Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
-
Upload
maxime-alay-eddine -
Category
Business
-
view
605 -
download
0
Transcript of Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
![Page 1: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/1.jpg)
Enjeux et évolutions de la sécurité informatique
Maxime ALAY-EDDINECyberwatch SAS - http://www.cyberwatch.frv1.0 - 08/10/2015
1
![Page 2: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/2.jpg)
Faisons connaissance !
• Maxime ALAY-EDDINE
• 24 ans, Consultant SSI
• Président de Cyberwatch SAS
• 3 ans chez SAGEM (SAFRAN)
• 1 an chez SportinTown
• Commencé piratage à 12 ans
CYBERWATCH
2
![Page 3: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/3.jpg)
- Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame
The only truly secure system is one that is powered off, cast in a block of concrete and
sealed in a lead-lined room with armed guards.
3
![Page 4: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/4.jpg)
La sécurité absolue n’existe pas.
4
![Page 6: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/6.jpg)
Il faut viser un « niveau de risque acceptable ».
6
![Page 7: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/7.jpg)
Il faut viser un « niveau de risque acceptable ».
R.O.I.
7
![Page 8: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/8.jpg)
Plan
• Présentation générale
• Evolution des attaques
• R.O.I. et Sécurité informatique
• Démonstration
• Projections et réglementation
• Questions / Réponses
8
![Page 9: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/9.jpg)
Présentation générale
Notions de base et définitions
9
![Page 10: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/10.jpg)
Sécurité des systèmes d’information ?
10
![Page 11: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/11.jpg)
Sécurité des systèmes d’information ?
Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation
sont uniquement utilisées dans le cadre prévu.
Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006
11
![Page 12: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/12.jpg)
Définition plus « concrète »
Disponibilité
Intégrité Confidentialité
12
![Page 13: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/13.jpg)
Définition plus « concrète »… avec les mains
Disponibilité
Intégrité Confidentialité
Est-ce que mon système fonctionne ?
Est-ce que mes données sont bonnes ? Est-ce que mon
système est privé ?
13
![Page 14: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/14.jpg)
Objectif
Disponibilité
Intégrité Confidentialité
Situation optimale
14
![Page 15: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/15.jpg)
Dans l’industrie, 4 grands critères
15
![Page 16: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/16.jpg)
En pratique ?
Besoin'd’exper-se'
Manque'de'temps'
Coût'très'élevé'
16
![Page 17: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/17.jpg)
Quelles solutions ?
Clé$en$mains$
17
![Page 18: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/18.jpg)
Des menaces multiples
S T R I D E
poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege
Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges
18
![Page 19: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/19.jpg)
Usurpation d’identité
Le pirate se fait passer pour une entité.
19
![Page 20: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/20.jpg)
Usurpation d’identité
Login Password
20
![Page 21: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/21.jpg)
Usurpation d’identité
Login Password
Login Password
21
![Page 22: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/22.jpg)
Usurpation d’identité
22
![Page 23: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/23.jpg)
Falsification de données
Le pirate modifie des données.
23
![Page 24: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/24.jpg)
Falsification de données
24
![Page 25: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/25.jpg)
Falsification de données
25
![Page 26: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/26.jpg)
Falsification de données
26
![Page 27: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/27.jpg)
Falsification de données
27
![Page 28: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/28.jpg)
Répudiation
Le pirate fait croire qu’un évènement ne s’est jamais produit.
28
![Page 29: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/29.jpg)
Répudiation
29
![Page 30: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/30.jpg)
Répudiation
30
![Page 31: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/31.jpg)
Répudiation
31
![Page 32: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/32.jpg)
Répudiation
32
![Page 33: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/33.jpg)
Divulgation d’informations
Le pirate publie des informations confidentielles.
33
![Page 34: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/34.jpg)
Divulgation d’informations
Login Password
34
![Page 35: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/35.jpg)
Divulgation d’informations
Login Password
35
![Page 36: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/36.jpg)
Déni de service
Le pirate rend un service inaccessible.
