• Enjeux et évolutions de la sécurité informatique Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.1 - 19/03/2015 1
  • Faisons connaissance ! • Maxime ALAY-EDDINE • 24 ans, Consultant SSI • Président de Cyberwatch SAS • 3 ans chez SAGEM (SAFRAN) • 1 an chez SportinTown • Commencé piratage à 12 ans CYBERWATCH 2
  • - Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. 3
  • La sécurité absolue n’existe pas.
  • Source lolsnaps.com
  • Il faut viser un « niveau de risque acceptable ».
  • Plan • Présentation générale • Evolution des attaques • Etude des attaques récentes • Démonstration • Les métiers de la cybersécurité • Evolutions futures technologiques et politiques • Questions / Réponses
  • Présentation générale Notions de base et définitions
  • Sécurité des systèmes d’information ?
  • Sécurité des systèmes d’information ? Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006
  • Définition plus « concrète » Disponibilité Intégrité Confidentialité
  • Définition plus « concrète »… avec les mains Disponibilité Intégrité Confidentialité Est-ce que mon système fonctionne ? Est-ce que mes données sont bonnes ? Est-ce que mon système est privé ?
  • Objectif Disponibilité Intégrité Confidentialité Situation optimale
  • Dans l’industrie, 4 grands critères
  • En pratique ? Besoin' d’exper-se' Manque' de'temps' Coût' très'élevé'
  • Quelles solutions ? Clé$en$mains$
  • Des menaces multiples S T R I D E poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges
  • Usurpation d’identité Le pirate se fait passer pour une entité.
  • Usurpation d’identité Login Password
  • Usurpation d’identité Login Password Login Password
  • Usurpation d’identité
  • Falsification de données Le pirate modifie des données.
  • Falsification de données
  • Falsification de données
  • Falsification de données
  • Falsification de données
  • Répudiation Le pirate fait croire qu’un évènement ne s’est jamais produit.
  • Répudiation
  • Répudiation
  • Répudiation
  • Répudiation
  • Divulgation d’informations Le pirate publie des informations confidentielles.
  • Divulgation d’informations Login Password
  • Divulgation d’informations Login Password
  • Déni de service Le pirate rend un service inaccessible.
  • Déni de service
  • Déni de service
  • Déni de service distribué
  • Déni de service distribué
  • Source FakePlus.com
  • Elévation de privilège Le pirate obtient des droits privilégiés sur un système.
  • Elévation de privilège
  • Elévation de privilège
  • Des menaces multiples… suite Sécurité physique Sécurité réseau Sécurité des applications Ingénierie sociale …
  • Pour chaque menace, il y a une solution Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité … Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Scanner de vulnérabilités …
  • Source : yannarthusbertrand2.org
  • Les menaces évoluent et deviennent de plus en plus complexes.
  • Source : aashils.files.wordpress.com
  • You can't defend. You can't prevent. The only thing you can do is detect and respond. - Bruce Schneier Expert SSI, Chuck Norris de la Cybersécurité
  • Evolution des attaques Etude de la complexité et des nouvelles cibles des pirates
  • La bombe logique - 1982 • Opération créée par la CIA contre un pipeline russe • Code malveillant permettant de faire exploser le pipeline, sans explosif externe • Les dégâts causés étaient visibles depuis l’espace
  • Kevin Mitnick - 1983 • Kevin Mitnick s’introduit sur le réseau du Pentagone • S’introduit par « défi » technique • Ne vole pas de données, conserve un sens éthique • Travaille désormais comme consultant SSI
  • Morris - 1988 • Créé par Robert Tappan Morris (Cornell) en 1988 • Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm) • Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés. • Plus de 6000 ordinateurs infectés, pour $100M d’amende.
  • Jonathan James - 1999 • Pirate la Defense Threat Reduction Agency à 15 ans • Récupère le code source d’un logiciel de la NASA utilisé sur la Station Spatiale Internationale pour contrôler l’environnement de vie des astronautes
  • MafiaBoy - 2000 • Michael Calce (aka MafiaBoy) réalise des attaques par Déni de service distribué sur des majors • Amazon, CNN, eBay, Yahoo! sont touchés • Les dégâts sont évalués à plus de $1,2Mrds
  • Estonie - 2007 • L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie. • Les services gouvernementaux sont stoppés • Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés
  • Google China - 2009 • Google China est victime d’une attaque majeure de la part du gouvernement chinois • Objectif : récupérer des données sur des activistes de la lutte pour les droits de l’Homme
  • Israël - 2009 • 5.000.000 d’ordinateurs réalisent une attaque de Déni de service distribué sur les sites gouvernementaux israéliens. • Ces attaques sont réalisées pendant l’offensive de Janvier 2009 sur la bande de Gaza. • L’origine des attaques semble être liée à un ancien état soviétique et aux organisations type Hamas/Hezbollah.
  • La Cyber-armée iranienne - 2010 • Des militants iraniens attaquent Twitter et Baidu (Google chinois). • Les internautes sont redirigés vers une page pirate avec un message politique.
