Introduction cyber securite 2016

INTERVENANT : PHILIPPE PRESTIGIACOMO

MODULE D’OUVERTURE« INTRODUCTION À LA CYBER SÉCURITÉ »

1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

Philippe PRESTIGIACOMO� Dirigeant de la société PRONETIS

� Consultant SSI – Lead Auditor 27001 / Risk Manager 27005

� Membre de la Réserve de Cyber Défense Citoyenne

� Professeur associé à Polytech Marseille

PRONETIS – www.pronetis.fr� Société indépendante spécialisée en SSI

� Audit – Conseil – Formation – Lutte contre la fraude informatique


OBJECTIF DE CETTE FORMATION

� ObjectifL’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principauxconcepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnespratiques applicables à l’ensemble des étudiants quelle que soit sa filière dansPolytech Marseille.

1. Comprendre les motivations et le besoin de sécurité des systèmes d’information

2. Connaitre les définitions de base et la typologie des menaces

3. Connaitre les grandes orientations de la gestion de la cyber sécurité sur les planstechniques, organisationnels et juridiques


VOLET N°1 – INTRODUCTION - MENACES

� Quelques chiffres – statistiques

� Cyber criminalité

� Hackers – White Hat – Black Hat

� Quelques exemples de Cyber attaques – focus Stuxnet

� Menaces - illustrations

VOLET N°2 – GRANDS PRINCIPES

� Evolution des systèmes d’information

� Evolution de la cyber sécurité

� Evolution du marché de la cyber sécurité

� Principes fondamentaux de la Cyber Sécurité : Besoins, D.I.C.P., Risques

� Difficultés de la sécurité - Relativité de la sécurité

VOICI LES DIFFÉRENTS THÈMES ABORDÉS LORS DE CETTE FORMATION


VOLET N°3 – MESURES DE SÉCURITÉ

� Budget Sécurité – Déclinaison des bonnes pratiques

� Mécanismes de sécurité pour atteindre les besoins DICP

� Vue d’ensemble des mesures de sécurité - Mesures de sécurité

� Métiers en cyber sécurité - La fonction de RSSI

� Audit de sécurité

VOLET N°4 – ORGANISATION DE LA SÉCURITÉ EN FRANCE

� Organisation de la sécurité en France

� Comment réagir en cas de cyber crime ?

� Contexte juridique - Le droit des T.I.C.

� Lutte contre la cybercriminalité en France

� Loi Godfrain - CNIL

VOICI LES DIFFÉRENTS THÈMES ABORDÉS LORS DE CETTE FORMATION


VOLET 1


VOLET N°1 : INTRODUCTION


QUELQUES CHIFFRES – STATISTIQUES

CYBER CRIMINALITÉ

HACKERS – WHITE HAT – BLACK HAT

QUELQUES EXEMPLES DE CYBER ATTAQUES – FOCUS STUXNET

LES MENACES - ILLUSTRATIONS

CYBERCRIMINALITÉ


� Qu’est-ce que la cybercriminalité ?� Activité criminelle portant atteinte aux données, au non-respect des droits d'auteur ainsi

que les activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie et le harcèlement dans le cyberespace.

� Cyber délinquance : individus attirés par l’appât du gain, motivation politique, religieuse, concurrents directs de l’organisation visée…

� Quel est son objectif, ses cibles ?� Gains financiers (accès à de l’information, puis monétisation et revente)� Utilisation de ressources (espace de stockage de films ou autres contenus, botnets) � Chantage, Espionnage

� Quelle est la tendance de la cybercriminalité ?� Les "cyber-attaquants" identifient et affinent leur s approches de façon plus

stratégique , ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux d’infection de leurs attaques (source : Trend Micro)

Kas

pers

ky

Nor

se

NOUVELLE ÉCONOMIE DE LA CYBERCRIMINALITÉ


• Une majorité des actes de délinquance réalisés sur Internet sont commis par desgroupes criminels organisés, professionnels et impliquant de nombreux acteurs

1

2

3

4

5

des groupes spécialisés dans le développement de programmes malveillants et virus informatiques

des groupes en charge de l’exploitation et de la commercialisation de services permettant de réaliser des attaques informatiques

un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des hébergeurs malhonnêtes soit des hébergeurs victimes eux-mêmes d’une attaque et dont les serveurs sont contrôlés par des pirates

des groupes en charge de la vente des données volées , et principalement des données de carte bancaire

des intermédiaires financiers pour collecter l’argent qui s’appuient généralement sur des réseaux de mules

QUELQUES CHIFFRES

� Coût estimé de la cybercriminalité et du piratage informatique en

2014 pour les entreprises entre 375 et 575 milliards de dollars par an (source IDC) (1/3 dépensé pour tenter de réparer les dégâts occasionnés)

�91% des entreprises ont subi au moins une cyber attaque en 2014, les autres ignorent qu'elles le sont (Cassidian)

� La plupart des cyber attaques ont pour but le vol de données après vient le sabotage et l’atteinte à l’image


LES « HACKERS »

White hat

Les white hat hackers / Ethical hacking« Pentester », hacker au sens noble du terme, ils testent lessécurités et les failles pour améliorer les systèmes. Faitsd'armes : ils collaborent avec les autorités pour aider sur lesenquêtes, ils travaillent avec les grandes entreprises pouraméliorer les logiciels et matériels que nous utilisons chaquejour.

