Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Connected Event - Cybersecurity 9 10 2018

1,035 views

Published on

Building digital trust

Published in: Technology
  • Be the first to comment

Connected Event - Cybersecurity 9 10 2018

  1. 1. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES Claudine Amstein Directrice de la Chambre vaudoise du commerce et de l’industrie
  2. 2. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 37 % des entreprises sondées ont été victimes d’au moins une une attaque informatique
  3. 3. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 35 % des entreprises sondées se sentent peu, voire pas du tout concernées par les cyber-risques
  4. 4. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 50 % des entreprises sondées n’ont prévu aucune formation à l’intention de leur personnel
  5. 5. Etat de Vaud Département des infrastructures et des ressources humaines Page 9 LA CYBERSÉCURITÉ UN DÉFI À ABORDER ENSEMBLE Swisscom Connected Event – 9 octobre 2018 09/10/2018 Connected Event @EPFL
  6. 6. Etat de Vaud Département des infrastructures et des ressources humaines Page 10 La cybersécurité devient la troisième plus grande menace à la stabilité mondiale #WEF18 09/10/2018 Connected Event @EPFL Source : WEF, Global Risks Report 2018
  7. 7. Etat de Vaud Département des infrastructures et des ressources humaines Page 11 7 millions de jeux de données volées chaque jour dans le monde 09/10/2018 Connected Event @EPFL Source : Gemalto Breach Level Index
  8. 8. Etat de Vaud Département des infrastructures et des ressources humaines Page 12 100’000+ 09/10/2018 Connected Event @EPFL 13’000+ 1’800+ 750 TB+ 500+ 4 Mios+ POSTES DE TRAVAIL SERVEURS DONNEES BASES DE DONNEES EMAILS / JOURS SPAMS / MOIS Exposition numérique de l’administration vaudoise
  9. 9. Etat de Vaud Département des infrastructures et des ressources humaines Page 13 Une stratégie multi-dimensions pour l’Etat 09/10/2018 Connected Event @EPFL
  10. 10. Etat de Vaud Département des infrastructures et des ressources humaines Page 14 Le SOC (Security Operation Center) de l’Administration Cantonale Vaudoise pour lutter contre les cyber-risques 09/10/2018 Connected Event @EPFL
  11. 11. Etat de Vaud Département des infrastructures et des ressources humaines Page 15 Un rôle actif pour fédérer et réunir les efforts #compétenceslocales #ensembleplusfort 09/10/2018 Connected Event @EPFL
  12. 12. Etat de Vaud Département des infrastructures et des ressources humaines Page 16 vaud.digital, portail des acteurs de l’innovation numérique 09/10/2018 Connected Event @EPFL
  13. 13. Etat de Vaud Département des infrastructures et des ressources humaines Page 17 Bientôt - Une application mobile pour soutenir les PME face aux cyber-risques 09/10/2018 Connected Event @EPFL
  14. 14. Etat de Vaud Département des infrastructures et des ressources humaines Page 18 MERCI DE VOTRE ATTENTION 09/10/2018 Connected Event @EPFL
  15. 15. 19 Connected Event Cybersécurité EPFL, 9 Octobre 2018 Perspective académique Prof. Jean-Pierre Hubaux, directeur académique du C4DT
  16. 16. Growing Concern: Medical Data Breaches Around 5 declared breaches per week, each affecting 500+ people https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf 20
  17. 17. 21 The Guardian, 14 May 2017 “WannaCry” Ransomware Virus (May 2017)
  18. 18. Personalized Medicine The massive digitalization of clinical and genomic information is providing unprecedented opportunities for improvements in diagnosis, preventive medicine and targeted therapies 22
  19. 19. Another Major Concern: Re-identification Attacks against Genomic Databases 23
  20. 20. Genomic data pose special privacy problems: • They are inherently identifying • They can’t be changed (as opposed to passwords) • They have unique statistical regularities • They contain sensitive and personal information (genetic diseases or propensity to develop certain conditions) • Their leakage can expose individuals to genetic discrimination • Relatives can also be affected What If Genomic Data Are Leaked? 24 [Naveed et al.’15]
  21. 21. Data Protection for Personalized Health (DPPH)
