Cybersécurité : les nouveaux défis de la SSI

CybersécuritéLes nouveaux défis de la sécurité des systèmes d’information

Nicolas CAPRONI

Consultant en sécurité des systèmes d’information

BSSI Conseil & Audit

Mercredi 6 février 2013

dimanche 24 février 13

Nicolas CAPRONI cyber-securite.fr

Plan de l’intervention

2

1. Introduction à la SSI

2. Panorama des cyber menaces

3. Se protéger face aux cyber attaques

N’hésitez pas m’interrompre pour me poser des questions !


Introduction à la SSI

• Qu’est-ce-que la SSI ?

• Et la cybersécurité ?

• Les enjeux de la cybersécurité



La Sécurité des Systèmes d’Information

• La sécurité des systèmes d’information (SSI) « est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information »

• L’objectif est de prévenir les menaces et d’assurer la disponibilité, la confidentialité et l'intégrité d’un système d’information.

4



Cybersécurité ?

• Plusieurs définitions :

– « Etat recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la

cybercriminalité et sur la mise en place d’une cyberdéfense » Définition de l’ANSSI

• Mais aussi cyberdéfense, cyberattaque, cyberespace, cyberespionnage, cyberconflit, cyberterrorisme, cybercriminalité...

5



Cybersécurité ?

• Plusieurs définitions :

– Le terme est devenu à la mode et finalement revient à parler de SSI de façon encore plus globale (au niveau d’un Etat)

– On retrouve des dérivés : cyberdéfense qui a une connotation militaire et gouvernementale.

– « Ensemble des mesures techniques et non-techniques permettant à un État de défendre dans le cyberespace les systèmes d’information

jugés essentiels » Définition de l’ANSSI

– Et la tendance est à rajouter le terme cyber partout...

6



Les enjeux de la cybersécurité

• Quels enjeux

– Pour les entreprises

• Financier (perte de chiffre d’affaires, perte d’avantage concurrentiel...)

• Juridique (amendes, non respect de réglementation sectorielle, non respect de la loi informatique & Libertés…)

• Perte d’image (réputation, confiance des clients…)

– Pour les Etats :

• Stratégique (une problématique de défense et sécurité nationale)

• Diplomatique

• Economique

• Militaire7


Panorama des cyber menaces

• Profils et motivation des attaquants

• Les 4 grandes cyber menaces d’aujourd’hui




• Explosion du nombre de cyber attaques

• Des menaces de plus en plus nombreuses et complexes

» une militarisation du cyberespace

• Des profils d’attaquants très différents

» n’oublions la menace interne

• Des motivations diverses

9




10




• Bilan 2012 du CERT-IST

– Les principaux sujets de l’actualité 2012 :

» Cloud et BIG-Data

» Smartphones

» Réseaux sociaux

» Hacktivisme

» BYOD

» Cyber-espionnage et APT

» La montée des états

» Cybercrime

» Vol de données personnelles

11




12

http://hackmageddon.com


http://hackmageddon.com/

http://hackmageddon.com/



• On peut identifier plusieurs types d’attaquants

– Cybercriminel

– Cyber espion

– Hacktiviste

• Et pourquoi pas demain ?

– Cyber soldat

– Cyber terroriste ?

13




• Des motivations différentes

– L’argent, le gain financier

– Le vol d’informations confidentielles / stratégiques / personnelles

– La déstabilisation : nuire à l’image de marque de l’organisation

– L’idéologie (politique, religieuse...)

– La vengeance

– Le sabotage

– ...

14




• Des cyber « armes »

– Les attaques par DDoS (déni de service distribué)

– Les malwares (ver, virus, cheval de Troie...)

– Les RAT (Remote Administration Tool)

– L’exploitation de faille connues ou inconnues (0-day)

– Le social engineering

– ...

