Académique Documents
Professionnel Documents
Culture Documents
Cyberwatchetatdesmenaces 170626215352
Cyberwatchetatdesmenaces 170626215352
1
Faisons connaissance !
• Maxime ALAY-EDDINE
• Cyberwatch SAS
• Logiciel de gestion de
vulnérabilités
2
Le seul système vraiment sécurisé est
éteint, coulé dans un bloc de béton, scellé
par une pièce recouverte de plomb et
protégée par des gardes.
3
La sécurité absolue n’existe pas. 4
Source lolsnaps.com
Il faut viser un « niveau de risque acceptable ».
5
Plan
• Présentation générale
• Cas de WannaCry
• Démonstration
• Projections et réglementation
• Questions / Réponses
6
Présentation générale
7
Sécurité des systèmes d’information ?
8
Sécurité des systèmes d’information ?
9
Définition plus « concrète »
Disponibilité
Intégrité Confidentialité
10
Définition plus « concrète »… avec les mains
Disponibilité
Est-ce que mes
données sont bonnes ? Est-ce que mon
système est privé ?
Intégrité Confidentialité
11
Objectif
Situation optimale
Disponibilité
Intégrité Confidentialité
12
Dans l’industrie, 4 grands critères
13
Des menaces multiples
S poofing Usurpation
T ampering Falsification
R epudiation Répudiation
I nformation Disclosure Divulgation d’informations
D enial of Service Déni de service
E levation of Privilege Elévation de privilèges
14
Usurpation d’identité
15
Usurpation d’identité
Login
Mot de passe
16
Usurpation d’identité
Login
Mot de passe
Login
Mot de passe
17
Usurpation d’identité
18
Falsification de données
19
Falsification de données
20
Falsification de données
21
Falsification de données
22
Falsification de données
23
Source : https://nakedsecurity.sophos.com/2014/11/04/rugby-teams-site-defaced-to-read-i-love-you-isis/
Falsification de données
24
Répudiation
25
Répudiation
26
Répudiation
27
Répudiation
28
Répudiation
29
Divulgation d’informations
30
Divulgation d’informations
Login
Mot de passe
31
Divulgation d’informations
Login
Mot de passe
32
Déni de service
33
Déni de service
34
Déni de service
35
Déni de service distribué
36
Déni de service distribué
37
Elévation de privilège
38
Elévation de privilège
39
Elévation de privilège
40
Les vecteurs sont eux-aussi multiples
Sécurité physique
Sécurité réseau
Sécurité des applications
Ingénierie sociale
…
41
Pour chaque type d’attaque, il y a une solution
Virus Anti-virus
Malware Anti-malware
IP Spoofing Anti Spoofing
Man-in-the-Middle Chiffrement
Injection SQL/XSS Filtrage
Vulnérabilité Correcteur de vulnérabilités
… …
42
Beaucoup de menaces.
Beaucoup de solutions.
Beaucoup d’actifs à protéger.
43
Source : yannarthusbertrand2.org
You can't defend. You can't prevent. The
only thing you can do is detect and respond.
- Bruce Schneier
Expert SSI, inventeur du standard Bluefish
44
Lutter contre les cyber-menaces en pratique ?
Manque' Coût'
Besoin'
de'temps' très'élevé'
d’exper-se'
45
Evolution des attaques
46
Morris - 1988
48
La Cyber-armée iranienne - 2010
49
StuxNet - 2010
50
Sony Pictures Entertainment - 2014
51
Ashley Madison - 2015
• Perte financière :
- Chantage auprès des utilisateurs du site
- Class-Action contre l’entreprise, coût estimé > $5 M
53
WannaCry - 2017
54
WannaCry - 2017
55
WannaCry - 2017
Wannacry = Ransomware
Forme de « racket »
Beaucoup d’infections
mais peu de gains :
$140 000 le 20/06/2017
56
WannaCry - 2017
57
Et ce n’est pas fini.
58
Les pirates ne cherchent plus le défi
technique, mais la rentabilité économique ou
la diffusion d’idées politiques.
59
Quid des PME ? Des particuliers ?
60
Etude des solutions installées en entreprise
61
Etude des solutions installées en entreprise
64
Rôle des autorités de SSI
65
Les vulnérabilités « connues » ou « historiques »
Heartbleed Shellshock 66
Problème : qui suit ces alertes en continu ?
67
68
Résultat
69
80% des attaques réussies utilisent au moins
une vulnérabilité connue.
70
Les pirates cherchent à maximiser leur ROI, et
évoluent en conséquence.
Nous devons donc adapter nos mentalités et
nos moyens de défense.
71
R.O.I. et
Sécurité informatique
Faire de la cybersécurité un
investissement capable de
protéger son patrimoine tout en
créant de la valeur
72
Etude du R.O.I. - Cas classique
Dépenses Recettes
Poste
73
Etude du R.O.I. - Cas classique
Dépenses Recettes
Poste
75
Etude du R.O.I. - Cas de la cybersécurité
Dépenses Recettes
Sécurité
Informatique
Pertes
76
Etude du R.O.I. - Cas de la cybersécurité
Dépenses Recettes
Sécurité
Informatique
Pertes
Cas classique :
Dépenses Recettes
Sécurité
Informatique
Pertes
Cas classique :
Pourtant…
79
Etude du R.O.I. - Cas de la cybersécurité
Dépenses Recettes
Sécurité
Informatique
Pertes
Cas classique :
Dépenses Recettes
Sécurité
Informatique
Pertes
Cas classique :
82
La sécurité informatique
préserve la valeur de l’entreprise.
On la perçoit donc comme un outil de
réduction de risque.
83
Les biais de l’approche « Réduction du risque »
• Si je connais :
- mon risque
- mes pertes potentielles
84
Les biais de l’approche « Réduction du risque »
• Si je connais :
- mon risque
- mes pertes potentielles
Ex :
10% de chances d’avoir un Accident
10.000.000€ de pertes attendues si l’Accident se produit
86
Les biais de l’approche « Réduction du risque »
88
Les biais de l’approche « Réduction du risque »
89
Les biais de l’approche « Réduction du risque »
90
L’approche classique ALE ne pousse pas à
assainir l’écosystème.
2 solutions :
1) Créer de la valeur avec la cybersécurité.
2) Réglementer l’écosystème.
91
Créer de la valeur avec la cybersécurité
92
Créer de la valeur avec la cybersécurité
93
Réglementer l’écosystème
• Approche de l’assurance :
- Tout conducteur doit avoir souscrit une assurance auto.
- Tout salarié cotise à l’assurance chômage.
95
Réglementer l’écosystème
97
Projections et
réglementation
98
Evolution globale de la sécurité
Présent
Guérison Détection
99
Evolution globale de la sécurité
Présent
100
De la guérison à la prévention
101
Evolutions réglementaires
102
103
Conclusion
104
Notre avis sur l’avenir ?
105
Questions / Réponses
106
CYBERWATCH
Cybersecurity as a Service
contact@cyberwatch.fr
http://www.cyberwatch.fr
107