Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
1. Sécurité Informatique :
état des menaces
Maxime ALAY-EDDINE
Cyberwatch SAS - http://www.cyberwatch.fr
v1.0 - 23/06/2017
1
2. Faisons connaissance !
• Maxime ALAY-EDDINE
• Cyberwatch SAS
• Société française de sécurité
informatique spécialisée dans la
gestion des vulnérabilités
• Simulations d’attaques (Pentest)
• Logiciel de gestion de
vulnérabilités
CYBERWATCH
2
3. - Gene Spafford (aka Spaf)
Expert SSI, membre du Cybersecurity Hall of Fame
Le seul système vraiment sécurisé est
éteint, coulé dans un bloc de béton, scellé
par une pièce recouverte de plomb et
protégée par des gardes.
3
6. Plan
• Présentation générale
• Evolution des attaques
• Cas de WannaCry
• R.O.I. et Sécurité informatique
• Démonstration
• Projections et réglementation
• Questions / Réponses
6
9. Sécurité des systèmes d’information ?
Le système d'information représente un patrimoine
essentiel de l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les
ressources matérielles ou logicielles d'une organisation
sont uniquement utilisées dans le cadre prévu.
Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006
9
11. Définition plus « concrète »… avec les mains
Disponibilité
Intégrité Confidentialité
Est-ce que mon
système fonctionne ?
Est-ce que mes
données sont bonnes ? Est-ce que mon
système est privé ?
11
41. Les vecteurs sont eux-aussi multiples
Sécurité physique
Sécurité réseau
Sécurité des applications
Ingénierie sociale
…
41
42. Pour chaque type d’attaque, il y a une solution
Virus
Malware
IP Spoofing
Man-in-the-Middle
Injection SQL/XSS
Vulnérabilité
…
Anti-virus
Anti-malware
Anti Spoofing
Chiffrement
Filtrage
Correcteur de vulnérabilités
…
42
44. You can't defend. You can't prevent. The
only thing you can do is detect and respond.
- Bruce Schneier
Expert SSI, inventeur du standard Bluefish
44
45. Lutter contre les cyber-menaces en pratique ?
Besoin'
d’exper-se'
Manque'
de'temps'
Coût'
très'élevé'
45
47. Morris - 1988
• Créé par Robert Tappan Morris (Cornell) en 1988
• Programme conçu pour se répliquer et se propager de
proche en proche (Ver / Worm)
• Problème : le ver a rencontré une erreur et a causé des
dommages sur les ordinateurs infectés.
• Plus de 6000 ordinateurs infectés, pour $100M
d’amende.
47
48. Estonie - 2007
• L’Estonie subit une attaque majeure de Déni de service
suite au retrait d’un mémorial de guerre lié à la Russie.
• Les services gouvernementaux sont stoppés
• Les services techniques parviennent à remettre en ligne
progressivement les systèmes touchés
48
49. La Cyber-armée iranienne - 2010
• Des militants iraniens attaquent Twitter et Baidu (Google
chinois).
• Les internautes sont redirigés vers une page pirate avec
un message politique.
49
50. StuxNet - 2010
• Virus de très haute expertise technique visant les
machines industrielles Siemens.
• Découvert en Iran et en Indonésie.
• Sabotage logiciel contre le programme nucléaire iranien.
50
51. Sony Pictures Entertainment - 2014
• Vol massif de données (films notamment)
• Les données ont été diffusées sur Internet
• Perte d’exploitation majeure pour l’entreprise, chiffrée à
plus de $100M
51
52. Ashley Madison - 2015
• Vol massif de données (60 Go)
• > 30M de comptes utilisateurs rendus publics
• Problème : pas de surveillance du réseau, mots de passe
trop simples (Pass1234)
52
53. Ashley Madison - 2015
• (source Gizmodo et Dadaviz)
• Perte financière :
- Chantage auprès des utilisateurs du site
- Class-Action contre l’entreprise, coût estimé > $5 M
53
54. WannaCry - 2017
Août 2016 : Shadow Brokers annonce avoir récupéré des
logiciels de piratage et d’espionnage de la NSA
Janvier 2017 : Shadow Brokers met en vente ces logiciels
Mars 2017 : Microsoft publie une série de correctifs
Avril 2017 : Shadow Broker publie gratuitement une partie
des logiciels de la NSA en contestation de Trump
12 Mai 2017 : vague d’attaques WannaCry
54
55. WannaCry - 2017
55
Réseau interne entreprise
Ordinateur visible
depuis l’extérieur
(exemple : serveur)
et vulnérable
Attaque d’une vulnérabilité
connue sur le protocole SMB
avec l’exploit ETERNALBLUE
Diffusion de proche en proche
56. WannaCry - 2017
56
Wannacry = Ransomware
Forme de « racket »
Le logiciel chiffre vos données puis
vous vend la clé de chiffrement
Beaucoup d’infections
mais peu de gains :
$140 000 le 20/06/2017
61. Etude des solutions installées en entreprise
Source : La cybersécurité, Que sais-je ?