• Des techniques d’attaques qui se combinent et des outils qui sont plus ou moins complexes à développer

15




• On peut classer les cyber attaques dans 4 familles :

– La cybercriminalité

– Le cyber espionnage

– La déstabilisation

– Le sabotage

16




• La cybercriminalité

– Un phénomène mondial en plein essor

– Une économie souterraine

» impossible à chiffrer de façon globale

» Fraude bancaire en Europe : 1,5 milliard d’euros (Europol)

– Professionnalisation des cybercriminels

– Développement du CaaS (Crime-as-a-Service)

17

Profil des attaquants :Cybercriminel (money mule, programmeur de malware, mafia...)

Modes opératoires :Phishing, Scam, Fraudes à la carte bancaire, vols de données personnelles, vol d’identifiants (réseaux social, messagerie électronique, iTunes, PayPal...), Ransomwares, Botnet, DDoS...

Cibles / victimes :• Les particuliers• Les entreprises• L’Etat et les administrations publiques





– Le phénomène des ransomwares

» stopransomware.fr

– Usurpe l’identité des forces de police et de gendarmerie

– Joue sur la peur des internautes

– Demande de paiement

18





– Le phishing (exemple EDF)

– EDF a communiqué sur les milliers de campagne de phishig qui visent ses clients

– 40 000 signalements en janvier

19





– Le phishing (surtout les banques)

– Quelques conseils :

• Faire attention aux e-mails «suspects»

• Vérifier l’orthographe

• Aucune organisation ne vous demandera jamais vos coordonnées bancaires par mail

20





– Les botnets

– Réseaux de PC « zombies»

» infectés par un malware

» serveurs de C&C

– Les possibilités :

» Vol de données bancaires

» Vol d’identifiants de réseaux sociaux...

» DDoS21




• Cybercriminalité : la face cachée

22




• Cybercriminalité : professionnalisation et industrialisation

23




• Cyber espionnage

– Une menace très active, comme au plus fort de la guerre froide

– Des attaques discrètes, peu onéreuses et très accessibles techniquement

– Recherche et exfiltration de données confidentielles, stratégiques à haute valeur ajoutée

– L’émergence des APT (Advanced Persistent Threat)

» Mythe marketing ou réalité ?

24

Profil des attaquants :Etats, entreprises, groupes cybercriminels, cyber mercenaires

Modes opératoires :APT, malwares de type Chevaux de Troie (ou RAT), spear phishing, social engineering, 0-day

Cibles / victimes :• Les entreprises (tout secteur confondu)• Les centres de recherche• L’Etat et les administrations publiques





– En 2011, Bercy a été victime d’une cyber attaque

• Première affaire de ce genre révélée en France

• « De l’espionnage pur » selon l’ANSSI

» Vols de données liées au G20 (hypothèse)

• Communication de l’ANSSI pour sensibiliser les acteurs politiques et économiques (entreprise) à ces nouvelles menaces

25





– L’affaire du piratage de Bercy

26





– Les réseaux informatiques de l’Elysée, victimes d’une campagne d’espionnage entre les deux tours de l’élection présidentielle

– Révélée par Le Télégramme en juillet 2012

– Les Etats-Unis soupçonnés d’être à l’origine de cette opération (L’Express)

– Aucun commentaire officiel (ANSSI et Présidence de la République)

27





– Le mode opératoire supposé de l’attaque contre l’Elysée

28





– Des opérations à l’échelle mondiale

• En janvier 2013, Kaspersky dévoile « Red October »

• Une campagne mondiale de cyber espionnage

29




• La carte des victimes de Red October

30





– D’autres organisations espionnées :

» Google, Adobe dans l’opération Aurora

» Lockheed Martin

» RSA

» Areva en 2011

» Des médias américains (New York Times, Washington Post, CNN, Wall Street Journal...)

» Des Etats du Moyen-Orient (via le malware Flame)

– Des soupçons qui se portent régulièrement sur la Chine ou la Russie

– Les limites de l’attribution des cyber attaques...

