Académique Documents
Professionnel Documents
Culture Documents
matière de cybersécurité
Paradigmes de programmation
Cours #12, 1-ere partie
dgarlasu@yahoo.com
Comprendre la sécurité est très similaire à comprendre l'architecture logicielle, avec des concepts
généraux applicables à tous, et des besoins spécifiques qui dépendent de votre situation.
Dans ce cours, nous allons discuter de la sécurité informatique et de son impact sur les bases de
données.
1
Pourquoi la sécurité dès maintenant?
Foto: fotolia/Glebstock
L'autre est très différent. Il ne veut pas laisser de traces car son intention est de revenir. Il
compile des données pour un marché de plusieurs millions de dollars. Il pourrait aussi bien
être un espion pour les gouvernements étrangers ou il fait de l'espionnage industriel. Il n'est
pas intéressé à faire tomber le système, car le faire fonctionner lui rapportera encore plus
d'argent avec le temps.
Pourquoi la sécurité
L'ère des méga violations de la sécurité. Les données volées représentent
une industrie de plusieurs millions de dollars
Augmentation de l'espionnage gouvernemental et industriel
Réglementations nationales et internationales (par exemple dans l'UE) sur
la sécurité des données. La plus grande amende GDPR au Royaume-Uni
était de 20 millions UKP - British Airways
Coûts des violations de données entre 50 $ et 350 $ par enregistrement, le
coût total par violation est de $2,92M en 2019
Les coûts des violations de données augmentent ainsi que la fréquence des
attaques et le volume de données volées. Pendant la pandémie COVID 19,
il y a eu une augmentation de 3000% des incidents de cybersécurité
Les coûts d'indisponibilité du système dus aux pirates informatiques sont
de 10 à 40K $ par heure 3
Pourquoi la sécurité?
Nous sommes à l'ère des méga culottes, et nous allons vous montrer quelques exemples
impressionnants avec des chiffres. En effet, en 2019, le coût moyen d'une violation était de
3,29 M USD.
On signale une augmentation de l'espionnage de la part d'autres pays et gouvernements ou
industries ou même des revendeurs d'inventions et de brevets volés.
Il existe de plus en plus de réglementations nationales et internationales sur la sécurité des
données, à la fois pour les données personnelles, telles que le GDPR (UE) ou le CCPA
(Californie) , ainsi que pour d'autres données. La plus grande amende du GDPR de l'UE au
Royaume-Uni était de 20 millions UKP (British Airways).
Les coûts des données volées sont énormes. selon le type de dossier, cela peut aller jusqu'à
350 $ par dossier médical.
L'industriel est très actif, ça paye évidemment, on voit plus de culottes de données avec plus
d'enregistrements par culasse. Pendant les pandémies COVID 19, il y a eu une augmentation
de 3000% des incidents de cybersécurité.
Comme déjà mentionné, les coûts d'un système down peuvent être de dix à quarante mille
dollars de l'heure, selon la taille de l'entreprise ou le type de services.
2
Agenda
1 Ce que les études de marché montrent sur les problèmes de cybersécurité
2 Comment quantifier les menaces et les conséquences d'une violation
2a
Études de cas: Sony, Target Corporation, Mossak Fonseca
2b Études de cas: Capital One, British Airways, Garmin, Nvidia, Mailchimp
2c Coût des couches informatiques vulnérables aux attaques / Argent dépensé
3 Sécurité de la base de données / étude de cas: architecture de sécurité maximale
d'Oracle (2-eme partie du cours)
4 Des aspects sur la confidentialité des données personnelles et la conformité
5 Conclusions
Voici l'agenda:
Nous aimerions évaluer l'ampleur des dégâts lorsque les vulnérabilités sont exploitées, à travers
quelques études de cas,
Ensuite, regardez quelques types de vulnérabilités
Découvrez comment une défense de sécurité complète pour la base de données peut être établie
La confidentialité des données personnelles et les nouvelles réglementations de conformité des
gouvernements
Tirez quelques conclusions suivies de questions-réponses
4
5
La cybercriminalité signifie que «je ne vole pas une personne à la fois, j'en vole
des milliers avec un clic! »
5
Quiz
En $, quel était le coût moyen d'une violation de données en 2019? (choisissez
la meilleure réponse)
a) 3,29M$
b) 1,05M$
c) 2,5M$
d) None of the above
La réponse: a) 3,29M$
Quiz
Pendant la pandémie COVID19, combien de fois les attaques de sécurité ont-
elles augmenté? (choisissez la meilleure réponse)
a) 100%
b) 200%
c) 3000%
d) None of the above
La réponse: c) 3000%
67% Enregistrements
violés des serveurs
Chaque année, Verizon, l'un des plus grands opérateurs de téléphonie mobile au monde, publie un rapport
sur la cybersécurité. Voici quelques-unes des conclusions de ces rapports.