Sondage sur les solutions de sécurité des entreprises françaises en 2009
61
62. Etude des solutions installées en entreprise
Source : La cybersécurité, Que sais-je ?
Sondage sur les solutions de sécurité des entreprises françaises en 2009
62
Virus = menace connue et traitée partout.
63. Etude des solutions installées en entreprise
Source : La cybersécurité, Que sais-je ?
Sondage sur les solutions de sécurité des entreprises françaises en 2009
63
Quelques doutes sur ces chiffres, qui sont bien
plus élevés que ce que l’on observe dans nos audits.
Les termes sont plus techniques : « chiffrement », « VPN ».
Hypothèse = les entreprises se pensent protégées, mais ne le sont pas…
64. Etude des solutions installées en entreprise
• Certaines menaces sont traitées de facto (ex : virus)
• Les pirates s’adaptent en conséquence
• Les menaces les plus « techniques » sont encore
oubliées : cas des vulnérabilités dites « connues ».
• Cas pratique de WannaCry : vulnérabilité connue
depuis Janvier 2017, correctif disponible depuis Mars
2017, beaucoup de PC contaminés en Mai 2017, et
l’infection continue même en Juin 2017…
64
65. Rôle des autorités de SSI
• Autorités gouvernementales de la SSI
• 2 rôles majeurs : surveillance, information
65
66. Les vulnérabilités « connues » ou « historiques »
• Défauts publiés par les autorités, présents dans les
logiciels les plus répandus (8000 en 2014)
• CERT : Computer Emergency Response Team
• Objectif : avertir les usagers des nouvelles failles et
indiquer comment se protéger
Heartbleed Shellshock 66
69. Résultat
• Cette liste constitue l’armurerie parfaite pour les pirates
• Les entreprises (en particulier les PME) sont encore trop
peu protégées contre ces vulnérabilités
• Il est maintenant plus intéressant pour les pirates
d’attaquer les PME que les grands groupes.
69
70. Source : Gartner, avis donné pour l’année 2015
80% des attaques réussies utilisent au moins
une vulnérabilité connue.
70
71. Les pirates cherchent à maximiser leur ROI, et
évoluent en conséquence.
Nous devons donc adapter nos mentalités et
nos moyens de défense.
71
84. Les biais de l’approche « Réduction du risque »
• Approche classique Annualized Loss Expectancy (ALE)
• Si je connais :
- mon risque
- mes pertes potentielles
• Alors Budget ≤ Risque x Pertes
84
85. Les biais de l’approche « Réduction du risque »
• Approche classique Annualized Loss Expectancy (ALE)
• Si je connais :
- mon risque
- mes pertes potentielles
• Alors Budget ≤ Risque x Pertes
10% de chances d’avoir un Accident
10.000.000€ de pertes attendues si l’Accident se produit
Budget ≤ 1.000.000€ pour couvrir ce risque
Ex :
85
86. Les biais de l’approche « Réduction du risque »
• Difficultés pour évaluer le cyber-risque :
- Quel est ma surface d’exposition ?
- Quel est mon niveau de sécurité ?
- Quelles sont les menaces ?
• Difficultés pour évaluer les pertes :
- Quels sont mes principaux assets ?
- Quelles sont mes pertes potentielles matérielles ?
- Quelles sont mes pertes potentielles immatérielles ?
86
87. Les biais de l’approche « Réduction du risque »
Manque de données sur
l’environnement et ses enjeux.
87
• Difficultés pour évaluer le cyber-risque :
- Quel est ma surface d’exposition ?
- Quel est mon niveau de sécurité ?
- Quelles sont les menaces ?
• Difficultés pour évaluer les pertes :
- Quels sont mes principaux assets ?
- Quelles sont mes pertes potentielles matérielles ?
- Quelles sont mes pertes potentielles immatérielles ?
