SlideShare a Scribd company logo

Sécurité informatique - Etat des menaces

Maxime ALAY-EDDINE
Maxime ALAY-EDDINE

Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation

Technology
1 of 107
Download to read offline
Sécurité Informatique : état des menaces Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 23/06/2017 1
Faisons connaissance ! • Maxime ALAY-EDDINE • Cyberwatch SAS • Société française de sécurité informatique spécialisée dans la gestion des vulnérabilités • Simulations d’attaques (Pentest) • Logiciel de gestion de vulnérabilités CYBERWATCH 2
- Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame Le seul système vraiment sécurisé est éteint, coulé dans un bloc de béton, scellé par une pièce recouverte de plomb et protégée par des gardes. 3
Source lolsnaps.com 4 La sécurité absolue n’existe pas.
Il faut viser un « niveau de risque acceptable ». 5
Plan • Présentation générale • Evolution des attaques • Cas de WannaCry • R.O.I. et Sécurité informatique • Démonstration • Projections et réglementation • Questions / Réponses 6
Présentation générale Notions de base et définitions 7
Sécurité des systèmes d’information ? 8
Sécurité des systèmes d’information ? Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006 9
Définition plus « concrète » Disponibilité Intégrité Confidentialité 10
Définition plus « concrète »… avec les mains Disponibilité Intégrité Confidentialité Est-ce que mon système fonctionne ? Est-ce que mes données sont bonnes ? Est-ce que mon système est privé ? 11
Objectif Disponibilité Intégrité Confidentialité Situation optimale 12
Dans l’industrie, 4 grands critères 13
Des menaces multiples S T R I D E poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges 14
Usurpation d’identité Le pirate se fait passer pour une entité. 15
Usurpation d’identité Login Mot de passe 16
Usurpation d’identité Login Mot de passe Login Mot de passe 17
Usurpation d’identité 18
Falsification de données Le pirate modifie des données. 19
Falsification de données 20
Falsification de données 21
Falsification de données 22
Falsification de données 23 Source : https://nakedsecurity.sophos.com/2014/11/04/rugby-teams-site-defaced-to-read-i-love-you-isis/
Falsification de données 24
Répudiation Le pirate fait croire qu’un évènement ne s’est jamais produit. 25
Répudiation 26
Répudiation 27
Répudiation 28
Répudiation 29
Divulgation d’informations Le pirate publie des informations confidentielles. 30
Divulgation d’informations Login Mot de passe 31
Divulgation d’informations Login Mot de passe 32
Déni de service Le pirate rend un service inaccessible. 33
Déni de service 34
Déni de service 35
Déni de service distribué 36
Déni de service distribué 37
Elévation de privilège Le pirate obtient des droits privilégiés sur un système. 38
Elévation de privilège 39
Elévation de privilège 40
Les vecteurs sont eux-aussi multiples Sécurité physique Sécurité réseau Sécurité des applications Ingénierie sociale … 41
Pour chaque type d’attaque, il y a une solution Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité … Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Correcteur de vulnérabilités … 42
Source : yannarthusbertrand2.org Beaucoup de menaces. Beaucoup de solutions. Beaucoup d’actifs à protéger. 43
You can't defend. You can't prevent. The only thing you can do is detect and respond. - Bruce Schneier Expert SSI, inventeur du standard Bluefish 44
Lutter contre les cyber-menaces en pratique ? Besoin' d’exper-se' Manque' de'temps' Coût' très'élevé' 45
Evolution des attaques Etude de la complexité et des nouvelles cibles des pirates 46
Morris - 1988 • Créé par Robert Tappan Morris (Cornell) en 1988 • Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm) • Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés. • Plus de 6000 ordinateurs infectés, pour $100M d’amende. 47
Estonie - 2007 • L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie. • Les services gouvernementaux sont stoppés • Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés 48
La Cyber-armée iranienne - 2010 • Des militants iraniens attaquent Twitter et Baidu (Google chinois). • Les internautes sont redirigés vers une page pirate avec un message politique. 49
StuxNet - 2010 • Virus de très haute expertise technique visant les machines industrielles Siemens. • Découvert en Iran et en Indonésie. • Sabotage logiciel contre le programme nucléaire iranien. 50
Sony Pictures Entertainment - 2014 • Vol massif de données (films notamment) • Les données ont été diffusées sur Internet • Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M 51
Ashley Madison - 2015 • Vol massif de données (60 Go) • > 30M de comptes utilisateurs rendus publics • Problème : pas de surveillance du réseau, mots de passe trop simples (Pass1234) 52
Ashley Madison - 2015 • (source Gizmodo et Dadaviz) • Perte financière :
 - Chantage auprès des utilisateurs du site