(http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf)
8
Étude de cas #1: Sony Pictures Entertainment (SPE)
• Nov 24, 2014: «Il était environ 8 heures du matin et notre directeur financier a appelé pour nous dire que nous avions fait
l'objet d'une cyberattaque. Au moment où je suis arrivé au bureau, tout le studio était hors ligne ». Les employés se
connectant à leur ordinateur ont vu un squelette et les mots «Hacked by the #GOP» (Gardiens de la paix). Les pirates ont
volé des informations commerciales confidentielles, notamment des données d'employés, des e-mails privés et des films.
• Dec 15–16: Deux recours collectifs distincts en justice sont intentés au nom d'anciens et actuels employés alléguant que
Sony n'a pas fait assez pour protéger leurs informations privées.
• Jan 2015: Charlize Theron obtient 10 millions de dollars supplémentaires pour égaler les honoraires de Chris Hemsworth,
sa co-vedette masculine dans la production du film The Huntsman, car, à la suite du piratage, la masse salariale des acteurs
a été rendue publique et a montré une discrimination des actrices contre leurs homologues masculins.
• Fev 4 2015: Sony Pictures Entertainment déclare que le piratage a coûté 15 millions de dollars jusqu'à la fin de 2014.
• Source: July–August 2015 Harvard Business Review
Voici le hack réalisé contre SONY Pictures Entertainment qui n'a pas voulu renoncer à mettre sur le
marché le film: «Le Dictateur» sur le président de la Corée du Nord. Une estimation précoce des
dégâts: 15M USD.
9
Étude de cas #2: Chaîne de magasins Target
La plus grande violation de données de l'histoire du commerce de détail américain:
• 40 millions de cartes de crédit et de débit,
• 70 millions d'informations sur les clients volées
• Target Corp. a conclu un accord avec Visa Inc. pour régler les réclamations concernant la violation
massive de données de 2013 qui a exposé 40 millions de cartes de crédit et de débit à la fraude.
• On ne sait toujours pas quel a été le coût précis de la violation, mais une estimation dans le rapport
annuel de Target de mars 2016 a mis le chiffre à 291 millions de dollars
• Ce qui a rendu cela d'autant plus énervant pour Target, c'est qu'il avait consacré beaucoup de temps
et de ressources à la sécurité de ses informations. Target comptait plus de 300 membres du
personnel de sécurité de l'information. La société avait maintenu un grand centre d'opérations de
sécurité à Minneapolis, Minnesota, et disposait d'une équipe de spécialistes de la sécurité à
Bangalore qui surveillait son réseau informatique 24h/24 et 7j/7.
10
La plus grande violation de données de l'histoire du commerce de détail américain a commencé par une explosion
d'e-mails spam qui ont finalement atterri à une entreprise qui travaille avec Target sur une base contractuelle, et ils ont
pu pousser des logiciels malveillants vers les appareils de point de vente réels, la caisse enregistreuse de Target, puis
à travers le réseau. Et ce logiciel malveillant a d'ailleurs été conçu pour voler les informations stockées sur la bande
magnétique au dos des cartes afin qu'ils puissent les utiliser plus tard pour créer de nouvelles cartes. L'attaque a été
initiée en mars 2013 par un pirate informatique russe de 17 ans connu sous le nom de Ree4 qui a créé le malware
appelé Black POS et vendu les versions sur mesure à des cybercriminels du monde entier. Aux États-Unis, le logiciel
malveillant a infecté le sous-traitant Target Fazio Mechanical Services, (fournisseur de systèmes de climatisation), la
porte dérobée à l'ensemble de la base installée de Pointes De Vente de Target dans 1700 magasins. Ils ont
essentiellement abusé de l'accès dont disposait l'entreprise contractante. Le problème était que Target n’avait pas
segmenté pas son réseau car ils ne voyaient aucune raison pour laquelle l'accès aux cartes de paiement pouvait être
effectué à partir d'un accès entrepreneur. Le 27/09/2013, des millions de détails de cartes ont été envoyés à trois
postes de transit dans l'Utah, en Virginie et à Los Angeles pendant les 18 jours suivants, avant d'être envoyés à une
décharge RESCATOR, à Odessa, en Ukraine.
