Sécurité Informatique : Maxime ALAY-EDDINE

Cyberwatch SAS - http://www.cyberwatch.fr

état des menaces v1.0 - 23/06/2017

1
Faisons connaissance !

• Maxime ALAY-EDDINE

• Cyberwatch SAS

• Société française de sécurité CYBERWATCH

informatique spécialisée dans la
gestion des vulnérabilités

• Simulations d’attaques (Pentest)

• Logiciel de gestion de
vulnérabilités

2
 Le seul système vraiment sécurisé est
éteint, coulé dans un bloc de béton, scellé
par une pièce recouverte de plomb et
protégée par des gardes.

- Gene Spafford (aka Spaf)

Expert SSI, membre du Cybersecurity Hall of Fame

3
La sécurité absolue n’existe pas. 4
Source lolsnaps.com
Il faut viser un « niveau de risque acceptable ».

5
Plan
• Présentation générale

• Evolution des attaques

• Cas de WannaCry

• R.O.I. et Sécurité informatique

• Démonstration

• Projections et réglementation

• Questions / Réponses

6
Présentation générale

Notions de base et définitions

7
Sécurité des systèmes d’information ?

8
 Sécurité des systèmes d’information ?

Le système d'information représente un patrimoine

essentiel de l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les
ressources matérielles ou logicielles d'une organisation
sont uniquement utilisées dans le cadre prévu.

Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006

9
Définition plus « concrète »

Disponibilité

Intégrité Confidentialité

10
 Définition plus « concrète »… avec les mains

Est-ce que mon

système fonctionne ?

Disponibilité
Est-ce que mes
données sont bonnes ? Est-ce que mon
système est privé ?

Intégrité Confidentialité

11
 Objectif

Situation optimale
Disponibilité

Intégrité Confidentialité

12
Dans l’industrie, 4 grands critères

13
Des menaces multiples

S poofing Usurpation
T ampering Falsification
R epudiation Répudiation
I nformation Disclosure Divulgation d’informations
D enial of Service Déni de service
E levation of Privilege Elévation de privilèges

14
Usurpation d’identité

Le pirate se fait passer pour une entité.

15
Usurpation d’identité

Login
Mot de passe

16
Usurpation d’identité

Login
Mot de passe

Login
Mot de passe
17
Usurpation d’identité

18
Falsification de données

Le pirate modifie des données.

19
Falsification de données

20
Falsification de données

21
Falsification de données

22
Falsification de données

23
Source : https://nakedsecurity.sophos.com/2014/11/04/rugby-teams-site-defaced-to-read-i-love-you-isis/
Falsification de données

24
Répudiation

Le pirate fait croire qu’un évènement ne s’est jamais produit.

25
Répudiation

26
Répudiation

27
Répudiation

28
Répudiation

29
Divulgation d’informations

Le pirate publie des informations confidentielles.

30
Divulgation d’informations

Login
Mot de passe

31
Divulgation d’informations

Login
Mot de passe

32
Déni de service

Le pirate rend un service inaccessible.

33
Déni de service

34
Déni de service

35
Déni de service distribué

36
Déni de service distribué

37
Elévation de privilège

Le pirate obtient des droits privilégiés sur un système.

38
Elévation de privilège

39
Elévation de privilège

40
Les vecteurs sont eux-aussi multiples

Sécurité physique
Sécurité réseau
Sécurité des applications
Ingénierie sociale
…

41
Pour chaque type d’attaque, il y a une solution

Virus Anti-virus
Malware Anti-malware
IP Spoofing Anti Spoofing
Man-in-the-Middle Chiffrement
Injection SQL/XSS Filtrage
Vulnérabilité Correcteur de vulnérabilités
… …

42
 Beaucoup de menaces.
Beaucoup de solutions.
Beaucoup d’actifs à protéger.
43
Source : yannarthusbertrand2.org
 You can't defend. You can't prevent. The
only thing you can do is detect and respond.

- Bruce Schneier
Expert SSI, inventeur du standard Bluefish

44
Lutter contre les cyber-menaces en pratique ?

Manque' Coût'
Besoin'
de'temps' très'élevé'
d’exper-se'

45
Evolution des attaques

Etude de la complexité et des

nouvelles cibles des pirates

46
Morris - 1988

• Créé par Robert Tappan Morris (Cornell) en 1988

• Programme conçu pour se répliquer et se propager de

proche en proche (Ver / Worm)

• Problème : le ver a rencontré une erreur et a causé des

dommages sur les ordinateurs infectés.