 - Class-Action contre l’entreprise, coût estimé > $5 M 53
WannaCry - 2017 Août 2016 : Shadow Brokers annonce avoir récupéré des logiciels de piratage et d’espionnage de la NSA Janvier 2017 : Shadow Brokers met en vente ces logiciels Mars 2017 : Microsoft publie une série de correctifs Avril 2017 : Shadow Broker publie gratuitement une partie des logiciels de la NSA en contestation de Trump 12 Mai 2017 : vague d’attaques WannaCry 54
WannaCry - 2017 55 Réseau interne entreprise Ordinateur visible depuis l’extérieur (exemple : serveur) et vulnérable Attaque d’une vulnérabilité connue sur le protocole SMB avec l’exploit ETERNALBLUE Diffusion de proche en proche
WannaCry - 2017 56 Wannacry = Ransomware Forme de « racket » Le logiciel chiffre vos données puis vous vend la clé de chiffrement Beaucoup d’infections mais peu de gains : $140 000 le 20/06/2017
WannaCry - 2017 57 Essentiel de l’impact de Wannacry : perte d’exploitation, atteinte à la réputation…
58 Et ce n’est pas fini.
Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou la diffusion d’idées politiques. 59
Quid des PME ? Des particuliers ? 60
Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 61
Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 62 Virus = menace connue et traitée partout.
Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 63 Quelques doutes sur ces chiffres, qui sont bien plus élevés que ce que l’on observe dans nos audits. Les termes sont plus techniques : « chiffrement », « VPN ». Hypothèse = les entreprises se pensent protégées, mais ne le sont pas…
Etude des solutions installées en entreprise • Certaines menaces sont traitées de facto (ex : virus) • Les pirates s’adaptent en conséquence • Les menaces les plus « techniques » sont encore oubliées : cas des vulnérabilités dites « connues ». • Cas pratique de WannaCry : vulnérabilité connue depuis Janvier 2017, correctif disponible depuis Mars 2017, beaucoup de PC contaminés en Mai 2017, et l’infection continue même en Juin 2017… 64
Rôle des autorités de SSI • Autorités gouvernementales de la SSI • 2 rôles majeurs : surveillance, information 65
Les vulnérabilités « connues » ou « historiques » • Défauts publiés par les autorités, présents dans les logiciels les plus répandus (8000 en 2014) • CERT : Computer Emergency Response Team • Objectif : avertir les usagers des nouvelles failles et indiquer comment se protéger Heartbleed Shellshock 66
Problème : qui suit ces alertes en continu ? 67
68
Résultat • Cette liste constitue l’armurerie parfaite pour les pirates • Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités • Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes. 69
Source : Gartner, avis donné pour l’année 2015 80% des attaques réussies utilisent au moins une vulnérabilité connue. 70
Les pirates cherchent à maximiser leur ROI, et évoluent en conséquence. Nous devons donc adapter nos mentalités et nos moyens de défense. 71
R.O.I. et Sécurité informatique Faire de la cybersécurité un investissement capable de protéger son patrimoine tout en créant de la valeur 72
Etude du R.O.I. - Cas classique Poste Dépenses Recettes 73
Etude du R.O.I. - Cas classique Poste Dépenses Recettes 1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10% 2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0% 3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10% 74
Et dans la Cybersécurité ? 75
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes 76
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0 - Dépenses = 0, Pertes = 5000 77
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 78
La sécurité informatique avec une vision classique de R.O.I. se défend mal. Pourtant… 79
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 80
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 Total : -1000 Total : -5000 81
La sécurité informatique
 préserve la valeur de l’entreprise. 82
La sécurité informatique
 préserve la valeur de l’entreprise. On la perçoit donc comme un outil de réduction de risque. 83
Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 84
Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 10% de chances d’avoir un Accident 10.000.000€ de pertes attendues si l’Accident se produit Budget ≤ 1.000.000€ pour couvrir ce risque Ex : 85
Les biais de l’approche « Réduction du risque » • Difficultés pour évaluer le cyber-risque :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Difficultés pour évaluer les pertes :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ? 86
Les biais de l’approche « Réduction du risque » Manque de données sur l’environnement et ses enjeux. 87 • Difficultés pour évaluer le cyber-risque :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Difficultés pour évaluer les pertes :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ?
Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 
 
