Connected Event - Cybersecurity 9 10 2018

1. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES Claudine Amstein Directrice de la Chambre vaudoise du commerce et de l’industrie

2. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 37 % des entreprises sondées ont été victimes d’au moins une une attaque informatique

3. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 35 % des entreprises sondées se sentent peu, voire pas du tout concernées par les cyber-risques

4. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 50 % des entreprises sondées n’ont prévu aucune formation à l’intention de leur personnel

5. Etat de Vaud Département des infrastructures et des ressources humaines Page 9 LA CYBERSÉCURITÉ UN DÉFI À ABORDER ENSEMBLE Swisscom Connected Event – 9 octobre 2018 09/10/2018 Connected Event @EPFL

6. Etat de Vaud Département des infrastructures et des ressources humaines Page 10 La cybersécurité devient la troisième plus grande menace à la stabilité mondiale #WEF18 09/10/2018 Connected Event @EPFL Source : WEF, Global Risks Report 2018

7. Etat de Vaud Département des infrastructures et des ressources humaines Page 11 7 millions de jeux de données volées chaque jour dans le monde 09/10/2018 Connected Event @EPFL Source : Gemalto Breach Level Index

8. Etat de Vaud Département des infrastructures et des ressources humaines Page 12 100’000+ 09/10/2018 Connected Event @EPFL 13’000+ 1’800+ 750 TB+ 500+ 4 Mios+ POSTES DE TRAVAIL SERVEURS DONNEES BASES DE DONNEES EMAILS / JOURS SPAMS / MOIS Exposition numérique de l’administration vaudoise

9. Etat de Vaud Département des infrastructures et des ressources humaines Page 13 Une stratégie multi-dimensions pour l’Etat 09/10/2018 Connected Event @EPFL

10. Etat de Vaud Département des infrastructures et des ressources humaines Page 14 Le SOC (Security Operation Center) de l’Administration Cantonale Vaudoise pour lutter contre les cyber-risques 09/10/2018 Connected Event @EPFL

11. Etat de Vaud Département des infrastructures et des ressources humaines Page 15 Un rôle actif pour fédérer et réunir les efforts #compétenceslocales #ensembleplusfort 09/10/2018 Connected Event @EPFL

12. Etat de Vaud Département des infrastructures et des ressources humaines Page 16 vaud.digital, portail des acteurs de l’innovation numérique 09/10/2018 Connected Event @EPFL

13. Etat de Vaud Département des infrastructures et des ressources humaines Page 17 Bientôt - Une application mobile pour soutenir les PME face aux cyber-risques 09/10/2018 Connected Event @EPFL

14. Etat de Vaud Département des infrastructures et des ressources humaines Page 18 MERCI DE VOTRE ATTENTION 09/10/2018 Connected Event @EPFL

15. 19 Connected Event Cybersécurité EPFL, 9 Octobre 2018 Perspective académique Prof. Jean-Pierre Hubaux, directeur académique du C4DT

16. Growing Concern: Medical Data Breaches Around 5 declared breaches per week, each affecting 500+ people https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf 20

17. 21 The Guardian, 14 May 2017 “WannaCry” Ransomware Virus (May 2017)

18. Personalized Medicine The massive digitalization of clinical and genomic information is providing unprecedented opportunities for improvements in diagnosis, preventive medicine and targeted therapies 22

19. Another Major Concern: Re-identification Attacks against Genomic Databases 23

20. Genomic data pose special privacy problems: • They are inherently identifying • They can’t be changed (as opposed to passwords) • They have unique statistical regularities • They contain sensitive and personal information (genetic diseases or propensity to develop certain conditions) • Their leakage can expose individuals to genetic discrimination • Relatives can also be affected What If Genomic Data Are Leaked? 24 [Naveed et al.’15]