36
![Page 37: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/37.jpg)
Déni de service
37
![Page 38: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/38.jpg)
Déni de service
38
![Page 39: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/39.jpg)
Déni de service distribué
39
![Page 40: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/40.jpg)
Déni de service distribué
40
![Page 41: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/41.jpg)
Elévation de privilège
Le pirate obtient des droits privilégiés sur un système.
41
![Page 42: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/42.jpg)
Elévation de privilège
42
![Page 43: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/43.jpg)
Elévation de privilège
43
![Page 44: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/44.jpg)
Des menaces multiples… suite
Sécurité physique Sécurité réseau
Sécurité des applications Ingénierie sociale
…
44
![Page 45: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/45.jpg)
Pour chaque menace, il y a une solution
Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité …
Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Scanner de vulnérabilités …
45
![Page 46: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/46.jpg)
Source : yannarthusbertrand2.org
Les menacesévoluent et deviennent
de plus en plus complexes.
46
![Page 47: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/47.jpg)
You can't defend. You can't prevent. The only thing you can do is detect and respond.
- Bruce Schneier Expert SSI, inventeur du standard Bluefish
47
![Page 48: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/48.jpg)
Evolution des attaques
Etude de la complexité et des nouvelles cibles des pirates
48
![Page 49: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/49.jpg)
La bombe logique - 1982
• Dossier Farewell (Vladimir Vetrov)
• Opération créée par la CIA contre un pipeline russe
• Code malveillant permettant de faire exploser le pipeline, sans explosif externe
• Les dégâts causés étaient visibles depuis l’espace49
![Page 50: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/50.jpg)
Kevin Mitnick - 1983
• Kevin Mitnick s’introduit sur le réseau du Pentagone
• S’introduit par « défi » technique
• Ne vole pas de données, conserve un sens éthique
• Travaille désormais comme consultant SSI
50
![Page 51: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/51.jpg)
Morris - 1988
• Créé par Robert Tappan Morris (Cornell) en 1988
• Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm)
• Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés.
• Plus de 6000 ordinateurs infectés, pour $100M d’amende.
51
![Page 52: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/52.jpg)
Jonathan James - 1999
• Pirate la Defense Threat Reduction Agency à 15 ans
• Installe une backdoor sur un serveur, puis un sniffer, pour finalement voler des accès à des ordinateurs militaires
• Récupère le code source d’un logiciel de la NASA utilisé sur la Station Spatiale Internationale pour contrôler l’environnement de vie des astronautes
• Accusé à tort d’une autre attaque, se suicide en 200852
![Page 53: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/53.jpg)
MafiaBoy - 2000
• Michael Calce (aka MafiaBoy) réalise des attaques par Déni de service distribué sur des majors (Amazon, CNN, eBay, Yahoo!)
• Explique avoir voulu tester des attaques pour concevoir de nouveaux dispositifs de protection
• Les dégâts sont évalués à plus de $1,2Mrds
• Reconverti dans la sécurité informatique
53
![Page 54: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/54.jpg)
Estonie - 2007
• L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie.
• Les services gouvernementaux sont stoppés
• Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés
54
![Page 55: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/55.jpg)
Operation Aurora - 2009
• Google China est victime d’une attaque majeure de la part du gouvernement chinois
• Objectif : récupérer des données sur des activistes de la lutte pour les droits de l’Homme
55
![Page 56: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/56.jpg)
Israël - 2009
• 5.000.000 d’ordinateurs réalisent une attaque de Déni de service distribué sur les sites gouvernementaux israéliens.
• Ces attaques sont réalisées pendant l’offensive de Janvier 2009 sur la bande de Gaza.
• L’origine des attaques semble être liée à un ancien état soviétique et aux organisations type Hamas/Hezbollah.
56
![Page 57: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/57.jpg)
La Cyber-armée iranienne - 2010
• Des militants iraniens attaquent Twitter et Baidu (Google chinois).