LES « HACKERS »Black hat

Les black hat hackers / Criminal hackingHackers de divers niveaux techniques allant de zéro à des surdoués ayantdiverses motivations dont une en commun : l'argent. Toutes les méthodestechniques et de manipulations sont utilisées : escroqueries, faussesannonces, piratages de comptes, piratages de moyens de paiements,détournement d'actifs… Ils agissent seuls ou en groupe restreints. Mais leplus dangereux est qu’ils vendent ou louent leurs services aux plusoffrants : mafias, groupe criminels, concurrence déloyale…

Faits d'armes : N'en citons qu'un Vladislav Horohorin , qui a séjourné dansla prison de Luynes près d'Aix en Provence. Considéré dans le « milieu »comme un des rois du hacking alias « BadB » arrêté en France et qui étaitl'un des 5 cybercriminels les plus recherchés par les services derenseignements américains. Il serait à l'origine de la majorité des grands« cyber-braquage » des banques mondiales et certainement le plus grandtrafiquant de cartes bancaires au monde.

LES « HACKERS »

Hacktivistes

Les Hacktivistes / idéologies hackingDe différents niveaux techniques ils utilisent l'art du hacking pour voler desinformations et les divulguer au grand jour afin d’empêcher desgouvernements ou des entreprises de travailler, voire de les pousser à lafaillite. Leur cheval de bataille : la croyance et l’idéologie. Ils se disentdéfenseurs des droits universels, de la liberté d'expression et veulent luttercontre l'oppression et la censure. Ils utilisent la désobéissance civile demanière générale.

Faits d'armes : Si le groupe le plus médiatique est certainement lesAnomymous ; ils existent d'autres groupes idéologiques souvent extensions« techniques » de groupe idéologiques déjà connus.Ils se sont attaqués à différents gouvernement, à l'église de scientologie, àde grandes entreprises, des personnes…

LES MENACES


Espionnage industriel

Dérober des informations

Cyber-extorsion,

racket

Déni de service

Dénigrement et déstabilisation

(Cyber) Terrorisme

Contrefaçon (10% du

commerce mondial)

Atteinte à l’image et réputation

contre espionnage, anti-

terrorisme

Atteinte physique aux

sites

DES RISQUES RÉELS



CYBER ATTAQUES

CYBER-ATTAQUES INDUSTRIELLES

� Piratage du système d’adduction d’eau de Springfield

� Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail

� En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement

� En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards.


http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html

CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?


Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 ms

La cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de Natanz

Famille de PLC SIEMENS concernée :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPU

DÉSÉQUILIBRE ATTAQUANT - DÉFENSEUR

• Principe n°1 : Le défenseur doit défendre tous les points; l’attaquant peut choisir le point le plus faible

• Principe n°2 : Le défenseur ne peut défendre que ce qu’il connaît; l’attaquant peut rechercher des points vulnérables

• Principe n°3 : Le défenseur se doit d’être vigilant en permanence; l’attaquant peut attaquer quand il le veut

• Principe n°4 : Le défenseur doit respecter les règles; l’attaquant peut faire ce qu’il veut

L’avantage de l’attaquant et le dilemme du défenseur :


COMPÉTENCES & SOPHISTICATION DES ATTAQUES


D’OÙ VIENT LA MENACE ?


Mauvaise utilisationMalveillance

Ingénierie sociale (Arnaque, Manipulation)

Catastrophes Naturelles

Intrusions, vers

Codes malicieux : Keylogger, botnets, sniffer, …

Données

Rebond, propagation …

Web : Contenu illicites

MENACES ET ATTAQUES : LES TYPOLOGIES

Il existe une multitude de critères pour classer les attaques :

� Attaques non techniques� Ingénierie sociale, scam, phishing, loterie …

� Attaques techniques de type � Attaque directe, par rebond, par réflexion ou « man in the middle »

� Attaques en fonction du système utilisé� Infrastructure réseau, système d’exploitation, application


SITES WEB LÉGITIMES COMPROMIS


Selon les SophosLabs, plus de 30 000 sites Web sontinfectés par jour, 80% d'entre eux étant des sites légitimes.85% de tous les malwares tels que les virus, vers,spywares, adware et Chevaux de Troie sont transmis parle Web, principalement par téléchargement passif .

Les envois de pièces jointesmalveillantes continuent d'être largement

pratiqués, mais bien plusrépandu encore est l'envoi deliens vers des pages Webinfectées.



Idée reçue : Construire une forteresse technique …

• Ce qu’il faut savoir :

– 80% des problèmes de sécurité informatique proviennent de l’intérieur des organisations

– Le maillon faible est humain

– La politique de sécurité informatique n’est jamais définitive

– La sécurité est un ensemble : Il suffit d’un seul élément non sécurisé pour que l’édifice soit vulnérable

Nécessaire mais pas suffisant !

� Attaques de malware* peuvent frapper à tout moment et n'importe où,

� Mots de passe (faciles à pirater)

� Smart phones (vol, perte)

� Réseaux sociaux (fuite d’information, renseignement)

� Supports amovibles (vol, perte, transmission de virus),

CE QUI VOUS MET EN DANGER

… tous ces outils comportent des risques.

*Malware : programme malveillant


LES SMART PHONES


RESEAUX SOCIAUX

L’utilisation des réseaux sociaux

privés et professionnels

Parfaites sources d’information pour de

l’ingénierie sociale

25% des fuites d’informations sensibles sont

issues des réseaux sociaux

15% des profils contiennent des

informations professionnelles

sensibles


RÉSEAUX SOCIAUX

� Web 2.0 et réseaux sociaux : Quelques événements marquants� 45% des recruteurs consultent les réseaux sociaux

avant d’envisager le recrutement d’un candidat(FaceBook, LinkedIn, MySpace, Blogs, Twitter)

� Pour le fondateur de FaceBook, la protection de la vieprivée est périmée

PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés29

L'INGÉNIERIE SOCIALE (OU SOCIAL ENGINEERING)

• 90 % des cas avérés d’escroquerieimpliquent un employé qui aurait par mégardedonné accès à des informations sensibles.

