Tendances et menaces en

matière de cybersécurité
Paradigmes de programmation
Cours #12, 1-ere partie
dgarlasu@yahoo.com

Comprendre la sécurité est très similaire à comprendre l'architecture logicielle, avec des concepts
généraux applicables à tous, et des besoins spécifiques qui dépendent de votre situation.
Dans ce cours, nous allons discuter de la sécurité informatique et de son impact sur les bases de
données.

1
 Pourquoi la sécurité dès maintenant?

Foto: fotolia/Glebstock

Intention: Dégâts Intention: Voler des données

Base de données,
Cible: Réseau Cible: système de fichiers
Traces: Très visible Traces: Aucun à minime
Risques: Panne de boutique en ligne Risques: Coûts, perte d'actifs, perte
& interruption des services de confiance et clients
2

Ici, nous avons deux types de hackers:

Celui de gauche essaie de faire tomber votre système. Il utilise des outils disponibles
gratuitement, des botnets bon marché à louer ou du piratage en tant que service, des
attaques par force brute et tout ce qu'il sait pour faire planter les systèmes en cours
d'exécution. Comme il est après avoir arrêté les serveurs pour fonctionner et les services
pour tomber en panne, ses activités coûtent énormément d'argent en raison des temps
d'arrêt de ces systèmes. Cela peut facilement représenter des dizaines de milliers de dollars
par heure, selon la taille du système.

L'autre est très différent. Il ne veut pas laisser de traces car son intention est de revenir. Il
compile des données pour un marché de plusieurs millions de dollars. Il pourrait aussi bien
être un espion pour les gouvernements étrangers ou il fait de l'espionnage industriel. Il n'est
pas intéressé à faire tomber le système, car le faire fonctionner lui rapportera encore plus
d'argent avec le temps.
 Pourquoi la sécurité
L'ère des méga violations de la sécurité. Les données volées représentent
une industrie de plusieurs millions de dollars
Augmentation de l'espionnage gouvernemental et industriel
Réglementations nationales et internationales (par exemple dans l'UE) sur
la sécurité des données. La plus grande amende GDPR au Royaume-Uni
était de 20 millions UKP - British Airways
Coûts des violations de données entre 50 $ et 350 $ par enregistrement, le
coût total par violation est de $2,92M en 2019
Les coûts des violations de données augmentent ainsi que la fréquence des
attaques et le volume de données volées. Pendant la pandémie COVID 19,
il y a eu une augmentation de 3000% des incidents de cybersécurité
Les coûts d'indisponibilité du système dus aux pirates informatiques sont
de 10 à 40K $ par heure 3

Pourquoi la sécurité?
Nous sommes à l'ère des méga culottes, et nous allons vous montrer quelques exemples
impressionnants avec des chiffres. En effet, en 2019, le coût moyen d'une violation était de
3,29 M USD.
On signale une augmentation de l'espionnage de la part d'autres pays et gouvernements ou
industries ou même des revendeurs d'inventions et de brevets volés.
Il existe de plus en plus de réglementations nationales et internationales sur la sécurité des
données, à la fois pour les données personnelles, telles que le GDPR (UE) ou le CCPA
(Californie) , ainsi que pour d'autres données. La plus grande amende du GDPR de l'UE au
Royaume-Uni était de 20 millions UKP (British Airways).
Les coûts des données volées sont énormes. selon le type de dossier, cela peut aller jusqu'à
350 $ par dossier médical.
L'industriel est très actif, ça paye évidemment, on voit plus de culottes de données avec plus
d'enregistrements par culasse. Pendant les pandémies COVID 19, il y a eu une augmentation
de 3000% des incidents de cybersécurité.
Comme déjà mentionné, les coûts d'un système down peuvent être de dix à quarante mille
dollars de l'heure, selon la taille de l'entreprise ou le type de services.
 2

Agenda
1 Ce que les études de marché montrent sur les problèmes de cybersécurité
2 Comment quantifier les menaces et les conséquences d'une violation
2a
Études de cas: Sony, Target Corporation, Mossak Fonseca
2b Études de cas: Capital One, British Airways, Garmin, Nvidia, Mailchimp
2c Coût des couches informatiques vulnérables aux attaques / Argent dépensé
3 Sécurité de la base de données / étude de cas: architecture de sécurité maximale
d'Oracle (2-eme partie du cours)
4 Des aspects sur la confidentialité des données personnelles et la conformité
5 Conclusions