• Les internautes sont redirigés vers une page pirate avec un message politique.
57
![Page 58: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/58.jpg)
StuxNet - 2010
• Virus de très haute expertise technique visant les machines industrielles Siemens.
• Découvert en Iran et en Indonésie.
• Semble viser le programme nucléaire iranien.
58
![Page 59: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/59.jpg)
Red October - 2012
• Kaspersky découvre un virus en activité depuis 2007
• Le virus a dérobé des informations confidentielles dans des entités gouvernementales et des entreprises sur des systèmes critiques.
• Utilise des vulnérabilités dans Word et Excel
59
![Page 60: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/60.jpg)
Sony Pictures Entertainment - 2014
• Vol massif de données (films notamment)
• Les données ont été diffusées sur Internet
• Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M
60
![Page 61: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/61.jpg)
Ashley Madison - 2015
• Vol massif de données (60 Go)
• > 30M de comptes utilisateurs rendus publics
• Problème : pas de surveillance du réseau, mots de passe trop simples (Pass1234)
61
![Page 62: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/62.jpg)
Ashley Madison - 2015
• (source Gizmodo et Dadaviz)
• Perte financière :- Chantage auprès des utilisateurs du site - Class-Action contre l’entreprise, coût estimé > $5 M
62
![Page 63: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/63.jpg)
Constat
• Ces attaques évoluent et deviennent de plus en plus élaborées (Morris -> StuxNet).
• Les attaques sont maintenant médiatisées (Ashley Madison, Daesh…).
• Les plus connues concernent avant tout les grandes entreprises et les gouvernements.
• Les techniques d’attaques s’industrialisent.
• Petit à petit, création d’un milieu « cybercriminel », avec ses enjeux économiques.
63
![Page 64: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/64.jpg)
Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou
la diffusion d’idées politiques.
64
![Page 65: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/65.jpg)
Quid des PME ? Des particuliers ?
65
![Page 66: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/66.jpg)
Etude des solutions installées en entreprise
Source : La cybersécurité, Que sais-je ?
Sondage sur les solutions de sécurité des entreprises françaises en 2009
66
![Page 67: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/67.jpg)
Etude des solutions installées en entreprise
• Certaines menaces sont traitées de facto
• Les menaces les plus « techniques » sont encore oubliées.
• Cas des vulnérabilités informatiques dites « connues ».
67
![Page 68: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/68.jpg)
Rôle des autorités de SSI
• Autorités gouvernementales de la SSI
• 2 rôles majeurs : surveillance, information
68
![Page 69: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/69.jpg)
Les vulnérabilités connues ou « historiques »
• Vulnérabilités publiées par les autorités (8000 en 2014)
• CERT : Computer Emergency Response Team
• Objectif : avertir les usagers des nouvelles failles pour se protéger en temps réel
Heartbleed Shellshock69
![Page 70: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/70.jpg)
Problème : qui suit ces alertes en continu ?
70
![Page 71: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/71.jpg)
71
![Page 72: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/72.jpg)
Résultat
• Cette liste constitue l’armurerie parfaite pour les pirates
• Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités
• Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes.
72
![Page 73: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/73.jpg)
Source : Gartner
80% des attaques réussies utiliseront au moins une vulnérabilité connue en 2015.
73
![Page 74: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/74.jpg)
Les pirates évoluent, nous devons adapter nos mentalités et nos moyens de défense.
74
![Page 75: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/75.jpg)
R.O.I. et Sécurité informatique
Faire de la cybersécurité un investissement créateur de valeur
75
![Page 76: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/76.jpg)
Etude du R.O.I. - Cas classique
Poste
Dépenses Recettes
76
![Page 77: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/77.jpg)
Etude du R.O.I. - Cas classique
Poste
Dépenses Recettes
1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10%
2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0%
3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10%77
![Page 78: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/78.jpg)
Et dans la Cybersécurité ?
