System is processing data
Please download to view
...

Enjeux et évolutions de la sécurite informatique

by maxime-alay-eddine

on

Report

Category:

Internet

Download: 4

Comment: 0

3,977

views

Comments

Description

Download Enjeux et évolutions de la sécurite informatique

Transcript

  • Enjeux et évolutions de la sécurité informatique Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.1 - 19/03/2015 1
  • Faisons connaissance ! • Maxime ALAY-EDDINE • 24 ans, Consultant SSI • Président de Cyberwatch SAS • 3 ans chez SAGEM (SAFRAN) • 1 an chez SportinTown • Commencé piratage à 12 ans CYBERWATCH 2
  • - Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. 3
  • La sécurité absolue n’existe pas.
  • Source lolsnaps.com
  • Il faut viser un « niveau de risque acceptable ».
  • Plan • Présentation générale • Evolution des attaques • Etude des attaques récentes • Démonstration • Les métiers de la cybersécurité • Evolutions futures technologiques et politiques • Questions / Réponses
  • Présentation générale Notions de base et définitions
  • Sécurité des systèmes d’information ?
  • Sécurité des systèmes d’information ? Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006
  • Définition plus « concrète » Disponibilité Intégrité Confidentialité
  • Définition plus « concrète »… avec les mains Disponibilité Intégrité Confidentialité Est-ce que mon système fonctionne ? Est-ce que mes données sont bonnes ? Est-ce que mon système est privé ?
  • Objectif Disponibilité Intégrité Confidentialité Situation optimale
  • Dans l’industrie, 4 grands critères
  • En pratique ? Besoin' d’exper-se' Manque' de'temps' Coût' très'élevé'
  • Quelles solutions ? Clé$en$mains$
  • Des menaces multiples S T R I D E poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges
  • Usurpation d’identité Le pirate se fait passer pour une entité.
  • Usurpation d’identité Login Password
  • Usurpation d’identité Login Password Login Password
  • Usurpation d’identité
  • Falsification de données Le pirate modifie des données.
  • Falsification de données
  • Falsification de données
  • Falsification de données
  • Falsification de données
  • Répudiation Le pirate fait croire qu’un évènement ne s’est jamais produit.
  • Répudiation
  • Répudiation
  • Répudiation
  • Répudiation
  • Divulgation d’informations Le pirate publie des informations confidentielles.
  • Divulgation d’informations Login Password
  • Divulgation d’informations Login Password
  • Déni de service Le pirate rend un service inaccessible.
  • Déni de service
  • Déni de service
  • Déni de service distribué
  • Déni de service distribué
  • Source FakePlus.com
  • Elévation de privilège Le pirate obtient des droits privilégiés sur un système.
  • Elévation de privilège
  • Elévation de privilège
  • Des menaces multiples… suite Sécurité physique Sécurité réseau Sécurité des applications Ingénierie sociale …
  • Pour chaque menace, il y a une solution Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité … Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Scanner de vulnérabilités …
  • Source : yannarthusbertrand2.org
  • Les menaces évoluent et deviennent de plus en plus complexes.
  • Source : aashils.files.wordpress.com
  • You can't defend. You can't prevent. The only thing you can do is detect and respond. - Bruce Schneier Expert SSI, Chuck Norris de la Cybersécurité
  • Evolution des attaques Etude de la complexité et des nouvelles cibles des pirates
  • La bombe logique - 1982 • Opération créée par la CIA contre un pipeline russe • Code malveillant permettant de faire exploser le pipeline, sans explosif externe • Les dégâts causés étaient visibles depuis l’espace
  • Kevin Mitnick - 1983 • Kevin Mitnick s’introduit sur le réseau du Pentagone • S’introduit par « défi » technique • Ne vole pas de données, conserve un sens éthique • Travaille désormais comme consultant SSI
  • Morris - 1988 • Créé par Robert Tappan Morris (Cornell) en 1988 • Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm) • Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés. • Plus de 6000 ordinateurs infectés, pour $100M d’amende.
  • Jonathan James - 1999 • Pirate la Defense Threat Reduction Agency à 15 ans • Récupère le code source d’un logiciel de la NASA utilisé sur la Station Spatiale Internationale pour contrôler l’environnement de vie des astronautes
  • MafiaBoy - 2000 • Michael Calce (aka MafiaBoy) réalise des attaques par Déni de service distribué sur des majors • Amazon, CNN, eBay, Yahoo! sont touchés • Les dégâts sont évalués à plus de $1,2Mrds
  • Estonie - 2007 • L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie. • Les services gouvernementaux sont stoppés • Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés
  • Google China - 2009 • Google China est victime d’une attaque majeure de la part du gouvernement chinois • Objectif : récupérer des données sur des activistes de la lutte pour les droits de l’Homme
  • Israël - 2009 • 5.000.000 d’ordinateurs réalisent une attaque de Déni de service distribué sur les sites gouvernementaux israéliens. • Ces attaques sont réalisées pendant l’offensive de Janvier 2009 sur la bande de Gaza. • L’origine des attaques semble être liée à un ancien état soviétique et aux organisations type Hamas/Hezbollah.