 A : un gain certain de 100 €
 B : 1 chance sur 2 de gagner 200 € (ou 0€) 88
Les biais de l’approche « Réduction du risque » • Question 2 - Que préférez-vous entre :
 
 
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) 89
Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 A : un gain certain de 100 € — 72%
 B : 1 chance sur 2 de gagner 200 € (ou 0€) • Question 2 - Que préférez-vous entre :
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64% Problèmes équivalents mais humain irrationnel. Phénomène d’aversion à la perte (Tversky, Kahneman, 1986). 90
L’approche classique ALE ne pousse pas à assainir l’écosystème. 2 solutions :
 1) Créer de la valeur avec la cybersécurité.
 2) Réglementer l’écosystème. 91
Créer de la valeur avec la cybersécurité • Faire de la sécurité informatique un argument commercial :
 « Notre système d’information a été audité pendant 5 jours par une équipe d’experts en sécurité. Avec nous, vos données sont protégées. » • Inclure des solutions de sécurité dans ses produits :
 - Voitures vendues avec des alarmes en option.
 - Infogéreurs vendent des serveurs infogérés avec une option sécurité. 92
Créer de la valeur avec la cybersécurité • La sécurité informatique augmente alors la valeur perçue par le client, en termes de qualité. • Le fait d’embarquer des solutions permet d’apporter en plus du confort et de la simplicité. • Ces approches réduisent le risque informatique, et en déportent le coût sur le client final. 93
Réglementer l’écosystème • Approche de l’assurance :
 - Tout conducteur doit avoir souscrit une assurance auto.
 - Tout salarié cotise à l’assurance chômage. • Depuis 2013, Loi de Programmation Militaire :
 - Fixe des obligations comme l’interdiction de connecter certains systèmes à Internet ;
 - Met en place de systèmes de détections par des prestataires labélisés par l’Etat ;
 - Vérifie le niveau de sécurité des SI critiques à travers un système d’audit ;
 - Et en cas de crise majeure, de peut imposer les mesures nécessaires aux opérateurs. Source cyberstrategie.org 94
Réglementer l’écosystème • La LPM s’applique aux Opérateurs d’Importance Vitale :
 - Transport ;
 - Energie ;
 - Télécommunications… • Les OIV doivent notifier les attaques informatiques à l’Agence Nationale de la Sécurité des Systèmes d’Information. • Au niveau européen, directives votées en 2014 permettent à chaque Etat d’avertir le public d’une attaque sur OIV… 95
Réglementer l’écosystème • Règlement Général sur la Protection des Données • Applicable fin Mai 2018 • Idée générale = mieux protéger les données personnelles et notamment mieux informer lors de leur piratage • Amende pouvant aller jusqu’à 4% du C.A. Vers une réglementation de toutes les sociétés ? 96
Démonstration Attaque par injection XSS Visite d’un site du Darkweb 97
Projections et réglementation Projections sur l’écosystème et réglementation en cours 98
Evolution globale de la sécurité DétectionGuérison Bruce Schneier au FIC 2015 Présent 99
Evolution globale de la sécurité CorrectionDétectionGuérison Bruce Schneier au FIC 2015 Présent 100
De la guérison à la prévention • Guérison : suite à une attaque, opérations de remise en service du système d’information. • Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion. • Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter. 101
Evolutions réglementaires • Transposition des directives européennes en France ? • Extension progressive de la réglementation imposée aux OIV à l’ensemble des entreprises françaises ? • Vers une assurance Cyber-Risques obligatoire ? Objectif : Atteindre la « Cyber-Résilience » européenne 102
103
Les menaces sont multiples, complexes. Les technologies de protection deviennent de plus en plus mûres et automatisées. Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont. Conclusion 104
Notre avis sur l’avenir ? L’assainissement de l’écosystème passe par des solutions de sécurité embarquées, automatisées et économiques, et supportées par des évolutions réglementaires. 105
Merci pour votre attention ! Questions / Réponses 106
CYBERWATCHCybersecurity as a Service Protéger - Détecter - Corriger contact@cyberwatch.fr http://www.cyberwatch.fr 107