La question est donc de savoir comment Target n'a-t-il pas découvert qu'ils avaient un problème à résoudre? L'équipe
de sécurité de Target à Bangalore a signalé le logiciel malveillant et a émis une alerte au centre de sécurité de Target
à Minneapolis. Mais le feu rouge a été ignoré.
Dans le monde commercial, c'est souvent le cas: rendre public une telle violation n'est presque jamais dans le meilleur
intérêt des entreprises. Les banques sont particulièrement secrètes, car elles n'aiment pas admettre qu'il se passe
quoi que ce soit. Un exemple est BankMuscat - 45 M USD retirés des guichets automatiques dans plus de 20 pays.
Découvert en 2013, 4 sur 14 ont plaidé coupable.
Source: We still haven’t learned from the 2013 Target hack. (slate.com)
10
Étude de cas #3: Mossack - Fonseca
(a.k.a. Panama Papers)
11
11
Étude de cas #4: British Airways
Dear Customer,
Following our email notifying you about our recent criminal data theft, we wanted to provide you with more information.
As you may be aware, from 22:58 BST 21 August 2018 until 21:45 BST 5 September 2018 inclusive, the personal and financial
details of customers making or changing bookings at ba.com, and on our app were compromised. We’re truly sorry, but you may have
been affected.
The personal information compromised includes full name, billing address, email address and payment card information. This includes
your card number, expiry date and CVV. Unfortunately, this information could be used to conduct fraudulent transactions using your
account. We recommend that you contact your bank or credit card provider immediately and follow their advice.
Yours sincerely,
Alex Cruz
Chief Executive Officer
12
J'étais l'un des clients à qui British Airways a envoyé cet avis en septembre 2018!
BA a initialement reçu une amende de 230 millions de dollars de la part de l'autorité GDPR au
Royaume-Uni, qui a finalement été réduite à 20 millions de UKP, la plus grande amende de ce type
au Royaume-Uni.
Étude de cas #5: Capital One Breach
100 millions d'Américains et 6 millions de Canadiens touchés
• Capital One a révélé avoir subi une violation de données touchant 100 millions de personnes aux
États-Unis et 6 millions au Canada.
• La société a déclaré dans un communiqué qu'entre 2005 et 2019, des données relatives aux
informations sur les consommateurs au moment où ils ont demandé une carte de crédit ont été
volées.
• "Ces informations comprenaient des informations personnelles que Capital One recueille
régulièrement au moment où elle reçoit les demandes de carte de crédit, y compris les noms,
adresses, codes postaux / codes postaux, numéros de téléphone, adresses e-mail, dates de
naissance et revenus auto-déclarés", a déclaré la société .
• La violation était due à une vulnérabilité de configuration qui lui avait été révélée par un chercheur
en sécurité externe, ce qui a conduit à une enquête interne et à la découverte de l'incident..
Source: https://www.zdnet.com/article/100-million-americans-and-6-million-canadians-caught-up-in-capital-one-breach/
13
Lors de l'une des plus grandes violations de données de tous les temps, un pirate informatique a eu accès à plus de
100 millions de comptes et d'applications de carte de crédit de clients de Capital One en 2019.