78
![Page 79: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/79.jpg)
Etude du R.O.I. - Cas de la cybersécurité
Sécurité Informatique
Dépenses Recettes
Pertes
79
![Page 80: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/80.jpg)
Etude du R.O.I. - Cas de la cybersécurité
Sécurité Informatique
Dépenses Recettes
PertesCas classique :
- Dépenses = 1000, Pertes = 0 - Dépenses = 0, Pertes = 5000
80
![Page 81: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/81.jpg)
Etude du R.O.I. - Cas de la cybersécurité
Sécurité Informatique
Dépenses Recettes
PertesCas classique :
- Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0
81
![Page 82: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/82.jpg)
La sécurité informatique avec une vision classique de R.O.I. se défend mal.
Pourtant…
82
![Page 83: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/83.jpg)
Etude du R.O.I. - Cas de la cybersécurité
Sécurité Informatique
Dépenses Recettes
PertesCas classique :
- Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0
83
![Page 84: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/84.jpg)
Etude du R.O.I. - Cas de la cybersécurité
Sécurité Informatique
Dépenses Recettes
PertesCas classique :
- Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0
Total : -1000 Total : -5000
84
![Page 85: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/85.jpg)
La sécurité informatiquepréserve la valeur de l’entreprise.
85
![Page 86: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/86.jpg)
La sécurité informatiquepréserve la valeur de l’entreprise.
On la perçoit donc comme un outil de réduction de risque.
86
![Page 87: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/87.jpg)
Les biais de l’approche « Réduction du risque »
• Approche classique Annualized Loss Expectancy (ALE)
• Si je connais :- mon risque- mes pertes potentielles
• Alors Budget ≤ Risque x Pertes
87
![Page 88: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/88.jpg)
Les biais de l’approche « Réduction du risque »
• Approche classique Annualized Loss Expectancy (ALE)
• Si je connais :- mon risque- mes pertes potentielles
• Alors Budget ≤ Risque x Pertes
10% de chances d’avoir un Accident 10.000.000€ de pertes attendues si l’Accident se produit
Budget ≤ 1.000.000€ pour se protéger
Ex :
88
![Page 89: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/89.jpg)
Les biais de l’approche « Réduction du risque »
• Risque de la sécurité informatique :- Quel est ma surface d’exposition ? - Quel est mon niveau de sécurité ? - Quelles sont les menaces ?
• Pertes liées à la sécurité informatique :- Quels sont mes principaux assets ?- Quelles sont mes pertes potentielles matérielles ? - Quelles sont mes pertes potentielles immatérielles ?
89
![Page 90: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/90.jpg)
Les biais de l’approche « Réduction du risque »
• Risque de la sécurité informatique :- Quel est ma surface d’exposition ? - Quel est mon niveau de sécurité ? - Quelles sont les menaces ?
• Pertes liées à la sécurité informatique :- Quels sont mes principaux assets ?- Quelles sont mes pertes potentielles matérielles ? - Quelles sont mes pertes potentielles immatérielles ?
Manque de données sur l’environnement et ses enjeux.
90
![Page 91: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/91.jpg)
Les biais de l’approche « Réduction du risque »
• Question 1 - Que préférez-vous entre :A : un gain certain de 100 € B : 1 chance sur 2 de gagner 200 € (ou 0€)
91
![Page 92: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/92.jpg)
Les biais de l’approche « Réduction du risque »
• Question 2 - Que préférez-vous entre :A : une perte certaine de 100 €B : 1 chance sur 2 de perdre 200 € (ou 0€)
92
![Page 93: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/93.jpg)
Les biais de l’approche « Réduction du risque »
• Question 1 - Que préférez-vous entre :A : un gain certain de 100 € — 72% B : 1 chance sur 2 de gagner 200 € (ou 0€)
• Question 2 - Que préférez-vous entre :A : une perte certaine de 100 €B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64%
Problèmes équivalents mais humain irrationnel. Phénomène d’aversion à la perte (Tversky, Kahneman, 1986).
