Vous êtes sur la page 1sur 23

Les 5 secrets pour protéger

vos données les plus convoitées.


Mathieu Rigotto,
Responsable pôle CyberSécurité
Pourquoi TESLA?

• 6/08/15 - Vulnérabilité dévoilée par 2 chercheurs (Lookout et CloudFare)

• Mécanisme de défense intégrés

• Voiture la moins vulnérable du marché

• Seul constructeur automobile présent à la DEFCON


Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Pourquoi TESLA?

• Equipe d’ethical hacker (40 embauches en 2014)


• Security By Design
• Seul constructeur à pousser des Mises à jour (patch management)

Parce qu’on veut avoir du FUN au Travail !


Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Les 5 secrets
• WTF??? Pourquoi 5 seulement?

• Parce qu’avec trop d’objectifs on finit comme Tony Montana

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Secret N°1: Anticiper

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Anticiper

Méthode classique Méthode Quick Win


Connaissance du métier
La maîtrise de sa CMDB
et de l’organisation

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Anticiper
Méthode classique

Classification des Analyse des


processus métiers scénarios de risques

Contraintes

Analyse des Impacts


métiers

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Anticiper
Méthode classique

• Fonction , Processus et Systèmes Critiques qui doivent


prioritairement être repris en cas d’une perturbation
opérationnelle majeure ou d’une compromission

• Les scénarios de risques

• Objectifs de reprise d’activité

• Les ressources humaines et matérielles à allouer

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Anticiper
Méthode Quick Win
Liste
rapidement
les actifs
Identifie
Evalue la
les points
conformité
faibles

Analyse
de
Réduit les Donne la
vulnérabilités
risques priorité à
majeurs l’essentiel

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Secret N°2: Protéger

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Protéger

Risque = Vulnérabilité X Impact X Menace

• Augmenter le niveau de sécurité : patch


management, contrat de maintenance, HA,…

• Sensibiliser les utilisateurs

• Définir les bons mécanismes de contrôle


et renforcer les existants

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Secret N°3: Détecter

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Détecter

• Passer d’une défense statique à une défense active

• Surveiller les actifs

• Mise en place d’un plan de détection et de réponse


à incident

• Assurer une veille en sécurité (Threat Intelligence)

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Secret N°4: Réagir

INCIDENT RESPONSE UNIT

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Réagir

• Gestion et analyse des évènements

• Processus d’escalade

• Procédure pour Contenir / Eradiquer / Restaurer

• Plan de communication

• Préparation à des démarches légales

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Secret N°5: Améliorer

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Améliorer

• Tirer des leçons du passé

• Ajuster les mécanismes de détection

• Réviser annuellement ou bi-annuellement l’analyse


de risque, le BIA, etc.

• Revoir les plans de communication, les processus,


procédure, indicateurs, etc.

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Oui mais…
Belle méthodologie mais….

Peu efficace sans l’aide de la direction pour


impliquer les métiers

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Que faire???
Plan d’action triennal de la sécurité

• Validé par la direction

• Avec des indicateurs spécifique pour l’exécutif

• Avec une gestion de projet simple et efficace

• En s’entourant des bons partenaires

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Gestion de projet?
• Favoriser le mode itératif

• Définir une notion de terminé

• Attaquer le mammouth par petit bout

• Avoir des indicateurs d’avancement

• Définir des responsables produits


venant du métier

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Conclusion
5 secrets Direction GDP

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015
Merci pour votre attention

Les 5 secrets pour protéger vos données les plus convoitées - Bordeaux 02/12/2015