21. Data Protection for Personalized Health (DPPH)

22. Data Protection for Personalized Health • 5 research groups across the ETH domain + SDSC (Swiss Data Science Center) • Funding: 3 Millions CHFrs • Duration: 3 years (4/2018 - 3/2021) • Funding Program: ETH PHRT (Personalized Health and Related Technologies) DPPH: Data Protection in Personalized Health LCA1: Systems for privacy- conscious data sharing DEDIS: Distributed and Decentralyzed Trust GR-JET: Fundamental cryptography Fellay Group: Medical application SDSC: Data Science Infrastructure and Deployment Health Ethics and Policy: Legal and Ethical analysis Project goals: • Address the main privacy, security, scalability, and ethical challenges of data sharing for enabling effective P4 medicine • Define an optimal balance between usability, scalability and data protection • Deploy an appropriate set of computing tools DPPH.CH E. Vayena B. Ford JP Hubaux D. Jetchev J. Fellay O. Verscheure

23. Envisioned Nation-Wide Deployment 27 Q1: How many patients with BRCA1 and breast cancer? Q2: What is the survival rate for cancer patients undergoing a given chemotherapy? Year 2 & 3: tiered deployment, extra functionality Year 1: small- scale prototype, simple queries

24. DCC: Data Coordination Center IT Node IT Node IT Node IT Node IT Node DCC DPPH – The Role of the Blockchain 28 … … DPPH Blockchain Inference resistance Provenance and Reproducibility Immutable Log Big Data Platform Distributed Access Control Distributed Privacy- conscious Processing

25. “genomeprivacy.org” Community website • Searchable list of publications on genome privacy and security • News from major media (from Science, Nature, GenomeWeb, etc.) • Research groups and companies involved • Tutorial and tools • Events (past & future) 29

26. Collaboration Ecosystem • 30+ EPFL laboratories • 8+ Organizations Blockchain Privacy- enhancing technologies Personalized health Smart contracts Cyber security Machine Learning Content Protection System security Cryptography Software verification 30 The Center for Digital Trust @EPFL Reinventing trust for the digital society • Center of expertise • One-stop-shop • Community

27. 31 … and more to join Partners of Center for Digital Trust

28. 32 Digital Trust – Research at EPFL 32 C4DT Presentation | 2018 … and more to join • Blockchain • Cloud computing • Cryptography • Cyber-physical systems • Data mining • Decentralized systems • Distributed systems & algorithms • Finance • Genomics • Image conceptualization • IoT • Large-scale systems • Machine learning • Media Security • Network security • Personalized health • Privacy enhancing technologies • Programming languages • Reliability & security • Risk management • Security by design • Semantic information • Software verification • System security

29. 33 C4DT Activities CENTER FOR DIGITAL TRUST FACTORY ACADEMY EMBASSY 3

30. 34 The Digital Trust Platform – Technologies & Applications PRIVACY CRYPTOGRAPHY FINANCE& ECONOMY DIGITAL TRUST OPEN PLATFORM (The Factory) BLOCKCHAINS SMART CONTRACTS SOFTWARE VERIFICATION SYSTEM SECURITY HEALTH GOVERNMENT& HUMANITARIAN CRITICAL INFRASTRUCTURES DIGITAL INFORMATION … TRUSTWORTHY DIGITAL PRODUCTS & SERVICES APPLICATION VERTICALS TECHNOLOGY PILLARS 3

31. Example 1 of C4DT Project: Capital Markets and Technology Association (CMTA) • “An independent association formed by leading actors from Switzerland's financial, technological and legal sectors to create common standards around issuing, distributing and trading securities in the form of tokens using the distributed ledger technology.” • Current project: record ownership of shares in a Swiss company on a blockchain (Nov. ‘18) • Without requiring changes to current Swiss law • Swiss standard for tracking ownership in stock or bond using blockchain and smart contracts • Founding members:

32. Collaboration with ICRC Humanitarian organization in Geneva and strategic partner of EPFL Challenges • Identifying relevant information sources • Search in textual and image content • Data of poor quality Example 2 of C4DT Project: Finding missing people in conflict zones

33. Face Retrieval using Deep Neural Networks Adapting the techniques to the context (quality of images) and combining with other search modalities

34. 38 C4DT – A "virtuous circle" 1) Trusted platform 2) Collaboration hub 3) Knowledge transfer PARTNERS C4DT Needs & Foresight Specialists & Knowledge Data & Infrastructures Funding Foresight & Opportunities Research projects Prototypes Collaborative platform Dr. Olivier Crochat Executive Director