  22. 22. Data Protection for Personalized Health • 5 research groups across the ETH domain + SDSC (Swiss Data Science Center) • Funding: 3 Millions CHFrs • Duration: 3 years (4/2018 - 3/2021) • Funding Program: ETH PHRT (Personalized Health and Related Technologies) DPPH: Data Protection in Personalized Health LCA1: Systems for privacy- conscious data sharing DEDIS: Distributed and Decentralyzed Trust GR-JET: Fundamental cryptography Fellay Group: Medical application SDSC: Data Science Infrastructure and Deployment Health Ethics and Policy: Legal and Ethical analysis Project goals: • Address the main privacy, security, scalability, and ethical challenges of data sharing for enabling effective P4 medicine • Define an optimal balance between usability, scalability and data protection • Deploy an appropriate set of computing tools DPPH.CH E. Vayena B. Ford JP Hubaux D. Jetchev J. Fellay O. Verscheure
  23. 23. Envisioned Nation-Wide Deployment 27 Q1: How many patients with BRCA1 and breast cancer? Q2: What is the survival rate for cancer patients undergoing a given chemotherapy? Year 2 & 3: tiered deployment, extra functionality Year 1: small- scale prototype, simple queries
  24. 24. DCC: Data Coordination Center IT Node IT Node IT Node IT Node IT Node DCC DPPH – The Role of the Blockchain 28 … … DPPH Blockchain Inference resistance Provenance and Reproducibility Immutable Log Big Data Platform Distributed Access Control Distributed Privacy- conscious Processing
  25. 25. “genomeprivacy.org” Community website • Searchable list of publications on genome privacy and security • News from major media (from Science, Nature, GenomeWeb, etc.) • Research groups and companies involved • Tutorial and tools • Events (past & future) 29
  26. 26. Collaboration Ecosystem • 30+ EPFL laboratories • 8+ Organizations Blockchain Privacy- enhancing technologies Personalized health Smart contracts Cyber security Machine Learning Content Protection System security Cryptography Software verification 30 The Center for Digital Trust @EPFL Reinventing trust for the digital society • Center of expertise • One-stop-shop • Community
  27. 27. 31 … and more to join Partners of Center for Digital Trust
  28. 28. 32 Digital Trust – Research at EPFL 32 C4DT Presentation | 2018 … and more to join • Blockchain • Cloud computing • Cryptography • Cyber-physical systems • Data mining • Decentralized systems • Distributed systems & algorithms • Finance • Genomics • Image conceptualization • IoT • Large-scale systems • Machine learning • Media Security • Network security • Personalized health • Privacy enhancing technologies • Programming languages • Reliability & security • Risk management • Security by design • Semantic information • Software verification • System security
  29. 29. 33 C4DT Activities CENTER FOR DIGITAL TRUST FACTORY ACADEMY EMBASSY 3
  30. 30. 34 The Digital Trust Platform – Technologies & Applications PRIVACY CRYPTOGRAPHY FINANCE& ECONOMY DIGITAL TRUST OPEN PLATFORM (The Factory) BLOCKCHAINS SMART CONTRACTS SOFTWARE VERIFICATION SYSTEM SECURITY HEALTH GOVERNMENT& HUMANITARIAN CRITICAL INFRASTRUCTURES DIGITAL INFORMATION … TRUSTWORTHY DIGITAL PRODUCTS & SERVICES APPLICATION VERTICALS TECHNOLOGY PILLARS 3
  31. 31. Example 1 of C4DT Project: Capital Markets and Technology Association (CMTA) • “An independent association formed by leading actors from Switzerland's financial, technological and legal sectors to create common standards around issuing, distributing and trading securities in the form of tokens using the distributed ledger technology.” • Current project: record ownership of shares in a Swiss company on a blockchain (Nov. ‘18) • Without requiring changes to current Swiss law • Swiss standard for tracking ownership in stock or bond using blockchain and smart contracts • Founding members:
  32. 32. Collaboration with ICRC Humanitarian organization in Geneva and strategic partner of EPFL Challenges • Identifying relevant information sources • Search in textual and image content • Data of poor quality Example 2 of C4DT Project: Finding missing people in conflict zones
  33. 33. Face Retrieval using Deep Neural Networks Adapting the techniques to the context (quality of images) and combining with other search modalities
