club ies 2012
TRANSCRIPT
![Page 1: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/1.jpg)
Les défis de la
sécurité informatiqueClub IES, 7 février 2012
2012
Jérôme Saiz / SecurityVibes
![Page 2: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/2.jpg)
SecurityVibes Communauté de professionnels de la sécurité IT
Magazine
Evénements
Soutien de Philippe Courtot, Qualys
Jérôme Saiz Journaliste, spécialiste des questions de sécurité
Geek de cœur
EPITA : « Technologies & Marché de la sécurité »
LesNouvelles.netSecurityVibes
2
Qui ?
![Page 3: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/3.jpg)
La menace a évolué
Les nouveaux acteurs
Le rôle du RSSI
Contre-mesures réalistes
3
Menu
![Page 4: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/4.jpg)
4
Menu
La menace a évolué
![Page 5: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/5.jpg)
Du visible (égo)au discret (exploitation)
Exploitation = argent = professionnalisation 9 millions de $ / 49 villes US / 130 DAB / une heure (WorldPay, 2009)
6,7 millions de $ / 3 jours / DAB + virements (Postbank, 2012) Des comptes dédiés ouverts pendant une année
Malgré 2 millions de $ de logiciels anti-fraude
Retour à l’amateur avec les hacktivistes
5
Evolution
Del’amateurau vénal
![Page 6: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/6.jpg)
Vrai pour le grand public
Arnaques Facebook, « badware »…
Aucun besoin de sophistication technique
L’utilisateur est (i)responsable de son infection
Moins pour l’entreprise
Attaques ciblées, social engineering, APT, Stuxnet
Kits d’infection et de copie rapide (smartphone, laptop)
6
Evolution
Niveau techniqueen baisse
![Page 7: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/7.jpg)
Réseaux sociaux
Grand public : arnaques en hausse Sondages&SMS surtaxés, vraies fausses vidéos virales, vol du carnet d’adresses
Entreprises : repérage, renseignement, ciblage
Mobiles
Grand public : vol de données, arnaques bancaires (appspiégées)
Entreprises : BYOD
Documents piégés
Attaques ciblées via Flash / PDF / MS Office
7
Evolution
Trois menaces 2012
![Page 8: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/8.jpg)
8
Menu
De nouveaux acteurs
![Page 9: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/9.jpg)
9
Acteurs
Les Hacktivistes
« Altermondialistes numériques »
Non-violent, illégal, digital et politique
Armes : vol de données et déni de service distribué (DDoS)
Pas de consensus sur la « légitimité » de l’un ou de l’autre DDoS = « sitting » pacifique ou acte violent de neutralisation ?
Vol de données =militantisme ou vol ?
![Page 10: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/10.jpg)
10
Acteurs
Les Hacktivistes
Pas d’objectif unique / clair
Liberté d’expression ?
Anticapitalisme ?
Nihilisme 2.0 ?
Ecologie ?
Intérêts personnels ?
Manipulation ? (PSYOP militaire) « Psychological operations are planned operations to convey selected information and
indicators to foreign audiences to influence their emotions, motives, objective reasoning, and
ultimately the behavior of foreign governments, organizations, groups, and
individuals »(Wikipedia)
![Page 11: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/11.jpg)
11
Acteurs
Les Hacktivistes
Des actions perçues (aussi) positivement
Développement d’outils de chiffrement (PGP)
Miroirs de sites censurés
Assistance technique anti censure
Dialogue difficile à initier
Qui est représentatif ?
Emotion vs business
![Page 12: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/12.jpg)
12
Acteurs
Les Hacktivistes
« Si vous dirigez un pays et que vous ne vous comportez pas correctement, avec les réseaux sociaux les utilisateurs ont désormais le moyen de vous faire tomber » (David Jones, DG Havas @ Davos 2012)
Vrai également pour les entreprises
« Chaque utilisateur a désormais les moyens de lancer un mouvement de masse. Mais ces cyber mouvements sociaux ne créent pas de leaders »(idem)
Débordements et réflexe de meute (ex : Orange / Free)
Dialogue rationnel difficile
![Page 13: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/13.jpg)
13
Acteurs
Les Hacktivistes
Exemple : Anonymous Une idée plutôt qu’une organisation
La liberté d’expression, la désobéissance civile
Pas d’intérêt pour les données personnelles
Structure fluide et décentralisée Basée sur la volonté du groupe (désignation libre des cibles + LOIC)
Héritage de 4chan
DDoS (majoritaire) et intrusions (rares)
Dissensions régulières & inévitables
Risques de dérapage Anonymous vs Zetas
Enrôlement forcé (casPasteHTML.com)
![Page 14: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/14.jpg)
14
Acteurs
Les Hacktivistes
Veille d’actualité
Veille réseau sociaux
Matrice de risque actualité / activité
de l’entreprise à développer
Communication de crise
Le défi
![Page 15: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/15.jpg)
Les Sopranos sur Internet ? Pas vraiment
Le web comme soutien aux activités illégales traditionnelles Communication, organisation, protection des données
Blanchiment d’argent (fraude transnationale)
Contrefaçon, pédopornographie, prostitution
Approche « utilitaire » des technologies
15
Acteurs
Le crime organisé
![Page 16: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/16.jpg)
La réalité : des gangs 100% virtuels
1 casse @ $1 million ou 1 million d’arnaques @ 1$ ?
