ISSA France - L'échec de la sécurité informatique ?

L’échec de la sécurité informatique* ?

Nicolas Caproni @ncaproni

http://www.cyber-‐securite.fr

* © Nicolas Ruff

After Work #SecurityTuesday @ISSA_France 16/04/2013

16/04/2013 #SecurityTuesday #ISSAfr @ISSA_France 2

Pourquoi ce thème ?

Pour provoquer le débat –  Ceci n’est pas une conférence mais une table ronde –  A vous de réagir à chaque slide !

Pour poser quelques constats Pour faire émerger de nouvelles idées Pour troller passer une bonne soirée Pour partager tout simplement


Je suis…

Consultant en sécurité des systèmes d’information –  BSSI Conseil & Audit depuis octobre 2012

Blogueur

–  http://www.cyber-‐securite.fr Passionné de sécurité des systèmes d’information

– @ncaproni sur Twitter (attention au spam / flood) Très loin d’être un expert (technique ou autre)

–  Seulement quelques années de métier –  Et une formation pas forcément très technique


Des constats

Mes constats sur l’état de la sécurité informatique Mais aussi ceux partagés dans des publications par de vrais experts

–  Nicolas Ruff, Hervé Schauer, Bruno Kerouanton, Jonathan Brossard, Bruce Schneier, Cédric « Sid » Blancher, Mikko Hypponen, AGS, Saad Kadhi, Patrick Pailloux, krypt3ia…

–  Je ne suis pas d’accord avec tout Je ne me base sur aucune étude ni autres statistiques

– Ma veille – Ma (courte) expérience professionnelle


CYBER MENACES ET CYBER CHIFFRES

Et maintenant que fait-‐on ?


Cyber menaces et cyber chiffres

On commence à connaître les cyber menaces (réelles) –  Multiplication des études –  Une actualité foisonnante –  De l’info… et de l’intox

Des chiffres qui partent dans tous les sens (des milliards un peu partout $$$)

–  Réalité ? Mensonge ?

Mais en fait-‐on trop ? En exagérant la menace (réelle), on la décrédibilise.

–  A force de crier au loup… –  La peur fait peut être vendre mais elle ne protège pas…


Cyber menaces et cyber chiffres

La cybersécurité (= terme marketing pour SSI) –  Est devenue un business très convoité –  Génère des milliards de dollars –  Fait peur

On crée des mythes et légendes –  le grand méchant Cloud (© France 2)

La réalité cyber des organisations est moins exaltante On en oublie les bases…


TECHNOLOGIE + MARKETING = #FAILED

La cyberguerre n’aura pas lieu

U D


Technologie + marketing = #failed

On possède de nombreuses technologies –  On dépense beaucoup : 8,5 milliards de dollars pour AV / IDS / Firewall

Le marketing s’adapte aux cyber menaces –  Mais l’innovation technologique ne suit pas –  L’antivirus est dépassé –  Rajouter « NG » à un produit de sécurité n’améliore pas son efficacité (ni anti 0-‐

day ou anti-‐APT)

On ajoute des surcouches de sécurité –  Mais on n’exploite pas à 100% la moitié des outils dont on dispose –  Inadéquation outils Vs menaces ? –  Pas de vision globale ?

On passe directement au Big Data et à la Cyber Threat Intelligence La sécurité offensive… riposter pour mieux sécuriser ?


Technologie + marketing = #failed

Zoom sur les APT

Mythe ou réalité ? –  Une réalité mais… –  Avancée ? Parfois. Efficace ? Il semblerait.

On se focalise sur cette menace particulière –  Car on se sent « important », la Chine nous vole nos

données. –  A la recherche de l’attribution…

Mais le QUAND / COMMENT / POURQUOI ne sont-‐ils pas plus importants que le QUI ?

