Upload
securityvibes
View
1.991
Download
0
Embed Size (px)
Citation preview
Les défis de la
sécurité informatiqueClub IES, 7 février 2012
2012
Jérôme Saiz / SecurityVibes
SecurityVibes Communauté de professionnels de la sécurité IT
Magazine
Evénements
Soutien de Philippe Courtot, Qualys
Jérôme Saiz Journaliste, spécialiste des questions de sécurité
Geek de cœur
EPITA : « Technologies & Marché de la sécurité »
LesNouvelles.netSecurityVibes
2
Qui ?
La menace a évolué
Les nouveaux acteurs
Le rôle du RSSI
Contre-mesures réalistes
3
Menu
4
Menu
La menace a évolué
Du visible (égo)au discret (exploitation)
Exploitation = argent = professionnalisation 9 millions de $ / 49 villes US / 130 DAB / une heure (WorldPay, 2009)
6,7 millions de $ / 3 jours / DAB + virements (Postbank, 2012) Des comptes dédiés ouverts pendant une année
Malgré 2 millions de $ de logiciels anti-fraude
Retour à l’amateur avec les hacktivistes
5
Evolution
Del’amateurau vénal
Vrai pour le grand public
Arnaques Facebook, « badware »…
Aucun besoin de sophistication technique
L’utilisateur est (i)responsable de son infection
Moins pour l’entreprise
Attaques ciblées, social engineering, APT, Stuxnet
Kits d’infection et de copie rapide (smartphone, laptop)
6
Evolution
Niveau techniqueen baisse
Réseaux sociaux
Grand public : arnaques en hausse Sondages&SMS surtaxés, vraies fausses vidéos virales, vol du carnet d’adresses
Entreprises : repérage, renseignement, ciblage
Mobiles
Grand public : vol de données, arnaques bancaires (appspiégées)
Entreprises : BYOD
Documents piégés
Attaques ciblées via Flash / PDF / MS Office
7
Evolution
Trois menaces 2012
8
Menu
De nouveaux acteurs
9
Acteurs
Les Hacktivistes
« Altermondialistes numériques »
Non-violent, illégal, digital et politique
Armes : vol de données et déni de service distribué (DDoS)
Pas de consensus sur la « légitimité » de l’un ou de l’autre DDoS = « sitting » pacifique ou acte violent de neutralisation ?
Vol de données =militantisme ou vol ?
10
Acteurs
Les Hacktivistes
Pas d’objectif unique / clair
Liberté d’expression ?
Anticapitalisme ?
Nihilisme 2.0 ?
Ecologie ?
Intérêts personnels ?
Manipulation ? (PSYOP militaire) « Psychological operations are planned operations to convey selected information and
indicators to foreign audiences to influence their emotions, motives, objective reasoning, and
ultimately the behavior of foreign governments, organizations, groups, and
individuals »(Wikipedia)
11
Acteurs
Les Hacktivistes
Des actions perçues (aussi) positivement
Développement d’outils de chiffrement (PGP)
Miroirs de sites censurés
Assistance technique anti censure
Dialogue difficile à initier
Qui est représentatif ?
Emotion vs business
12
Acteurs
Les Hacktivistes
« Si vous dirigez un pays et que vous ne vous comportez pas correctement, avec les réseaux sociaux les utilisateurs ont désormais le moyen de vous faire tomber » (David Jones, DG Havas @ Davos 2012)
Vrai également pour les entreprises
« Chaque utilisateur a désormais les moyens de lancer un mouvement de masse. Mais ces cyber mouvements sociaux ne créent pas de leaders »(idem)
Débordements et réflexe de meute (ex : Orange / Free)
Dialogue rationnel difficile
13
Acteurs
Les Hacktivistes
Exemple : Anonymous Une idée plutôt qu’une organisation
La liberté d’expression, la désobéissance civile
Pas d’intérêt pour les données personnelles
Structure fluide et décentralisée Basée sur la volonté du groupe (désignation libre des cibles + LOIC)
Héritage de 4chan
DDoS (majoritaire) et intrusions (rares)
Dissensions régulières & inévitables
Risques de dérapage Anonymous vs Zetas
Enrôlement forcé (casPasteHTML.com)
14
Acteurs
Les Hacktivistes
Veille d’actualité
Veille réseau sociaux
Matrice de risque actualité / activité
de l’entreprise à développer
Communication de crise
Le défi
Les Sopranos sur Internet ? Pas vraiment
Le web comme soutien aux activités illégales traditionnelles Communication, organisation, protection des données
Blanchiment d’argent (fraude transnationale)
Contrefaçon, pédopornographie, prostitution
Approche « utilitaire » des technologies
15
Acteurs
Le crime organisé
La réalité : des gangs 100% virtuels
1 casse @ $1 million ou 1 million d’arnaques @ 1$ ?