• Pour pallier cette faiblesse de sécurité, lesentreprises doivent former leur personnel àéviter de tomber dans les pièges de l’ingénieriesociale.

• L’ « ingénierie sociale » constitue une « attaque ciblée » qui vise àabuser de la « naïveté » des employés de l’entreprise :• pour dérober directement des informations confidentielle, ou• pour introduire des logiciels malveillants dans le système d’information


HAMEÇONNAGE & INGÉNIERIE SOCIALE

Le phishing (ou encore hameçonnage en français) est une techniquedite de "social engineering" ayant pour but de dérober à des individusleurs identifiants de connexion et mots de passe ou leurs numéros decartes bancaires.

Exemple : http://www.eila.univ-paris-diderot.fr/sysadmin/securite/virus/phishing

1. Réception d’un mail utilisant le logo et les couleurs de l’entreprise

2. Demande pour effectuer une opération comme la mise-à-jour des données personnelles ou la confirmation du mot de passe

3. Connexion à un faux-site identique à celui de l’entreprise et contrôlé par l’attaquant

4. Récupération par l’attaquant des identifiants/mots de passe (ou tout autre donnée sensible) saisie par le client sur le faux site


CLOUD COMPUTING

� « Cloud Computing », virtualisationL'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts endélocalisant leurs contenus et en utilisant des applications à distance. Mais « c'est uncauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes traditionnelles », aestimé John Chambers, PDG de Cisco.

Avec 45 millions d'utilisateurs, Dropbox est l'un des servi cesde partage de fichiers dans le nuage les plus populaires. Deschercheurs ont néanmoins découvert au moins 3 différentesfaçons de pirater le service et d'accéder aux données sansautorisation.

Une mise à jour déficiente a exposé les comptes de tous lesutilisateurs, qui devenaient accessibles simplement ensaisissant l'adresse électronique du client.


CLOUD COMPUTING� Les dangers liés au « cloud computing » :

� Problématique de la localisation des données, maîtrise de la confidentialité des informations

� Le client est spectateur de la sécurisation de ses données

� Sécurité bas de gamme mise en place – VLAN pour le cloisonnement des données

� Identification de la chaîne de responsabilité – déresponsabilisation des propriétaires de l’information dilution des risques sur les intervenants

� Haute indisponibilité parfois


PAUSE-RÉFLEXION

Avez-vous des questions ?


RÉSUMÉ DU MODULE


Chiffres

Statistiques

Cyber criminalité

Hackers White Hat Black Hat

Les menaces actuelles -illustrations

Quelques exemples de

Cyber attaques

PAUSE RÉCRÉATIVE

DÉMONSTRATIONS


DÉMONSTRATIONS


VOLET 2


VOLET N°2 : GRANDS PRINCIPES


EVOLUTION DES SYSTÈMES D’INFORMATION

EVOLUTION DE LA CYBER SÉCURITÉ

EVOLUTION DU MARCHÉ DE LA CYBER SÉCURITÉ

PRINCIPES FONDAMENTAUX DE CYBER SECURITE

D.I.C.P., MENACES, ATTAQUES, RISQUES, IMPACTS

DIFFICULTÉS DE LA SÉCURITÉ - RELATIVITÉ DE LA SÉCURITÉ

CYBER SÉCURITÉ


ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION


Source : Denis Virole Telindus et Jean-Louis Brunel

LES 4 GRANDES PHASES DE L’ÉVOLUTION DU MARCHÉ SÉCURITÉ


10% d’augmentation chaque année en France Un des secteurs les plus dynamiques


LE SYSTÈME D’INFORMATION (S.I.)

Le S.I. doit permettre et faciliter la mission de l’organisationLa sécurité du S.I. consiste donc à assurer la sécurité del’ensemble de ces biens.

Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs :

personnesite matériel réseau logiciel organisation

actifs primordiaux

actifs supports

processus métiers et informations

ISO/IEC 27005:2008

PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ


� 3 critères sont retenus pour répondre à cette probl ématique, connus sous le nom de D.I.C.

Disponibilité

Intégrité

Confidentialité

Bien àprotéger

Propriété d'accessibilité au moment vouludes biens par les personnes autorisées (i.e. le biendoit être disponible durant les plages d’utilisation prévues)

Propriété d'exactitude et de complétude des bienset informations (i.e. une modification illégitimed’un bien doit pouvoir être détectée et corrigée)

Propriété des biens de n'être accessiblesqu'aux personnes autorisées



• Comment définir le niveau de sécurité d’un bien du S.I. ? Commentévaluer si ce bien est correctement sécurisé ?

• 1 critère complémentaire est souvent associé au D.I.C.

Besoin de sécurité : « Preuve »

Preuve

Bien àprotéger

Propriété d'un bien permettant de retrouver, avecune confiance suffisante, les circonstances danslesquelles ce bien évolue. Cette propriété englobeNotamment :

La traçabilité des actions menéesL’authentification des utilisateursL’imputabilité du responsable de l’action effectuée



• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses

services sur internet :

Exemple d’évaluation DICP

Serveurweb

Disponibilité = Très fortUn haut niveau de disponibilité du siteweb est nécessaire, sans quoil’entreprise ne peut atteindre sonobjectif de faire connaitre ses servicesau public

Intégrité = Très fortUn haut niveau d’intégrité desinformations présentées estnécessaire. En effet, l’entreprise nesouhaiterait pas qu’un concurrentmodifie frauduleusement le contenu dusite web pour y insérer desinformations erronées (ce qui seraitdommageable)

Confidentialité = FaibleUn faible niveau de confidentialitésuffit. En effet, les informationscontenues dans ce site web sontpubliques par nature!