–  Surtout pour les entreprises (l’Etat c’est une autre histoire)


SANS MAÎTRISE, LA TECHNIQUE N’EST RIEN

L’humain au premier plan


Sans Maîtrise, la technique n’est rien

La maîtrise technique est indispensable mais elle est à notre portée

–  Même si on manque d’experts en sécurité Remettre l’humain au cœur de la sécurité

–  L’humain, maillon fort de la sécurité L’analyste doit être au cœur du dispositif de SSI

–  Un logiciel / matériel ne peut pas sécuriser une organisation humaine


Sans Maîtrise, la technique n’est rien

Le plus important : –  connaître son réseau –  connaître ses failles –  identifier ses risques majeurs –  se concentrer sur la mise en place de solutions techniques,

organisationnelles et juridiques pour réduire ces risques.

Au quotidien : détection et réaction ! ⇒ en surveillant ⇒ en respectant des bonnes pratiques de base, ⇒ en mettant la sécurité en amont des projets ⇒ en formant ⇒ en étant préparé à réagir en cas d’incidents de sécurité (attaque ou pas)…


SENSIBILISER ET COMMUNIQUER

Mme Michu et les VIP ne parlent pas le binaire


Sensibiliser et communiquer

La sensibilisation : utile ou inutile ?

–  Certains la trouvent inefficace et trop coûteuse

Elle doit : –  être adaptée aux risques –  être continue

•  Une session tous les ans, ce n’est clairement pas efficace –  être testée –  viser les VIP et les informaticiens (dans un premier temps) –  sortir des sentiers battus (fini le PPT ?)


Sensibiliser et communiquer

La technique ne fait pas tout

Pour moi, la sécurité c’est 80% de communication Faire passer le bon message, expliquer, justifier, impliquer et convaincre tout le monde (l’informatique d’abord !)

–  Les relations humaines –  La diplomatie

L’importance de la conduite du changement

–  A adapter aux différents publics Accompagner l’entreprise, ne pas dire non

–  Mais prendre ses responsabilités et imposer si nécessaire.


LES NORMES, LES RÉGLEMENTATIONS, I WANT TO BELIEVE…

Être conforme ≠ Être sécurisé


Les normes, les réglementations, I want to believe…

La sécurité cache-‐sexe (© Patrick Pailloux)

Ne pas se cacher derrière les normes, les réglementations La conformité n’est pas un but en soi (malgré le caractère contraignant des réglementations)


Les normes, les réglementations, I want to believe…

C’est un moyen / un outil pour intégrer la sécurité à la culture d’entreprise / pour faire passer le message. Ca ne doit pas devenir la checklist / documentation seulement utile lors d’un audit. Conformité ≠ Sécurité On fait croire qu’on fait de la sécurité mais on essaye d’embêter personne.


ARRÊTONS DE CHERCHER DES BOUC-‐ÉMISSAIRES

Que chacun prenne ses responsabilités


Arrêtons de chercher des bouc-‐émissaires

Défaitisme, pessimisme (ma présentation y contribue peut-‐être aussi ?)

Alors on cherche des responsables Le TOP 3


Arrêtons de chercher des bouc-‐émissaires

L’ANSSI volerait nos « experts »

La Chine pillerait nos entreprises et l’Etat Le RSSI manquerait toujours de budget C’est la faute du DSI Les utilisateurs : vous êtes le maillon faible (ou pas)…


Conclusion

Il faut s’attaquer aux bons problèmes Revenons aux fondamentaux de la sécurité Arrêtons de faire porter la responsabilité de la sécurité aux utilisateurs

–  Stop à « l’humain est le maillon faible » Intéressons nous à la sécurité « by design »

–  Responsabilisons les éditeurs de logiciels / matériels informatiques ( et sécurité….)


Conclusion

Misons sur la détection et la réponse aux incidents –  Exploitons toutes les données que nous possédons –  Exploitons les outils qu’on achète des fortunes –  Exploitons les analyses de nos experts

Intégrer la sécurité le plus en amont dans les nouveaux projets Prenons un peu de hauteur pour avoir une vision globale. La sécurité est une démarche globale ! Innovons dans nos approches, ne reproduisons pas les mêmes erreurs année après année.


Fin

Merci de votre attention Et de votre participation ! Mes coordonnées :

–  [email protected] –  ou [email protected]

Technology

ISSA France - L'échec de la sécurité informatique ?