93
![Page 94: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/94.jpg)
L’approche classique ALE ne pousse pas à assainir l’écosystème.
2 solutions : 1) Créer de la valeur avec la cybersécurité.
2) Réglementer l’écosystème.
94
![Page 95: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/95.jpg)
Créer de la valeur avec la cybersécurité
• Faire de la sécurité informatique un argument commercial :« Notre système d’information a été audité pendant 5 jours par une équipe d’experts en sécurité. Avec nous, vos données sont protégées. »
• Inclure des solutions de sécurité dans ses produits : - Voitures vendues avec des alarmes en option. - Infogéreurs vendent des serveurs infogérés avec une option sécurité.
95
![Page 96: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/96.jpg)
Créer de la valeur avec la cybersécurité
• La sécurité informatique augmente alors la valeur perçue par le client, en termes de qualité.
• Le fait d’embarquer des solutions permet d’apporter en plus du confort et de la simplicité.
• Ces approches réduisent le risque informatique, et en déportent le coût sur le client final.
96
![Page 97: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/97.jpg)
Réglementer l’écosystème
• Approche de l’assurance :- Tout conducteur doit avoir souscrit une assurance auto.- Tout salarié cotise à l’assurance chômage.
• Depuis 2013, Loi de Programmation Militaire : - Fixe des obligations comme l’interdiction de connecter certains systèmes à Internet ;- Met en place de systèmes de détections par des prestataires labélisés par l’Etat ;- Vérifie le niveau de sécurité des SI critiques à travers un système d’audit ;- Et en cas de crise majeure, peut imposer les mesures nécessaires aux opérateurs.
Source cyberstrategie.org97
![Page 98: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/98.jpg)
Réglementer l’écosystème
• LPM s’applique aux Opérateurs d’Importance Vitale :- Transport ;- Energie ; - Télécommunications…
• Les OIV doivent notifier les attaques informatiques à l’Agence Nationale de la Sécurité des Systèmes d’Information.
• Au niveau européen, directives votées en 2014 permettent à un Etat d’avertir le public d’une attaque sur OIV…
98
![Page 99: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/99.jpg)
Démonstration
Attaque par injection XSS sur un site connuVisite d’un site du Darkweb
99
![Page 100: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/100.jpg)
Projections et réglementation
Projections sur l’écosystème et réglementation en cours
100
![Page 101: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/101.jpg)
Evolution globale de la sécurité
DétectionGuérison
Bruce Schneier au FIC 2015
Présent
101
![Page 102: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/102.jpg)
Evolution globale de la sécurité
CorrectionDétectionGuérison
Bruce Schneier au FIC 2015
Présent
102
![Page 103: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/103.jpg)
De la guérison à la prévention
• Guérison : suite à une attaque, opérations de remise en service du système d’information.
• Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion.
• Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter.
103
![Page 104: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/104.jpg)
Evolutions réglementaires
• Transposition des directives européennes en France ?
• Extension progressive de la réglementation imposée aux OIV à l’ensemble des entreprises françaises ?
• Vers une assurance Cyber-Risques obligatoire ?
Objectif : Atteindre la « Cyber-Résilience » européenne
104
![Page 105: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/105.jpg)
105
![Page 106: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/106.jpg)
Les menaces sont multiples, complexes.
Les technologies de protection deviennent de plus en plus mûres et automatisées.
Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont.
Conclusion
106
![Page 107: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/107.jpg)
Notre avis sur l’avenir ?
L’assainissement de l’écosystème passe par des solutions de sécurité embarquées,
automatisées et économiques, et supportées par des évolutions réglementaires.
107
![Page 108: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/108.jpg)
Merci pour votre attention !
Questions / Réponses
108
![Page 109: Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes](https://reader033.fdocuments.net/reader033/viewer/2022052418/587d92641a28abcd648b7ec5/html5/thumbnails/109.jpg)
CYBERWATCHCybersecurity as a Service
Protéger - Détecter - Corriger
[email protected] http://www.cyberwatch.fr
109