Paige Thompson est accusée d'avoir pénétré par effraction dans un serveur Capital One et d'avoir accès à 140000
numéros de sécurité sociale, 1 million de numéros d'assurance sociale au Canada et 80000 numéros de compte
bancaire, en plus d'un nombre non divulgué de noms, d'adresses, de points de crédit, de limites de crédit, soldes et
autres informations, selon la banque et le département américain de la Justice. Une plainte pénale indique que
Thompson a tenté de partager les informations avec d'autres en ligne. L'homme de 33 ans, qui vit à Seattle, avait
auparavant travaillé en tant qu'ingénieur logiciel dans une société de technologie pour Amazon (AMZN) Web
Services, la société d'hébergement cloud utilisée par Capital One. Elle a pu y accéder en exploitant un pare-feu
d'application Web mal configuré. Thompson a publié les informations sur GitHub, en utilisant son prénom, son
deuxième prénom et son nom de famille, indique la plainte. Elle s'est également vantée sur les réseaux sociaux
d'avoir des informations sur Capital One. Dans une chaîne sur Slack, un service de chat souvent utilisé par les
entreprises ainsi que par d'autres groupes, Thompson a expliqué la méthode qu'elle a utilisée pour s'introduire dans
Capital One, selon le ministère de la Justice. Elle a affirmé utiliser une commande spéciale pour extraire des fichiers
dans un répertoire Capital One stocké sur les serveurs d'Amazon.
Afin d'éviter de tels incidents, Oracle Autonomous Linux et Oracle OS Management Service exploitent l'apprentissage
automatique avancé. Le nouveau système d'exploitation offre des mises à jour de sécurité automatiques
quotidiennes pour le noyau Linux et les bibliothèques d'espace utilisateur clé, sans temps d'arrêt. La détection
d'exploit connu fournit des alertes automatisées si quelqu'un tente d'exploiter une vulnérabilité qui a été corrigée par
Oracle. Une règle simple pour éviter le vol de données est de placer vos données dans un système autonome;
Aucune erreur humaine, aucune perte de données.
13
Étude de cas #6:
Fabricant de smartwatch Garmin
• Juillet 2020: Garmin a été contraint de fermer ses centres d'appels, son site Web et certains autres services en ligne après
qu'une attaque de ransomware a chiffré le réseau interne du fabricant de montres intelligentes et certains systèmes de
production.
• L'attaque a eu un impact significatif sur les propriétaires de montres Garmin car elle a également fermé le service Garmin
Connect, sur lequel ils s'appuient pour synchroniser leurs activités sportives, telles que la course, la natation et le cyclisme,
avec une application pour smartphone pour surveiller les performances.
• Dans des messages sur son site Web et partagés sur Twitter, la société s'est excusée auprès des utilisateurs et a expliqué
l'étendue de la fermeture.
• Pour éviter une attaque de ransomware, les experts estiment que les responsables informatiques et de sécurité de
l'information devraient faire ce qui suit:
– Gardez des inventaires clairs de tous vos actifs numériques et de leurs emplacements, afin que les cybercriminels n'attaquent pas un système dont vous
n'êtes pas au courant.
– Gardez tous les logiciels à jour, y compris les systèmes d'exploitation et les applications.
– Sauvegardez toutes les informations chaque jour, y compris les informations sur les appareils des employés, afin de pouvoir restaurer les données
cryptées en cas d'attaque. 14
15
• Mailchimp a été racheté par Intuit pour 12 milliards de dollars en septembre 2021
• Mailchimp est une plate-forme américaine d'automatisation du marketing et un service de marketing par e-mail
permettant de gérer des listes de diffusion et de créer des campagnes de marketing par e-mail à envoyer aux clients.
16
MailChimp, la société de marketing par e-mail bien connue, a été piratée. Les cybercriminels ont
infiltré les systèmes de l'entreprise à un moment donné le mois dernier, volant des informations sur
plus de 100 utilisateurs. Les criminels ont ensuite réutilisé les données volées pour hameçonner les
utilisateurs du populaire portefeuille cryptographique Trezor.
Les escroqueries par Phishing coûtent des millions aux
entreprises par an
Une organisation moyenne pourrait potentiellement dépenser jusqu'à 3,7 millions de dollars par an pour répondre aux
attaques de phishing, indique un nouveau rapport publié par le Ponemon Institute en août 2015.