  • La Cyber-armée iranienne - 2010 • Des militants iraniens attaquent Twitter et Baidu (Google chinois). • Les internautes sont redirigés vers une page pirate avec un message politique.
  • StuxNet - 2010 • Virus de très haute expertise technique visant les machines industrielles Siemens. • Découvert en Iran et en Indonésie. • Semble viser le programme nucléaire iranien.
  • Red October - 2012 • Kaspersky découvre un virus en activité depuis 2007 • Le virus a dérobé des informations confidentielles dans des entités gouvernementales et des entreprises sur des systèmes critiques. • Utilise des vulnérabilités dans Word et Excel
  • Sony Pictures Entertainment - 2014 • Vol massif de données (films notamment) • Les données ont été diffusées sur Internet • Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M
  • Constat • Ces attaques évoluent et deviennent de plus en plus élaborées (Morris -> StuxNet). • Les plus connues concernent avant tout les grandes entreprises et les gouvernements. • Petit à petit, création d’un milieu « cybercriminel ».
  • Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou la diffusion d’idées politiques.
  • Quid des PME ? Des particuliers ?
  • Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009
  • Etude des solutions installées en entreprise • Certaines menaces sont traitées de facto • Les menaces les plus « techniques » sont encore oubliées. • Cas des vulnérabilités informatiques dites « connues ».
  • Rôle des autorités de SSI • Autorités gouvernementales de la SSI • 2 rôles majeurs : surveillance, information
  • Les vulnérabilités connues ou « historiques » • Vulnérabilités publiées par les autorités (8000 en 2014) • CERT : Computer Emergency Response Team • Objectif : avertir les usagers des nouvelles failles pour se protéger en temps réel Heartbleed Shellshock
  • Problème : qui suit ces alertes en continu ?
  • Résultat • Cette liste constitue l’armurerie parfaite pour les pirates • Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités • Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes.
  • Source : Gartner 80% des attaques réussies utiliseront au moins une vulnérabilité connue en 2015.
  • Les pirates évoluent, nous devons adapter nos mentalités et nos moyens de défense.
  • Etude des attaques récentes Les leçons à tirer de StuxNet, Sony et Daesh
  • StuxNet - Cyberguerre entre Etats • Virus créé par des organisations gouvernementales • Très difficile à détecter, a grandement retardé le programme nucléaire iranien, alors qu’il était cloisonné par rapport à Internet. • Réalisé via des intrusions réelles (vol de clés en entreprise). • Leçon à tirer : si les moyens sont mis, n’importe quel système peut être piraté.
  • Sony Pictures Entertainment - Cybercriminalité • Attaque réalisée par des pirates pour voler des informations • L’attaque était basée sur des vulnérabilités connues • Leçon à tirer : même les grandes entreprises sont concernées par des failles « basiques » comme les vulnérabilités historiques.
  • Daesh - Cyberterrorisme • Attaque réalisée par des activistes liés à l’Etat Islamique, contre des organisations gouvernementales. • Très peu de dégâts causés, mais message politique passé et relayé grâce aux médias. • Anonymous a contre-attaqué en Mars 2015, en diffusant des comptes Twitter liés à Daesh pour arrêter leurs propriétaires. • Leçon à tirer : les guerres politiques se jouent désormais aussi sur le cyberespace.
  • The true computer hackers follow a certain set of ethics that forbids them to profit or cause harm from their activities. - Kevin Mitnick Expert SSI, a figuré sur la Most-Wanted list du FBI
  • Vers un statut officiel hacker / pirate ?
  • Démonstration Attaque par injection XSS sur un site connu
  • Métiers de la SSI Ce que cherche l’industrie
  • Consultant SSI • Profil polyvalent • Ingénieur, Bac +5 avec spécialité informatique • Effectue des audits organisationnels • Qualités : esprit de synthèse, bon contact • Entreprises type : Solucom, HSC, Fidens
  • Pentester / Consultant technique • Profil technique • Ingénieur, Bac +5 avec spécialité informatique • Effectue des audits techniques • Qualités : expertise technique, esprit de synthèse • Entreprises type : HSC, Cyberwatch, Abbana
  • Responsable de la Sécurité SI • Profil polyvalent • Ingénieur, Bac +5 avec spécialité informatique • Gère la Sécurité SI d’une entreprise • Qualités : gestion d’équipe, bon relationnel • Entreprises type : N/A (internalisé)
  • Evolutions techniques et politiques Avis de Cyberwatch sur le sujet
  • Evolution globale de la sécurité DétectionGuérison Bruce Schneier au FIC 2015 Présent
  • Evolution globale de la sécurité CorrectionDétectionGuérison Bruce Schneier au FIC 2015 Présent
  • De la guérison à la prévention • Guérison : suite à une attaque, opérations de remise en service du système d’information. • Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion. • Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter.
  • Les technologies de protection deviennent de plus en plus matures. Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont.
  • Notre avis sur l’avenir ? Des solutions de protection automatisées. Pas de compétences techniques requises. Protection clé en main économique.
  • Merci pour votre attention ! Questions / Réponses
  • CYBERWATCH Cybersecurity as a Service Protéger - Détecter - Corriger contact@cyberwatch.fr http://www.cyberwatch.fr
Fly UP