31




• Déstablisation

– Montée en puissance de l’hacktivisme

– Trois modes d’action principaux :

» la saturation (DDoS pour paralyser un site web ou un service)

» le vol de données et la publication sur Internet

» Le défacement des sites Internet

– Motivations :

» idéologiques (religieuses, politiques...)

» Opportunisme

» S’amuser, le défi technique32

Profil des attaquants :Hacktivistes, cybercriminels, Etats, entreprises...

Modes opératoires :DDoS, vol de données, failles applicatives (web), intrusion, rumeur...

Cibles / victimes :• Les entreprises (tout secteur confondu)• Les Etats et les administrations publiques• Les citoyens




• Déstabilisation

– L’exemple des Anonymous / LulzSec / AntiSec

» Défendre la liberté d’expression sur Internet

» Combattre la censure

» S’amuser (LulzSec)

33




• Déstabilisation : exemple des Anoymous

– Derrière les Anonymous se cachent des « hackers » mais aussi et surtout des « script kiddies »

» Des « hackers » qui ont des compétences techniques particulières

» Des « script kiddies » à qui on fournit des outils de piratage « clé en main »

– Toute organisation (entreprise, administration…) est une potentielle cible.

» C’est une menace opportuniste : elle varie selon les failles informatiques (et humaines) détectées de l’organisation ciblée

» Des entreprises / Etats peuvent devenir des cibles privilégiées

» Certaines #opérations des Anonymous sont des réactions / contestations liées à l’actualité (exemple : fermeture de MegaUpload)34





– Retour sur l’opération #PayBack des Anonymous

• Après la publication de plus de 250 000 câbles diplomatiques américains en février 2010, Wikileaks fait l’objet de blocages financiers.

• En réaction, Anonymous a lancé l’opération #PayBack qui a pris la forme d’une campagne d’attaques DDoS contre les sites web de Visa, MasterCard, Paypal et de la banque suisse PostFinance.

35





– Retour sur le piratage de la société HBGary Federal

• En février 2011, Anonymous s’attaque à la société HBGary Federal. En exploitant une faille de sécurité sur leur site web, les attaquants constatent que les mots de passes sont réutilisés sur un compte Twitter, Linkedin mais également d’un compte gérant tous les adresses e-mail de l’entreprise.

• La société avait déclaré vouloir dénoncer aux autorités certains membres des «Anonymous. En représailles, Anonymous a publié des e-mails et des fichiers confidentiels appartenant à la société. Le mois suivant, le directeur d’HBGary est contraint de démissionner.

36





– Retour sur le piratage de la société Stratfor

• En décembre 2011, Anonymous s’attaque à la société d’intelligence économique, Stratfor. En exploitant une faille de sécurité sur leur site Internet, les attaquants réussissent à « pivoter » sur des serveurs internes à l’entreprise mal protégés.

• Anonymous (avec le collectif #AntiSec) réussit alors à voler l’ensemble des e-mails de la société et efface les données de plusieurs serveurs. Les attaquants réussissent également à mettre la main sur la liste des clients de Stratfor et sur leurs données bancaires.

37




• Sabotage

– La cyber menace la plus dangereuse

– Elle vise des systèmes :

• sensibles (d’importance vitale)

• industriels (SCADA)

• peu protégés en matière de sécurité informatique

– Un enjeu de sécurité nationale

38

Profil des attaquants :Etats, cybercriminels, hacktivistes, entreprises ? cyber terroristes ?

Modes opératoires :DDoS, malware avancé, destruction de matériel, destruction de données, altération des données...