  • StuxNet - 2010 • Virus de très haute expertise technique visant les machines industrielles Siemens. • Découvert en Iran et en Indonésie. • Semble viser le programme nucléaire iranien.
  • Red October - 2012 • Kaspersky découvre un virus en activité depuis 2007 • Le virus a dérobé des informations confidentielles dans des entités gouvernementales et des entreprises sur des systèmes critiques. • Utilise des vulnérabilités dans Word et Excel
  • Sony Pictures Entertainment - 2014 • Vol massif de données (films notamment) • Les données ont été diffusées sur Internet • Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M
  • Constat • Ces attaques évoluent et deviennent de plus en plus élaborées (Morris -> StuxNet). • Les plus connues concernent avant tout les grandes entreprises et les gouvernements. • Petit à petit, création d’un milieu « cybercriminel ».
  • Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou la diffusion d’idées politiques.
  • Quid des PME ? Des particuliers ?
  • Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009
  • Etude des solutions installées en entreprise • Certaines menaces sont traitées de facto • Les menaces les plus « techniques » sont encore oubliées. • Cas des vulnérabilités informatiques dites « connues ».
  • Rôle des autorités de SSI • Autorités gouvernementales de la SSI • 2 rôles majeurs : surveillance, information
  • Les vulnérabilités connues ou « historiques » • Vulnérabilités publiées par les autorités (8000 en 2014) • CERT : Computer Emergency Response Team • Objectif : avertir les usagers des nouvelles failles pour se protéger en temps réel Heartbleed Shellshock
  • Problème : qui suit ces alertes en continu ?
  • Résultat • Cette liste constitue l’armurerie parfaite pour les pirates • Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités • Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes.
  • Source : Gartner 80% des attaques réussies utiliseront au moins une vulnérabilité connue en 2015.
  • Les pirates évoluent, nous devons adapter nos mentalités et nos moyens de défense.
  • Etude des attaques récentes Les leçons à tirer de StuxNet, Sony et Daesh
  • StuxNet - Cyberguerre entre Etats • Virus créé par des organisations gouvernementales • Très difficile à détecter, a grandement retardé le programme nucléaire iranien, alors qu’il était cloisonné par rapport à Internet. • Réalisé via des intrusions réelles (vol de clés en entreprise). • Leçon à tirer : si les moyens sont mis, n’importe quel système peut être piraté.
  • Sony Pictures Entertainment - Cybercriminalité • Attaque réalisée par des pirates pour voler des informations • L’attaque était basée sur des vulnérabilités connues • Leçon à tirer : même les grandes entreprises sont concernées par des failles « basiques » comme les vulnérabilités historiques.
  • Daesh - Cyberterrorisme • Attaque réalisée par des activistes liés à l’Etat Islamique, contre des organisations gouvernementales. • Très peu de dégâts causés, mais message politique passé et relayé grâce aux médias. • Anonymous a contre-attaqué en Mars 2015, en diffusant des comptes Twitter liés à Daesh pour arrêter leurs propriétaires. • Leçon à tirer : les guerres politiques se jouent désormais aussi sur le cyberespace.
  • The true computer hackers follow a certain set of ethics that forbids them to profit or cause harm from their activities. - Kevin Mitnick Expert SSI, a figuré sur la Most-Wanted list du FBI
  • Vers un statut officiel hacker / pirate ?
  • Démonstration Attaque par injection XSS sur un site connu
  • Métiers de la SSI Ce que cherche l’industrie
  • Consultant SSI • Profil polyvalent • Ingénieur, Bac +5 avec spécialité informatique • Effectue des audits organisationnels • Qualités : esprit de synthèse, bon contact • Entreprises type : Solucom, HSC, Fidens
  • Pentester / Consultant technique • Profil technique • Ingénieur, Bac +5 avec spécialité informatique • Effectue des audits techniques • Qualités : expertise technique, esprit de synthèse • Entreprises type : HSC, Cyberwatch, Abbana
  • Responsable de la Sécurité SI • Profil polyvalent • Ingénieur, Bac +5 avec spécialité informatique • Gère la Sécurité SI d’une entreprise • Qualités : gestion d’équipe, bon relationnel • Entreprises type : N/A (internalisé)
  • Evolutions techniques et politiques Avis de Cyberwatch sur le sujet
  • Evolution globale de la sécurité DétectionGuérison Bruce Schneier au FIC 2015 Présent
  • Evolution globale de la sécurité CorrectionDétectionGuérison Bruce Schneier au FIC 2015 Présent
  • De la guérison à la prévention • Guérison : suite à une attaque, opérations de remise en service du système d’information. • Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion. • Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter.
  • Les technologies de protection deviennent de plus en plus matures. Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont.
  • Notre avis sur l’avenir ? Des solutions de protection automatisées. Pas de compétences techniques requises. Protection clé en main économique.
  • Merci pour votre attention ! Questions / Réponses
  • CYBERWATCH Cybersecurity as a Service Protéger - Détecter - Corriger contact@cyberwatch.fr http://www.cyberwatch.fr
Please download to view
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
...

