Les défis de la

sécurité informatiqueClub IES, 7 février 2012

2012

Jérôme Saiz / SecurityVibes

SecurityVibes Communauté de professionnels de la sécurité IT

Magazine

Evénements

Soutien de Philippe Courtot, Qualys

Jérôme Saiz Journaliste, spécialiste des questions de sécurité

Geek de cœur

EPITA : « Technologies & Marché de la sécurité »

LesNouvelles.netSecurityVibes

2

Qui ?

La menace a évolué

Les nouveaux acteurs

Le rôle du RSSI

Contre-mesures réalistes

3

Menu

4

Menu

La menace a évolué

Du visible (égo)au discret (exploitation)

Exploitation = argent = professionnalisation 9 millions de $ / 49 villes US / 130 DAB / une heure (WorldPay, 2009)

6,7 millions de $ / 3 jours / DAB + virements (Postbank, 2012) Des comptes dédiés ouverts pendant une année

Malgré 2 millions de $ de logiciels anti-fraude

Retour à l’amateur avec les hacktivistes

5

Evolution

Del’amateurau vénal

Vrai pour le grand public

Arnaques Facebook, « badware »…

Aucun besoin de sophistication technique

L’utilisateur est (i)responsable de son infection

Moins pour l’entreprise

Attaques ciblées, social engineering, APT, Stuxnet

Kits d’infection et de copie rapide (smartphone, laptop)

6

Evolution

Niveau techniqueen baisse

Réseaux sociaux

Grand public : arnaques en hausse Sondages&SMS surtaxés, vraies fausses vidéos virales, vol du carnet d’adresses

Entreprises : repérage, renseignement, ciblage

Mobiles

Grand public : vol de données, arnaques bancaires (appspiégées)

Entreprises : BYOD

Documents piégés

Attaques ciblées via Flash / PDF / MS Office

7

Evolution

Trois menaces 2012

8

Menu

De nouveaux acteurs

9

Acteurs

Les Hacktivistes

« Altermondialistes numériques »

Non-violent, illégal, digital et politique

Armes : vol de données et déni de service distribué (DDoS)

Pas de consensus sur la « légitimité » de l’un ou de l’autre DDoS = « sitting » pacifique ou acte violent de neutralisation ?

Vol de données =militantisme ou vol ?

10

Acteurs

Les Hacktivistes

Pas d’objectif unique / clair

Liberté d’expression ?

Anticapitalisme ?

Nihilisme 2.0 ?

Ecologie ?

Intérêts personnels ?

Manipulation ? (PSYOP militaire) « Psychological operations are planned operations to convey selected information and

indicators to foreign audiences to influence their emotions, motives, objective reasoning, and

ultimately the behavior of foreign governments, organizations, groups, and

individuals »(Wikipedia)

11

Acteurs

Les Hacktivistes

Des actions perçues (aussi) positivement

Développement d’outils de chiffrement (PGP)

Miroirs de sites censurés

Assistance technique anti censure

Dialogue difficile à initier

Qui est représentatif ?

Emotion vs business

12

Acteurs

Les Hacktivistes

« Si vous dirigez un pays et que vous ne vous comportez pas correctement, avec les réseaux sociaux les utilisateurs ont désormais le moyen de vous faire tomber » (David Jones, DG Havas @ Davos 2012)

Vrai également pour les entreprises

« Chaque utilisateur a désormais les moyens de lancer un mouvement de masse. Mais ces cyber mouvements sociaux ne créent pas de leaders »(idem)

Débordements et réflexe de meute (ex : Orange / Free)

Dialogue rationnel difficile

13

Acteurs

Les Hacktivistes

Exemple : Anonymous Une idée plutôt qu’une organisation

La liberté d’expression, la désobéissance civile

Pas d’intérêt pour les données personnelles

Structure fluide et décentralisée Basée sur la volonté du groupe (désignation libre des cibles + LOIC)

Héritage de 4chan

DDoS (majoritaire) et intrusions (rares)

Dissensions régulières & inévitables

Risques de dérapage Anonymous vs Zetas

Enrôlement forcé (casPasteHTML.com)

14

Acteurs

Les Hacktivistes

Veille d’actualité

Veille réseau sociaux

Matrice de risque actualité / activité

de l’entreprise à développer

Communication de crise

Le défi

Les Sopranos sur Internet ? Pas vraiment

Le web comme soutien aux activités illégales traditionnelles Communication, organisation, protection des données

Blanchiment d’argent (fraude transnationale)

Contrefaçon, pédopornographie, prostitution

Approche « utilitaire » des technologies

15

Acteurs

Le crime organisé

La réalité : des gangs 100% virtuels

1 casse @ $1 million ou 1 million d’arnaques @ 1$ ?