Recommended

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 

Recommended

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Audit
AuditAudit
Auditzan
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 

More Related Content

What's hot

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Audit
AuditAudit
Auditzan
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 

What's hot (20)

La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
EBIOS
EBIOSEBIOS
EBIOS
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Audit
AuditAudit
Audit
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 

Similar to Sécurité informatique - Etat des menaces

Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéPatrick Bouillaud
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019OPcyberland
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...OpinionWay
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisationPittet Sébastien
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxOuattaraAboulaye1
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 

Similar to Sécurité informatique - Etat des menaces (20)

Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptx
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 

More from Maxime ALAY-EDDINE

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesMaxime ALAY-EDDINE
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésMaxime ALAY-EDDINE
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Maxime ALAY-EDDINE
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Maxime ALAY-EDDINE
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Maxime ALAY-EDDINE
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...Maxime ALAY-EDDINE
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographiqueMaxime ALAY-EDDINE
 

More from Maxime ALAY-EDDINE (8)

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best Practices
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachés
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
 
Fonctionnement du web
Fonctionnement du webFonctionnement du web
Fonctionnement du web
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographique
 

Sécurité informatique - Etat des menaces

  • 1. Sécurité Informatique : état des menaces Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 23/06/2017 1
  • 2. Faisons connaissance ! • Maxime ALAY-EDDINE • Cyberwatch SAS • Société française de sécurité informatique spécialisée dans la gestion des vulnérabilités • Simulations d’attaques (Pentest) • Logiciel de gestion de vulnérabilités CYBERWATCH 2
  • 3. - Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame Le seul système vraiment sécurisé est éteint, coulé dans un bloc de béton, scellé par une pièce recouverte de plomb et protégée par des gardes. 3
  • 4. Source lolsnaps.com 4 La sécurité absolue n’existe pas.
  • 5. Il faut viser un « niveau de risque acceptable ». 5
  • 6. Plan • Présentation générale • Evolution des attaques • Cas de WannaCry • R.O.I. et Sécurité informatique • Démonstration • Projections et réglementation • Questions / Réponses 6
  • 7. Présentation générale Notions de base et définitions 7
  • 8. Sécurité des systèmes d’information ? 8
  • 9. Sécurité des systèmes d’information ? Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006 9
  • 11. Définition plus « concrète »… avec les mains Disponibilité Intégrité Confidentialité Est-ce que mon système fonctionne ? Est-ce que mes données sont bonnes ? Est-ce que mon système est privé ? 11
  • 13. Dans l’industrie, 4 grands critères 13
  • 14. Des menaces multiples S T R I D E poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges 14
  • 15. Usurpation d’identité Le pirate se fait passer pour une entité. 15
  • 17. Usurpation d’identité Login Mot de passe Login Mot de passe 17
  • 19. Falsification de données Le pirate modifie des données. 19