35. c4dt.org 39

36. Rapport au Conseil Fédéral sur la gestion et la sécurité des données • Groupe de 13 experts (juristes, économistes, éthiciens, informaticiens) • 3 ans de travaux • Rapport remis en août 2018 • 51 recommandations: recherche, formation, investissements, législation,… • 200 pages • Rapport transmis aux départements fédéraux pour action et rapport d’ici à l’été 2019 • Rapport publiquement accessible: https://www.admin.ch/gov/fr/accueil/documentation/communiques/flux- rss/par-office/communiques-de-presse-et-discours.msg-id-72083.html 40

37. Conclusion • Worldwide, the confidentiality of health data is in jeopardy • Personalized medicine dramatically increases the amount of data • Mobile devices collect more and more health-related data that need to be properly secured • The Data Protection for Personalized Health Project is a (Swiss) response to these concerns: https://dpph.ch • EPFL’s initiative to reinvent trust in cyberspace: Center for Digital Trust https://c4dt.org 41

38. Les enjeux de la cybersécurité Exemples dans le monde de la santé Philippe Vuilleumier Head of Group Security / Chief Security Officer Lausanne, 9.10.2018 C1 - public

39. Le monde dans lequel nous vivons…. … est de plus en plus interconnecté et génère de nouveaux besoins Toujours en ligne Big Data et Business Intelligence Travailler et se réunir à tout moment et partout 200 millions d’appareils connectés à Internet en Suisse d’ici 2020 Nouvelles interfaces et consumérisation de l’informatique Disponibilité et sécurité des données: deux points essentiels 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 43

40. Open Space Hôpital Couloir CouloirVidéoconférence Chambre Patients Soins intensifsBlocs Opératoires Magasin Magasin RéceptionUrgences Consultations Services Techn. MagasinIT Radiologie Médecin Hôpital Assurance Pharmacie Centre

41. 9.10.2018 45 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 Lukaskrankenhaus Neuss

42. 9.10.2018 46 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0

43. 9.10.2018 47 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 WannaCry

44. 9.10.2018 48 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 WannaCry Cyber attack and the NHS Fact & Figures >Au total, au moins 81 des 236 hôpitaux (angl. trust) ont été touchés. 5 hôpitaux ont du fermer leurs services d'urgences >De plus, 603 autres organisations de soins primaires ont été infectées par WannaCry, dont 595 cabinets de médecins généralistes >NHS a estimé que plus de 19 500 consultations ont été annulées, dont 6 912 confirmées >Le coût financier total de l'incident reste inconnu Kingsley Manning, former chairman of NHS Digital, blamed a lack of time and resources but also "frankly a lack of focus, a lack of taking it seriously" for individual NHS organisations' failure to keep up with the cyber security improvements. Détails: https://www.nao.org.uk/press-release/investigation-wannacry-cyber-attack-and-the-nhs/

45. Faiblesses constatées NIST Cyber Security Framework Identification et inventaire des objets à protéger et des menaces les visant. Réaction aux attaques et prises de mesures rapides avec pour but de maintenir les activités. Garantie d’un rétablissement rapide des activités normales. Protection de l’infrastructure technologique en matière d’intégrité, de confidentialité et de disponibilité. Surveillance systématique de l’infrastructure technologique par rapport à d’éventuelles attaques et anomalies. Identify Protect Detect Respond Recover Initial Response plan developed but not tested Improve Response plan incl. clear roles & responsibilities Increase Awareness at all levels and implement critical alerts Improve Governance (88 out of 236 trusts showed that none passed the req. cybersec standards) 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 49