Voici l'agenda:
Nous aimerions évaluer l'ampleur des dégâts lorsque les vulnérabilités sont exploitées, à travers
quelques études de cas,
Ensuite, regardez quelques types de vulnérabilités
Découvrez comment une défense de sécurité complète pour la base de données peut être établie
La confidentialité des données personnelles et les nouvelles réglementations de conformité des
gouvernements
Tirez quelques conclusions suivies de questions-réponses

4
 5

La cybercriminalité signifie que «je ne vole pas une personne à la fois, j'en vole
des milliers avec un clic! »

5
 Quiz
En $, quel était le coût moyen d'une violation de données en 2019? (choisissez
la meilleure réponse)
a) 3,29M$
b) 1,05M$
c) 2,5M$
d) None of the above

La réponse: a) 3,29M$
 Quiz
Pendant la pandémie COVID19, combien de fois les attaques de sécurité ont-
elles augmenté? (choisissez la meilleure réponse)
a) 100%
b) 200%
c) 3000%
d) None of the above

La réponse: c) 3000%
 67% Enregistrements
violés des serveurs

Violation en utilisant des

76% informations d'identification
faibles ou volées

Over 1.1B Served

69% Découvert par une
partie externe

97% Évitable grâce aux

contrôles de prévention
de base

Chaque année, Verizon, l'un des plus grands opérateurs de téléphonie mobile au monde, publie un rapport
sur la cybersécurité. Voici quelques-unes des conclusions de ces rapports.

(http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf)

8
 Étude de cas #1: Sony Pictures Entertainment (SPE)
• Nov 24, 2014: «Il était environ 8 heures du matin et notre directeur financier a appelé pour nous dire que nous avions fait
l'objet d'une cyberattaque. Au moment où je suis arrivé au bureau, tout le studio était hors ligne ». Les employés se
connectant à leur ordinateur ont vu un squelette et les mots «Hacked by the #GOP» (Gardiens de la paix). Les pirates ont
volé des informations commerciales confidentielles, notamment des données d'employés, des e-mails privés et des films.

• Dec 15–16: Deux recours collectifs distincts en justice sont intentés au nom d'anciens et actuels employés alléguant que
Sony n'a pas fait assez pour protéger leurs informations privées.

• Jan 2015: Charlize Theron obtient 10 millions de dollars supplémentaires pour égaler les honoraires de Chris Hemsworth,
sa co-vedette masculine dans la production du film The Huntsman, car, à la suite du piratage, la masse salariale des acteurs
a été rendue publique et a montré une discrimination des actrices contre leurs homologues masculins.

• Fev 4 2015: Sony Pictures Entertainment déclare que le piratage a coûté 15 millions de dollars jusqu'à la fin de 2014.
• Source: July–August 2015 Harvard Business Review

Voici le hack réalisé contre SONY Pictures Entertainment qui n'a pas voulu renoncer à mettre sur le
marché le film: «Le Dictateur» sur le président de la Corée du Nord. Une estimation précoce des
dégâts: 15M USD.

9
 Étude de cas #2: Chaîne de magasins Target
La plus grande violation de données de l'histoire du commerce de détail américain:
• 40 millions de cartes de crédit et de débit,
• 70 millions d'informations sur les clients volées

• Target Corp. a conclu un accord avec Visa Inc. pour régler les réclamations concernant la violation
massive de données de 2013 qui a exposé 40 millions de cartes de crédit et de débit à la fraude.
• On ne sait toujours pas quel a été le coût précis de la violation, mais une estimation dans le rapport
annuel de Target de mars 2016 a mis le chiffre à 291 millions de dollars
• Ce qui a rendu cela d'autant plus énervant pour Target, c'est qu'il avait consacré beaucoup de temps
et de ressources à la sécurité de ses informations. Target comptait plus de 300 membres du
personnel de sécurité de l'information. La société avait maintenu un grand centre d'opérations de
sécurité à Minneapolis, Minnesota, et disposait d'une équipe de spécialistes de la sécurité à
Bangalore qui surveillait son réseau informatique 24h/24 et 7j/7.