Ticket d’entrée faible, risque faible, gains élevés
Gourmands, très spécialisés, très organisés Codeur, exploiteur, « carder », associé, mule…
Ne se rencontrent (presque) jamais
Géométrie variable Constitution de groupes ad-hoc
Communication exclusivement en ligne
Des spécialités régionales Russie (piratage, exploits), Brésil (malwarebancaire), Chine (hébergement)…
16
Acteurs
Le crime organisé
Exemple : Liberty Reserve
Monnaie parallèle hors système bancaire international
Difficile d’atteinte « Puisque nous sommes basés à Nevis (Costa Rica), vous devez être un meurtrier, un
ravisseur ou un baron de la drogue pour nous forcer à divulguer des informations sensibles »
Structure décentralisée Emetteur et grossistes indépendants
Opérations 100% virtuelles Transactions via MSN, Yahoo! Messenger, ICQ vers des comptes en ligne
Pas de logs
17
Acteurs
Le crime organisé
18
Acteurs
Contrôles internes / fraude interne
Protection des clients
Moyens de
paiement, achats, escroqueries en ligne
Conformité réglementaire
(un défi à part entière !)
Le crime organisé
Le défi
Cyberguerre ≠ espionnage
Guerre = opérations militaires, dégâts matériels, victimes
= Cyber-sabotage
Confusion
N’importe qui peut se joindre à la bataille Attaque Russe contre la Géorgie, Estonie : nationalistes ? Hacktivistes ?
Attaques contre le cyber ou attaque avec des armes cyber ? Contre : détruire l’infrastructure SI (armes cyber ou physiques)
Avec : utiliser des armes cyber pour provoquer des dégâts physiques
19
Acteurs
Les Etats
Le cyber comme nouveau théâtre d’opération Terre, Air, Mer, Espace et Cyber (US)
Attaques cyber : « un acte de guerre » (US)
Des armes opérationnelles Stuxnet
Opération Orchard (Israël), tests Aurora (US)
Des Etats organisés ANSSI (France), US Cyber Command (US), Grande Bretagne
(GCHQ), ENISA (EU), KKL (Estonie) + Russie, Chine, Israël, Corée(s), Iran ?
20
Acteurs
Les Etats
Mais encore beaucoup (trop) de questions Nature des armes cyber ?
Armes de dissuasion ? Armes « e-bactériologiques » ? Armes tactiques ?
Quid de la couche radio ? (GPS Jammer ?)
Doctrines d’utilisation ? Quels objectifs ? (Perturbations civiles ? Sabotage d’infrastructures critiques ?
Neutralisation d’objectifs militaires ?)
Quelle réponse ? « Do we do it by going back over the network ? Would it be easier to send a group of special forces in and blow the servers up ? » (Michael Chertoff, ex-directeur US homeland security)
Attribution ?
Dissémination & contrôle ?
21
Acteurs
Les Etats
22
Acteurs
Les Etats
« Nature des armes cybernétiques et stabilité du
système international »
Guy-Philippe Goldstein
+ d’info
Sur SecurityVibes : http://goo.gl/1nGeD
23
Acteurs
Se rapprocher de votre agence
nationale
Redondance, protection des
données, PCA/PRA
Sensibiliser les utilisateurs
Cyber-espionnage plutôt que cyberguerre
Les Etats
Le défi
24
Menu
Le rôle du RSSI
25
RSSI
Le rôle du RSSI
Plus seulement un technicien
SMSI, gestion du risque, organisation…
(si maturité suffisante de l’entreprise)
Communiquant / manager / politique
Et désormais aussi un peu juriste
Obligations de conformité réglementaire (CNIL & métiers)
Montée dans le nuage = contrats & responsabilités
Et surtout visionnaire
Technologies et pratiques émergentes : quel impact ? BYOD, mobilité, SaaS, télétravail, recrutement, mini-sites…
26
« Le RSSI : un schizophrène en évolution ? »
Jean-François Louapre, RSSI AG2R – La Mondiale
+ d’info
Sur SecurityVibes : http://www.securityvibes.com/docs/DOC-1448
Le rôle du RSSI
RSSI
27
De nouveaux camarades de jeu CNIL = CIL
Risque = Risk Manager
De nouvelles pratiques Les métiers accèdent aux offres SaaS
directement
La protection de l’information dépasse le cadre du SI Collaboration avec le responsable IE
RSSI
Le rôle du RSSI
Le défi
28
Menu
Contre-mesures réalistes
29
Contre-mesures
Les contre-mesures réalistes
http://goo.gl/Bwfou
« Back to basics » (*)
* Retour aux fondamentaux
30
Contre-mesures
Les contre-mesures réalistes
« Back to basics » (retour aux fondamentaux)
Si pas encore fait : inutile d’aller plus loin
Si déjà fait : vous savez le chemin qui reste à parcourir. Et n’avez pas besoin de mes conseils ;)
31
Le défi Retour aux fondamentaux
Reprenez le contrôle !
Sensibilisez
Observez !
Contre-mesures
Les contre-mesures réalistes
32
Etmaintenant ?
Restons en contact !
http://fr.linkedin.com/in/jsaiz
http://twitter.com/securityvibesfr
http://www.facebook.com/secvibes
33
Merci !
Place aux questions