46. Les risques sont réels Chaque mois environ... attaques de phishing sont détectées et bloquées2250 ordinateurs de clients privés sont déconnectés à titre préventif en raison d'une infection par un logiciel malveillant 20 000 plaintes de clients privés pour cause de problèmes de spam, de phishing ou de logiciels malveillants 22 000 clients privés sont informés de façon proactive du fait que leurs ordinateurs sont infectés par des logiciels malveillants 1300 clients privés sont contactés pour cause de comptes piratés 4800 accès à distance en provenance de 40 pays de 16 000 utilisateurs de300 sociétés 300 000 programmes nuisibles/attaques détectés et bloqués sur le réseau 8 000 000 atteintes à la sécurité traitées par le CSIRT15 programmes nuisibles identifiés et bloqués au niveau d'endpoints de gros clients 5000

47. Comment traitons-nous ces menaces du cyberespace? Swisscom se concentre sur trois points 1. Une base bonne et solide Avec pour objectif: réduire les coûts, consolider les "policies" et processus, maintenir et développer l’Information Security Management System certifié ISO 27001, dispenser des formations, et bien plus encore 2. La sécurité doit être garantie de manière simple Avec pour objectif: développer de nouvelles technologies de sécurité ainsi que des processus favorisant la numérisation 3. Approche novatrice en matière de détection Avec pour objectif: protéger l’entreprise, ses clients et la société de l’information suisse d’attaques ciblées 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 51

48. Quatre principes constitue la base … … de toute stratégie de sécurité > La sécurité est plus qu’un coût! > “Enabling”de concepts informatique tels que “Home Office-”ou “BYOD” > Des produits sûrs coûtent moins chers! La sécurité est le nouvel argument commercial > Quantité et qualité en augmentation > De la chaine d’approvisionnement au périmètre > Nouvelle approche nécessaire Nous sommes en permanence la cible d’attaques > La détection pour palier les limites de la prévention > Représente la base pour une réaction conséquente L’intelligence est à la base de la détection > Base conceptuelle et opérationnelle stable > Appliquer les bonnes pratiques de sécurité sur la durée > Cadre réglementaire, gouvernance approprié Appliquer les Security Good Practices C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 52 9.10.2018

49. Chief Security Officer CSIRTSecurity Delivery Security Framework & Governance Physical Security Security Governance & Services CSIRT Security Officers Product & Marketing / Sales & Services Enterprise Customers IT, Network & Infrastructure Group Functions, Digital Business La sécurité chez Swisscom Conditions organisationnelles pour une gestion efficace de la sécurité • Tâche à l’échelle du groupe • Etroite collaboration avec la Direction du groupe • Mode opératoire pragmatique et simple • Sécurité physique et logique intégrée • Env. 60 spécialistes • Security Officers consacrés aux divisions operation- nelles Group Security Swisscom Policy Management • Clair et simple • Actuel et pertinent • Tendance au self- service • Doit permettre un développement agile de solutions TIC 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 53

50. > Accepter les défis! – Dépendances technologiques, savoir-faire, restrictions financières > Ne pas capituler! – Structurer, prioriser, et commencer par le début > Appliquer les bonnes pratiques sur la durée! – Base conceptuelle et opérationnelle stable – Cadre réglementaire, gouvernance approprié > Que voulez/pouvez-vous faire vous-même et que voulez-vous externaliser? – Exemples: SOC, Threat Detection, Gouvernance 9.10.2018 54 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 Et finalement…

51. Innovation | Cybersécurité Patrick Barbey

52. 1. Startups et Support

53. Rôle Agence de soutien à l’innovation - Porte d’entrée pour les projets d’innovation - Pour PME et start-up - Catalyseur entre la recherche appliquée et l’économie Domaines prioritaires - Sciences de la Vie - TIC - Industrie de Précision - Cleantech

54. Que faisons-nous?

55. Parcs d’Innovation

56. Startups high-tech créées 0 10 20 30 40 50 60 2013 2014 2015 2016 2017 2018p

57. Investissements capital-risque / 2017 Invested amount in Vaud-based startups in 2017 $300M #1 in Switzerland

58. 40 % of TOP 10 are in VAUD TOP 100 Swiss Startups 2018 1. Ava 2. Bestmile 3. Lunaphore 4. Flyability 5. Cutiss 6. Piavita 7. Wingtra 8. Gamaya 9. Advanon 10. Versantis 24 startups in TOP 100 are in Canton de Vaud