10

La plus grande violation de données de l'histoire du commerce de détail américain a commencé par une explosion
d'e-mails spam qui ont finalement atterri à une entreprise qui travaille avec Target sur une base contractuelle, et ils ont
pu pousser des logiciels malveillants vers les appareils de point de vente réels, la caisse enregistreuse de Target, puis
à travers le réseau. Et ce logiciel malveillant a d'ailleurs été conçu pour voler les informations stockées sur la bande
magnétique au dos des cartes afin qu'ils puissent les utiliser plus tard pour créer de nouvelles cartes. L'attaque a été
initiée en mars 2013 par un pirate informatique russe de 17 ans connu sous le nom de Ree4 qui a créé le malware
appelé Black POS et vendu les versions sur mesure à des cybercriminels du monde entier. Aux États-Unis, le logiciel
malveillant a infecté le sous-traitant Target Fazio Mechanical Services, (fournisseur de systèmes de climatisation), la
porte dérobée à l'ensemble de la base installée de Pointes De Vente de Target dans 1700 magasins. Ils ont
essentiellement abusé de l'accès dont disposait l'entreprise contractante. Le problème était que Target n’avait pas
segmenté pas son réseau car ils ne voyaient aucune raison pour laquelle l'accès aux cartes de paiement pouvait être
effectué à partir d'un accès entrepreneur. Le 27/09/2013, des millions de détails de cartes ont été envoyés à trois
postes de transit dans l'Utah, en Virginie et à Los Angeles pendant les 18 jours suivants, avant d'être envoyés à une
décharge RESCATOR, à Odessa, en Ukraine.
La question est donc de savoir comment Target n'a-t-il pas découvert qu'ils avaient un problème à résoudre? L'équipe
de sécurité de Target à Bangalore a signalé le logiciel malveillant et a émis une alerte au centre de sécurité de Target
à Minneapolis. Mais le feu rouge a été ignoré.
Dans le monde commercial, c'est souvent le cas: rendre public une telle violation n'est presque jamais dans le meilleur
intérêt des entreprises. Les banques sont particulièrement secrètes, car elles n'aiment pas admettre qu'il se passe
quoi que ce soit. Un exemple est BankMuscat - 45 M USD retirés des guichets automatiques dans plus de 20 pays.
Découvert en 2013, 4 sur 14 ont plaidé coupable.
Source: We still haven’t learned from the 2013 Target hack. (slate.com)

10
 Étude de cas #3: Mossack - Fonseca
(a.k.a. Panama Papers)

Une fuite massive de données

• 2,6 téraoctets de données ont été divulgués -
l'équivalent de 11,5 millions de documents.
• C'est 10 fois plus que les fuites offshore de 2013 et
1 500 fois plus que les célèbres Wikileaks de 2010.
Un supertanker numérique.
• Et comme si cela ne suffisait pas, il n'y a pas eu le
moindre cryptage, pas le moindre cryptage de
données, pas même un petit mot de passe 1234.

11

Une fuite massive de données

Ce que les experts en sécurité ont trouvé surprenant, pour commencer, c'est l'ampleur de cette
fuite. Imaginez: au début, bien sûr, il y a un dénonciateur. Rien de bien surprenant là-bas. Les
humains ont toujours été le point faible de tout système d'information. Mais alors, pendant 7 mois, 6
ou 7 Go de données quittent les serveurs de messagerie de la firme Mossack Fonseca tous les
jours sans que personne ne s'en aperçoive, sans qu'aucune alerte automatique ne se déclenche.
C'est quelque peu surprenant, même pour les administrateurs réseau les plus ignorants. En fin de
compte, 2,6 téraoctets de données ont fui. C'est 10 fois plus que les fuites offshore de 2013 et 1500
fois plus que les célèbres Wikileaks de 2010. Et comme si cela ne suffisait pas, il n'y a pas eu le
moindre chiffrement, pas le moindre chiffrement de données, pas même un petit 1234 le mot de
passe. Extraordinaire!
Enfin, un cas d'utilisation fantastique pour le Big Data et le travail d'équipe
Eh bien, tous ces 11,5 millions de documents ont ensuite dû être analysés. Pour ce faire, l'ICIJ
(International Consortium of Investigative Journalists) a d'abord utilisé une plateforme d'enquête Big
Data (Nuix) qui dédupliquait les fichiers, traitait les documents image à l'aide de l'OCR et triait et
extrait les informations des données structurées et non structurées. Ensuite, pour organiser les
informations, ils ont utilisé une technologie de base de données de graphes (Neo4j) pour mettre en
évidence les nœuds et les relations entre les données. Enfin, c'est la solution (start-up française)
Linkurious qui a permis la visualisation des informations et le travail collaboratif en ligne de quelque
370 journalistes, via des emails et des forums sécurisés. Superbe travail.
Et un cas d'utilisation à la fine pointe (ou en devises) pour tous les représentants des technologies
numériques: cybersécurité, blockchain, analytics, big data, dataviz, solutions collaboratives, etc.

11
 Étude de cas #4: British Airways

Dear Customer,
Following our email notifying you about our recent criminal data theft, we wanted to provide you with more information.