  34. 34. 38 C4DT – A "virtuous circle" 1) Trusted platform 2) Collaboration hub 3) Knowledge transfer PARTNERS C4DT Needs & Foresight Specialists & Knowledge Data & Infrastructures Funding Foresight & Opportunities Research projects Prototypes Collaborative platform Dr. Olivier Crochat Executive Director
  35. 35. c4dt.org 39
  36. 36. Rapport au Conseil Fédéral sur la gestion et la sécurité des données • Groupe de 13 experts (juristes, économistes, éthiciens, informaticiens) • 3 ans de travaux • Rapport remis en août 2018 • 51 recommandations: recherche, formation, investissements, législation,… • 200 pages • Rapport transmis aux départements fédéraux pour action et rapport d’ici à l’été 2019 • Rapport publiquement accessible: https://www.admin.ch/gov/fr/accueil/documentation/communiques/flux- rss/par-office/communiques-de-presse-et-discours.msg-id-72083.html 40
  37. 37. Conclusion • Worldwide, the confidentiality of health data is in jeopardy • Personalized medicine dramatically increases the amount of data • Mobile devices collect more and more health-related data that need to be properly secured • The Data Protection for Personalized Health Project is a (Swiss) response to these concerns: https://dpph.ch • EPFL’s initiative to reinvent trust in cyberspace: Center for Digital Trust https://c4dt.org 41
  38. 38. Les enjeux de la cybersécurité Exemples dans le monde de la santé Philippe Vuilleumier Head of Group Security / Chief Security Officer Lausanne, 9.10.2018 C1 - public
  39. 39. Le monde dans lequel nous vivons…. … est de plus en plus interconnecté et génère de nouveaux besoins Toujours en ligne Big Data et Business Intelligence Travailler et se réunir à tout moment et partout 200 millions d’appareils connectés à Internet en Suisse d’ici 2020 Nouvelles interfaces et consumérisation de l’informatique Disponibilité et sécurité des données: deux points essentiels 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 43
  40. 40. Open Space Hôpital Couloir CouloirVidéoconférence Chambre Patients Soins intensifsBlocs Opératoires Magasin Magasin RéceptionUrgences Consultations Services Techn. MagasinIT Radiologie Médecin Hôpital Assurance Pharmacie Centre
  41. 41. 9.10.2018 45 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 Lukaskrankenhaus Neuss
  42. 42. 9.10.2018 46 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
  43. 43. 9.10.2018 47 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 WannaCry
  44. 44. 9.10.2018 48 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 WannaCry Cyber attack and the NHS Fact & Figures >Au total, au moins 81 des 236 hôpitaux (angl. trust) ont été touchés. 5 hôpitaux ont du fermer leurs services d'urgences >De plus, 603 autres organisations de soins primaires ont été infectées par WannaCry, dont 595 cabinets de médecins généralistes >NHS a estimé que plus de 19 500 consultations ont été annulées, dont 6 912 confirmées >Le coût financier total de l'incident reste inconnu Kingsley Manning, former chairman of NHS Digital, blamed a lack of time and resources but also "frankly a lack of focus, a lack of taking it seriously" for individual NHS organisations' failure to keep up with the cyber security improvements. Détails: https://www.nao.org.uk/press-release/investigation-wannacry-cyber-attack-and-the-nhs/
  45. 45. Faiblesses constatées NIST Cyber Security Framework Identification et inventaire des objets à protéger et des menaces les visant. Réaction aux attaques et prises de mesures rapides avec pour but de maintenir les activités. Garantie d’un rétablissement rapide des activités normales. Protection de l’infrastructure technologique en matière d’intégrité, de confidentialité et de disponibilité. Surveillance systématique de l’infrastructure technologique par rapport à d’éventuelles attaques et anomalies. Identify Protect Detect Respond Recover Initial Response plan developed but not tested Improve Response plan incl. clear roles & responsibilities Increase Awareness at all levels and implement critical alerts Improve Governance (88 out of 236 trusts showed that none passed the req. cybersec standards) 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 49
