Upload
nicolas-caproni
View
3.600
Download
1
Embed Size (px)
DESCRIPTION
Intervention réalisée le 16 avril 2013 dans le cadre des #SecurityTuesday de l'ISSA France. Débat sur les échecs de la sécurité informatique.
Citation preview
L’échec de la sécurité informatique* ?
Nicolas Caproni @ncaproni
http://www.cyber-‐securite.fr
* © Nicolas Ruff
After Work #SecurityTuesday @ISSA_France 16/04/2013
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 2
Pourquoi ce thème ?
Pour provoquer le débat – Ceci n’est pas une conférence mais une table ronde – A vous de réagir à chaque slide !
Pour poser quelques constats Pour faire émerger de nouvelles idées Pour troller passer une bonne soirée Pour partager tout simplement
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 3
Je suis…
Consultant en sécurité des systèmes d’information – BSSI Conseil & Audit depuis octobre 2012
Blogueur
– http://www.cyber-‐securite.fr Passionné de sécurité des systèmes d’information
– @ncaproni sur Twitter (attention au spam / flood) Très loin d’être un expert (technique ou autre)
– Seulement quelques années de métier – Et une formation pas forcément très technique
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 4
Des constats
Mes constats sur l’état de la sécurité informatique Mais aussi ceux partagés dans des publications par de vrais experts
– Nicolas Ruff, Hervé Schauer, Bruno Kerouanton, Jonathan Brossard, Bruce Schneier, Cédric « Sid » Blancher, Mikko Hypponen, AGS, Saad Kadhi, Patrick Pailloux, krypt3ia…
– Je ne suis pas d’accord avec tout Je ne me base sur aucune étude ni autres statistiques
– Ma veille – Ma (courte) expérience professionnelle
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 5
CYBER MENACES ET CYBER CHIFFRES
Et maintenant que fait-‐on ?
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 6
Cyber menaces et cyber chiffres
On commence à connaître les cyber menaces (réelles) – Multiplication des études – Une actualité foisonnante – De l’info… et de l’intox
Des chiffres qui partent dans tous les sens (des milliards un peu partout $$$)
– Réalité ? Mensonge ?
Mais en fait-‐on trop ? En exagérant la menace (réelle), on la décrédibilise.
– A force de crier au loup… – La peur fait peut être vendre mais elle ne protège pas…
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 7
Cyber menaces et cyber chiffres
La cybersécurité (= terme marketing pour SSI) – Est devenue un business très convoité – Génère des milliards de dollars – Fait peur
On crée des mythes et légendes – le grand méchant Cloud (© France 2)
La réalité cyber des organisations est moins exaltante On en oublie les bases…
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 8
TECHNOLOGIE + MARKETING = #FAILED
La cyberguerre n’aura pas lieu
U D
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 9
Technologie + marketing = #failed
On possède de nombreuses technologies – On dépense beaucoup : 8,5 milliards de dollars pour AV / IDS / Firewall
Le marketing s’adapte aux cyber menaces – Mais l’innovation technologique ne suit pas – L’antivirus est dépassé – Rajouter « NG » à un produit de sécurité n’améliore pas son efficacité (ni anti 0-‐
day ou anti-‐APT)
On ajoute des surcouches de sécurité – Mais on n’exploite pas à 100% la moitié des outils dont on dispose – Inadéquation outils Vs menaces ? – Pas de vision globale ?
On passe directement au Big Data et à la Cyber Threat Intelligence La sécurité offensive… riposter pour mieux sécuriser ?
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 10
Technologie + marketing = #failed
Zoom sur les APT
Mythe ou réalité ? – Une réalité mais… – Avancée ? Parfois. Efficace ? Il semblerait.
On se focalise sur cette menace particulière – Car on se sent « important », la Chine nous vole nos
données. – A la recherche de l’attribution…
Mais le QUAND / COMMENT / POURQUOI ne sont-‐ils pas plus importants que le QUI ?