Enjeux et évolutions de la sécurite informatique

by maxime-alay-eddine

on

Report

Category:

Internet

Download: 0

Comment: 0

3,977

views

Comments

Description

Download Enjeux et évolutions de la sécurite informatique

Transcript

  • Enjeux et évolutions de la sécurité informatique Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.1 - 19/03/2015 1
  • Faisons connaissance ! • Maxime ALAY-EDDINE • 24 ans, Consultant SSI • Président de Cyberwatch SAS • 3 ans chez SAGEM (SAFRAN) • 1 an chez SportinTown • Commencé piratage à 12 ans CYBERWATCH 2
  • - Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. 3
  • La sécurité absolue n’existe pas.
  • Source lolsnaps.com
  • Il faut viser un « niveau de risque acceptable ».
  • Plan • Présentation générale • Evolution des attaques • Etude des attaques récentes • Démonstration • Les métiers de la cybersécurité • Evolutions futures technologiques et politiques • Questions / Réponses
  • Présentation générale Notions de base et définitions
  • Sécurité des systèmes d’information ?
  • Sécurité des systèmes d’information ? Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006
  • Définition plus « concrète » Disponibilité Intégrité Confidentialité
  • Définition plus « concrète »… avec les mains Disponibilité Intégrité Confidentialité Est-ce que mon système fonctionne ? Est-ce que mes données sont bonnes ? Est-ce que mon système est privé ?
  • Objectif Disponibilité Intégrité Confidentialité Situation optimale
  • Dans l’industrie, 4 grands critères
  • En pratique ? Besoin' d’exper-se' Manque' de'temps' Coût' très'élevé'
  • Quelles solutions ? Clé$en$mains$
  • Des menaces multiples S T R I D E poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges
  • Usurpation d’identité Le pirate se fait passer pour une entité.
  • Usurpation d’identité Login Password
  • Usurpation d’identité Login Password Login Password
  • Usurpation d’identité
  • Falsification de données Le pirate modifie des données.
  • Falsification de données
  • Falsification de données
  • Falsification de données
  • Falsification de données
  • Répudiation Le pirate fait croire qu’un évènement ne s’est jamais produit.
  • Répudiation
  • Répudiation
  • Répudiation
  • Répudiation
  • Divulgation d’informations Le pirate publie des informations confidentielles.
  • Divulgation d’informations Login Password
  • Divulgation d’informations Login Password
  • Déni de service Le pirate rend un service inaccessible.
  • Déni de service
  • Déni de service
  • Déni de service distribué
  • Déni de service distribué
  • Source FakePlus.com
  • Elévation de privilège Le pirate obtient des droits privilégiés sur un système.
  • Elévation de privilège
  • Elévation de privilège
  • Des menaces multiples… suite Sécurité physique Sécurité réseau Sécurité des applications Ingénierie sociale …
  • Pour chaque menace, il y a une solution Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité … Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Scanner de vulnérabilités …
  • Source : yannarthusbertrand2.org
  • Les menaces évoluent et deviennent de plus en plus complexes.
  • Source : aashils.files.wordpress.com
  • You can't defend. You can't prevent. The only thing you can do is detect and respond. - Bruce Schneier Expert SSI, Chuck Norris de la Cybersécurité
  • Evolution des attaques Etude de la complexité et des nouvelles cibles des pirates
  • La bombe logique - 1982 • Opération créée par la CIA contre un pipeline russe • Code malveillant permettant de faire exploser le pipeline, sans explosif externe • Les dégâts causés étaient visibles depuis l’espace