Ticket d’entrée faible, risque faible, gains élevés

Gourmands, très spécialisés, très organisés Codeur, exploiteur, « carder », associé, mule…

Ne se rencontrent (presque) jamais

Géométrie variable Constitution de groupes ad-hoc

Communication exclusivement en ligne

Des spécialités régionales Russie (piratage, exploits), Brésil (malwarebancaire), Chine (hébergement)…

16

Acteurs

Le crime organisé

Exemple : Liberty Reserve

Monnaie parallèle hors système bancaire international

Difficile d’atteinte « Puisque nous sommes basés à Nevis (Costa Rica), vous devez être un meurtrier, un

ravisseur ou un baron de la drogue pour nous forcer à divulguer des informations sensibles »

Structure décentralisée Emetteur et grossistes indépendants

Opérations 100% virtuelles Transactions via MSN, Yahoo! Messenger, ICQ vers des comptes en ligne

Pas de logs

17

Acteurs

Le crime organisé

18

Acteurs

Contrôles internes / fraude interne

Protection des clients

Moyens de

paiement, achats, escroqueries en ligne

Conformité réglementaire

(un défi à part entière !)

Le crime organisé

Le défi

Cyberguerre ≠ espionnage

Guerre = opérations militaires, dégâts matériels, victimes

= Cyber-sabotage

Confusion

N’importe qui peut se joindre à la bataille Attaque Russe contre la Géorgie, Estonie : nationalistes ? Hacktivistes ?

Attaques contre le cyber ou attaque avec des armes cyber ? Contre : détruire l’infrastructure SI (armes cyber ou physiques)

Avec : utiliser des armes cyber pour provoquer des dégâts physiques

19

Acteurs

Les Etats

Le cyber comme nouveau théâtre d’opération Terre, Air, Mer, Espace et Cyber (US)

Attaques cyber : « un acte de guerre » (US)

Des armes opérationnelles Stuxnet

Opération Orchard (Israël), tests Aurora (US)

Des Etats organisés ANSSI (France), US Cyber Command (US), Grande Bretagne

(GCHQ), ENISA (EU), KKL (Estonie) + Russie, Chine, Israël, Corée(s), Iran ?

20

Acteurs

Les Etats

Mais encore beaucoup (trop) de questions Nature des armes cyber ?

Armes de dissuasion ? Armes « e-bactériologiques » ? Armes tactiques ?

Quid de la couche radio ? (GPS Jammer ?)

Doctrines d’utilisation ? Quels objectifs ? (Perturbations civiles ? Sabotage d’infrastructures critiques ?

Neutralisation d’objectifs militaires ?)

Quelle réponse ? « Do we do it by going back over the network ? Would it be easier to send a group of special forces in and blow the servers up ? » (Michael Chertoff, ex-directeur US homeland security)

Attribution ?

Dissémination & contrôle ?

21

Acteurs

Les Etats

22

Acteurs

Les Etats

« Nature des armes cybernétiques et stabilité du

système international »

Guy-Philippe Goldstein

+ d’info

Sur SecurityVibes : http://goo.gl/1nGeD

23

Acteurs

Se rapprocher de votre agence

nationale

Redondance, protection des

données, PCA/PRA

Sensibiliser les utilisateurs

Cyber-espionnage plutôt que cyberguerre

Les Etats

Le défi

24

Menu

Le rôle du RSSI

25

RSSI

Le rôle du RSSI

Plus seulement un technicien

SMSI, gestion du risque, organisation…

(si maturité suffisante de l’entreprise)

Communiquant / manager / politique

Et désormais aussi un peu juriste

Obligations de conformité réglementaire (CNIL & métiers)

Montée dans le nuage = contrats & responsabilités

Et surtout visionnaire

Technologies et pratiques émergentes : quel impact ? BYOD, mobilité, SaaS, télétravail, recrutement, mini-sites…

26

« Le RSSI : un schizophrène en évolution ? »

Jean-François Louapre, RSSI AG2R – La Mondiale

+ d’info

Sur SecurityVibes : http://www.securityvibes.com/docs/DOC-1448

Le rôle du RSSI

RSSI

27

De nouveaux camarades de jeu CNIL = CIL

Risque = Risk Manager

De nouvelles pratiques Les métiers accèdent aux offres SaaS

directement

La protection de l’information dépasse le cadre du SI Collaboration avec le responsable IE

RSSI

Le rôle du RSSI

Le défi

28

Menu

Contre-mesures réalistes

29

Contre-mesures

Les contre-mesures réalistes

http://goo.gl/Bwfou

« Back to basics » (*)

* Retour aux fondamentaux

30

Contre-mesures

Les contre-mesures réalistes

« Back to basics » (retour aux fondamentaux)

Si pas encore fait : inutile d’aller plus loin

Si déjà fait : vous savez le chemin qui reste à parcourir. Et n’avez pas besoin de mes conseils ;)

31

Le défi Retour aux fondamentaux

Reprenez le contrôle !

Sensibilisez

Observez !

Contre-mesures

Les contre-mesures réalistes

32

Etmaintenant ?

Restons en contact !

http://fr.linkedin.com/in/jsaiz

http://twitter.com/securityvibesfr

http://www.facebook.com/secvibes

33

Merci !

Place aux questions