Cibles / victimes :• Les entreprises (notamment les plus sensibles)• Les Etats et les administrations publiques




• Sabotage : exemple de Stuxnet

• Ver très complexe qui exploitait plusieurs vulnérabilités 0-day de système Windows et qui visait spécifiquement un SCADA de marque SIEMENS

• Sa cible :

» le centre d’enrichissement d’uranium iranien de Natanz

• L’objectif :

» ralentir le programme nucléaire iranien

» provoquer le dysfonctionnement des centrifugeuses

• Les responsables :

» Américains et Israéliens sont fortement soupçonnés d’être à l’origine de cette opération de sabotage

39




• Sabotage : exemple de Saudi Aramco

– La plus grande société pétrolière saoudienne touchée par une cyber attaque « destructrice »

– 30 000 postes de travail et serveurs impacté

– Les disques durs ont été effacés

– Grave perturbation du SI de l’entreprise

– En cause : le malware Shamoon

– L’attaque a été revendiquée sur Pastebin par des hacktivistes

– L’Iran est soupçonné d’être à l’origine de cette attaque

40




• La question de l’attribution

– Identifier l’auteur d’une cyber attaque est complexe

– Dans le cyberespace, il est « facile » de brouiller les pistes

– Une simple adresse IP ne mène pas au commanditaire de l’attaque

» Exemple des botnets

– Mais les médias et certains Etats accusent certains pays en particulier :

» Chine / hackers chinois

» Russie / hackers / cybercriminels russes

» Iran

» Etats-Unis (Stuxnet / Flame)

– Difficile de démêler le vrai du faux…

41


Comment se protéger face aux cyber attaques ?

• La sécurité : une démarche d’entreprise

• Back to Basics : bonnes pratiques ou hygiène informatique

• Après la théorie, la réalité du terrain…



Comment se protéger face aux cyber attaques


– Une approche « risques »

– Identifier les risques liés au SI

– Analyser ces risques

– Les prioriser :

» risques majeurs liés aux métiers / processus critiques de l’organisation

– Gérer ces risques :

• les traiter

» les réduire

» les accepter

» les transférer43





– La SSI est plus large que la sécurité informatique

– Elle ne se traite pas uniquement avec des outils techniques

– Il ne faut pas oublier :

» L’aspect organisationnel

» L’aspect humain

» L’aspect juridique

44





– Des hommes, une organisation et des outils pour sécuriser le SI de son organisation

– Des hommes :

» Le RSSI : véritable pilote de la sécurité des SI

» La DSI et les équipes de sécurité opérationnelle : la MOE de la SSI

» Les correspondants SSI : pour faire vivre la SSI dans les métiers, dans les filiales…

» Les équipes CSIRT / CERT : tour de contrôle et pompiers de la SSI

» Un CIL (bientôt un DPO – Data Protection Officer)

45





– Une organisation:

» Un RSSI au plus proche de la DG ou de la Direction des Risques

» Pour une implication des dirigeants

» Une gouvernance

» Une PSSI

» Un socle documentaire pragmatique (qui ne reste pas au fond du tiroir)

46





– Des outils :

» Des méthodes

» Une méthode d’analyse de risques

» Procédures en mode dégradé

» Des outils juridiques

» Une charte informatique

» Des outils techniques

» L’arsenal de la sécurité informatique (anti-malwares, IDS / IPS, SIEM, Firewall, WAF, DLP, scanner de vulnérabilité…)

47





– 5 piliers

» Anticipation

» Prévention

» Protection

» Détection

» Réaction

– Dans une démarche d’amélioration continue

– Dans un système de management de la sécurité

48





– Le management de la SSI

– Des normes ISO 2700x

» ISO 27001 : le cadre, la gouvernance de la SSI

» ISO 27002 : le guide de bonnes pratiques

» ISO 27004 : les indicateurs pour piloter le SMSI

» ISO 27005 : la méthode d’analyse de risque

49





– La méthode d’analyse de risques

» ISO 27005

» EBIOS 2010

50





– Des outils :

– La PSSI : la Politique de Sécurité de SI

» Basée sur les chapitres de l’ISO 27002 (pas forcément à la lettre)