59. Finance FIT grant – 100k - Prototype/mise au point FIT seed (prêt) – 100k - 0% intérêt - garantie personnelle FIT growth (prêt) – 500k - «matching» : 1.- investi = 1.- prêté - 5% + 5% intérêt - pas de garantie personnelle

60. Financement Soutiens 2017 5.9 MCHF (28 projets)

61. vaud.digital Filtrage simple par catégorie / technologie

62. 2. Startups

63. Sécurisation d’apps critiques w Apps internes ou de tiers w Couche de sécurité indépendante de l’appareil w Applications fintech Histoire: w Spin-off HEIG-VD / Fondation: 2010 w FIT seed w Basée à Y-Parc

64. Plateforme de surveillance des flux de donnée entreprise w Cartographie automatique des flux de données w Rapports et alertes w Installation simple Histoire: w Lancement 2014 w Spin-off EPFL basée à EPFL Innovation Park / Boston

65. Plateforme de stockage sécurisé pour cryptomonnaie w Solution cryptographique hardware/software w Clients: banques, gestionnaires de fonds Histoire: w Fondée 2014 w Basée à Lausanne

66. Solution de gestion d’identité numérique w Reconnaissance faciale 3D w Multiplateforme w 3D Graphical Authentication Histoire: w Basée à Lausanne w Prêt FIT growth (2018)

67. Solution de collaboration sécurisée pour entreprises w Voix et messagerie instantanée w Environnement de travail (documents, notes) w Chiffrage end to end avec authentification robuste Histoire: w Spin-off EPFL w Fondation: 2007 w Basée à Morges

68. 25 octobre 2018 Y-Parc

69. Merci ᐅ @innovaud ᐅ www.innovaud.ch ᐅ Newsletter ᐅ https://vaud.digital

70. Traitement sécurisé de l'information Digital Trust Connected Event: CyberSécurité Le 09 octobre 2018 Blaise Vonlanthen, Chef de Section Romandie Lucile Van Kerrebroeck, Consultante Senior AWK Group Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform beiseite ziehen • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform selektieren und kopieren • Masteransicht schliessen • Auf Titelfolie die weisse Abdeckform einfügen • Weisse Abdeckform beiseite schieben • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform beiseite ziehen • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt

71. Tendance I : professionnalisation de la cybercriminalité organisée Cyber Crime as a Service : une entreprise florissante !

72. Tendance II : digitalisation Assurer la sécurité de l'information tout au long de la chaîne de valeur ProducteursFournisseurs Distributeurs Installateurs Acteurs Gestion du stock des mat. premières Chaîne de montage / assemblage Contrôle qualité Gestion du stock des produits finis Publicité du produit fini Gestion des ventes Installation Service Après Vente Chaîne de valeur simplifiée d'une entreprise Fabrication Logistique de commercialisation Marketing et ventes Services Logistique d’approvisionnement Digital TrustDigital TrustDigital Trust Distribution des produits finis Distribution des mat. premières Clients Force de vente RéparateursContrôleursDistributeurs Responsable d’entrepôts

73. 78 Digital Trust 4 étapes dans l’établissement d'une confiance numérique Analyse der internen Unternehmensressourcen Digital Trust Identifier ● Comprendre l’environnement de l’entreprise et identifier ses fonctions critiques au niveau de ses données, processus, personnes et compétences Réagir ● Cette étape comprend les activités de réaction face à un incident de sécurité ainsi que les activités de continuité business. Protéger ● Définition et mise en place de mesures de sécurité appropriées pour protéger les fonctions critiques identifiées au préalable. Détecter ● Élaboration et mise en place de mesures appropriées pour détecter des incidents de sécurité.