As you may be aware, from 22:58 BST 21 August 2018 until 21:45 BST 5 September 2018 inclusive, the personal and financial
details of customers making or changing bookings at ba.com, and on our app were compromised. We’re truly sorry, but you may have
been affected.

The personal information compromised includes full name, billing address, email address and payment card information. This includes
your card number, expiry date and CVV. Unfortunately, this information could be used to conduct fraudulent transactions using your
account. We recommend that you contact your bank or credit card provider immediately and follow their advice.

Yours sincerely,
Alex Cruz
Chief Executive Officer

12

J'étais l'un des clients à qui British Airways a envoyé cet avis en septembre 2018!
BA a initialement reçu une amende de 230 millions de dollars de la part de l'autorité GDPR au
Royaume-Uni, qui a finalement été réduite à 20 millions de UKP, la plus grande amende de ce type
au Royaume-Uni.
 Étude de cas #5: Capital One Breach
100 millions d'Américains et 6 millions de Canadiens touchés

• Capital One a révélé avoir subi une violation de données touchant 100 millions de personnes aux
États-Unis et 6 millions au Canada.
• La société a déclaré dans un communiqué qu'entre 2005 et 2019, des données relatives aux
informations sur les consommateurs au moment où ils ont demandé une carte de crédit ont été
volées.
• "Ces informations comprenaient des informations personnelles que Capital One recueille
régulièrement au moment où elle reçoit les demandes de carte de crédit, y compris les noms,
adresses, codes postaux / codes postaux, numéros de téléphone, adresses e-mail, dates de
naissance et revenus auto-déclarés", a déclaré la société .
• La violation était due à une vulnérabilité de configuration qui lui avait été révélée par un chercheur
en sécurité externe, ce qui a conduit à une enquête interne et à la découverte de l'incident..
Source: https://www.zdnet.com/article/100-million-americans-and-6-million-canadians-caught-up-in-capital-one-breach/
13

Lors de l'une des plus grandes violations de données de tous les temps, un pirate informatique a eu accès à plus de
100 millions de comptes et d'applications de carte de crédit de clients de Capital One en 2019.
Paige Thompson est accusée d'avoir pénétré par effraction dans un serveur Capital One et d'avoir accès à 140000
numéros de sécurité sociale, 1 million de numéros d'assurance sociale au Canada et 80000 numéros de compte
bancaire, en plus d'un nombre non divulgué de noms, d'adresses, de points de crédit, de limites de crédit, soldes et
autres informations, selon la banque et le département américain de la Justice. Une plainte pénale indique que
Thompson a tenté de partager les informations avec d'autres en ligne. L'homme de 33 ans, qui vit à Seattle, avait
auparavant travaillé en tant qu'ingénieur logiciel dans une société de technologie pour Amazon (AMZN) Web
Services, la société d'hébergement cloud utilisée par Capital One. Elle a pu y accéder en exploitant un pare-feu
d'application Web mal configuré. Thompson a publié les informations sur GitHub, en utilisant son prénom, son
deuxième prénom et son nom de famille, indique la plainte. Elle s'est également vantée sur les réseaux sociaux
d'avoir des informations sur Capital One. Dans une chaîne sur Slack, un service de chat souvent utilisé par les
entreprises ainsi que par d'autres groupes, Thompson a expliqué la méthode qu'elle a utilisée pour s'introduire dans
Capital One, selon le ministère de la Justice. Elle a affirmé utiliser une commande spéciale pour extraire des fichiers
dans un répertoire Capital One stocké sur les serveurs d'Amazon.
Afin d'éviter de tels incidents, Oracle Autonomous Linux et Oracle OS Management Service exploitent l'apprentissage
automatique avancé. Le nouveau système d'exploitation offre des mises à jour de sécurité automatiques
quotidiennes pour le noyau Linux et les bibliothèques d'espace utilisateur clé, sans temps d'arrêt. La détection
d'exploit connu fournit des alertes automatisées si quelqu'un tente d'exploiter une vulnérabilité qui a été corrigée par
Oracle. Une règle simple pour éviter le vol de données est de placer vos données dans un système autonome;
Aucune erreur humaine, aucune perte de données.