  46. 46. Les risques sont réels Chaque mois environ... attaques de phishing sont détectées et bloquées2250 ordinateurs de clients privés sont déconnectés à titre préventif en raison d'une infection par un logiciel malveillant 20 000 plaintes de clients privés pour cause de problèmes de spam, de phishing ou de logiciels malveillants 22 000 clients privés sont informés de façon proactive du fait que leurs ordinateurs sont infectés par des logiciels malveillants 1300 clients privés sont contactés pour cause de comptes piratés 4800 accès à distance en provenance de 40 pays de 16 000 utilisateurs de300 sociétés 300 000 programmes nuisibles/attaques détectés et bloqués sur le réseau 8 000 000 atteintes à la sécurité traitées par le CSIRT15 programmes nuisibles identifiés et bloqués au niveau d'endpoints de gros clients 5000
  47. 47. Comment traitons-nous ces menaces du cyberespace? Swisscom se concentre sur trois points 1. Une base bonne et solide Avec pour objectif: réduire les coûts, consolider les "policies" et processus, maintenir et développer l’Information Security Management System certifié ISO 27001, dispenser des formations, et bien plus encore 2. La sécurité doit être garantie de manière simple Avec pour objectif: développer de nouvelles technologies de sécurité ainsi que des processus favorisant la numérisation 3. Approche novatrice en matière de détection Avec pour objectif: protéger l’entreprise, ses clients et la société de l’information suisse d’attaques ciblées 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 51
  48. 48. Quatre principes constitue la base … … de toute stratégie de sécurité > La sécurité est plus qu’un coût! > “Enabling”de concepts informatique tels que “Home Office-”ou “BYOD” > Des produits sûrs coûtent moins chers! La sécurité est le nouvel argument commercial > Quantité et qualité en augmentation > De la chaine d’approvi- sionnement au périmètre > Nouvelle approche nécessaire Nous sommes en permanence la cible d’attaques > La détection pour palier les limites de la prévention > Représente la base pour une réaction conséquente L’intelligence est à la base de la détection > Base conceptuelle et opérationnelle stable > Appliquer les bonnes pratiques de sécurité sur la durée > Cadre réglementaire, gouvernance approprié Appliquer les Security Good Practices C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 52 9.10.2018
  49. 49. Chief Security Officer CSIRTSecurity Delivery Security Framework & Governance Physical Security Security Governance & Services CSIRT Security Officers Product & Marketing / Sales & Services Enterprise Customers IT, Network & Infrastructure Group Functions, Digital Business La sécurité chez Swisscom Conditions organisationnelles pour une gestion efficace de la sécurité • Tâche à l’échelle du groupe • Etroite collaboration avec la Direction du groupe • Mode opératoire pragmatique et simple • Sécurité physique et logique intégrée • Env. 60 spécialistes • Security Officers consacrés aux divisions operation- nelles Group Security Swisscom Policy Management • Clair et simple • Actuel et pertinent • Tendance au self- service • Doit permettre un développement agile de solutions TIC 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 53
  50. 50. > Accepter les défis! – Dépendances technologiques, savoir-faire, restrictions financières > Ne pas capituler! – Structurer, prioriser, et commencer par le début > Appliquer les bonnes pratiques sur la durée! – Base conceptuelle et opérationnelle stable – Cadre réglementaire, gouvernance approprié > Que voulez/pouvez-vous faire vous-même et que voulez-vous externaliser? – Exemples: SOC, Threat Detection, Gouvernance 9.10.2018 54 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 Et finalement…
  51. 51. Innovation | Cybersécurité Patrick Barbey
  52. 52. 1. Startups et Support
  53. 53. Rôle Agence de soutien à l’innovation - Porte d’entrée pour les projets d’innovation - Pour PME et start-up - Catalyseur entre la recherche appliquée et l’économie Domaines prioritaires - Sciences de la Vie - TIC - Industrie de Précision - Cleantech
  54. 54. Que faisons-nous?
