Nous vivons dans un
« VUCA world »
Volatility, Uncertainty, Complexity & Ambiguity
Concept introduit par U.S. Army War College
Volatilité, Incertitude, Complexité et Ambiguïté
Les situations changent rapidement et elles sont instables
Les résultats sont souvent difficiles à prévoir
Les nombreuses interactions entre les éléments engendrent un schéma de relations, de causes à effet qui résultent en un chaos apparent
Il est difficile de distinguer l’ami de l’ennemi.
1. Risques, architectures et processus
Comment survivre à toutes ces
choses qui dansent la nuit !
Clément Gagnon
CCSK, CISA, CISSP, CRISC
Tactika inc.
Février 2019
La sécurité de l’information et la maitrise de la complexité et des risques
3. I. État des lieux
Nous vivons dans un
« VUCA world »
Volatility, Uncertainty, Complexity & Ambiguity
Concept introduit par U.S. Army War College
Volatilité, Incertitude, Complexité et Ambiguïté
Les situations changent rapidement et elles sont instables
Les résultats sont souvent difficiles à prévoir
Les nombreuses interactions entre les éléments engendrent un schéma de relations, de causes à
effet qui résultent en un chaos apparent
Il est difficile de distinguer l’ami de l’ennemi
ISF Threat 2019, Information Security Forum
3
4. Disruption | rupture, perturbation
• Nos activités socio-économiques ont développé une grande
dépendance au « cyber »
• Tout est interconnecté, tout repose sur le net !
• Certaines couches technologiques ne sont plus adaptées à
la situation
• Protocoles TCP/IP v4 (créé en 1974), BGP, SS7, etc.
• Certaines couches technologiques sont vulnérables
• Ex. Les vulnérabilités Spectre et Meltdown dans le microcode des
processeurs Intel
• IoT ou ‘Internet of shit’
ISF Threat 2019, Information Security Forum
4
8. Distorsion | Confiance & données
• Production et collecte massive de données
• Big Data
• « Yotta » bits : mille mille milliards de milliards, 1024
• IoT, téléphones intelligents, transport et villes intelligentes
• L’érosion de la confiance
• Manipulation de l’opinion publique & Capitalisme de surveillance vs. Vie privée
• Activités de puissances étrangères et autres groupes organisés
• Les géants du web : BATX & GAFAM
• Baidu, Alibaba, Tencent et Xiaomi
Google, Amazon, Facebook, Apple, Microsoft
ISF Threat 2019, Information Security Forum
8
9. Données massives
9
250 GB / hre
5 exa B
180 peta B
http://www.internetlivestats.com/
Cisco Cloud index 2014-2019
11. Détérioration
• Délicat et fragile équilibre entre la réglementation et la protection
de la vie privée
• Frein à l’innovation
• Évolution rapide et soutenue des technologies grâce à l’innovation
• Incertitude sur l’avenir
• Bouleversement et rupture géopolitique
• Fragmentation de l’Internet
• Détournement envers les institutions politiques et économiques
• Cryptomonnaies
ISF Threat 2019, Information Security Forum
11
12. Réglementation et innovation
RGPD / Règlement Général sur la Protection
des Données
• Règlement européen
• Canevas pour plusieurs législations (futures) à
travers le monde
• Imposition de plusieurs exigences
• Nécessité d’avis légaux et éventuellement d’audit
• Potentiellement un frein à l’innovation
• Même si vous êtes localisé hors du territoire
européen
12
13. Vélocité des innovations, tendances & risques
« Toute technologie suffisamment avancée est indiscernable de la magie. » Arthur C. Clarke
Impacts
• Augmentation de la
surface d’attaque
• Érosion de la vie
privée
• Dépendance
technologique
• Expertise difficile à
acquérir et
maintenir
13
https://www.gartner.com/doc/3891569?srcId=1-7251599992&cm_sp=swg-_-gi-_-dynamic
15. II. Constats
• L’innovation, l’interconnexion et la vélocité augmentent la
performance, les gains et … l’exposition aux risques
• Une approche traditionnelle,
linéaire et binaire
ne fonctionne plus
15
16. III. Piste de solution
16
Risque
Architecture
Technologie
19. Risque & Complexité
• Complexité
• Du latin classique « complexus »» signifiant entrelacé
• Selon Edgar Morin, « … la complexité surgit comme difficulté,
comme incertitude et non pas comme clarté et comme réponse
… »
• Risque
• Le risque est l’effet de l'incertitude sur l'atteinte des objectifs
ISO 31000 Risk management – Guidelines, Second edition 2018-02
19
Communiquer
20. Complexité & Chaine des risques
« Anne, ma sœur Anne, ne vois-tu rien venir ? »