13
 Étude de cas #6:
Fabricant de smartwatch Garmin
• Juillet 2020: Garmin a été contraint de fermer ses centres d'appels, son site Web et certains autres services en ligne après
qu'une attaque de ransomware a chiffré le réseau interne du fabricant de montres intelligentes et certains systèmes de
production.
• L'attaque a eu un impact significatif sur les propriétaires de montres Garmin car elle a également fermé le service Garmin
Connect, sur lequel ils s'appuient pour synchroniser leurs activités sportives, telles que la course, la natation et le cyclisme,
avec une application pour smartphone pour surveiller les performances.
• Dans des messages sur son site Web et partagés sur Twitter, la société s'est excusée auprès des utilisateurs et a expliqué
l'étendue de la fermeture.
• Pour éviter une attaque de ransomware, les experts estiment que les responsables informatiques et de sécurité de
l'information devraient faire ce qui suit:
– Gardez des inventaires clairs de tous vos actifs numériques et de leurs emplacements, afin que les cybercriminels n'attaquent pas un système dont vous
n'êtes pas au courant.
– Gardez tous les logiciels à jour, y compris les systèmes d'exploitation et les applications.
– Sauvegardez toutes les informations chaque jour, y compris les informations sur les appareils des employés, afin de pouvoir restaurer les données
cryptées en cas d'attaque. 14

Source: Les cinq: attaques de ransomwares | Malware | Le gardien

Les logiciels qui exigent de l'argent avec des menaces ont frappé le grand moment. Voici quelques-unes de ses formes les plus
lucratives
Les cyberattaques qui menacent de publier les données d'une victime ou d'en bloquer l'accès à moins qu'une rançon ne soit
payée se sont multipliées à l'échelle internationale depuis 2012.
Sodinokibi et Travelex - Des pirates ont attaqué le réseau de Travelex la veille du Nouvel An, volant des données clients,
notamment des dates de naissance, des informations de carte de crédit et des numéros d'assurance nationale. Le gang de
ransomware responsable, Sodinokibi, a demandé 4,6 millions de livres sterling en retour. Le service de change n'a pas encore
répondu; ses sites Web à travers l'Europe, l'Asie et les États-Unis restent en panne pour «maintenance planifiée».
CryptoLocker - Première attaque de ransomware à grande échelle, CryptoLocker s'est propagé via des pièces jointes infectées
de 2013 à 2014, a chiffré les données des utilisateurs privés et a exigé un paiement en échange de la clé de déchiffrement. En
infectant plus de 500 000 machines, ses opérateurs auraient extorqué environ 2,3 millions de livres sterling.
WannaCry - Cela ciblait les ordinateurs exécutant le système d'exploitation Microsoft Windows en mai 2017: en une journée, il
avait infecté plus de 230000 machines dans plus de 150 pays. Au Royaume-Uni, où environ un tiers des fiducies hospitalières
du NHS ont été touchées, l'attaque aurait coûté 92 millions de livres sterling au service de santé.
RobbinHood - En 2019, le gouvernement de la ville de Baltimore a trouvé ses systèmes informatiques piratés par une variante
de ransomware agressive connue sous le nom de RobbinHood, ses opérateurs exigeant 13 bitcoins (environ 78600 £) en
échange d'un accès rétabli à l'information. L'attaque a perturbé les achats de propriétés, les factures d'eau et les frais de la ville,
ce qui a finalement coûté à la ville 13,8 millions de livres sterling.
Ryuk - Nommé d'après un démon de la série animée Death Note, Ryuk a gagné près de 500000 £ en deux semaines en
attaquant des organisations qui travaillaient dans des délais serrés. Cela comprenait le LA Times et une société de distribution
d'eau de Caroline du Nord. Bien que son code source soit dérivé d’un produit du groupe nord-coréen Lazarus, on pense que les
créateurs de Ryuk sont russes.
 Étude de cas #7: NVIDIA confirme la vol des données lors
d'une cyberattaque le 23 février 2022

15

MARCH 1, 2022 PRESS RELEASE:

On February 23, 2022, NVIDIA became aware of a cybersecurity incident which impacted IT
resources. Shortly after discovering the incident, we further hardened our network, engaged
cybersecurity incident response experts, and notified law enforcement.
We have no evidence of ransomware being deployed on the NVIDIA environment or that this is
related to the Russia-Ukraine conflict. However, we are aware that the threat actor took employee
passwords and some NVIDIA proprietary information from our systems and has begun leaking it
online. Our team is working to analyze that information. All employees have been required to change
their passwords. We do not anticipate any disruption to our business or our ability to serve our
customers as a result of the incident.
 Étude de cas #8:
Cyberattaque chez Mailchimp
• Dans un communiqué du lundi 4 avril 2022, Mailchimp a confirmé l'incident, révélant que les
pirates utilisaient des outils internes pour voler les données des utilisateurs et lancer des
attaques secondaires contre les clients dans le domaine de la crypto-monnaie et de la
finance.
• La réponse de Mailchimp à la cyberattaque est toujours en cours
• L'équipe de sécurité de Mailchimp a révélé qu'un acteur malveillant avait accédé à un outil
interne utilisé par les équipes en contact avec les clients. Le mauvais acteur a eu accès à
cet outil à la suite d'une attaque d'ingénierie sociale réussie contre les employés de
Mailchimp