  • 23. Falsification de données 23 Source : https://nakedsecurity.sophos.com/2014/11/04/rugby-teams-site-defaced-to-read-i-love-you-isis/
  • 25. Répudiation Le pirate fait croire qu’un évènement ne s’est jamais produit. 25
  • 30. Divulgation d’informations Le pirate publie des informations confidentielles. 30
  • 33. Déni de service Le pirate rend un service inaccessible. 33
  • 36. Déni de service distribué 36
  • 37. Déni de service distribué 37
  • 38. Elévation de privilège Le pirate obtient des droits privilégiés sur un système. 38
  • 41. Les vecteurs sont eux-aussi multiples Sécurité physique Sécurité réseau Sécurité des applications Ingénierie sociale … 41
  • 42. Pour chaque type d’attaque, il y a une solution Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité … Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Correcteur de vulnérabilités … 42
  • 43. Source : yannarthusbertrand2.org Beaucoup de menaces. Beaucoup de solutions. Beaucoup d’actifs à protéger. 43
  • 44. You can't defend. You can't prevent. The only thing you can do is detect and respond. - Bruce Schneier Expert SSI, inventeur du standard Bluefish 44
  • 45. Lutter contre les cyber-menaces en pratique ? Besoin' d’exper-se' Manque' de'temps' Coût' très'élevé' 45
  • 46. Evolution des attaques Etude de la complexité et des nouvelles cibles des pirates 46
  • 47. Morris - 1988 • Créé par Robert Tappan Morris (Cornell) en 1988 • Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm) • Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés. • Plus de 6000 ordinateurs infectés, pour $100M d’amende. 47
  • 48. Estonie - 2007 • L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie. • Les services gouvernementaux sont stoppés • Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés 48
  • 49. La Cyber-armée iranienne - 2010 • Des militants iraniens attaquent Twitter et Baidu (Google chinois). • Les internautes sont redirigés vers une page pirate avec un message politique. 49
  • 50. StuxNet - 2010 • Virus de très haute expertise technique visant les machines industrielles Siemens. • Découvert en Iran et en Indonésie. • Sabotage logiciel contre le programme nucléaire iranien. 50
  • 51. Sony Pictures Entertainment - 2014 • Vol massif de données (films notamment) • Les données ont été diffusées sur Internet • Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M 51
  • 52. Ashley Madison - 2015 • Vol massif de données (60 Go) • > 30M de comptes utilisateurs rendus publics • Problème : pas de surveillance du réseau, mots de passe trop simples (Pass1234) 52
  • 53. Ashley Madison - 2015 • (source Gizmodo et Dadaviz) • Perte financière :
 - Chantage auprès des utilisateurs du site
 - Class-Action contre l’entreprise, coût estimé > $5 M 53
  • 54. WannaCry - 2017 Août 2016 : Shadow Brokers annonce avoir récupéré des logiciels de piratage et d’espionnage de la NSA Janvier 2017 : Shadow Brokers met en vente ces logiciels Mars 2017 : Microsoft publie une série de correctifs Avril 2017 : Shadow Broker publie gratuitement une partie des logiciels de la NSA en contestation de Trump 12 Mai 2017 : vague d’attaques WannaCry 54
  • 55. WannaCry - 2017 55 Réseau interne entreprise Ordinateur visible depuis l’extérieur (exemple : serveur) et vulnérable Attaque d’une vulnérabilité connue sur le protocole SMB avec l’exploit ETERNALBLUE Diffusion de proche en proche
  • 56. WannaCry - 2017 56 Wannacry = Ransomware Forme de « racket » Le logiciel chiffre vos données puis vous vend la clé de chiffrement Beaucoup d’infections mais peu de gains : $140 000 le 20/06/2017
  • 57. WannaCry - 2017 57 Essentiel de l’impact de Wannacry : perte d’exploitation, atteinte à la réputation…
  • 58. 58 Et ce n’est pas fini.
  • 59. Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou la diffusion d’idées politiques. 59
  • 60. Quid des PME ? Des particuliers ? 60
  • 61. Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 61