88. Les biais de l’approche « Réduction du risque »
• Question 1 - Que préférez-vous entre :
A : un gain certain de 100 €
B : 1 chance sur 2 de gagner 200 € (ou 0€)
88
89. Les biais de l’approche « Réduction du risque »
• Question 2 - Que préférez-vous entre :
A : une perte certaine de 100 €
B : 1 chance sur 2 de perdre 200 € (ou 0€)
89
90. Les biais de l’approche « Réduction du risque »
• Question 1 - Que préférez-vous entre :
A : un gain certain de 100 € — 72%
B : 1 chance sur 2 de gagner 200 € (ou 0€)
• Question 2 - Que préférez-vous entre :
A : une perte certaine de 100 €
B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64%
Problèmes équivalents mais humain irrationnel.
Phénomène d’aversion à la perte (Tversky, Kahneman, 1986).
90
91. L’approche classique ALE ne pousse pas à
assainir l’écosystème.
2 solutions :
1) Créer de la valeur avec la cybersécurité.
2) Réglementer l’écosystème.
91
92. Créer de la valeur avec la cybersécurité
• Faire de la sécurité informatique un argument commercial :
« Notre système d’information a été audité pendant 5 jours
par une équipe d’experts en sécurité. Avec nous, vos
données sont protégées. »
• Inclure des solutions de sécurité dans ses produits :
- Voitures vendues avec des alarmes en option.
- Infogéreurs vendent des serveurs infogérés avec une
option sécurité.
92
93. Créer de la valeur avec la cybersécurité
• La sécurité informatique augmente alors la valeur perçue
par le client, en termes de qualité.
• Le fait d’embarquer des solutions permet d’apporter en
plus du confort et de la simplicité.
• Ces approches réduisent le risque informatique, et
en déportent le coût sur le client final.
93
94. Réglementer l’écosystème
• Approche de l’assurance :
- Tout conducteur doit avoir souscrit une assurance auto.
- Tout salarié cotise à l’assurance chômage.
• Depuis 2013, Loi de Programmation Militaire :
- Fixe des obligations comme l’interdiction de connecter
certains systèmes à Internet ;
- Met en place de systèmes de détections par des prestataires
labélisés par l’Etat ;
- Vérifie le niveau de sécurité des SI critiques à travers un
système d’audit ;
- Et en cas de crise majeure, de peut imposer les mesures
nécessaires aux opérateurs.
Source cyberstrategie.org
94
95. Réglementer l’écosystème
• La LPM s’applique aux Opérateurs d’Importance Vitale :
- Transport ;
- Energie ;
- Télécommunications…
• Les OIV doivent notifier les attaques informatiques à
l’Agence Nationale de la Sécurité des Systèmes
d’Information.
• Au niveau européen, directives votées en 2014 permettent
à chaque Etat d’avertir le public d’une attaque sur OIV…
95
96. Réglementer l’écosystème
• Règlement Général sur la Protection des Données
• Applicable fin Mai 2018
• Idée générale = mieux protéger les données personnelles
et notamment mieux informer lors de leur piratage
• Amende pouvant aller jusqu’à 4% du C.A.
Vers une réglementation de toutes les sociétés ?
96
99. Evolution globale de la sécurité
DétectionGuérison
Bruce Schneier au FIC 2015
Présent
99
100. Evolution globale de la sécurité
CorrectionDétectionGuérison
Bruce Schneier au FIC 2015
Présent
100
101. De la guérison à la prévention
• Guérison : suite à une attaque, opérations de remise en
service du système d’information.
• Détection : pendant une attaque, opérations de blocage
des tentatives d’intrusion.
• Correction : mise en place des barrières techniques lors
de chaque nouvelle menace, avant même que les pirates
ne puissent les exploiter.
101
102. Evolutions réglementaires
• Transposition des directives européennes en France ?
• Extension progressive de la réglementation imposée aux
OIV à l’ensemble des entreprises françaises ?
• Vers une assurance Cyber-Risques obligatoire ?
Objectif : Atteindre la « Cyber-Résilience » européenne
102
104. Les menaces sont multiples, complexes.
Les technologies de protection deviennent
de plus en plus mûres et automatisées.
Nous passons d’une stratégie d’action en aval
à une stratégie d’action en amont.
Conclusion
104
105. Notre avis sur l’avenir ?
L’assainissement de l’écosystème passe par
des solutions de sécurité embarquées,
automatisées et économiques, et supportées
par des évolutions réglementaires.
105