  55. 55. Parcs d’Innovation
  56. 56. Startups high-tech créées 0 10 20 30 40 50 60 2013 2014 2015 2016 2017 2018p
  57. 57. Investissements capital-risque / 2017 Invested amount in Vaud-based startups in 2017 $300M #1 in Switzerland
  58. 58. 40 % of TOP 10 are in VAUD TOP 100 Swiss Startups 2018 1. Ava 2. Bestmile 3. Lunaphore 4. Flyability 5. Cutiss 6. Piavita 7. Wingtra 8. Gamaya 9. Advanon 10. Versantis 24 startups in TOP 100 are in Canton de Vaud
  59. 59. Finance FIT grant – 100k - Prototype/mise au point FIT seed (prêt) – 100k - 0% intérêt - garantie personnelle FIT growth (prêt) – 500k - «matching» : 1.- investi = 1.- prêté - 5% + 5% intérêt - pas de garantie personnelle
  60. 60. Financement Soutiens 2017 5.9 MCHF (28 projets)
  61. 61. vaud.digital Filtrage simple par catégorie / technologie
  62. 62. 2. Startups
  63. 63. Sécurisation d’apps critiques w Apps internes ou de tiers w Couche de sécurité indépendante de l’appareil w Applications fintech Histoire: w Spin-off HEIG-VD / Fondation: 2010 w FIT seed w Basée à Y-Parc
  64. 64. Plateforme de surveillance des flux de donnée entreprise w Cartographie automatique des flux de données w Rapports et alertes w Installation simple Histoire: w Lancement 2014 w Spin-off EPFL basée à EPFL Innovation Park / Boston
  65. 65. Plateforme de stockage sécurisé pour cryptomonnaie w Solution cryptographique hardware/software w Clients: banques, gestionnaires de fonds Histoire: w Fondée 2014 w Basée à Lausanne
  66. 66. Solution de gestion d’identité numérique w Reconnaissance faciale 3D w Multiplateforme w 3D Graphical Authentication Histoire: w Basée à Lausanne w Prêt FIT growth (2018)
  67. 67. Solution de collaboration sécurisée pour entreprises w Voix et messagerie instantanée w Environnement de travail (documents, notes) w Chiffrage end to end avec authentification robuste Histoire: w Spin-off EPFL w Fondation: 2007 w Basée à Morges
  68. 68. 25 octobre 2018 Y-Parc
  69. 69. Merci ᐅ @innovaud ᐅ www.innovaud.ch ᐅ Newsletter ᐅ https://vaud.digital
  70. 70. Traitement sécurisé de l'information Digital Trust Connected Event: CyberSécurité Le 09 octobre 2018 Blaise Vonlanthen, Chef de Section Romandie Lucile Van Kerrebroeck, Consultante Senior AWK Group Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform beiseite ziehen • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform selektieren und kopieren • Masteransicht schliessen • Auf Titelfolie die weisse Abdeckform einfügen • Weisse Abdeckform beiseite schieben • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform beiseite ziehen • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt
  71. 71. Tendance I : professionnalisation de la cybercriminalité organisée Cyber Crime as a Service : une entreprise florissante !