– La méthode d’analyse de risque basée sur ISO 27005

» EBIOS ou méthode « maison »

– Des procédures opérationnelles

» Appliquer la PSSI sur le terrain

– Implémenter les mesures techniques

» Mettre en place des contrôles

– La sensibilisation

51




• La PSSI

– La définition d’orientations stratégiques signée par la Direction Générale

– Une démarche basée sur l’analyse de risques SSI / thèmes ISO 27002

– Un instrument de communication et de sensibilisation

– Un document qui doit vivre dans le temps

52

Environnement Règles de sécurité

Périmètre

Bonnes pratiques devant être respectés par les utilisateurs du

système d’information

Enjeux Bonnes pratiques devant être respectés par les utilisateurs du

système d’informationStratégie de Sécurité

Bonnes pratiques devant être respectés par les utilisateurs du

système d’information




• La sensibilisation : indispensable mais si compliquée

53

Source : Solucom 2012





– Anticipation

• Mise en place d’une veille sécurité

» Analyse des menaces

» Vulnérabilités

• Partage d’information et retour d’expérience

• Conférences, colloques, clubs, association SSI

» FIC, STIC

» CLUSIF, ISSA, Club EBIOS / 27001

» Forum des Compétences…

• Se préparer au « pire »

54





– Prévention

• Former, sensibiliser et communiquer sur plusieurs niveaux :

» Les utilisateurs

» Les dirigeants

• Analyser les risques (dans les projets notamment)

• Assurer la résilience : PSI / PCA / PRA

• Auditer la sécurité du SI

» Pentest (automatique, manuel)

» Organisationnel

» Social Engineering

55





– Protection

• Implémenter les mécanismes de sécurité

» IAM, gestion des habilitation, authentification forte et contrôle d’accès

» Chiffrement des données

» Antimalware

» Firewall

» Anti-DDoS

» Filtrage web

» Cloisonnement des réseaux

» Patch Management (gestion des correctifs)56





– Détection

• Connaître son SI

» Détecter les vulnérabilités

• Surveiller ses réseaux informatiques

» Sondes

• Détecter des évènements de sécurité

» SOC (Security Operation Center)

» SIEM

» Equipe CSIRT / CERT

» Suivi des incidents sécurité

57





– Réaction

• Pour répondre aux incidents de sécurité

• Equipe CSIRT / CERT

» Plans de réaction

» Gestion de crise

» Forensics

» Malware reverse engineering

» Désinfection virale

» Assistance à la DSI

58





– Détection / Réaction sont une approche assez nouvelle mais indispensable pour détecter et répondre aux cyber attaques actuelles

» Pour lutter contre les fameuses APT

– Détecter reste très compliqué dans de grandes organisations

– La réponse aux incident nécessite des méthodes et des experts spécialisés peu nombreux en France

– Mais c’est une compétence indispensable à acquérir car quand les phases de détection et de protection ont échoué, il faut pouvoir réagir et traiter efficacement l’incident / la crise.

59





– Il ne faut pas oublier :

» La sécurité dans les projets : intégrer la SSI en amont de chaque projet

» Les contrôles et les audits : pour tester les mécanismes de sécurité et vérifier leur efficacité

» La conformité réglementaire

» CNIL

» PCI DSS

» Bâle 2, Solvency 2

» …

60





• Les fondamentaux de la sécurité ne sont pas souvent appliqués…

• L’ANSSI a publié un guide d’hygiène informatique

» 13 thèmes

» 40 règles élémentaires à adapter au contexte de chaque organisation

61





62

1. Connaître le système d’information et ses utilisateurs 2. Maîtriser le réseau3. Mettre à niveau les logiciels4. Authentifier l’utilisateur5. Sécuriser les équipements terminaux6. Sécuriser l’intérieur du réseau7. Protéger le réseau interne de l’Internet8. Surveiller les systèmes9. Sécuriser l’administration du réseau10. Contrôler l’accès aux locaux et la sécurité physique11. Organiser la réaction en cas d’incident12. Sensibiliser13. Faire auditer la sécurité





63




• De la théorie à la pratique : la réalité du terrain

– Insécurité permanente

» De nombreuses failles

» Une défense perméable

– Il ne faut plus se demander si on a été victime d’une intrusion mais depuis quand ?