• Mailchimp a été racheté par Intuit pour 12 milliards de dollars en septembre 2021
• Mailchimp est une plate-forme américaine d'automatisation du marketing et un service de marketing par e-mail
permettant de gérer des listes de diffusion et de créer des campagnes de marketing par e-mail à envoyer aux clients.
16

MailChimp, la société de marketing par e-mail bien connue, a été piratée. Les cybercriminels ont
infiltré les systèmes de l'entreprise à un moment donné le mois dernier, volant des informations sur
plus de 100 utilisateurs. Les criminels ont ensuite réutilisé les données volées pour hameçonner les
utilisateurs du populaire portefeuille cryptographique Trezor.
 Les escroqueries par Phishing coûtent des millions aux
entreprises par an
Une organisation moyenne pourrait potentiellement dépenser jusqu'à 3,7 millions de dollars par an pour répondre aux
attaques de phishing, indique un nouveau rapport publié par le Ponemon Institute en août 2015.

17

70% de tout le trafic mondial de courrier électronique represente du spam (419 du code pénal nigérian -
«Advanced Fee Fraud» ou «Spanish Prisoner Scam»)
Un cas très connu est une fausse vente d'un nouvel aéroport d'Abuja / Nigeria pour 500 millions USD,
(50% récupérés) à Banco Norieste à Sao Paolo / Brésil

Le coût annuel pour contenir les logiciels malveillants en fonction des heures consacrées à la résolution de
l'incident - y compris la planification, la collecte de renseignements, l'évaluation des renseignements, les
enquêtes, le nettoyage, la réparation et la documentation - s'élève en moyenne à 1,8 million de dollars.
En outre, l'étude a révélé que les employés gaspillent en moyenne 4,16 par an en raison d'escroqueries
par hameçonnage.
En outre, 27% des coûts de phishing sont associés à des compromissions d'informations d'identification
non contenues, ce qui pourrait coûter plus d'un million de dollars à une entreprise de taille moyenne.

Selon encore une fois, le phishing de Verizon en 2015 est en hausse depuis 2011, bien que le taux de
croissance ait ralenti au cours des années suivantes.

Surce: http://www.tripwire.com/state-of-security/latest-security-news/report-phishing-scams-cost-companies-millions-per-year/

17
 Quiz
Quels sont les noms courants utilisés pour les «escroqueries par hameçonnage»
ou Phishing Scams? (choisissez tout ce qui correspond):
a) Nigerian 419
b) Advanced Fee Fraud
c) Spanish Prisoner Scam
d) All of the above

18

Réponse: d. Tout ce qui précède.

Une question supplémentaire est: pourquoi est-il appelé Nigerian 419?
 Où sont les vulnérabilités et où l'argent est dépensé

IT Layers Most Vulnerable To Attacks Allocation of Resources To Secure IT Layer

Database 52% Database 15%

Network 34% Network 67%

Application 11% Application 15%

Middleware 4% Middleware 3%
Source: CSO Online MarketPulse,
19
2013

•Selon l’enquête CSO Online de l’IDG, ils ont constaté que les cadres dépensent relativement peu
pour ce qu’ils considèrent comme leurs actifs les plus vulnérables, leurs bases de données.
•En fait, 52% ont déclaré que leurs bases de données sont les plus vulnérables à une attaque. Ceci
comparé à seulement 34% au niveau de la couche réseau.
•en ce qui concerne l'allocation des ressources, 67% de leurs ressources vont sécuriser le réseau, et
seulement 15% vers leurs bases de données.
•Pourquoi les entreprises dépensent-elles de plus en plus de sécurité basée sur le périmètre, donc
les systèmes de détection d'intrusion, les logiciels anti-programme malveillant, les pare-feu réseau?
•Maintenant, c’est important ici car ce n’est pas que la sécurisation du périmètre soit une mauvaise
idée.
•Le défi est que pour la plupart des entreprises, le réseau est devenu si vaste - englobant plusieurs
pays à travers le monde, des centres de données externalisés et, plus récemment, le cloud
computing - il est désormais pratiquement impossible de sécuriser complètement le périmètre contre
les attaques.
•Et nous nous attendons à ce que cette tendance se poursuive à mesure que de plus en plus de
services informatiques sont externalisés ou déplacés vers le cloud.
•Donc, si les contrôles de périmètre ne sont pas suffisants, alors qu'est-ce que c'est?

