Vous êtes sur la page 1sur 52

SCURIT DES DONNES

CYBER VIGILANCE
DANS UN MONDE DIGITAL
Pascal Mtral, VP Public Sector
pascal.metral@nagra.com
Nicolas Moniez, Sr. Security Engineer

C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


AGENDA

Introduction sur le Groupe Kudelski et Kudelski Security

La scurit des donnes

Quelques questions se poser (tests de scurit et security awarness)

Quelques solutions de Kudelski Security

Conclusion

2 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LE GROUPE KUDELSKI & KUDELSKI SECURITY
LE GROUPE KUDELSKI : UN TIERS DE CONFIANCE

SCURIT
NUMERIQUE

> 60 ans dinnovation technologique (depuis 1951)

CYBER Groupe Suisse, Familial, (KUD: SIX Swiss EX)


SCURIT
CHF 900M de CA, et CHF 200M+ de R&D par an

4000+ brevets et des accords avec Cisco, Google, Netflix, etc.

3000+ employs rpartis sur 23 pays.


SCURIT
DES ACCS
Leader mondial de la scurit numrique des mdias

Lancement en 2012 des activits cyber scurit, sur la base de


lexprience acquise dans le domaine de la tlvision numrique

4 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LE GROUPE KUDELSKI AU TRAVERS LE MONDE

Bas en Suisse et oprant sur les cinq continents

47
47 sites au
Cheseaux-sur-Lausanne Oslo
Moscow
Llantarnam Berlin
Munich
travers le monde Toronto
Surrey
Rennes Salzburg
Bozen Istanbul
Paris Milano
San Francisco La Ciotat Beijing
Denver Hillsborough Madrid
Los Angeles Gyunggi-do
Atlanta Shanghai Tokyo

27
Shenzhen
Monterrey Pradesh Taiwan
Mexico City Mumbai
Caracas Bangkok Makati City
Bangalore
Bogota Kuala Lampur
Operations dans Quito Singapore
Jakarta
27 pays Lima

Sao Paulo
Johannesburg
Santiago Montevido
Naremburn Auckland
Melbourne

Bureaux et centres de R&D

5 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


KUDELSKI SECURITY EN QUELQUES MOTS

4 verticales Innovation en scurit


Services financiers Division cybersecurit du
Secteur public groupe Kudelski
Dfense Actif en scurit digitale
Media & Telecom depuis plus de 20 ans
Solution sur-mesure de
cybersecurit

Indpendant et Elments cls


prsence globale Cr en novembre 2012
Bas en Suisse 150+ professionnels en
scurit
Prsent en France, LATAM
(Brsil), Inde, USA Certifi ISO 27001:2013
Partner stratgique du Plus grand acteur suisse
World Economic Forum en cyberscurit

6 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

LA PROBLMATIQUE
PLUS GROS CAS DE VOLS DE DONNES

METHODOLOGIES
All
Accidentally published
Hacked
Inside job
Lost / stolen computer
Lost / stolen media
Poor security

Source: www.informationisbeautiful.net July 14

8 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


3 TYPES DE MENACES
CRIMINELLE
Information pour revente
Personne faire chanter
Resource pour une attaque plus large
SPONSORISEE PAR UN ETAT
Information utiliser contre la cible
Resource/quipement contrler
INTERNE
Vengeance
Profit

9 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

DEUX EXEMPLES CONCRETS


VOL DE PROPRIT INTELLECTUELLE

Vol du code source dAmerican Superconductor Inc. dun logiciel


lie lexploitation de lnergie olienne
Perte de 90% de la valeur de laction
s o u r c e : Michael A. Riley and Ashlee Vance, China Corporate Espionage Boom Knocks Wind Out of U.S. Companies, Bloomberg Businessweek, March 2013

11 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


VOL DE DONNES

Anthem Inc. medical data breach


- 2me plus grand assureur-maladie aux USA
- Vol de donnes personnelles affrentes prs de 80 millions
dassurs et membres du personnel
- Noms, adresses, dates de naissance, donnes mdicales, cartes
de crdit, numros de scurit sociales, dclarations de revenus,
informations professionnelles, etc.
- Les donnes voles seront vraisemblablement utilises pour des
attaques venir
- Les donnes ntaient pas encryptes

- Dommages pour Anthem?