Ticket d’entrée faible, risque faible, gains élevés
Gourmands, très spécialisés, très organisés Codeur, exploiteur, « carder », associé, mule…
Ne se rencontrent (presque) jamais
Géométrie variable Constitution de groupes ad-hoc
Communication exclusivement en ligne
Des spécialités régionales Russie (piratage, exploits), Brésil (malwarebancaire), Chine (hébergement)…
16
Acteurs
Le crime organisé
![Page 17: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/17.jpg)
Exemple : Liberty Reserve
Monnaie parallèle hors système bancaire international
Difficile d’atteinte « Puisque nous sommes basés à Nevis (Costa Rica), vous devez être un meurtrier, un
ravisseur ou un baron de la drogue pour nous forcer à divulguer des informations sensibles »
Structure décentralisée Emetteur et grossistes indépendants
Opérations 100% virtuelles Transactions via MSN, Yahoo! Messenger, ICQ vers des comptes en ligne
Pas de logs
17
Acteurs
Le crime organisé
![Page 18: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/18.jpg)
18
Acteurs
Contrôles internes / fraude interne
Protection des clients
Moyens de
paiement, achats, escroqueries en ligne
Conformité réglementaire
(un défi à part entière !)
Le crime organisé
Le défi
![Page 19: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/19.jpg)
Cyberguerre ≠ espionnage
Guerre = opérations militaires, dégâts matériels, victimes
= Cyber-sabotage
Confusion
N’importe qui peut se joindre à la bataille Attaque Russe contre la Géorgie, Estonie : nationalistes ? Hacktivistes ?
Attaques contre le cyber ou attaque avec des armes cyber ? Contre : détruire l’infrastructure SI (armes cyber ou physiques)
Avec : utiliser des armes cyber pour provoquer des dégâts physiques
19
Acteurs
Les Etats
![Page 20: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/20.jpg)
Le cyber comme nouveau théâtre d’opération Terre, Air, Mer, Espace et Cyber (US)
Attaques cyber : « un acte de guerre » (US)
Des armes opérationnelles Stuxnet
Opération Orchard (Israël), tests Aurora (US)
Des Etats organisés ANSSI (France), US Cyber Command (US), Grande Bretagne
(GCHQ), ENISA (EU), KKL (Estonie) + Russie, Chine, Israël, Corée(s), Iran ?
20
Acteurs
Les Etats
![Page 21: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/21.jpg)
Mais encore beaucoup (trop) de questions Nature des armes cyber ?
Armes de dissuasion ? Armes « e-bactériologiques » ? Armes tactiques ?
Quid de la couche radio ? (GPS Jammer ?)
Doctrines d’utilisation ? Quels objectifs ? (Perturbations civiles ? Sabotage d’infrastructures critiques ?
Neutralisation d’objectifs militaires ?)
Quelle réponse ? « Do we do it by going back over the network ? Would it be easier to send a group of special forces in and blow the servers up ? » (Michael Chertoff, ex-directeur US homeland security)
Attribution ?
Dissémination & contrôle ?
21
Acteurs
Les Etats
![Page 22: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/22.jpg)
22
Acteurs
Les Etats
« Nature des armes cybernétiques et stabilité du
système international »
Guy-Philippe Goldstein
+ d’info
Sur SecurityVibes : http://goo.gl/1nGeD
![Page 23: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/23.jpg)
23
Acteurs
Se rapprocher de votre agence
nationale
Redondance, protection des
données, PCA/PRA
Sensibiliser les utilisateurs
Cyber-espionnage plutôt que cyberguerre
Les Etats
Le défi
![Page 24: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/24.jpg)
24
Menu
Le rôle du RSSI
![Page 25: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/25.jpg)
25
RSSI
Le rôle du RSSI
Plus seulement un technicien
SMSI, gestion du risque, organisation…
(si maturité suffisante de l’entreprise)
Communiquant / manager / politique
Et désormais aussi un peu juriste
Obligations de conformité réglementaire (CNIL & métiers)
Montée dans le nuage = contrats & responsabilités
Et surtout visionnaire
Technologies et pratiques émergentes : quel impact ? BYOD, mobilité, SaaS, télétravail, recrutement, mini-sites…
![Page 26: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/26.jpg)
26
« Le RSSI : un schizophrène en évolution ? »
Jean-François Louapre, RSSI AG2R – La Mondiale
+ d’info
Sur SecurityVibes : http://www.securityvibes.com/docs/DOC-1448
Le rôle du RSSI
RSSI
![Page 27: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/27.jpg)
27
De nouveaux camarades de jeu CNIL = CIL
Risque = Risk Manager
De nouvelles pratiques Les métiers accèdent aux offres SaaS
directement
La protection de l’information dépasse le cadre du SI Collaboration avec le responsable IE
RSSI
Le rôle du RSSI
Le défi
![Page 28: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/28.jpg)
28
Menu
Contre-mesures réalistes
![Page 29: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/29.jpg)
29
Contre-mesures
Les contre-mesures réalistes
http://goo.gl/Bwfou
« Back to basics » (*)
* Retour aux fondamentaux
![Page 30: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/30.jpg)
30
Contre-mesures
Les contre-mesures réalistes
« Back to basics » (retour aux fondamentaux)
Si pas encore fait : inutile d’aller plus loin
Si déjà fait : vous savez le chemin qui reste à parcourir. Et n’avez pas besoin de mes conseils ;)
![Page 31: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/31.jpg)
31
Le défi Retour aux fondamentaux
Reprenez le contrôle !
Sensibilisez
Observez !
Contre-mesures
Les contre-mesures réalistes
![Page 32: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/32.jpg)
32
Etmaintenant ?
Restons en contact !
http://fr.linkedin.com/in/jsaiz
http://twitter.com/securityvibesfr
http://www.facebook.com/secvibes
![Page 33: Club ies 2012](https://reader034.vdocuments.site/reader034/viewer/2022052622/559570e41a28abf93b8b45dd/html5/thumbnails/33.jpg)
33
Merci !
Place aux questions