19
 Pourquoi les bases de données sont-elles vulnérables?
80% des programmes de sécurité informatique ne traitent pas de la sécurité des bases de données

Forrester Research Sécurité Internet

«Les entreprises prennent des risques

dont elles ne sont peut-être même pas
conscientes.» Authentification
et sécurité des SIEM
utilisateurs
«D'autant que de plus en plus
d'attaques contre des bases de
données exploitent l'accès légitime en
Database
compromettant les applications et les Security
informations d'identification des Sécurité
des e-
Sécurité
des
utilisateurs.» mails terminaux

SIEM - Gestion des informations de sécurité et des événements (SIEM) est un terme désignant les produits et
services logiciels combinant la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité
(SEM). La technologie SIEM fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les
applications du réseau. Le SIEM est vendu sous forme de logiciel, d'appliance ou de services gérés, et est
également utilisé pour consigner les données de sécurité et générer des rapports à des fins de conformité.
Les acronymes SEM, SIM et SIEM ont parfois été utilisés de manière interchangeable.Le segment de la gestion de
la sécurité qui traite de la surveillance en temps réel, de la corrélation des événements, des notifications et des vues
de console est communément appelé gestion des événements de sécurité (SEM). La deuxième zone fournit un
stockage à long terme ainsi que l'analyse et la création de rapports des données de journal, et est connue sous le
nom de gestion des informations de sécurité (SIM). Comme pour de nombreuses significations et définitions de
capacités, les exigences évolutives façonnent continuellement les dérivés des catégories de produits SIEM. Le
besoin de visibilité centrée sur la voix ou vSIEM (Voice Security Information and Event Management) est un exemple
récent de cette évolution.
Le terme gestion des événements d'information de sécurité (SIEM), décrit les capacités du produit de collecte,
d'analyse et de présentation d'informations à partir du réseau et des dispositifs de sécurité; applications de gestion
des identités et des accès; outils de gestion des vulnérabilités et de conformité aux politiques; les journaux du
système d'exploitation, de la base de données et des applications; et les données sur les menaces externes. Un
objectif clé est de surveiller et d'aider à gérer les privilèges des utilisateurs et des services, les services d'annuaire et
d'autres changements de configuration du système; ainsi que la vérification et l'examen des journaux et la réponse
aux incidents.

20
 De 2007 à 2013, l'augmentation du

1600 %
piratage était de

Identifiants perdus, 50 Permet l'accès au

volés ou faibles % nom d'un utilisateur

Attaques de porte
19 Pour contourner la
sécurité et fournir accès
dérobée(Backdoor attacks) %

Attaques par 13 Ce qui représente 42%

de toutes les attaques
injection SQL % de données
Source: CSO Online MarketPulse, 2013

21

Voyons maintenant quelles sont les vulnérabilités les plus fréquemment exploitées par les pirates.
Spécifique aux bases de données, l'injection SQL représente 42% de toutes les attaques de
données. C'est important et nous devons comprendre comment l'empêcher. Voir également
http://www.db-nemec.com.

21
 Deux raisons pour lesquelles les organisations devraient
investir dans la sécurité des bases de données

Atténuer les violations de données Adressez-vous à la conformité

réglementaire

22

Il existe deux raisons principales pour lesquelles les entreprises doivent investir dans des solutions
de sécurité de base de données:
• pour atténuer les violations de données - vous avez vu les problèmes à partir de nos études de
cas et
• pour répondre à la conformité réglementaire, telle que GDPR, CCPA, etc.