  • Kevin Mitnick - 1983 • Kevin Mitnick s’introduit sur le réseau du Pentagone • S’introduit par « défi » technique • Ne vole pas de données, conserve un sens éthique • Travaille désormais comme consultant SSI
  • Morris - 1988 • Créé par Robert Tappan Morris (Cornell) en 1988 • Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm) • Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés. • Plus de 6000 ordinateurs infectés, pour $100M d’amende.
  • Jonathan James - 1999 • Pirate la Defense Threat Reduction Agency à 15 ans • Récupère le code source d’un logiciel de la NASA utilisé sur la Station Spatiale Internationale pour contrôler l’environnement de vie des astronautes
  • MafiaBoy - 2000 • Michael Calce (aka MafiaBoy) réalise des attaques par Déni de service distribué sur des majors • Amazon, CNN, eBay, Yahoo! sont touchés • Les dégâts sont évalués à plus de $1,2Mrds
  • Estonie - 2007 • L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie. • Les services gouvernementaux sont stoppés • Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés
  • Google China - 2009 • Google China est victime d’une attaque majeure de la part du gouvernement chinois • Objectif : récupérer des données sur des activistes de la lutte pour les droits de l’Homme
  • Israël - 2009 • 5.000.000 d’ordinateurs réalisent une attaque de Déni de service distribué sur les sites gouvernementaux israéliens. • Ces attaques sont réalisées pendant l’offensive de Janvier 2009 sur la bande de Gaza. • L’origine des attaques semble être liée à un ancien état soviétique et aux organisations type Hamas/Hezbollah.
  • La Cyber-armée iranienne - 2010 • Des militants iraniens attaquent Twitter et Baidu (Google chinois). • Les internautes sont redirigés vers une page pirate avec un message politique.
  • StuxNet - 2010 • Virus de très haute expertise technique visant les machines industrielles Siemens. • Découvert en Iran et en Indonésie. • Semble viser le programme nucléaire iranien.
  • Red October - 2012 • Kaspersky découvre un virus en activité depuis 2007 • Le virus a dérobé des informations confidentielles dans des entités gouvernementales et des entreprises sur des systèmes critiques. • Utilise des vulnérabilités dans Word et Excel
  • Sony Pictures Entertainment - 2014 • Vol massif de données (films notamment) • Les données ont été diffusées sur Internet • Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M
  • Constat • Ces attaques évoluent et deviennent de plus en plus élaborées (Morris -> StuxNet). • Les plus connues concernent avant tout les grandes entreprises et les gouvernements. • Petit à petit, création d’un milieu « cybercriminel ».
  • Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou la diffusion d’idées politiques.
  • Quid des PME ? Des particuliers ?
  • Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009
  • Etude des solutions installées en entreprise • Certaines menaces sont traitées de facto • Les menaces les plus « techniques » sont encore oubliées. • Cas des vulnérabilités informatiques dites « connues ».
  • Rôle des autorités de SSI • Autorités gouvernementales de la SSI • 2 rôles majeurs : surveillance, information
  • Les vulnérabilités connues ou « historiques » • Vulnérabilités publiées par les autorités (8000 en 2014) • CERT : Computer Emergency Response Team • Objectif : avertir les usagers des nouvelles failles pour se protéger en temps réel Heartbleed Shellshock
  • Problème : qui suit ces alertes en continu ?