Preuve = FaibleUn faible niveau de preuve suffit.En effet, ce site web ne permetaucune interaction avec lesutilisateurs, il fournit simplementdes informations fixes.



Différences entre sureté et sécurité

* Certaines de ces parades seront présentées dans ce cours

SûretéProtection contre lesdysfonctionnements et accidentsinvolontaires

Exemple de risque : saturation d’unpoint d’accès, panne d’un disque,erreur d’exécution, etc.

Quantifiable statistiquement (ex. : ladurée de vie moyenne d’un disque estde X milliers d’heures)

Parades : sauvegarde, dimensionnement, redondance des équipements…

SécuritéProtection contre les actions malveillantesvolontaires

Exemple de risque : blocage d’un service,modification d’informations, vold’information

Non quantifiable statistiquement, mais ilest possible d’évaluer en amont le niveaudu risque et les impacts

Parades : contrôle d’accès, veille sécurité,correctifs, configuration renforcée,filtrage…*

« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.



• Vulnérabilité• Faiblesse au niveau d’un bien (au niveau de la conception, de la

réalisation, de l’installation, de la configuration ou de l’utilisation dubien).

Notion de « Vulnérabilité »

Vulnérabilités



• Menace• Cause potentielle d’un incident , qui pourrait entrainer des dommages sur

un bien si cette menace se concrétisait.

Notion de « Menace »

Menaces

Code malveillant

Personnes extérieures malveillantes

Perte de service

Stagiairemalintentionné



• Attaque• Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une

attaque représente la concrétisation d’une menace , et nécessitel’exploitation d’une vulnérabilité.

Notion d’« Attaque »

Attaques



• Attaque• Une attaque ne peut donc avoir lieu (et réussir)

que si le bien est affecté par une vulnérabilité.

Notion d’« Attaque »

Ainsi, tout le travail des experts sécurité consiste à s’ass urer que leS.I. ne possède aucune vulnérabilité.

Dans la réalité, l’objectif est en fait d’être en mesure de maitriser cesvulnérabilités plutôt que de viser un objectif 0 inatteignable.



Vulnérabilités

Menaces

Impact

RISQUE


� La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour limiter leurs impacts


Impacts financiersInterruption de la production Modification des paramètres

de fabrication

Impacts juridiqueset réglementaires

Impactsorganisationnels

Impacts sur l’imageet la réputation

Sécuritédes S.I.

Dommages matériels et/ou corporelsResponsabilité civil ou pénale

Impact environnementalPollution du site de production et de l’environnement

COMPLEXITÉ DE L’APPROCHE CYBER SÉCURITÉ

Entreprise

LAN / station de travail

Environnement

Informatique et télécom

Equipements

de sécurité

Fournisseur

d’accès

Fournisseurs de services

- Opérateurs Télécom

- Hébergeurs,

- Paiement sécurisé,

- Sites de sauvegarde et secours

Environnement

Général : EDF

Intervenants

en amont

dans la conception

et la réalisation

des environnements

Personnel

Serveurs

Prestataires

de services

infogérance


MÉTHODOLOGIE


Liste des biens sensibles

Liste des menaces et modes opératoires

Listes des impacts et probabilités

Liste des contre-mesures

1 : Quoi protéger et pourquoi ?

2 : De quoi se protéger ?

3 : Quels sont les risques ?

4 Comment protéger l’entreprise ?

ORDONNANCEMENT DES ACTIONS


Recenser les actifs numériques

Évaluation des risques–Intégrité & Confidentialité des données,–Disponibilité du SI–Détournement d’activité, Image de Marque,–Sanctions pénales

Mettre en place les protections et préventions

Formaliser les procédures et méthodologies

Mettre en place les contrôles et surveillances

Formaliser un plan de reprise

Effectuer une veille technologique lié à la sécuris ation

APPROCHE NORMATIVE ET ANALYSE DE RISQUES

Analyser les risques de votre système d’information (méthode EBIOS, norme ISO 27005)

Suivre les recommandations et les bonnes pratiques de sécurité issues des normes de sécurité – Normes ISO 27xxx ( Exemple : norme ISO-27001 et 27002), Normes IEC 62443-XX ( Exemple : normes ISO-62443-2 ISO-62443-3, ISO-62443-4)


…d’où la nécessité d’avoir une approche méthodologique ettransversale pour cadrer la démarche de sécurisation devotre système d’information

LA SÉCURITÉ EST UN PROCESSUS CONTINU

• La sécurité ne se met pas en œuvre en une seule fois• Elle fait partie intégrante du cycle de vie du système• Il s’agit d’un processus itératif qui n’est jamais fini et doit

être corrigé et testé régulièrement

La sécurité n’est pas une activité ponctuelle :


« La sécurité absolue est inatteignable, c’est un voyage, pas une destination »

LES DIFFICULTÉS DE LA SÉCURITÉ

� Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine� L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de

comprendre ses besoins et de mettre en œuvre les moyens adéquates

� Performance et confort d’utilisation Versus Sécurité� Les mécanismes de sécurité consomment des ressources

additionnelles� La sécurité interfère avec les habitudes de travail des usagers

� Ouverture vers le monde extérieur en constante progression� Les frontières de l’entreprise sont virtuelles ex : télémaintenance


LES DIFFICULTÉS DE LA SÉCURITÉ

� Centre de coût versus centre de profit� La justification des dépenses en matière de sécurité n’est pas évidente� Le retour sur investissement en sécurité est un exercice parfois difficile

� La sécurité n’est pas une fin en soi mais résulte d’un compromis entre :- un besoin de protection ;- le besoin opérationnel qui prime sur la sécurité (coopérations,

interconnexions…)- les fonctionnalités toujours plus tentantes offertes par les technologies

(sans fil, VoIP…)- un besoin de mobilité (technologies mobiles…)- des ressources financières et des limitations techniques


RELATIVITÉ DE LA SÉCURITÉ

« The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. »

— Eugene H. Spafford ,http://www.cerias.purdue.edu/homes/spaf/quotes.html

De la relativité de la sécurité :


LE FACTEUR HUMAIN

Le principal facteur de sinistre est humain

La principale source de risque est l’erreur pas la malveillance.