La Barbe Bleue de Charles Perrault
• Le risque est rarement simple
• Malgré la résilience de chacun,
l’interconnexion des systèmes*
entraine une interdépendance de
ceux-ci avec des conséquences
• Cascade de défaillances chaine
de risques
* Système de systèmes : hyperconnexion
20
Communiquer
24. Communiquer le risque … simplement !
24
Film in Five Seconds: Over 150 Great Movie Moments - in Moments!
Gianmarco Milesi Matteo Civaschi (2013)
Le scénario du film « Le parc jurassique » résumé en 5 secondes
Communiquer
26. Architectures & modèles/pattern
• « Industrialisation » des modèles et
méthodes
• Codification dans un formalisme
simple, structuré et
compréhensible
• Permet
• Une réutilisation du savoir et de
l’expérience
• Une intégration « efficience » de la
sécurité dans l’organisation
Structure « générique » d’un pattern
• Nom
• Résumé
• Problème
• Solution
• Implantation
• Impacts
• Patterns qui sont liés
26
Peut varier selon
le contexte
Communiquer
27. Application des patterns en SI
circa 2006
27
Table des matières
• Enterprise Security and Risk Management Patterns
• Identification & Authentication (I&A) Patterns
• Access Control Model Patterns
• System Access Control Architecture Patterns
• Operating System Access Control Patterns
• Accounting Patterns
• Firewall Architecture Patterns
• Secure Internet Applications Patterns
• Cryptographic Key Management Patterns
• Related Security Pattern Repositories Patterns
Communiquer
30. Pattern et architectures
30
Guide
d’exploitation
Modèle #2 Accès du citoyen aux systèmes de mission
Contrôle
d’accès
au
périmètre
MJQ
Contrôle d’accès
Authentification
Gestion des
identités et des
habilitations
Systèmes de mission
Détection des intrusions
Surveillance et journalisation
SQIA
Modèle #4 Gestion des identités et des habilitations
Détection des intrusions
Surveillance et journalisation
SQIA
Contrôle d’accès
Authentification
Gestion des identités
et des habilitations
Serveur
de
politique
Systèmes de mission
Fédérateur
Répertoire
Portail
accueil
Architecture
détaillée
Fiche
Architecture technologique
de sécurité
Architecture des
infrastructures technologiques
Référentiel de l’architecture d’entreprise
Objet Catalogue de services
Service
30
31. IA & ML & SI
Intelligence artificielle & Machine Learning et la sécurité de l’information
S’outiller
Exploiter les nouvelles technologies afin de maitriser la situation
Machine Learning
Processus de fonctionnement d'un système d'intelligence artificielle doté d'un
système d'apprentissage
Intelligence artificielle
Ensemble des théories et des techniques développant des programmes
informatiques complexes capables de simuler certains traits de l'intelligence
humaine (raisonnement, apprentissage…).
31
Outiller
32. IA & ML & SI
Intelligence artificielle & Machine Learning et la sécurité de l’information
• IA & ML permet
• Accélérer le temps l’analyse des menaces
• Réduire le temps de contention des dispositifs/composants contaminés
• Identifier les vulnérabilités
• Bénéfices
• Analyse de la sécurité plus efficace
• Simplification des processus de détection et de réponses des menaces
• Réduction de la charge de travail des spécialistes
• Avec l’aide
• Intelligence collective
• Raffinement et sophistication des algorithmes
• Puissance de traitement appliquée sur un énorme volume de données
32
Outiller
33. Déploiement de IA & ML
33
Outiller
Intelligence
collective
Internet
Réseau d’entreprise
Collecte des événements
Surveillance du réseau
Analyse heuristique des comportements
Actions de contention et d’éradication
Partage d’informations avec dépersonnalisation
34. Fin
Merci de votre attention
clement.gagnon@tactika.com
http://www.tactika.com
Twitter: @tactika
Instagram : @tactika_inc
YouTube: http://bit.ly/tactikaVideo
34