– Surtout pour les entreprises (l’Etat c’est une autre histoire)
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 11
SANS MAÎTRISE, LA TECHNIQUE N’EST RIEN
L’humain au premier plan
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 12
Sans Maîtrise, la technique n’est rien
La maîtrise technique est indispensable mais elle est à notre portée
– Même si on manque d’experts en sécurité Remettre l’humain au cœur de la sécurité
– L’humain, maillon fort de la sécurité L’analyste doit être au cœur du dispositif de SSI
– Un logiciel / matériel ne peut pas sécuriser une organisation humaine
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 13
Sans Maîtrise, la technique n’est rien
Le plus important : – connaître son réseau – connaître ses failles – identifier ses risques majeurs – se concentrer sur la mise en place de solutions techniques,
organisationnelles et juridiques pour réduire ces risques.
Au quotidien : détection et réaction ! ⇒ en surveillant ⇒ en respectant des bonnes pratiques de base, ⇒ en mettant la sécurité en amont des projets ⇒ en formant ⇒ en étant préparé à réagir en cas d’incidents de sécurité (attaque ou pas)…
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 14
SENSIBILISER ET COMMUNIQUER
Mme Michu et les VIP ne parlent pas le binaire
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 15
Sensibiliser et communiquer
La sensibilisation : utile ou inutile ?
– Certains la trouvent inefficace et trop coûteuse
Elle doit : – être adaptée aux risques – être continue
• Une session tous les ans, ce n’est clairement pas efficace – être testée – viser les VIP et les informaticiens (dans un premier temps) – sortir des sentiers battus (fini le PPT ?)
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 16
Sensibiliser et communiquer
La technique ne fait pas tout
Pour moi, la sécurité c’est 80% de communication Faire passer le bon message, expliquer, justifier, impliquer et convaincre tout le monde (l’informatique d’abord !)
– Les relations humaines – La diplomatie
L’importance de la conduite du changement
– A adapter aux différents publics Accompagner l’entreprise, ne pas dire non
– Mais prendre ses responsabilités et imposer si nécessaire.
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 17
LES NORMES, LES RÉGLEMENTATIONS, I WANT TO BELIEVE…
Être conforme ≠ Être sécurisé
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 18
Les normes, les réglementations, I want to believe…
La sécurité cache-‐sexe (© Patrick Pailloux)
Ne pas se cacher derrière les normes, les réglementations La conformité n’est pas un but en soi (malgré le caractère contraignant des réglementations)
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 19
Les normes, les réglementations, I want to believe…
C’est un moyen / un outil pour intégrer la sécurité à la culture d’entreprise / pour faire passer le message. Ca ne doit pas devenir la checklist / documentation seulement utile lors d’un audit. Conformité ≠ Sécurité On fait croire qu’on fait de la sécurité mais on essaye d’embêter personne.
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 20
ARRÊTONS DE CHERCHER DES BOUC-‐ÉMISSAIRES
Que chacun prenne ses responsabilités
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 21
Arrêtons de chercher des bouc-‐émissaires
Défaitisme, pessimisme (ma présentation y contribue peut-‐être aussi ?)
Alors on cherche des responsables Le TOP 3
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 22
Arrêtons de chercher des bouc-‐émissaires
L’ANSSI volerait nos « experts »
La Chine pillerait nos entreprises et l’Etat Le RSSI manquerait toujours de budget C’est la faute du DSI Les utilisateurs : vous êtes le maillon faible (ou pas)…
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 23
Conclusion
Il faut s’attaquer aux bons problèmes Revenons aux fondamentaux de la sécurité Arrêtons de faire porter la responsabilité de la sécurité aux utilisateurs
– Stop à « l’humain est le maillon faible » Intéressons nous à la sécurité « by design »
– Responsabilisons les éditeurs de logiciels / matériels informatiques ( et sécurité….)
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 24
Conclusion
Misons sur la détection et la réponse aux incidents – Exploitons toutes les données que nous possédons – Exploitons les outils qu’on achète des fortunes – Exploitons les analyses de nos experts
Intégrer la sécurité le plus en amont dans les nouveaux projets Prenons un peu de hauteur pour avoir une vision globale. La sécurité est une démarche globale ! Innovons dans nos approches, ne reproduisons pas les mêmes erreurs année après année.
16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 25
Fin
Merci de votre attention Et de votre participation ! Mes coordonnées :