� La sécurité est une affaire de management. La sécurité repose d'abord sur les hommes et l'organisation, elle nécessite un encadrement et un effort permanents.

� La mobilisation de l'ensemble du personnel sur les enjeux de la sécurité donne un effet de levier considérable aux actions de prévention, de détection, de protection et de veille technologique.

La sécurité est l’affaire de tous.


RELATIVITÉ DE LA SÉCURITÉ


PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Evolution des systèmes

d’information

Evolution de la cyber sécurité

Principes fondamentaux

de la cyber sécurité

Evolution du marché de la cyber sécurité

DICP, Menaces, vulnérabilités,

Risques

Difficultés de la sécurité -

Relativité de la sécurité

VOLET 3


VOLET N°3 : MESURES DE SÉCURITÉ


BUDGET SÉCURITÉ – SOURCE CLUSIF – 2014

DÉCLINAISON DES BONNES PRATIQUES

MÉCANISMES DE SÉCURITÉ POUR ATTEINDRE LES BESOINS DICP

VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ

MESURES DE SÉCURITÉ

MÉTIERS EN CYBER SÉCURITÉ - LA FONCTION DE RSSI

AUDIT DE SÉCURITÉ

BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014


RSSI : Responsable Sécurité

DÉCLINAISON DES BONNES PRATIQUES


Source : Jean-Louis Brunel

Détection d’intrusionCentralisation des logsAudit / Tests intrusifs



Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer degarantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes desécurité participant à cette garantie :

CryptographieMécanisme permettant d’implémenter du chiffrement et dessignatures électroniques

Pare-feuÉquipement permettant d’isoler des zones réseaux entre-elleset de n’autoriser le passage que de certains flux seulement

Contrôles d’accèslogiques

Mécanismes permettant de restreindre l’accès enlecture/écriture/suppression aux ressources aux seulespersonnes dument habilitées

Sécurité physique deséquipements et locaux

Mécanismes de protection destinés à protéger l’intégritéphysique du matériel et des bâtiments/bureaux.

Anti-virusMécanisme technique permettant de détecter toute attaquevirale qui a déjà été identifiée par la communauté sécurité

D I C P

� � �

� � �

� �

� � �

� � �


Capacité d’auditMécanismes organisationnels destinés à s’assurer de l’efficacitéet de la pertinence des mesures mises en œuvre. Participe àl’amélioration continue de la sécurité du S.I.

Clauses contractuellesavec les partenaires

Mécanismes organisationnels destinés à s’assurer que lespartenaires et prestataires mettent en œuvre les mesuresnécessaires pour ne pas impacter la sécurité des S.I. de leursclients

Formation etsensibilisation

Mécanismes organisationnels dont l’objectif est d’expliquer auxutilisateurs, administrateurs, techniciens, PDG, clients, grandpublic, etc. en quoi leurs actions affectent la sécurité des S.I.Diffusion des bonnes pratiques de sécurité.Le cours actuel en est une illustration !

D I C P

� � � �

� � � �

� � � �




Politique, procédures

Sécurité physique

DMZ

Réseau Interne

Machine

Application

DonnéeChiffrement, mots de passe, droit d’accès par fichier/répertoire

Contrôle des entrées, test d’intrusion, communication (https, ssh…), traçabilité…

Antivirus, Correctifs de sécurité, HIDS, Authentification

Sous-réseau, NIDS, VLAN…

Pare-feu, VPN, Zone démilitarisée…

Gardiens, verrous, contrôle d’accès…

Politique de sécurité, procédure de secours, sensibilisation…



• Anti-virus• Anti-Spyware,• Anti-rootkit• …

• Détecter les vulnérabilités• Appliquer les Correctifs

• Sondes IDS• Analyse des traces

•Supervision, Veille,•Surveillance

• Firewall• Compartimenter le réseau et les systèmes

• Sécuriser et certifier les échanges (VPN / Mails chiffrés)

• Former et sensibiliser les utilisateurs• Consignes en cas d’attaque ou de doutes

• Mise en œuvre de procédures de sécurité• Plan de continuité

•Sauvegarde et protection des supports•Redondance des systèmes

• Classifier les données• Analyse de risques• Protéger des données• Accès restrictifs

Gestion de la sécurité (non exhaustif)

Données

•Protéger et isolerles réseaux sans fil



� Architecture- Séparation des niveaux- Architecture rouge/noir- DMZ, Proxy, HoneyPot

� Intégration de COTS - Produits de chiffrement- Antivirus- Firewall / VPN- IDS/IPS- SIEM- Diode- Authentification biométrique- Offuscation

� Développements spécifiques- Configuration des OS Windows, Linux, VxWorks- Chargeur sécurisé, Dongle de sécurité- Développements de service de sécurité (log, …)



� Sécurité physique- Contrôle d’accès électronique- Alarmes- Vidéo-surveillance- Système de détection d’intrusion- Films antieffraction

� Sécurité organisationnelle- Réglementation- Procédures d’exploitation de la sécurité- Politiques - PCA/PRA

� Sécurité humaine- Habilitation- Sensibilisation- Entrainement

CCTV

Locks

Safes

Digicode

Protected areas

Motion detectors

security seals

Holograms

Bouchon RJ45

Bouchon USB

Différenciateur physique



Faire de la sécurité opérationnelle :� Identification de l’information critique ;

� Analyse de la menace ;

� Analyse des vulnérabilités ;

� Estimation du risque ;

� Application de contre-mesures adaptées.