- Un exemple concret: 80000000 x cot de remplacement dune carte de crdit

12 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

QUELQUES CHIFFRES
Les pays viss

Les techniques dattaque

14 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LES CIBLES

15 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


BILAN DUNE ATTAQUE
DU POINT DE VUE DE LATTAQUANT

INVESTISSEMENT SOCIETES SOCIETES PRISE DE


INITIAL CIBLES COMPROMISES BENEFICES

$$ FORTEMENT POSITIF $$
16 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.
LES QUESTIONS A SE POSER

Ma scurit
Suis-je Suis-je Ai-je t
est-elle
risque? prt? pirat?
compromise?

Revue de
programme de
scurit
Evaluation de
Formation
Recherche de compromis
vulnrabilits Prparation la Service de
gestion dincident rponse
Mise en place de incident
service de gestion
Test de pntration avancs
de la scurit

Proactif Ractif

17 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

QUELQUES QUESTIONS A SE POSER


(TESTS DE SCURIT ET SECURITY AWARNESS)
LA SCURIT DES DONNES

TESTS DE SCURIT
QU'EST-CE QU'UN TEST DE SCURIT...

et quels en sont les avantages ?

20 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


QU'EST-CE QU'UN TEST DE SCURIT ?

Une tentative d'accs des


donnes confidentielles auxquelles
nous n'aurions pas accs en temps
normal SANS Institute 1

1: http://www.sans.org

21 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


QU'EST-CE QU'UN TEST DE SCURIT ?

Processus en 4 tapes:
Reconnaissance
Identification des vulnrabilits
Exploitation
Contre-mesures

22 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


POURQUOI EFFECTUER UN 'PENTEST ?

23 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


POURQUOI LES ENTREPRISES SONT-
ELLES INTRESSES ?

Raison n1:
Un pentest est un exercice grandeur
nature permettant de vrifier la ractiv
et la rsistance d'un rseau face une
attaque.

24 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


POURQUOI LES ENTREPRISES SONT-
ELLES INTRESSES ?

Raison n2:
Un pentest permet de traduire les
risques techniques en risques mtier.

25 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


POURQUOI LES ENTREPRISES SONT-
ELLES INTRESSES ?

Raison no3:
Le pentest se concentre uniquement
sur la scurit, qui est un domaine
part entire.

26 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


KUDELSKI SECURITY NETSOP...

qui sommes-nous, et comment pouvons-nous


vous aider ?

27 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


KUDELSKI SECURITY NETSOP

NetSOp effectue des tests de scurit internes et


galement pour des clients externes.

Nos facteurs de russite sont:

Un haut niveau thique


La diversit de nos profils
La passion de la technologie et de la scurit de
l'information
Une combinaison gagnante de motivation, de formations
intensives, et d'outils performants.

28 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


NOS SERVICES

Analyse d'architectures rseaux


Pentest rseaux
Pentest Wifi
Pentest Web
Pentest de machines
Pentest d'applications mobiles
Forensics
Social Engineering
Security Awarness

29 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

SECURITY AWARNESS
QU'EST-CE QUE LE SECURITY AWARNESS ...