– La sécurité n’est pas toujours une priorité : les organisations manquent d’une culture sécurité

– Les bonnes pratiques de sécurité ne sont pas respectées

– Pour le moment : avantage aux attaquants

64




• De la théorie à la pratique : la réalité du terrain

– Des limites :

• Manque de budget

• Manque de moyens (humains)

• Les solutions de sécurité ne sont pas adaptées aux menaces actuelles

– Les nouveaux usages s’imposent sans laisser de place à la sécurité

• BYOD

• Cloud Computing

– Convaincre sans contraindre

– Allier sécurité et ergonomie

65




• La réalité du terrain : le Cloud Computing

– Externalisation de services / matériels (SaaS, datacenter…)

– Perte de maîtrise des données (et de la sécurité ?)

» Où sont mes données ?

» Qui peut les consulter ?

» Comment sont-elles sécurisées ?

» Comment exporter mes données vers un autre prestataire ?

66





– Enjeux juridiques

» Quid des données personnelles ?

– Enjeux de souveraineté nationale

» Les acteurs américains dominent le marché du Cloud Computing

» La peur du Patriot Act américain

» Lancement de Clouds souverains en France : CloudWatt et Numergy

67





– Mais la réalité prend le dessus :

» Les DSI poussent vers le Cloud. Les métiers aussi.

» La réalité économique (réduction des coûts)

» La flexibilité et l’agilité

– Interdire le Cloud ? Non mais accompagner la DSI.

» Analyser les risques.

» Quelles données l’organisation se permet-elle d’externaliser ?

» Quel contrat mettre en place avec le prestataire ?

– Security as a Service : les solutions de sécurité dans le Cloud

– Le Cloud, moins sûr que le SI interne d’une organisation ? Ca reste à démontrer…

68




• La réalité du terrain : le BYOD (Bring Your Own Device)

– Utiliser son terminal personnel en entreprise

» Smartphone

» Tablette

» Ordinateur portable ?

– Le connecter au SI de l’entreprise

» Il n’est pas maîtrisé par la DSI...

– De nouveaux risques ?

» Sécurité (malwares, fuite de données, vol du terminal…)

» Juridique (vie privée)

» RH (temps de travail, charte informatique)

69




• La réalité du terrain : le BYOD (Bring Your Own Device)

– Interdire ? Non mais accompagner la DSI / DRH

» Limiter à certaines catégories de personnel

» Tout le monde a-t-il besoin d’accéder à ses données professionnelles hors de son lieu de travail ?

» Qui dira non au VIP ? Ce sont souvent les premiers demandeurs

– Des solutions existent (mais elles ne couvrent pas toutes les problématiques de sécurité) :

» MDM (Mobile Device Management)

» Solution de conteneurs sécurisés (cloisonner données personelles / professionnelles)

»70




• La réalité du terrain : BYOD et Cloud

– Deux tendances fortes aujourd’hui

– Beaucoup de marketing autour de ces deux phénomènes

– Mais les risques sont ils vraiment nouveaux ?

» Interdire est difficile mais il faut alors accepter le risque

» Sensibiliser

» Et parfois contraindre quand il le faut…

– Ces deux phénomènes médiatico-marketing brouillent parfois le message autour de risques plus importants

71


Merci

Avez-vous des questions ?

8888

Nicolas [email protected] : @ncaproniwww.cyber-‐securite.fr


mailto:[email protected]

mailto:[email protected]

http://www.cyber-securite.fr

http://www.cyber-securite.fr

Technology

Cybersécurité : les nouveaux défis de la SSI