• Plus de 6000 ordinateurs infectés, pour $100M

d’amende.
47
Estonie - 2007

• L’Estonie subit une attaque majeure de Déni de service

suite au retrait d’un mémorial de guerre lié à la Russie.

• Les services gouvernementaux sont stoppés

• Les services techniques parviennent à remettre en ligne

progressivement les systèmes touchés

48
La Cyber-armée iranienne - 2010

• Des militants iraniens attaquent Twitter et Baidu (Google

chinois).

• Les internautes sont redirigés vers une page pirate avec

un message politique.

49
StuxNet - 2010

• Virus de très haute expertise technique visant les

machines industrielles Siemens.

• Découvert en Iran et en Indonésie.

• Sabotage logiciel contre le programme nucléaire iranien.

50
Sony Pictures Entertainment - 2014

• Vol massif de données (films notamment)

• Les données ont été diffusées sur Internet

• Perte d’exploitation majeure pour l’entreprise, chiffrée à

plus de $100M

51
Ashley Madison - 2015

• Vol massif de données (60 Go)

• > 30M de comptes utilisateurs rendus publics

• Problème : pas de surveillance du réseau, mots de passe

trop simples (Pass1234)
52
Ashley Madison - 2015

• (source Gizmodo et Dadaviz)

• Perte financière :

- Chantage auprès des utilisateurs du site

- Class-Action contre l’entreprise, coût estimé > $5 M

53
WannaCry - 2017

Août 2016 : Shadow Brokers annonce avoir récupéré des

logiciels de piratage et d’espionnage de la NSA

Janvier 2017 : Shadow Brokers met en vente ces logiciels

Mars 2017 : Microsoft publie une série de correctifs

Avril 2017 : Shadow Broker publie gratuitement une partie

des logiciels de la NSA en contestation de Trump

12 Mai 2017 : vague d’attaques WannaCry

54
 WannaCry - 2017

Réseau interne entreprise

Diffusion de proche en proche

Attaque d’une vulnérabilité
connue sur le protocole SMB
avec l’exploit ETERNALBLUE Ordinateur visible
depuis l’extérieur
(exemple : serveur)
et vulnérable

55
 WannaCry - 2017

Wannacry = Ransomware
Forme de « racket »

Le logiciel chiffre vos données puis

vous vend la clé de chiffrement

Beaucoup d’infections
mais peu de gains :
$140 000 le 20/06/2017

56
WannaCry - 2017

Essentiel de l’impact de Wannacry : perte d’exploitation,

atteinte à la réputation…

57
Et ce n’est pas fini.

58
 Les pirates ne cherchent plus le défi
technique, mais la rentabilité économique ou
la diffusion d’idées politiques.

59
Quid des PME ? Des particuliers ?

60
Etude des solutions installées en entreprise

Sondage sur les solutions de sécurité des entreprises françaises en 2009

Source : La cybersécurité, Que sais-je ?

61
Etude des solutions installées en entreprise

Sondage sur les solutions de sécurité des entreprises françaises en 2009

Source : La cybersécurité, Que sais-je ?

Virus = menace connue et traitée partout. 62

Etude des solutions installées en entreprise

Sondage sur les solutions de sécurité des entreprises françaises en 2009

Quelques doutes sur ces chiffres, qui sont bien

plus élevés que ce que l’on observe dans nos audits.
Source : La cybersécurité, Que sais-je ?

Les termes sont plus techniques : « chiffrement », « VPN ».

Hypothèse = les entreprises se pensent protégées, mais ne le sont pas…
63
Etude des solutions installées en entreprise

• Certaines menaces sont traitées de facto (ex : virus)

• Les pirates s’adaptent en conséquence

• Les menaces les plus « techniques » sont encore

oubliées : cas des vulnérabilités dites « connues ».

• Cas pratique de WannaCry : vulnérabilité connue

depuis Janvier 2017, correctif disponible depuis Mars
2017, beaucoup de PC contaminés en Mai 2017, et
l’infection continue même en Juin 2017…

64
Rôle des autorités de SSI

• Autorités gouvernementales de la SSI

• 2 rôles majeurs : surveillance, information

65
Les vulnérabilités « connues » ou « historiques »

• Défauts publiés par les autorités, présents dans les

logiciels les plus répandus (8000 en 2014)

• CERT : Computer Emergency Response Team

• Objectif : avertir les usagers des nouvelles failles et

indiquer comment se protéger

Heartbleed Shellshock 66
Problème : qui suit ces alertes en continu ?