Les produits suivants sont donnés à titre d’exemple.Les produits à utiliser doivent être qualifiés par l’ANSSI avec unniveau EAL 3 ou EAL 3+

http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/



� Security Operation Center � outsourcing de la sécurité

Concevoir et manager un dispositif de sécurité adapté nécessite :– Une bonne connaissance / évaluation des risques– Une approche globale et transversale faisant interagir les fonctions

Direction Générale, Direction de la Sécurité des Systèmesd'Information, Direction du Contrôle Interne et Direction de l'Audit

– Un modèle de conception dynamique qui intègre l’ évolution desarchitectures et des menaces.

Une problématique complexe

MESURES DE SÉCURITÉ : SMSI


Le SMSI (Système de Management de la Sécurité de l’Information) doit être cohérent avec les objectifs métiers de l’organisme et cohérent avec le système de management de la qualité

MESURES DE SÉCURITÉ : SMSI


MESURES DE SÉCURITÉ : PSSI

Politique de sécurité des systèmes d’information : PSSI� Définition formelle de la position d'une entreprise en matière de sécurité.

« Ensemble des règles formelles auxquelles doivent se conformer les personnesautorisées à accéder à l’information et aux ressources d’une organisation »(RFC 2196)

Finalité d’une politique de sécurité ?� « Réduire les risques »� « Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? »� « Définir les règles du jeu »� « Communiquer , faire accepter et faire respecter les règles du jeu »


MESURES DE SÉCURITÉ : INTÉGRER LA SÉCURITÉ DANS VOS PROJETS


Étude / Initialisation Conception

Implémentation / Prototype / Test

Exploitation / Maintenance Fin de vie

• Perception d’un besoin

• Expression des besoins

• Création d’un projet

• Analyse de risques amont

• Consultation des équipes sécurité

• Formalisation de besoins fonctionnels

• Étude de marché• Étude de faisabilité• Analyse de coût• Planification• Identification des

entrée/sortie

• Analyse de risques• Proposition de

mesures de sécurité• Identification des

risques résiduels• Expressions de

besoins de sécurité• Estimation de coûts

• Développement logiciel ou matériel

• Construction de prototype

• Tests utilisateurs• Documentation

• Développement• Prise en compte

des bonnes pratiques

• Top 10 OWASP• Validation sécurité• Contrôle des

mesures de sécurité

• Maintien en condition de sécurité

• Gestion des incidents• Analyse Forensique• Sauvegarde• Supervision de

sécurité• Veille de sécurité• Audit (technique,

opérationnel)• Tests d’intrusion• Résilience

• Déploiement dans l’environnement de production

• Test de performance• Maintien en Condition

Opérationnelle• Exploitation

• Libération des ressources

• Fin du projet

• Archivage des informations

• Effacement sécurisé

• Réversibilité• Mise au rebut • Obsolescence des

configurations

Séc

urité

Pha

ses

MESURES DE SÉCURITÉ : AUDIT DE SÉCURITÉ



DIFFÉRENTS TYPES D’AUDIT TECHNIQUES

MESURES DE SECURITE : GUIDE PRATIQUE


ANSSIGuide d’hygiène informatique

• Connaitre son SI et ses utilisateurs• Maîtriser le réseau• Mettre à niveau les logiciels• Authentifier l’utilisateur• Sécuriser les équipements terminaux• Sécuriser l’intérieur du réseau• Protéger le réseau interne de l’Internet• Surveiller les systèmes• Sécuriser l’administration du réseau• Contrôler l’accès aux locaux et la sécurité physique• Organiser la réaction en cas d’incident• Sensibiliser• Faire auditer la sécurité

Et de nombreux autres guides…http://www.ssi.gouv.fr/


� La norme ISO/IEC 27002:2013constitue un code de bonnespratiques. Elle est composée de114 mesures de sécurité répartiesen 14 chapitres couvrant lesdomaines organisationnels ettechniques ci-contre.

� C’est en adressant l’ensemble deces domaines que l’on peut avoirune approche globale de lasécurité des S.I.

Code de bonnes pratiques pour le management de la s écurité de l’information (27002)

Politique de sécurité de l’information

Organisation de la sécurité de l’information

Contrôle d'accès

Sécurité liée aux ressources humaines

Sécurité opérationnelle

Acquisition, dévpt. et maint. des SI

Sécurité physique et environnementale

Gestion des actifs

Conformité

Organisationnel

Opérationnel

Gestion de incidents liés à la sécurité de l’information

Gestion de la continuité de l’activité

Cryptographie

Sécurité des communications

Relations avec les fournisseurs

MESURES DE SECURITE : NORME ISO 27002

MÉTIERS EN CYBER SÉCURITÉ


Gouvernance de la sécuritéGouvernance de la sécurité

Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expressionde besoin jusqu’au retrait de l’exploitation sous la responsabilité de lagouvernance globale de l’organisation.