  • 62. Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 62 Virus = menace connue et traitée partout.
  • 63. Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 63 Quelques doutes sur ces chiffres, qui sont bien plus élevés que ce que l’on observe dans nos audits. Les termes sont plus techniques : « chiffrement », « VPN ». Hypothèse = les entreprises se pensent protégées, mais ne le sont pas…
  • 64. Etude des solutions installées en entreprise • Certaines menaces sont traitées de facto (ex : virus) • Les pirates s’adaptent en conséquence • Les menaces les plus « techniques » sont encore oubliées : cas des vulnérabilités dites « connues ». • Cas pratique de WannaCry : vulnérabilité connue depuis Janvier 2017, correctif disponible depuis Mars 2017, beaucoup de PC contaminés en Mai 2017, et l’infection continue même en Juin 2017… 64
  • 65. Rôle des autorités de SSI • Autorités gouvernementales de la SSI • 2 rôles majeurs : surveillance, information 65
  • 66. Les vulnérabilités « connues » ou « historiques » • Défauts publiés par les autorités, présents dans les logiciels les plus répandus (8000 en 2014) • CERT : Computer Emergency Response Team • Objectif : avertir les usagers des nouvelles failles et indiquer comment se protéger Heartbleed Shellshock 66
  • 67. Problème : qui suit ces alertes en continu ? 67
  • 68. 68
  • 69. Résultat • Cette liste constitue l’armurerie parfaite pour les pirates • Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités • Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes. 69
  • 70. Source : Gartner, avis donné pour l’année 2015 80% des attaques réussies utilisent au moins une vulnérabilité connue. 70
  • 71. Les pirates cherchent à maximiser leur ROI, et évoluent en conséquence. Nous devons donc adapter nos mentalités et nos moyens de défense. 71
  • 72. R.O.I. et Sécurité informatique Faire de la cybersécurité un investissement capable de protéger son patrimoine tout en créant de la valeur 72
  • 73. Etude du R.O.I. - Cas classique Poste Dépenses Recettes 73
  • 74. Etude du R.O.I. - Cas classique Poste Dépenses Recettes 1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10% 2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0% 3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10% 74
  • 75. Et dans la Cybersécurité ? 75
  • 76. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes 76
  • 77. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0 - Dépenses = 0, Pertes = 5000 77
  • 78. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 78
  • 79. La sécurité informatique avec une vision classique de R.O.I. se défend mal. Pourtant… 79
  • 80. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 80
  • 81. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 Total : -1000 Total : -5000 81
  • 82. La sécurité informatique
 préserve la valeur de l’entreprise. 82
  • 83. La sécurité informatique
 préserve la valeur de l’entreprise. On la perçoit donc comme un outil de réduction de risque. 83
  • 84. Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 84
  • 85. Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 10% de chances d’avoir un Accident 10.000.000€ de pertes attendues si l’Accident se produit Budget ≤ 1.000.000€ pour couvrir ce risque Ex : 85
  • 86. Les biais de l’approche « Réduction du risque » • Difficultés pour évaluer le cyber-risque :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Difficultés pour évaluer les pertes :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ? 86
  • 87. Les biais de l’approche « Réduction du risque » Manque de données sur l’environnement et ses enjeux. 87 • Difficultés pour évaluer le cyber-risque :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Difficultés pour évaluer les pertes :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ?
  • 88. Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 
 