67
68
Résultat

• Cette liste constitue l’armurerie parfaite pour les pirates

• Les entreprises (en particulier les PME) sont encore trop

peu protégées contre ces vulnérabilités

• Il est maintenant plus intéressant pour les pirates

d’attaquer les PME que les grands groupes.

69
80% des attaques réussies utilisent au moins
une vulnérabilité connue.

Source : Gartner, avis donné pour l’année 2015

70
Les pirates cherchent à maximiser leur ROI, et
évoluent en conséquence.
Nous devons donc adapter nos mentalités et
nos moyens de défense.

71
R.O.I. et
Sécurité informatique

Faire de la cybersécurité un
investissement capable de
protéger son patrimoine tout en
créant de la valeur

72
Etude du R.O.I. - Cas classique

Dépenses Recettes
Poste

73
Etude du R.O.I. - Cas classique

Dépenses Recettes
Poste

1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10%

2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0%

3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10% 74

Et dans la Cybersécurité ?

75
Etude du R.O.I. - Cas de la cybersécurité

Dépenses Recettes
Sécurité
Informatique

Pertes

76
Etude du R.O.I. - Cas de la cybersécurité

Dépenses Recettes
Sécurité
Informatique

Pertes
Cas classique :

- Dépenses = 1000, Pertes = 0

- Dépenses = 0, Pertes = 5000
77
Etude du R.O.I. - Cas de la cybersécurité

Dépenses Recettes
Sécurité
Informatique

Pertes
Cas classique :

- Dépenses = 1000, Pertes = 0, Recettes = 0

- Dépenses = 0, Pertes = 5000, Recettes = 0
78
La sécurité informatique avec une vision
classique de R.O.I. se défend mal.

Pourtant…

79
Etude du R.O.I. - Cas de la cybersécurité

Dépenses Recettes
Sécurité
Informatique

Pertes
Cas classique :

- Dépenses = 1000, Pertes = 0, Recettes = 0

- Dépenses = 0, Pertes = 5000, Recettes = 0
80
Etude du R.O.I. - Cas de la cybersécurité

Dépenses Recettes
Sécurité
Informatique

Pertes
Cas classique :

- Dépenses = 1000, Pertes = Total : -1000

0, Recettes =0
- Dépenses = Total : -5000
0, Pertes = 5000, Recettes =0
81
 La sécurité informatique

préserve la valeur de l’entreprise.

82
 La sécurité informatique

préserve la valeur de l’entreprise.
On la perçoit donc comme un outil de
réduction de risque.

83
Les biais de l’approche « Réduction du risque »

• Approche classique Annualized Loss Expectancy (ALE)

• Si je connais :

- mon risque

- mes pertes potentielles

• Alors Budget ≤ Risque x Pertes

84
Les biais de l’approche « Réduction du risque »

• Approche classique Annualized Loss Expectancy (ALE)

• Si je connais :

- mon risque

- mes pertes potentielles

• Alors Budget ≤ Risque x Pertes

Ex :
10% de chances d’avoir un Accident
10.000.000€ de pertes attendues si l’Accident se produit

Budget ≤ 1.000.000€ pour couvrir ce risque 85

Les biais de l’approche « Réduction du risque »

• Difficultés pour évaluer le cyber-risque :


- Quel est ma surface d’exposition ?

- Quel est mon niveau de sécurité ?

- Quelles sont les menaces ?

• Difficultés pour évaluer les pertes :


- Quels sont mes principaux assets ?

- Quelles sont mes pertes potentielles matérielles ?

- Quelles sont mes pertes potentielles immatérielles ?

86
Les biais de l’approche « Réduction du risque »

• Difficultés pour évaluer le cyber-risque :


- Quel est ma surface d’exposition ?

- Quel est mon niveau de sécurité ?

- Quelles sont les menaces ?

• Difficultés pour évaluer les pertes :


- Quels sont mes principaux assets ?

- Quelles sont mes pertes potentielles matérielles ?

- Quelles sont mes pertes potentielles immatérielles ?