  72. 72. Tendance II : digitalisation Assurer la sécurité de l'information tout au long de la chaîne de valeur ProducteursFournisseurs Distributeurs Installateurs Acteurs Gestion du stock des mat. premières Chaîne de montage / assemblage Contrôle qualité Gestion du stock des produits finis Publicité du produit fini Gestion des ventes Installation Service Après Vente Chaîne de valeur simplifiée d'une entreprise Fabrication Logistique de commercialisation Marketing et ventes Services Logistique d’approvisionnement Digital TrustDigital TrustDigital Trust Distribution des produits finis Distribution des mat. premières Clients Force de vente RéparateursContrôleursDistributeurs Responsable d’entrepôts
  73. 73. 78 Digital Trust 4 étapes dans l’établissement d'une confiance numérique Analyse der internen Unternehmensressourcen Digital Trust Identifier ● Comprendre l’environnement de l’entreprise et identifier ses fonctions critiques au niveau de ses données, processus, personnes et compétences Réagir ● Cette étape comprend les activités de réaction face à un incident de sécurité ainsi que les activités de continuité business. Protéger ● Définition et mise en place de mesures de sécurité appropriées pour protéger les fonctions critiques identifiées au préalable. Détecter ● Élaboration et mise en place de mesures appropriées pour détecter des incidents de sécurité.
  74. 74. 79 Digital Trust : sécurité de l'information : approche de gestion intégrée Interaction de la technologie, de l'organisation et des processus Identifier Protéger Détecter Réagir Information Security Management System ISMS Security Incident & Event Management Business Continuity Management Identity & Access Management Post Incident Audits Information Security Architecture IT Forensics Operational Security Assurance Network Security Audits préventifs IT Service Continuity Logging Monitoring Gestion des risques Awareness Training Breach Containment Asset / Data / Process Inventory Vulnerability / Update Management Incident Management
  75. 75. 80 L’importance de la sensibilisation Laptop1: ─ Sans surveillance ─ Sans protection avec un mot de passe 68% PMEs dans le canton VD n’ont pas encore mis en place de formations à la sécurité informatique2. 1 Photo prise dans le train entre Berne et Lausanne le 3 octobre 2018 2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf
  76. 76. 81 ● Données clients ● Données personnelles ● Informations stratégiques sur l'entreprise ● Propriété intellectuelle Connaissez-vous vos fonctions critiques ? Joyaux de la couronne ● Connaitre sa tolérance de risque ● Etablir des mesures de protection afin de réduire le risque à un niveau acceptable Prochaines étapes Identifier Identifier Protéger Détecter Réagir
  77. 77. 82 La sécurité périmétrique https://commons.wikimedia.org/w/ind ex.php?curid=181784 Identifier Protéger Détecter Réagir Sécurité du réseau 1.0
  78. 78. La fin de la sécurité périmétrique 83 ● Définir une politique de sécurité et ses standards ● S’assurer que toutes les ressources soient accessibles de manière sécurisées ● Authentification ● Chiffrement des transmissions ● Accorder uniquement l'accès sur la base du «need-to-know» et «least privilege» ● Ségrégation du réseau, centré sur la protection des ressources/données critiques Zero Trust Model Identifier Protéger Détecter RéagirSécurité réseau 2.0
  79. 79. 84 UBS (2011) ● Détournement de 2 milliards de dollars ● Cause: contrôle préventif applicatif non configuré pour effectuer certaines transactions de paiement Cela s’applique également aux PMEs pour leur application d’e-banking1! ● Principe du double contrôle ● Désactiver les transactions non nécessaires ● Accès à l’e-banking depuis un ordinateur spécifique 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