17
70% de tout le trafic mondial de courrier électronique represente du spam (419 du code pénal nigérian -
«Advanced Fee Fraud» ou «Spanish Prisoner Scam»)
Un cas très connu est une fausse vente d'un nouvel aéroport d'Abuja / Nigeria pour 500 millions USD,
(50% récupérés) à Banco Norieste à Sao Paolo / Brésil
Le coût annuel pour contenir les logiciels malveillants en fonction des heures consacrées à la résolution de
l'incident - y compris la planification, la collecte de renseignements, l'évaluation des renseignements, les
enquêtes, le nettoyage, la réparation et la documentation - s'élève en moyenne à 1,8 million de dollars.
En outre, l'étude a révélé que les employés gaspillent en moyenne 4,16 par an en raison d'escroqueries
par hameçonnage.
En outre, 27% des coûts de phishing sont associés à des compromissions d'informations d'identification
non contenues, ce qui pourrait coûter plus d'un million de dollars à une entreprise de taille moyenne.
Selon encore une fois, le phishing de Verizon en 2015 est en hausse depuis 2011, bien que le taux de
croissance ait ralenti au cours des années suivantes.
Surce: http://www.tripwire.com/state-of-security/latest-security-news/report-phishing-scams-cost-companies-millions-per-year/
17
Quiz
Quels sont les noms courants utilisés pour les «escroqueries par hameçonnage»
ou Phishing Scams? (choisissez tout ce qui correspond):
a) Nigerian 419
b) Advanced Fee Fraud
c) Spanish Prisoner Scam
d) All of the above
18
Middleware 4% Middleware 3%
Source: CSO Online MarketPulse,
19
2013
•Selon l’enquête CSO Online de l’IDG, ils ont constaté que les cadres dépensent relativement peu
pour ce qu’ils considèrent comme leurs actifs les plus vulnérables, leurs bases de données.
•En fait, 52% ont déclaré que leurs bases de données sont les plus vulnérables à une attaque. Ceci
comparé à seulement 34% au niveau de la couche réseau.
•en ce qui concerne l'allocation des ressources, 67% de leurs ressources vont sécuriser le réseau, et
seulement 15% vers leurs bases de données.
•Pourquoi les entreprises dépensent-elles de plus en plus de sécurité basée sur le périmètre, donc
les systèmes de détection d'intrusion, les logiciels anti-programme malveillant, les pare-feu réseau?
•Maintenant, c’est important ici car ce n’est pas que la sécurisation du périmètre soit une mauvaise
idée.
•Le défi est que pour la plupart des entreprises, le réseau est devenu si vaste - englobant plusieurs
pays à travers le monde, des centres de données externalisés et, plus récemment, le cloud
computing - il est désormais pratiquement impossible de sécuriser complètement le périmètre contre
les attaques.
•Et nous nous attendons à ce que cette tendance se poursuive à mesure que de plus en plus de
services informatiques sont externalisés ou déplacés vers le cloud.
•Donc, si les contrôles de périmètre ne sont pas suffisants, alors qu'est-ce que c'est?
19
Pourquoi les bases de données sont-elles vulnérables?
80% des programmes de sécurité informatique ne traitent pas de la sécurité des bases de données
SIEM - Gestion des informations de sécurité et des événements (SIEM) est un terme désignant les produits et
services logiciels combinant la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité
(SEM). La technologie SIEM fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les
applications du réseau. Le SIEM est vendu sous forme de logiciel, d'appliance ou de services gérés, et est
également utilisé pour consigner les données de sécurité et générer des rapports à des fins de conformité.
Les acronymes SEM, SIM et SIEM ont parfois été utilisés de manière interchangeable.Le segment de la gestion de
la sécurité qui traite de la surveillance en temps réel, de la corrélation des événements, des notifications et des vues
de console est communément appelé gestion des événements de sécurité (SEM). La deuxième zone fournit un
stockage à long terme ainsi que l'analyse et la création de rapports des données de journal, et est connue sous le
nom de gestion des informations de sécurité (SIM). Comme pour de nombreuses significations et définitions de
capacités, les exigences évolutives façonnent continuellement les dérivés des catégories de produits SIEM. Le
besoin de visibilité centrée sur la voix ou vSIEM (Voice Security Information and Event Management) est un exemple
récent de cette évolution.