74. 79 Digital Trust : sécurité de l'information : approche de gestion intégrée Interaction de la technologie, de l'organisation et des processus Identifier Protéger Détecter Réagir Information Security Management System ISMS Security Incident & Event Management Business Continuity Management Identity & Access Management Post Incident Audits Information Security Architecture IT Forensics Operational Security Assurance Network Security Audits préventifs IT Service Continuity Logging Monitoring Gestion des risques Awareness Training Breach Containment Asset / Data / Process Inventory Vulnerability / Update Management Incident Management

75. 80 L’importance de la sensibilisation Laptop1: ─ Sans surveillance ─ Sans protection avec un mot de passe 68% PMEs dans le canton VD n’ont pas encore mis en place de formations à la sécurité informatique2. 1 Photo prise dans le train entre Berne et Lausanne le 3 octobre 2018 2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf

76. 81 ● Données clients ● Données personnelles ● Informations stratégiques sur l'entreprise ● Propriété intellectuelle Connaissez-vous vos fonctions critiques ? Joyaux de la couronne ● Connaitre sa tolérance de risque ● Etablir des mesures de protection afin de réduire le risque à un niveau acceptable Prochaines étapes Identifier Identifier Protéger Détecter Réagir

77. 82 La sécurité périmétrique https://commons.wikimedia.org/w/ind ex.php?curid=181784 Identifier Protéger Détecter Réagir Sécurité du réseau 1.0

78. La fin de la sécurité périmétrique 83 ● Définir une politique de sécurité et ses standards ● S’assurer que toutes les ressources soient accessibles de manière sécurisées ● Authentification ● Chiffrement des transmissions ● Accorder uniquement l'accès sur la base du «need-to-know» et «least privilege» ● Ségrégation du réseau, centré sur la protection des ressources/données critiques Zero Trust Model Identifier Protéger Détecter RéagirSécurité réseau 2.0

79. 84 UBS (2011) ● Détournement de 2 milliards de dollars ● Cause: contrôle préventif applicatif non configuré pour effectuer certaines transactions de paiement Cela s’applique également aux PMEs pour leur application d’e-banking1! ● Principe du double contrôle ● Désactiver les transactions non nécessaires ● Accès à l’e-banking depuis un ordinateur spécifique 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf

80. 85 Nestlé (2014) ● Le compte Twitter de Nestlé Crunch pour la branche mexicaine a été utilisé dans le but de nuire à la marque1. ● Cause: Gestion des accès privilégiés non contrôlée. 96% PMEs dans le canton VD n’imposent pas de complexité et de changement régulier des mots de passe2. 1 https://www.20min.ch/ro/news/monde/story/Etudiants-massacres--la-blague-douteuse-de-Nestle-14085746?httpredirect 2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf

81. Security Operation Center 86 Sur toutes les lèvres «Assume breach» & «Security Operation Center» (SOC) Security Information and Event Management Threat Intelligence Gestion des vulnérabilités Surveillance des systèmes clés ● Le risque zéro n’existe pas malgré les contrôles ● Le modèle «Assume breach» permet de garder à l’esprit qu’il faut être capable de détecter les incidents de sécurité Objectifs ● Détecter et analyser les incidents, les attaques, les intrusions dans les systèmes clés ● Veille technologique ● Effectuer des tests de pénétration en environnement équivalent à la production Les prérequis d'un SOC ● Fonctions critiques connues ● Systèmes permettant de générer des «audit logs» ● Processus de gestion des incidents Identifier Protéger Détecter Réagir

82. 87 NSA (2013) ● 1,7 millions de documents dérobés par une personne autorisée à avoir accès à ces données classés secrètes (accès administrateur). ● Cause: Manque de contrôle détectif sur les accès distants et sur des documents classés «secret» avec des comptes à hauts privilèges. Cela s’applique également aux PMEs, contrôle détectifs essentiels pour analyser un incident1 ● Systèmes sensibles doivent tenir des fichiers journaux («log files»). ● Sauvegarder ces fichiers au moins 6 mois. 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf

83. Limiter les impacts d’un incident 88 Assurer une réactivité en cas d'incident 4ème objectif du SOC : adresser les incidents ● S’assurer que l’incident est contenu dans une certaine zone («breach containement») ● Determiner les mesures adéquates afin d’éviter que cela se reproduise ● Coordonner l’implémentation des différents correctifs de sécurité La gestion des sauvegardes et d’un DRP (Disaster Recovery Plan): ● Sauvegarder régulièrement ses données et les placer à différents endroits ● S’assurer qu’un site de secours informatique est à disposition ● Prioritiser le recouvrement: Définition des Recovery Time Ojective / Recovery Point Objective Identifier Protéger Détecter Réagir