31 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


FORMATION SECURITY AWARNESS EN RSUM

Formation donne par 2 experts en scurit


Formation tout public d'une demi-journe
Personnalisable en fonction de la demande
Aborde les sujets principaux de la scurit
Explique le droulement d'attaques
Explique comment ragir
Donne des moyens pour se protger

32 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

QUELQUES SOLUTIONS
SERVICES ET SOLUTIONS DE KUDELSKI SECURITY

SEA LAB

KIS: INTELLIGENCE
PEN TEST
SERVICES

360 SECURITY
ASSESSMENT K-SONAR

CONSULTING &
K-SCORE
TRAINING

CYBER FUSION
SECURE 4G CENTER
SOLUTION

K-CARS

34 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

ACTIVITS DE CONSEIL
VOUS ACCOMPAGNER TOUS LES NIVEAUX
Challenges

PROTECTION UBIQUIT DES


TRANSFORMATION RSILIENCE
Besoins Mtiers DES ACTIFS TRAITEMENTS &
DIGITALE DENTREPRISE
& Challenges DIGITAUX DONNES

GOUVERNANCE & POLITIQUE & GESTION & INGNIERIE DES CADRE


MODLES PROGRAMME ANALYSE DES PROCESSUS & RGLEMENTAIRE &
STRATGIQUE ORGANISATIONNELS DE SCURIT RISQUES SURVEILLANCE LGAL
Problmatiques

IDENTIFICATION DES
GESTION DE LA RISQUES & GESTION DES SENSIBILISATION &
MTROLOGIE &
CONTINUIT DE CLASSIFICATION DES VULNRABILITS & VIGILANCE DES
SURVEILLANCE
TACTIQUE SERVICE DONNES MENACES PERSONNELS

GESTION DES
CYBER-FORCE AUDITS SCURIT DES CYCLE DE VIE SCURIT
DINTERVENTION & DE LA RSEAUX & DU SYSTME DE PHYSIQUES &
OPRATIONNELLE RAPIDE CONFORMIT COMMUNICATIONS SCURIT LOCAUX

36 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


EVALUATIONS ET MODLISATION DES CYBER-RISQUES

Analyse Fondamentale

Questionnaires ISO-2700x avec une sance ( distance) dinterview


Documentation des vulnrabilits techniques et technologiques
Balayage de recherche distance des vulnrabilits
Rapport et recommandations sous une semaine

Analyse tendue ou personnalise

Sance dinterview sur site


Cadrage sur la base des actifs identifis et du primtre de scurit
Balayage de recherche des vulnrabilits sur site et primtrique
Dfinition du profil des menaces selon lanalyse de la criticit des actifs
Rapport, identification des risques spcifiques et recommandations
Sous 2 4 semaines

1 Systme de Management de la Scurit lInformation (ISO 27001)

37 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

LA FORMATION
DES CENTRES DE FORMATION EN EUROPE

Exemples de formations:
Recherches OSINT (Open Source Intelligence)1
Sensibilisation la cyber scurit ( Security
Awareness Training )1
Executive Cyber Security Coaching avec certification CISM
Certified Information Security Manager (CISM)
ISO 27005 Gestionnaire des Risques
ISO 27001 Lead Auditor
ISO 27001 Lead Implementer
ISO 22301 Lead Auditor
ISO 22301 Lead Implementer
Scurit iOS pour Test dIntrusion et Audit des Applications
Gestion de Crise1
Etc.
https://www.kudelskisecurity.com/solutions/training-
programs.html
1 formation spcifiquement conue par Kudelski Security

39 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

LE MONITORING ET LA DTECTION
CYBER FUSION CENTER

41 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


UN CYBER FUSION CENTER1 (CFC) VOTRE SERVICE

Profondeur + Modules

Coeur
GESTION DES
DTECTION / CORRLATION /
SUR COORDINATION
CLOUD +
VULNRABILIT
PRVENTION ARCHIVAGE SUR INCIDENT
SITE S&
INTRUSIONS JOURNAUX
BALAYAGES

RSEAUX INTELLIGENCE FORENSIQUE INVENTAIRE DES RACTION


SUR LES SYSTME / ACTIFS ET DES DISTANCE SUR
MENACES AGENT SERVICES INCIDENT
SYSTMES
SURVEILLANCE
DTECTION & INSPECTION DES ANALYSE DES
DE LA
APPLICATION ANALYSE DES
CONFORMIT
APPLICATIONS LOGICIELS