Le terme gestion des événements d'information de sécurité (SIEM), décrit les capacités du produit de collecte,
d'analyse et de présentation d'informations à partir du réseau et des dispositifs de sécurité; applications de gestion
des identités et des accès; outils de gestion des vulnérabilités et de conformité aux politiques; les journaux du
système d'exploitation, de la base de données et des applications; et les données sur les menaces externes. Un
objectif clé est de surveiller et d'aider à gérer les privilèges des utilisateurs et des services, les services d'annuaire et
d'autres changements de configuration du système; ainsi que la vérification et l'examen des journaux et la réponse
aux incidents.
20
De 2007 à 2013, l'augmentation du
1600 %
piratage était de
Attaques de porte
19 Pour contourner la
sécurité et fournir accès
dérobée(Backdoor attacks) %
21
Voyons maintenant quelles sont les vulnérabilités les plus fréquemment exploitées par les pirates.
Spécifique aux bases de données, l'injection SQL représente 42% de toutes les attaques de
données. C'est important et nous devons comprendre comment l'empêcher. Voir également
http://www.db-nemec.com.
21
Deux raisons pour lesquelles les organisations devraient
investir dans la sécurité des bases de données
22
Il existe deux raisons principales pour lesquelles les entreprises doivent investir dans des solutions
de sécurité de base de données:
• pour atténuer les violations de données - vous avez vu les problèmes à partir de nos études de
cas et
• pour répondre à la conformité réglementaire, telle que GDPR, CCPA, etc.
22
23
Stuxnet, découvert par Sergey Ulasen, est un ver informatique malveillant considéré comme une cyber-arme américano-
israélienne construite conjointement. [1] Bien qu'aucun État ne l'ait confirmé ouvertement, [2] des responsables américains
anonymes s'adressant au Washington Post ont affirmé que le ver avait été développé pendant l'administration Obama pour
saboter le programme nucléaire iranien avec ce qui semblerait être une longue série d'accidents malheureux. [3]
Stuxnet cible spécifiquement les contrôleurs logiques programmables, qui permettent l'automatisation des processus
électromécaniques tels que ceux utilisés pour contrôler les machines sur les chaînes de montage d'usine, les manèges ou les
centrifugeuses pour la séparation des matières nucléaires. Exploitant quatre failles du jour zéro, [4] Stuxnet fonctionne en ciblant
les machines utilisant le système d'exploitation et les réseaux Microsoft Windows, puis en recherchant le logiciel Siemens Step7.
Stuxnet aurait compromis les automates programmables iraniens, collectant des informations sur les systèmes industriels et
obligeant les centrifugeuses à rotation rapide à se déchirer. [5] La conception et l'architecture de Stuxnet ne sont pas
spécifiques à un domaine et pourraient être adaptées en tant que plate-forme pour attaquer les systèmes SCADA (contrôle de
supervision et acquisition de données) et PLC modernes (par exemple, dans les automobiles ou les centrales électriques), dont
la majorité réside en Europe, au Japon. et les États-Unis. [6] Stuxnet aurait ruiné près d'un cinquième des centrifugeuses
nucléaires iraniennes. [7]
Stuxnet a trois modules: un ver qui exécute toutes les routines liées à la charge utile principale de l'attaque; un fichier de lien qui
exécute automatiquement les copies propagées du ver; et un composant rootkit chargé de cacher tous les fichiers et processus
malveillants, empêchant la détection de la présence de Stuxnet. [8]
Stuxnet est généralement introduit dans l'environnement cible via une clé USB infectée. Le ver se propage ensuite à travers le
réseau, recherchant le logiciel Siemens Step7 sur les ordinateurs contrôlant un API. En l'absence de l'un ou l'autre de ces
critères, Stuxnet devient dormant à l'intérieur de l'ordinateur. Si les deux conditions sont remplies, Stuxnet introduit le rootkit
infecté sur l'automate et le logiciel Step7, en modifiant les codes et en donnant des commandes inattendues à l'automate tout en
renvoyant une boucle de retour des valeurs du système d'exploitation normale aux utilisateurs.
L'exploit Zero Day est une faiblesse d'un programme informatique ou d'un système d'exploitation que même le fabricant de
logiciels ne connaît pas. Cette faille de sécurité est ensuite exploitée par les pirates avant que le fournisseur ne s'en rende
compte et se dépêche de la corriger - cet exploit est appelé une attaque zero day.
