaines des données de vos étudiants et de vos diplômes contrefaits sont en vente sur le Darknet. De toutes les institutions touchées, vous êtes une des pires…” • “Avez-vous une déclaration à faire avant la publication de l’article et la parution dans les journaux télévisés du midi ?” 37 Nouvel “incident”
  38. 38. Comment gérer une cybercrise? 38
  39. 39. 39 Cyberrésilience : l’approche en 5 étapes…
  40. 40. 40 La cyber-crise est une crise comme les autres! Alerte Analyse Mobilisation Notifications aux clients Plan de remédiation et de confinement + suivi Sortie de crise Déclenchement du Plan de gestion Gestion d’incident Investigations internes + tiers Contact avec le juridique Détermination du plan d’action Déclenchement des plans d’action Résolution Cyber- incident détecté (réunion de Cellule de crise)
  41. 41. • Intégrer la cyber-crise aux processus organisationnels – Mettre à jour les exercices d’analyse d’impacts – Mettre à jour le plan de gestion de crise – Mettre à jour les plans de continuité / relève – Mettre à jour le processus de gestion des incidents TI • Choisir et disposer les bons acteurs autour de la table • Simuler, simuler et simuler encore 41 Apprendre à gérer une cyber-crise
  42. 42. 42 Les écueils de la gestion de cybercrise
  43. 43. 43 La vision AGILE temps réel de la crise avec un Kanban…
  44. 44. • "[Hackers] are serious, professional people with a criminal code of ethics". This means negotiations are key to getting files back. "60 per cent of negotiation failures can be attributed to the gap between the negotiator and the decision maker,“ • “On the bright side, it’s easy to protect yourself: when you have a very structured discipline of data backup it’s easy to deal with ransomware.” 44 Pour le reste, il faut négocier… When ransomware is involved, Moty Cristal said, "managing the human factor is key to overcoming a cyber crisis."
  45. 45. • Les pires cybercrises ne sont pas détectées et ne proviennent pas des TI. • Il faut considérer en tout temps que l’on est en « phase 0 » de la crise. • Le processus ne doit pas être une escalade de l’incident, mais une décalade pour fonctionner correctement… – Quel peut être la pire vélocité de l’incident selon l’impact identifié ? – Non, ce n’est pas une crise. – Non, ce n’est pas un désastre. – Oui, c’est un simple cyber-incident. • Il y a plusieurs niveaux de déclaration. • Tout se sait et se saura, surtout si cela doit rester confidentiel ! Demandez de l’aide… 45 Ce qu’il faut retenir…
  46. 46. 46 Cas #1
  47. 47. 47 Cas #2
  48. 48. 48 Cas #2
  49. 49. 49 Cas #3
  50. 50. 50 Cas #4
  51. 51. • CryptoJacking • Automated fake clicks 51 Cas #5
  52. 52. Comment gère-t-on l’analyse et l’investigation ? Étude de cas 52
  53. 53. • De l’autre coté de la muraille • Les histoires et situations des autres • Les journaux de sécurité de l’archipel • Les communications C&C, les rapports de l’antispam et les types de communication Sud-Nord 53 Les bonnes sources de données…
  54. 54. 54 Un « Breach-Coach » et une cyber-assurance…
  55. 55. 55 ISO 27000 pour la cyber-enquête
  56. 56. • VirtualBox & Vmware Workstation : • Vm SANS Sift • Vm Kodachi Linux • SysTools E01 Viewer • MagnetForensics Encrypted Disk Detector • OSFMount • AccessData FTK Imager • Nir Tools (Nir Launcher) – incluant IECacheView, IEHistoryView • Autopsy • Kernel Outlook OST/PST viewer • FileSeek • Oxygen forensics • FAW (Forensics Acquisition of Websites) • HashMyFiles • DSIcovery USB Write Blocker • Woanware ForensicUserInfo PLUS OPTIONNEL… • Netresec NetworkMiner • Belkasoft RAMCapturer • Toolsley Toolbox Outils pour chercher : le lab… 56
  57. 57. 57 Autres outils très utiles… (1/2)
  58. 58. • https://www.virustotal.com/#/home/upload • https://opennebula.org/tryout/sandboxvirtualbox/ • http://vmcloak.org/ • http://qosient.com/argus/gettingstarted.shtml Mais surtout ! • CyberChef est un outil développé par le GCHQ, l'agence de renseignement britannique. Il peut aider à ouvrir les logiciels malveillants et autres codes douteux : https://gchq.github.io/CyberChef/ Sandboxing (File or URL) 58
  59. 59. 59 Déclarer aux autorités…
  60. 60. Le NIST cyberframework, posons-nous les bonnes questions ! 60
  61. 61. 61 Autre méthodologie proposée par AIG
  62. 62. 6262 Autre méthodologie liée au DLP
  63. 63. 6363 Plans et processus BC/DR communs
  64. 64. • Utiliser des points de contrôles dans l’organisation pour détecter les cyber-crises plus tôt. • Identifier et formaliser des rôles et des responsabilités pour tous les participants à la gestion de crise. • Documenter et assembler des « bases de connaissances tribales ou communautaires » inter et intra-entreprises pour améliorer la réponse de la sécurité. • Développer des scénarios de tests de cyber- crises qui remettent en question les modèles culturels, organisationnels et opérationnels en place. 64 Les bonnes pratiques, les bonnes lectures…
  65. 65. • OZON CYBER CRISIS EXERCISE : A GAP-BRIDGING EXERCISE • MIT TECHNOLOGY REVIEW CUSTOM 6565 Une autre très bonne lecture…
  66. 66. • Règle # 1 : D’une cinétique longue, tes scenarii tu rythmeras. • Règle # 2 : Une activation de ton BCP, tu incluras. • Règle # 3 : Ton/ta Dir. Comm, aux côtés du CISO siègera. • Règle # 4 : Tes acolytes de l’industrie et à l’international, tu inviteras. • Règle # 5 : De multiples cellules, à ton exercice tu convieras. 66 Cybercrise : Les 5 règles à retenir…
  67. 67. 67 Finalement… J’insiste !
  68. 68. SOYEZ DES ACTEURS DU CHANGEMENT : INNOVEZ ENSEMBLE ! 68
  69. 69. Bertrand Milot, CISM, CRISC, CRMP, PCSM, C|CISO, CICA, C|BP, ISO.27001 LA Vice-président, Services-conseils en cybersécurité, risque, performance et technologie Vice President, Cybersecurity, Risk, Performance and Technology Advisory Services T. 514.934.3551 C. 514.806.4864 BMilot@Richter.ca Richter S.E.N.C.R.L./LLP 1981, McGill College Montréal QC H3A 0G6 richter.ca https://www.linkedin.com/in/bmilot4informationsecurity/ Qui posera la… …-piège du jour ?

×