84. 89 MAERSK (2017) ● L’attaque informatique Petya a touché l’ensemble du système informatique causant la perte de 300 millions de dollars sur son chiffre d’affaire. ● Cause: Manque de processus de recouvrement face à une cyber attaque paralysant entièrement le système. ● Impact: Ses partenaires ont été indirectement touchés par cette paralysie 91% des PMEs VD reconnaissent ne pas effectuer de sauvegarde externe ou à plusieurs endroits (la base d’un plan de recouvrement des activités)1. 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf

85. 90 Digital Trust : un facteur de succès de votre transformation numérique Renforcer la confiance dans vos processus digitaux Digital Trust

86. Trust by design « Inspiration from Latitude 59° N e-Estonia » Connected Event October 9, 2018 Philippe Thevoz Philippe Gillet Enabling trust

92. HOW TO ENABLE TRUST IN THE DIGITAL

93. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 98 TRUST ENABLERS IN DIGITAL oProcess & Device integrity (Hardware & Software) o System Resilience o Data Integrity & Security o Immutability o Anti-Tampering o Anti-Counterfeiting o Traceability o Auditability o Accountability o Confidentiality o Privacy & Consent o Data Sovereignty

95. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 100 HOW TO GENERATE TRUST IN DIGITAL ? Digital ID Data privacy & sovereignty Physical – Digital Link Secure marking Encryption Artificial Intell. Blockchain Cloud Databases Cybersecurity Dataintegrity &Security TRUSTinDigitalServices SecureIT

96. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 101 BLOCKCHAIN – ONLY A TECHNOLOGY, NOT A FULL SOLUTION Integrity Digital ID Data privacy & sovereignty Physical – Digital Link Secure marking Encryption Artificial Intell. Blockchain Cloud Databases Cybersecurity AI Sover- eignty Phys- Dig Link Marking Encry- ption Digital ID Block- chain

97. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 102 SECURE IMMUTABLE REGISTRIES Indisputable tamper evidenceData Integrity Real-time intrusion detectionData Security Render data unusable and unbreakable by any intruder Confidentiality Privacy How can I prove my good faith, independently from the system Digital Sovereignty How to prove that the data have been generated through the right process Process Integrity Undisputable proof of who did what and when on which data Auditability Accountability

98. EXAMPLE 1 : DATA INTEGRITY e-Notary

99. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 104 The example of e-Estonia Last year Last month Last week Yesterday HOW TO SECURE MILLION OF DIGITAL TRANSACTIONS? Today Tax Authority Land registry People registry …

100. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 105 TIMESTAMP PROOF I am very pleased to be present today at this conference. Philippe – May 3, 2018 How can I prove in 10 years that I wrote that statement on May 3, 2018 ?

104. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 109 I am very pleased to be present today at this conference. Philippe – May 3, 2018 HOW CAN I PROVE IN 10 YEARS FROM NOW THAT THE FOLLOWING DOCUMENT IS IMMUTABLE ? +

105. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 110 KSI BLOCKCHAIN – ONE HASH PER SECOND FOR THE WHOLE WORLD US Corp1 US Corp2 Estonia SICPA US Administration C775e7b757ede630c d0aa1113bd1026… KSI-Blockchain

106. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 111 DIGITAL INTEGRITY: IN THE HEART OF e-ESTONIA Terabytes of Data are secured every second on the KSI Blockchain since 2008. In full operation since 2012

107. EXAMPLE 2 : DATA INTEGRITY, CONFIDENTIALITY, TRACEABILITY

109. EXAMPLE 3 : DATA SOVEREIGNTY - DIGITAL RECEIPT

113. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 118 TRUST by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

Connected Event - Cybersecurity 9 10 2018

You are reading a preview.

Check these out next

Connected Event - Cybersecurity 9 10 2018

More Related Content

Similar to Connected Event - Cybersecurity 9 10 2018 (20)

More from Raphael Rollier (18)

Recently uploaded (20)