 A : un gain certain de 100 €
 B : 1 chance sur 2 de gagner 200 € (ou 0€) 88
  • 89. Les biais de l’approche « Réduction du risque » • Question 2 - Que préférez-vous entre :
 
 
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) 89
  • 90. Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 A : un gain certain de 100 € — 72%
 B : 1 chance sur 2 de gagner 200 € (ou 0€) • Question 2 - Que préférez-vous entre :
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64% Problèmes équivalents mais humain irrationnel. Phénomène d’aversion à la perte (Tversky, Kahneman, 1986). 90
  • 91. L’approche classique ALE ne pousse pas à assainir l’écosystème. 2 solutions :
 1) Créer de la valeur avec la cybersécurité.
 2) Réglementer l’écosystème. 91
  • 92. Créer de la valeur avec la cybersécurité • Faire de la sécurité informatique un argument commercial :
 « Notre système d’information a été audité pendant 5 jours par une équipe d’experts en sécurité. Avec nous, vos données sont protégées. » • Inclure des solutions de sécurité dans ses produits :
 - Voitures vendues avec des alarmes en option.
 - Infogéreurs vendent des serveurs infogérés avec une option sécurité. 92
  • 93. Créer de la valeur avec la cybersécurité • La sécurité informatique augmente alors la valeur perçue par le client, en termes de qualité. • Le fait d’embarquer des solutions permet d’apporter en plus du confort et de la simplicité. • Ces approches réduisent le risque informatique, et en déportent le coût sur le client final. 93
  • 94. Réglementer l’écosystème • Approche de l’assurance :
 - Tout conducteur doit avoir souscrit une assurance auto.
 - Tout salarié cotise à l’assurance chômage. • Depuis 2013, Loi de Programmation Militaire :
 - Fixe des obligations comme l’interdiction de connecter certains systèmes à Internet ;
 - Met en place de systèmes de détections par des prestataires labélisés par l’Etat ;
 - Vérifie le niveau de sécurité des SI critiques à travers un système d’audit ;
 - Et en cas de crise majeure, de peut imposer les mesures nécessaires aux opérateurs. Source cyberstrategie.org 94
  • 95. Réglementer l’écosystème • La LPM s’applique aux Opérateurs d’Importance Vitale :
 - Transport ;
 - Energie ;
 - Télécommunications… • Les OIV doivent notifier les attaques informatiques à l’Agence Nationale de la Sécurité des Systèmes d’Information. • Au niveau européen, directives votées en 2014 permettent à chaque Etat d’avertir le public d’une attaque sur OIV… 95
  • 96. Réglementer l’écosystème • Règlement Général sur la Protection des Données • Applicable fin Mai 2018 • Idée générale = mieux protéger les données personnelles et notamment mieux informer lors de leur piratage • Amende pouvant aller jusqu’à 4% du C.A. Vers une réglementation de toutes les sociétés ? 96
  • 97. Démonstration Attaque par injection XSS Visite d’un site du Darkweb 97
  • 98. Projections et réglementation Projections sur l’écosystème et réglementation en cours 98
  • 99. Evolution globale de la sécurité DétectionGuérison Bruce Schneier au FIC 2015 Présent 99
  • 100. Evolution globale de la sécurité CorrectionDétectionGuérison Bruce Schneier au FIC 2015 Présent 100
  • 101. De la guérison à la prévention • Guérison : suite à une attaque, opérations de remise en service du système d’information. • Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion. • Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter. 101
  • 102. Evolutions réglementaires • Transposition des directives européennes en France ? • Extension progressive de la réglementation imposée aux OIV à l’ensemble des entreprises françaises ? • Vers une assurance Cyber-Risques obligatoire ? Objectif : Atteindre la « Cyber-Résilience » européenne 102
  • 103. 103
  • 104. Les menaces sont multiples, complexes. Les technologies de protection deviennent de plus en plus mûres et automatisées. Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont. Conclusion 104
  • 105. Notre avis sur l’avenir ? L’assainissement de l’écosystème passe par des solutions de sécurité embarquées, automatisées et économiques, et supportées par des évolutions réglementaires. 105
  • 106. Merci pour votre attention ! Questions / Réponses 106
  • 107. CYBERWATCHCybersecurity as a Service Protéger - Détecter - Corriger contact@cyberwatch.fr http://www.cyberwatch.fr 107