23
Adressez-vous à la conformité réglementaire
UE: GDPR, California: CCPA
GDPR (General Data Protection Regulation) est valable depuis 04/2018
Chaque pays ou région a ses propres règles de sécurité: les pays africains, les pays arabes,
la Russie, la Turquie et les pays européens non communautaires.
25
26
Le Pentagone a créé un cadre qui peut être utilisé par n'importe quelle organisation
Ce qui a changé pour les entreprises: l’Échelle et sophistication des attaques avec des menaces système avancées qui peuvent être utilisées non
pas maintenant mais à l'avenir. C'est effrayant quand les entreprises ne savent pas si elles ont un tel bogue dans leurs systèmes. Il existe
effectivement une Silicon Valley pour la cybercriminalité et ses membres sont très bons dans ce qu'ils font. Cela coûte en fait le travail aux
dirigeants, perdant ainsi la valeur de la marque et la réputation. Qu'est-ce qui le motive:
• Des médias sociaux
• BYOD
• Cloud computing - savez-vous où réside votre messagerie vocale
• Big Data - nous permet de combiner des choses sur les gens
• Chaînes d'approvisionnement complexes - c'est ce qui s'est passé dans le cas de Target
C'est beaucoup sur la discipline des gens et cela conduit à la «menace d'initié» à l'initié «malveillant».
Types de menaces que le Pentagone voit: Ils opèrent dans plus de 100 pays avec plus de 3 millions d'utilisateurs et 7 millions d'appareils
À partir de 2009, l'infrastructure informatique a commencé à être unifiée - JIE (Joined Information Environment). Ciblé par des acteurs avancés,
y compris les services de renseignement d'autres pays. De septembre 2014 à juin 2015, 30 millions d'attaques malveillantes connues ont été
stoppées aux limites du réseau et 99,5% des attaques ont été vaincues. Capable de détecter la posture permet désormais de détecter et de
remédier aux intrusions en quelques heures sinon en quelques minutes
Cela n'empêche pas le danger d'attaques d'initiés
Quelles entreprises peuvent y remédier?
Plus de 80% des attaques réussies contre le DoD lorsque cela est possible en raison d'erreurs humaines:
• Cliquer sur un lien
• Insertion d'un lecteur extraterrestre
• Mots de passe faibles
• Paramètres réseau (c'est un niveau beaucoup plus élevé)
Comment évitez-vous les erreurs?
• Intégrité - si vous faites une erreur, vous devez l'admettre, niveau de connaissances, respect des procédures, sauvegarde énergique,
attitude de questionnement
• Profondeur des connaissances - Formation approfondie et continue
• Conformité procédurale - nous nous attendons à ce que les gens les suivent
• Rapports d'incidents
• Responsabilité
Il faut créer un changement culturel: la Cyber Culture Ini a ve. De quoi a-t-on besoin pour utiliser le mot «Culture» au lieu de «Ordre». Il y a
une résistance au changement Les gens devraient être un peu plus énervés sur Cyber.
Les cadres supérieurs ne voient cependant pas les dégâts réels lorsqu'ils se produisent, certains n'ont pas les compétences techniques
nécessaires pour comprendre le fait. Sensibilisation croissante des cadres supérieurs grâce à une formation obligatoire.
27
8 conseils de cybersécurité pour rester protégé en 2022
29
Il y a un déficit de spécialistes de la sécurité dans le monde. Nous n'avons pas assez de gens, ils ne
sont pas assez bien éduqués.
La première chose doit être: FORMATION et SENSIBILISATION. Les gens ont besoin de s'entraîner
et de se former en continu, pas seulement l'informatique, mais chaque utilisateur métier.
29
Recap
Dans cette leçon, vous avez appris:
• Quelle est l'ampleur des dégâts lorsque des vulnérabilités sont exploitées, à travers
certaines études de cas telles que Sony Media Enterprise, Target, Capital One,
Garmin, Nvidia, MailChimp
• Regardez certains types de vulnérabilités
• Confidentialité des données personnelles et nouvelles réglementations de
conformité des gouvernements
• Leçons apprises du Pentagone
• Application de la formation à la sécurité
30