Manque de données sur

l’environnement et ses enjeux.
87
Les biais de l’approche « Réduction du risque »

• Question 1 - Que préférez-vous entre :






A : un gain certain de 100 €

B : 1 chance sur 2 de gagner 200 € (ou 0€)

88
Les biais de l’approche « Réduction du risque »

• Question 2 - Que préférez-vous entre :






A : une perte certaine de 100 €

B : 1 chance sur 2 de perdre 200 € (ou 0€)

89
 Les biais de l’approche « Réduction du risque »

• Question 1 - Que préférez-vous entre :


A : un gain certain de 100 € — 72%

B : 1 chance sur 2 de gagner 200 € (ou 0€)

• Question 2 - Que préférez-vous entre :


A : une perte certaine de 100 €

B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64%

Problèmes équivalents mais humain irrationnel.

Phénomène d’aversion à la perte (Tversky, Kahneman, 1986).

90
 L’approche classique ALE ne pousse pas à
assainir l’écosystème.

2 solutions :

1) Créer de la valeur avec la cybersécurité.

2) Réglementer l’écosystème.
91
 Créer de la valeur avec la cybersécurité

• Faire de la sécurité informatique un argument commercial :


« Notre système d’information a été audité pendant 5 jours
par une équipe d’experts en sécurité. Avec nous, vos
données sont protégées. »

• Inclure des solutions de sécurité dans ses produits :


- Voitures vendues avec des alarmes en option.

- Infogéreurs vendent des serveurs infogérés avec une
option sécurité.

92
 Créer de la valeur avec la cybersécurité

• La sécurité informatique augmente alors la valeur perçue

par le client, en termes de qualité.

• Le fait d’embarquer des solutions permet d’apporter en

plus du confort et de la simplicité.

• Ces approches réduisent le risque informatique, et

en déportent le coût sur le client final.

93
 Réglementer l’écosystème

• Approche de l’assurance :

- Tout conducteur doit avoir souscrit une assurance auto.

- Tout salarié cotise à l’assurance chômage.

• Depuis 2013, Loi de Programmation Militaire :


- Fixe des obligations comme l’interdiction de connecter
certains systèmes à Internet ;

- Met en place de systèmes de détections par des prestataires
labélisés par l’Etat ;

- Vérifie le niveau de sécurité des SI critiques à travers un
système d’audit ;

- Et en cas de crise majeure, de peut imposer les mesures
nécessaires aux opérateurs.
94
Source cyberstrategie.org
 Réglementer l’écosystème

• La LPM s’applique aux Opérateurs d’Importance Vitale :


- Transport ;

- Energie ;

- Télécommunications…

• Les OIV doivent notifier les attaques informatiques à

l’Agence Nationale de la Sécurité des Systèmes
d’Information.

• Au niveau européen, directives votées en 2014 permettent

à chaque Etat d’avertir le public d’une attaque sur OIV…

95
 Réglementer l’écosystème

• Règlement Général sur la Protection des Données

• Applicable fin Mai 2018

• Idée générale = mieux protéger les données personnelles

et notamment mieux informer lors de leur piratage

• Amende pouvant aller jusqu’à 4% du C.A.

Vers une réglementation de toutes les sociétés ?

96
Démonstration

Attaque par injection XSS

Visite d’un site du Darkweb

97
Projections et
réglementation

Projections sur l’écosystème et

réglementation en cours

98
Evolution globale de la sécurité

Présent

Guérison Détection

Bruce Schneier au FIC 2015

99
Evolution globale de la sécurité

Présent

Guérison Détection Correction

Bruce Schneier au FIC 2015

100
De la guérison à la prévention

• Guérison : suite à une attaque, opérations de remise en

service du système d’information.

• Détection : pendant une attaque, opérations de blocage

des tentatives d’intrusion.

• Correction : mise en place des barrières techniques lors

de chaque nouvelle menace, avant même que les pirates
ne puissent les exploiter.

101
Evolutions réglementaires

• Transposition des directives européennes en France ?

• Extension progressive de la réglementation imposée aux

OIV à l’ensemble des entreprises françaises ?

• Vers une assurance Cyber-Risques obligatoire ?

Objectif : Atteindre la « Cyber-Résilience » européenne

102
103
 Conclusion

Les menaces sont multiples, complexes.

Les technologies de protection deviennent
de plus en plus mûres et automatisées.
Nous passons d’une stratégie d’action en aval
à une stratégie d’action en amont.

104
 Notre avis sur l’avenir ?

L’assainissement de l’écosystème passe par

des solutions de sécurité embarquées,
automatisées et économiques, et supportées
par des évolutions réglementaires.

105
Questions / Réponses

Merci pour votre attention !

106
CYBERWATCH
Cybersecurity as a Service

Protéger - Détecter - Corriger

contact@cyberwatch.fr
http://www.cyberwatch.fr
107