S MAP WEB MALVEILLANTS


LA SCURIT

DONNES
DTECTION DES INSPECTION GESTION DES ANALYSE

Options
FUITES ET VOLS APPROFONDIE PARE-FEUX COMPORTEMENT
DE DONNES DES PAQUETS APPLICATIF AL

(1) Centre des Oprations de Scurit

42 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LE CYBER FUSION CENTER EN BREF

Managed Security Services overview

43 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


AU SEIN DU CFC: LE PASS, LE PRSENT & LE FUTUR

44 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

LA GESTION DINCIDENTS DE SCURIT


CYBER-FORCE DINTERVENTION RAPIDE

Depuis 2013, Kudelski Security dispose de son


propre CERT1 , et fait parti du FIRST, association
internationale de coordination des CERT.
La Cyber-Force dIntervention Rapide (K-CARS)
est prt intervenir 24/7, en rponse tout
incident, jusqu la mise en oeuvre du plan de
reprise dactivit.
Notre expertise:
Gestion dincidents et crises
Investigation cyber-criminel et forensique
Communication de crise
Assistance juridique
Reprsentation auprs des instances de
polices (ie. InterPol, EuroPol)
Ce service est offert par Zurich Insurance dans
le cadre des ses polices de Cyber-Assurance. 1 Computer Emergency Response Team
2 http://www.first.org/

46 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


LA SCURIT DES DONNES

LES TLCOMMUNICATIONS SCURISES


RESEAU SECURISE DE COMMUNICATION 4G - LTE

RESEAU CELLULAIRE PRIVEE


INDEPENDANT DES
OPERATEURS DE TELEPHONIE
MOBILE

RESISTANT, COMPACT ET MOBILE


DIVISIONS & BRIGADES
MOBILES

RESEAU COMPLET, FIABILISE ET


SECURISE
ALGORITHME SUR MESURE ET
SURVEILLANCE DES MENACES

48 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


PARTAGE SCURIS DE DONNES
CONTRLE SUR LACCS AUX DONNES ET LEUR UTILISATION

PARTAGE SECURISE DE TOUS TYPES DE DONNEES


DOCUMENT, VOIX, IMAGES, VIDEOS, ETC.

PARTAGE AVEC DES INDIVIDUS OU DES GROUPES


A LA FOIS A LINTERIEUR ET/OU A LEXTERIEUR DU PERIMETRE DE CONFIANCE

SERVEURS DE POLITIQUES DE SECURITE SUR SITE


DROITS DACCESS SELON LA CLASSIFICATION DES DONNEES

49 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


TLPHONE ET HEADSET SCURISS

Embedded White Battery (capacity tbd


Noise SE 3200mAh?)
(with SPI
interface)
Secure Bluetooth headset
with embedded Kudelski
Microcontroller Secure Element
(capable of
lightning protocol)

Apple
authentication
chip
OR
(for use of
lightning data
connectivity)

Lightning male
connector
(data stream conduit
Female lightning connector
+ phone battery power
(charges case battery + phone battery)
supply)

50 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


CONCLUSION
La gamme des services proposs par Kudelski Security
est complte :
Cyber Fusion Center
Conseil en architecture des installations IT
Tests dintrusion et audits de scurit
Gestion dincidents et de crises
Formation la cyber scurit des collaborateurs
Action lgales pour faire fermer des sites pirates ou
lutter contre la contrefaon
Cryptage des tlcommunications et des documents
En fonction des besoins exprims par un client, Kudelski
Security labore une offre sur mesure, adapte au
primtre et la nature des menaces traiter

51 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.


52 C O N F I D E N T I A L 2015 KUDELSKI GROUP / All rights reserved.