  80. 80. 85 Nestlé (2014) ● Le compte Twitter de Nestlé Crunch pour la branche mexicaine a été utilisé dans le but de nuire à la marque1. ● Cause: Gestion des accès privilégiés non contrôlée. 96% PMEs dans le canton VD n’imposent pas de complexité et de changement régulier des mots de passe2. 1 https://www.20min.ch/ro/news/monde/story/Etudiants-massacres--la-blague-douteuse-de-Nestle-14085746?httpredirect 2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf
  81. 81. Security Operation Center 86 Sur toutes les lèvres «Assume breach» & «Security Operation Center» (SOC) Security Information and Event Management Threat Intelligence Gestion des vulnérabilités Surveillance des systèmes clés ● Le risque zéro n’existe pas malgré les contrôles ● Le modèle «Assume breach» permet de garder à l’esprit qu’il faut être capable de détecter les incidents de sécurité Objectifs ● Détecter et analyser les incidents, les attaques, les intrusions dans les systèmes clés ● Veille technologique ● Effectuer des tests de pénétration en environnement équivalent à la production Les prérequis d'un SOC ● Fonctions critiques connues ● Systèmes permettant de générer des «audit logs» ● Processus de gestion des incidents Identifier Protéger Détecter Réagir
  82. 82. 87 NSA (2013) ● 1,7 millions de documents dérobés par une personne autorisée à avoir accès à ces données classés secrètes (accès administrateur). ● Cause: Manque de contrôle détectif sur les accès distants et sur des documents classés «secret» avec des comptes à hauts privilèges. Cela s’applique également aux PMEs, contrôle détectifs essentiels pour analyser un incident1 ● Systèmes sensibles doivent tenir des fichiers journaux («log files»). ● Sauvegarder ces fichiers au moins 6 mois. 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
  83. 83. Limiter les impacts d’un incident 88 Assurer une réactivité en cas d'incident 4ème objectif du SOC : adresser les incidents ● S’assurer que l’incident est contenu dans une certaine zone («breach containement») ● Determiner les mesures adéquates afin d’éviter que cela se reproduise ● Coordonner l’implémentation des différents correctifs de sécurité La gestion des sauvegardes et d’un DRP (Disaster Recovery Plan): ● Sauvegarder régulièrement ses données et les placer à différents endroits ● S’assurer qu’un site de secours informatique est à disposition ● Prioritiser le recouvrement: Définition des Recovery Time Ojective / Recovery Point Objective Identifier Protéger Détecter Réagir
  84. 84. 89 MAERSK (2017) ● L’attaque informatique Petya a touché l’ensemble du système informatique causant la perte de 300 millions de dollars sur son chiffre d’affaire. ● Cause: Manque de processus de recouvrement face à une cyber attaque paralysant entièrement le système. ● Impact: Ses partenaires ont été indirectement touchés par cette paralysie 91% des PMEs VD reconnaissent ne pas effectuer de sauvegarde externe ou à plusieurs endroits (la base d’un plan de recouvrement des activités)1. 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
  85. 85. 90 Digital Trust : un facteur de succès de votre transformation numérique Renforcer la confiance dans vos processus digitaux Digital Trust
  86. 86. Trust by design « Inspiration from Latitude 59° N e-Estonia » Connected Event October 9, 2018 Philippe Thevoz Philippe Gillet Enabling trust
  87. 87. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 92 TRUST by DESIGN
  88. 88. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 93 NOTARY DOCUMENTS : FROM PAPER TO DIGITAL e-Notary
  89. 89. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 94 MY DIGITAL MEDICAL RECORDS
  90. 90. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 95 E-BANKING
  91. 91. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 96 DIPLOMA LEGALIZATION PROCESS
  92. 92. HOW TO ENABLE TRUST IN THE DIGITAL
  93. 93. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 98 TRUST ENABLERS IN DIGITAL oProcess & Device integrity (Hardware & Software) o System Resilience o Data Integrity & Security o Immutability o Anti-Tampering o Anti-Counterfeiting o Traceability o Auditability o Accountability o Confidentiality o Privacy & Consent o Data Sovereignty