  • Résultat • Cette liste constitue l’armurerie parfaite pour les pirates • Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités • Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes.
  • Source : Gartner 80% des attaques réussies utiliseront au moins une vulnérabilité connue en 2015.
  • Les pirates évoluent, nous devons adapter nos mentalités et nos moyens de défense.
  • Etude des attaques récentes Les leçons à tirer de StuxNet, Sony et Daesh
  • StuxNet - Cyberguerre entre Etats • Virus créé par des organisations gouvernementales • Très difficile à détecter, a grandement retardé le programme nucléaire iranien, alors qu’il était cloisonné par rapport à Internet. • Réalisé via des intrusions réelles (vol de clés en entreprise). • Leçon à tirer : si les moyens sont mis, n’importe quel système peut être piraté.
  • Sony Pictures Entertainment - Cybercriminalité • Attaque réalisée par des pirates pour voler des informations • L’attaque était basée sur des vulnérabilités connues • Leçon à tirer : même les grandes entreprises sont concernées par des failles « basiques » comme les vulnérabilités historiques.
  • Daesh - Cyberterrorisme • Attaque réalisée par des activistes liés à l’Etat Islamique, contre des organisations gouvernementales. • Très peu de dégâts causés, mais message politique passé et relayé grâce aux médias. • Anonymous a contre-attaqué en Mars 2015, en diffusant des comptes Twitter liés à Daesh pour arrêter leurs propriétaires. • Leçon à tirer : les guerres politiques se jouent désormais aussi sur le cyberespace.
  • The true computer hackers follow a certain set of ethics that forbids them to profit or cause harm from their activities. - Kevin Mitnick Expert SSI, a figuré sur la Most-Wanted list du FBI
  • Vers un statut officiel hacker / pirate ?
  • Démonstration Attaque par injection XSS sur un site connu
  • Métiers de la SSI Ce que cherche l’industrie
  • Consultant SSI • Profil polyvalent • Ingénieur, Bac +5 avec spécialité informatique • Effectue des audits organisationnels • Qualités : esprit de synthèse, bon contact • Entreprises type : Solucom, HSC, Fidens
  • Pentester / Consultant technique • Profil technique • Ingénieur, Bac +5 avec spécialité informatique • Effectue des audits techniques • Qualités : expertise technique, esprit de synthèse • Entreprises type : HSC, Cyberwatch, Abbana
  • Responsable de la Sécurité SI • Profil polyvalent • Ingénieur, Bac +5 avec spécialité informatique • Gère la Sécurité SI d’une entreprise • Qualités : gestion d’équipe, bon relationnel • Entreprises type : N/A (internalisé)
  • Evolutions techniques et politiques Avis de Cyberwatch sur le sujet
  • Evolution globale de la sécurité DétectionGuérison Bruce Schneier au FIC 2015 Présent
  • Evolution globale de la sécurité CorrectionDétectionGuérison Bruce Schneier au FIC 2015 Présent
  • De la guérison à la prévention • Guérison : suite à une attaque, opérations de remise en service du système d’information. • Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion. • Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter.
  • Les technologies de protection deviennent de plus en plus matures. Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont.
  • Notre avis sur l’avenir ? Des solutions de protection automatisées. Pas de compétences techniques requises. Protection clé en main économique.
  • Merci pour votre attention ! Questions / Réponses
  • CYBERWATCH Cybersecurity as a Service Protéger - Détecter - Corriger contact@cyberwatch.fr http://www.cyberwatch.fr
Fly UP