Exploitation / maintien de condition de sécurité

Validation / audit organisationnel / test intrusion

Expression de besoin / maitrise d’ouvrage (MOA)

Conception d’architecture / maitrise d’œuvre (MOE)

Développement logiciel ou composant matériel

veille des vulnérabilités / analyse forensics

Intégration de produit / déploiement d’architecture

Cartographie des métiers et compétence en SSI



b. Cartographie des métiers et compétence en SSI

ÉtudeExploitation / Maintenance

Gestion des incidents, des crises

Mét

iers

Pha

ses

Implémentation, déploiementConception

Auditeur organisationnel

Auditeur technique

RSSI, Technicien support

Investigateur numérique

Ingénieur de sécurité, architecte de sécurité, développeur de sécurité,

Consultant

Analyste dans un SOC



Les métiers se répartissent dans les familles de l’informatique et des réseaux.Nb année

expérienceCompétence

techniqueCompétencemanagement

Gouvernance des systèmes d’information

•Responsable ou Directeur 15 à 20 X XXX

•Chef de projet / Consultant MOA 5 à 15 XX XXConception et déploiement de système d’information

•Chef de projet / Consultant MOE 5 à 15 XX XX

•Architecte système 10 à 15 XXXDéveloppement logiciel et matériel

•Architecte/concepteur logiciel/composant 5 à 10 XXX

•Développeur logiciel (dont cryptologue) 0 à 10 XXXExploitation

•Technicien système et réseau 0 à 10 XXX

•Administrateur système et réseau 0 à 10 XXX X

•Analyste veille/gestion des incidents/forensics 0 à 10 XXX XValidation / Audit

•Auditeur technique SSI (dont test intrusion) 0 à 10 XXX X

•Auditeur organisationnel SSI 5 à 10 X X

b. Cartographie des métiers et compétence en SSI

Compétence requise :X : peu de compétenceXX : niveau moyenXXX : forte compétence

RÉSUMÉ DU MODULE


Budget Sécurité –

Source CLUSIF –

2014

Déclinaison des bonnes pratiques

Mesures de sécurité

Vue d’ensemble des mesures de

sécurité

Métiers en cyber sécurité Audit de sécurité

PAUSE-RÉFLEXION



VOLET 4


VOLET N°4 : ORGANISATION DE LA SÉCURITÉ EN FRANCE


ORGANISATION DE LA SÉCURITÉ EN FRANCE

COMMENT RÉAGIR EN CAS DE CYBER CRIME ?

LE CONTEXTE JURIDIQUE

LE DROIT DES T.I.C.

LA LUTTE CONTRE LA CYBERCRIMINALITÉ EN FRANCE

LA LOI GODFRAIN - CNIL



Cyberdéfense : un véritable enjeu de sécurité nation ale

« Les cyberattaques , parce qu’elles n’ont pas, jusqu’à présent, causé la mortd’hommes, n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dèsaujourd’hui, et plus encore à l’horizon du Livre blanc, elles constituent une menacemajeure, à forte probabilité et à fort impact potentiel » (Chapitre 4, Les prioritésstratégiques, livre blanc 2013)

« Le développement de capacités de cyberdéfense militaire fera l’objet d’un effortmarqué » (Chapitre 7, Les moyens de la stratégie, , livre blanc 2013)



Premier Ministre

Secrétaire général de la défense et de la sécurité

nationale (SGDSN)

Agence nationale de la sécurité des systèmes d’information (ANSSI)

Ministères

Défense

Intérieur

Affaires étrangères

Economie

Budget

Industrie

…

Hauts fonctionnaires de défense et de sécurité

(HFDS)

Organisation interministérielle :

Pilotage de la politique nationale en matière de sécurité des systèmes

d’information

Proposition des règles à appliquer pour la protection des S.I. de l’État. Vérification de l’application des mesures adoptéesConseil/soutien Sécurité aux administrationsInformation du publicContribution au développement de Services de confiance…

Coordination de la préparation des mesures de défense (Vigipirate) et chargés de la sécurité des systèmes d'information



• http://www.clusif.asso.fr/fr/production/cybervictime/

Comment réagir en cas de cyber crime ?

LE DROIT DES T.I.C.


Le contexte juridique

Liberté d’expression

Propriété intellectuelle

Protection de la vie privée

Cybercriminalité

Protection des entreprises

Protection du e-commerce

… et bien d’autres…

LE DROIT DES T.I.C.


– Un droit non codifié : des dizaines de codes en vigueur– … et difficile d’accès

• Au carrefour des autres droits • En évolution constante et rapide• Issu de textes de toute nature /niveaux • Caractérisé par une forte construction jurisprudentielle*

– nécessitant un effort de veille juridique.

(*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce quidonne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société.

Code civil

Code pénal

Droit du travail

Code de la propriété

intellectuelle

Code des postes et

communicat. électroniques

Code de la défense

Code de la consommation

…

Le contexte juridique

LE DROIT DES T.I.C.


Définition de la cybercriminalité :« Ensemble des actes contrevenants aux traités internationaux ou auxlois nationales utilisant les réseaux ou les systèmes d’informationcomme moyens de réalisation d’un délit ou d’un crime, ou les ayantpour cible. »

Définition de l’investigation numérique (forensics) :« Ensemble des protocoles et de mesures permettant de rechercherdes éléments techniques sur un conteneur de données numériques envue de répondre à un objectif technique en respectant une procédurede préservation du conteneur. »

La lutte contre la cybercriminalité en France

LE DROIT DES T.I.C.


La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans toutou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al. 1 duCP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum.

– Élément matériel de l’infraction : la notion d’accès ou maintien– La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de cause »– Éléments indifférents :

• Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données)• Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002)• La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ;

affaire Anses / Bluetouff TGI Créteil, 23 avril 2013)


Tendance des tribunaux : une plus grande intransigeance à l’égard de certaines « victimes » d’accès frauduleux dont le système n’est pas protégé de manière appropriée

Jurisprudence sur la définition des STAD : Le réseau France Télécom, le réseau bancaire, un disque dur, une radio, un téléphone, un site internet…

LE DROIT DES T.I.C.


• Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 duCP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende

• L'introduction, la suppression ou la modification fraudul euse de données dansun système de traitement automatisé (art. 323-3 du CP) est puni d’un maximum de 5ans d'emprisonnement et de 75.000 € d'amende

• L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir,de céder ou de mettre à disposition, sans motif légitime, un p rogramme ou unmoyen permettant de commettre les infractions prévues aux articles 323-1 à 323-3. (mêmes sanctions)

• Art. 323-4 : l’association de malfaiteurs en informatique• Art. 323-5 : les peines complémentaires• Art. 323-6 : la responsabilité pénale des personnes morales• Art. 323-7 : la répression de la tentative


LE DROIT DES T.I.C.


• Quel est le champ d’application de la loi ?– Art. 2 « La présente loi s’applique aux traitements automatisés de

données à caractère personnel, ainsi qu’aux traitements nonautomatisés de données à caractère personnel contenues ou appeléesà figurer dans des fichiers, à l’exception des traitements mis en œuvrepour l’exercice d’activités exclusivement personnelles, lorsque leurresponsable remplit les conditions prévues à l’article 5 (relevant du droitnational). »

• Qu’est qu’une donnée à caractère personnel ?– « Constitue une donnée à caractère personnel toute information relative

à une personne physique identifiée ou qui peut être identifiée,directement ou indirectement, par référence à un numéro d’identificationou à un ou plusieurs éléments qui lui sont propres. »

Le rôle de la CNIL : La protection des données à ca ractère personnel

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

LE DROIT DES T.I.C.


• Un traitement de données à caractère personnel doit être « loyal etlicite »– Les données sont collectées pour des finalités déterminées explicites et

légitimes– de manière proportionnée (adéquates, pertinentes et non excessives)– avec le consentement de la personne concernée (sauf exception)– pendant une durée n’excédant pas celle nécessaire à la réalisation des

finalités !

• Les personnes physiques disposent de différents droits sur les donnéesà caractère personnel qui font l’objet d’un traitement…– Un droit d’information préalable au consentement– Un droit d’accès aux données collectées– Un droit de rectification– Un droit d’opposition pour raison légitime


La loi protège les droits des personnes physiques identifiées ou identifiables par les données à caractère personnel

LE DROIT DES T.I.C.


• Obligations administratives auprès de la CNIL– Le régime de la déclaration préalable (art. 22 à 24)

• Le traitement peut faire l’objet d’une dispense de déclaration• Le traitement échappe à l’obligation de déclaration car le responsable du

traitement a désigné un correspondant à la protection des données (CIL)• Dans tous les autres cas, le traitement doit effectivement faire l’objet d’une

déclaration préalable

– Le régime d’autorisation préalable (art. 25 à 27)• Régime applicable pour les « traitements sensibles » (listés à l’art. 25)• Examen de la demande par la CNIL sous deux mois (le silence vaut rejet).


Le responsable de traitement est la personne qui détermine les finalités et les moyens du traitement de données à caractère personnel

LE DROIT DES T.I.C.


• Des obligations de confidentialité et de sécurité des traitements et desecret professionnel– De mettre en œuvre les mesures techniques et organisationnelles

appropriées, au regard de la nature des données et des risques, pourpréserver la sécurité des données et, notamment, empêcher qu'elles soientdéformées, endommagées, ou que des tiers non autorisés y aient accès(art. 34)

• Absence de prescriptions techniques précises

• Recommandation de réaliser une analyse de risques préalable voire, pour lestraitements les plus sensibles, une étude d’impact sur la vie privée (PIA)

• Publication par la CNIL de « guides sécurité pour gérer les risques sur la vieprivée » (méthodologie d’analyse de risques et catalogue de bonnes pratiques)

– De veiller à ce que, le cas échéant, les sous-traitants apportent desgaranties suffisantes au regard des mesures de sécurité techniques etd’organisation

• Est considéré comme sous-traitant celui qui traite des données à caractèrepersonnel pour le compte et sous la responsabilité du responsable du traitement(article 35)


LE DROIT DES T.I.C.


• Des sanctions pénales (articles 226-16 et suivants du Code pénal) : Douze délits punis de 3 à 5ans d’emprisonnement et jusqu’à 300.000 euros d’amende

– Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende » (art. 226-17)

• Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts en fonctiondu préjudice causé aux personnes concernées

• Des sanctions administratives associées aux pouvoirs conférés à la CNIL

– Pouvoir d’injonction de cesser le traitement pour les fichiers soumis à déclaration ou de retrait de l’autorisation accordée

– Pouvoir de sanction pécuniaire

– Procédure d’urgence : pouvoir d’interruption de la mise en œuvre du traitement ou de verrouillage des données (3 mois)

– Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions


Les différents risques et sanctions en cas de manquements aux différentes obligations

RÉSUMÉ DU MODULE


Organisation de la sécurité

en France

Comment réagir en cas de cyber crime ?

La lutte contre la cybercriminalité

en France

Le contexte juridique – Le droit des TIC

La loi Godfrain CNIL

PAUSE-RÉFLEXION



POUR ALLER PLUS LOIN

� Livres

� Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD

� Management de la sécurité de l'information. Implémentation ISO 27001 Broché – 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface)

� La sécurité du système d'information des établissements de santé Broché – 31 mai 2012 de Cédric Cartau (Auteur)

� Magazines

� http://boutique.ed-diamond.com/ (revue MISC)� http://www.mag-securs.com

� Web

� www.ssi.gouv.fr – Sécurité des systèmes industriels� Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr� www.clusif.fr� Rapport du Sénateur Bockel sur la Cyberdéfense - http://www.senat.fr/rap/r11-

681_mono.html


FIN

MERCI POUR VOTRE ATTENTION


Introduction cyber securite 2016

Education

Transcript of Introduction cyber securite 2016