  94. 94. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 99 HOW TO GENERATE TRUST IN DIGITAL ? Blockchain Cloud Databases Cybersecurity Blockchain TRUSTinDigitalServices SecureIT
  95. 95. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 100 HOW TO GENERATE TRUST IN DIGITAL ? Digital ID Data privacy & sovereignty Physical – Digital Link Secure marking Encryption Artificial Intell. Blockchain Cloud Databases Cybersecurity Dataintegrity &Security TRUSTinDigitalServices SecureIT
  96. 96. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 101 BLOCKCHAIN – ONLY A TECHNOLOGY, NOT A FULL SOLUTION Integrity Digital ID Data privacy & sovereignty Physical – Digital Link Secure marking Encryption Artificial Intell. Blockchain Cloud Databases Cybersecurity AI Sover- eignty Phys- Dig Link Marking Encry- ption Digital ID Block- chain
  97. 97. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 102 SECURE IMMUTABLE REGISTRIES Indisputable tamper evidenceData Integrity Real-time intrusion detectionData Security Render data unusable and unbreakable by any intruder Confidentiality Privacy How can I prove my good faith, independently from the system Digital Sovereignty How to prove that the data have been generated through the right process Process Integrity Undisputable proof of who did what and when on which data Auditability Accountability
  98. 98. EXAMPLE 1 : DATA INTEGRITY e-Notary
  99. 99. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 104 The example of e-Estonia Last year Last month Last week Yesterday HOW TO SECURE MILLION OF DIGITAL TRANSACTIONS? Today Tax Authority Land registry People registry …
  100. 100. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 105 TIMESTAMP PROOF I am very pleased to be present today at this conference. Philippe – May 3, 2018 How can I prove in 10 years that I wrote that statement on May 3, 2018 ?
  101. 101. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 106 PUBLISH THE DOCUMENT IN A NEWSPAPER I am very pleased to be present today at this conference. Philippe – May 3, 2018 May 4, 2018
  102. 102. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 107 PUBLISH THE HASH OF THE DOCUMENT 3f0c8709cf75272beb1de9a 96a4c6c343f2fe4a263a868 e8e2d3f97cbe901da7 May 4, 2018
  103. 103. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 108 PUBLISH THE TOP HASH OF THE MERKLE TREE c775e7b757ede630cd0aa1 113bd102661ab38829ca52 a6422ab782862f268646 May 4, 2018
  104. 104. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 109 I am very pleased to be present today at this conference. Philippe – May 3, 2018 HOW CAN I PROVE IN 10 YEARS FROM NOW THAT THE FOLLOWING DOCUMENT IS IMMUTABLE ? +
  105. 105. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 110 KSI BLOCKCHAIN – ONE HASH PER SECOND FOR THE WHOLE WORLD US Corp1 US Corp2 Estonia SICPA US Administration C775e7b757ede630c d0aa1113bd1026… KSI-Blockchain
  106. 106. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 111 DIGITAL INTEGRITY: IN THE HEART OF e-ESTONIA Terabytes of Data are secured every second on the KSI Blockchain since 2008. In full operation since 2012
  107. 107. EXAMPLE 2 : DATA INTEGRITY, CONFIDENTIALITY, TRACEABILITY
  108. 108. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 113 TRACEABILITY ON MY DATA IN ESTONIA
  109. 109. EXAMPLE 3 : DATA SOVEREIGNTY - DIGITAL RECEIPT
  110. 110. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 115 SECURE REGISTRY Proof
  111. 111. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 116 SECURE VALUE DOCUMENTS Cryptographic link
  112. 112. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 117 SECURE VALUE DOCUMENTS Cryptographic link 200 CHF
  113. 113. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 118 TRUST by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

×