22
 23

Stuxnet, découvert par Sergey Ulasen, est un ver informatique malveillant considéré comme une cyber-arme américano-
israélienne construite conjointement. [1] Bien qu'aucun État ne l'ait confirmé ouvertement, [2] des responsables américains
anonymes s'adressant au Washington Post ont affirmé que le ver avait été développé pendant l'administration Obama pour
saboter le programme nucléaire iranien avec ce qui semblerait être une longue série d'accidents malheureux. [3]
Stuxnet cible spécifiquement les contrôleurs logiques programmables, qui permettent l'automatisation des processus
électromécaniques tels que ceux utilisés pour contrôler les machines sur les chaînes de montage d'usine, les manèges ou les
centrifugeuses pour la séparation des matières nucléaires. Exploitant quatre failles du jour zéro, [4] Stuxnet fonctionne en ciblant
les machines utilisant le système d'exploitation et les réseaux Microsoft Windows, puis en recherchant le logiciel Siemens Step7.
Stuxnet aurait compromis les automates programmables iraniens, collectant des informations sur les systèmes industriels et
obligeant les centrifugeuses à rotation rapide à se déchirer. [5] La conception et l'architecture de Stuxnet ne sont pas
spécifiques à un domaine et pourraient être adaptées en tant que plate-forme pour attaquer les systèmes SCADA (contrôle de
supervision et acquisition de données) et PLC modernes (par exemple, dans les automobiles ou les centrales électriques), dont
la majorité réside en Europe, au Japon. et les États-Unis. [6] Stuxnet aurait ruiné près d'un cinquième des centrifugeuses
nucléaires iraniennes. [7]
Stuxnet a trois modules: un ver qui exécute toutes les routines liées à la charge utile principale de l'attaque; un fichier de lien qui
exécute automatiquement les copies propagées du ver; et un composant rootkit chargé de cacher tous les fichiers et processus
malveillants, empêchant la détection de la présence de Stuxnet. [8]
Stuxnet est généralement introduit dans l'environnement cible via une clé USB infectée. Le ver se propage ensuite à travers le
réseau, recherchant le logiciel Siemens Step7 sur les ordinateurs contrôlant un API. En l'absence de l'un ou l'autre de ces
critères, Stuxnet devient dormant à l'intérieur de l'ordinateur. Si les deux conditions sont remplies, Stuxnet introduit le rootkit
infecté sur l'automate et le logiciel Step7, en modifiant les codes et en donnant des commandes inattendues à l'automate tout en
renvoyant une boucle de retour des valeurs du système d'exploitation normale aux utilisateurs.
L'exploit Zero Day est une faiblesse d'un programme informatique ou d'un système d'exploitation que même le fabricant de
logiciels ne connaît pas. Cette faille de sécurité est ensuite exploitée par les pirates avant que le fournisseur ne s'en rende
compte et se dépêche de la corriger - cet exploit est appelé une attaque zero day.

23
 Adressez-vous à la conformité réglementaire
UE: GDPR, California: CCPA
GDPR (General Data Protection Regulation) est valable depuis 04/2018

Les articles 30 et 33 de la directive GDPR imposent aux organisations de

surveiller en permanence les activités relatives aux données personnelles
et d'informer en temps opportun les autorités en cas de violation.
L'UE vise à garantir le respect du RGPD en imposant d'énormes amendes
pouvant atteindre 4% du chiffre d'affaires annuel mondial en cas de non-
conformité.
CCPA (California Consumer Protection Act) en vigueur depuis le 1er janvier
2020
24

Chaque pays ou région a ses propres règles de sécurité: les pays africains, les pays arabes,
la Russie, la Turquie et les pays européens non communautaires.

La communauté européenne a un nouveau règlement publié en 2018 et il remplace l'ancien

règlement vieux de 20 ans.
Désormais, les organisations doivent signaler les culottes.
S'ils ne se conforment pas à la réglementation, ils doivent payer des frais qui font mal.
Mais ce ne sont pas seulement les pays de la CE qui doivent appliquer ces réglementations.
Tous les pays qui détiennent et traitent des données de citoyens de la CE doivent également
s'y conformer.
Le GDPR est actif depuis avril 2018.
Récemment, une nouvelle directive d'EECC concernant les opérations de
télécommunications et les fournisseurs d'accès Internet est en cours de discussion pour être
appliquée.
 Quiz
Quelle est la plus grande amende GDPR à ce jour au Royaume-Uni?
(choisissez la meilleure réponse):
a) Google 50M Eur
b) Twitter 95M Eur
c) British Airways 20M UKP
d) None of the above

25

Reponse: c. British Airways – 20M UKP

 Quiz
Du point de vue du GDPR, à quelle fréquence une évaluation de la protection
des données doit-elle être effectuée?
a) Chaque mois
b) Chaque fois qu'un nouveau projet commence
c) Une fois par an
d) Lorsqu'un audit est planifié

26

Réponse: b. Chaque fois qu'un nouveau projet commence

 Facteur humain de la cybersécurité
Leçons tirées du Pentagone
Au cœur de leur culture se trouvent six principes interconnectés
1. Intégrité - idéal profondément intériorisé qui conduit les gens, sans exception, à
éliminer les «péchés de commission» (écarts délibérés par rapport au protocole)
et à reconnaître immédiatement les erreurs
2. Connaissances approfondies - Si les gens comprennent parfaitement tous les
aspects d’un système, y compris la façon dont il est conçu, ses vulnérabilités et
les procédures requises pour l’exploiter, ils reconnaîtront plus facilement quand
quelque chose ne va pas et traiteront toute anomalie plus efficacement.
3. Conformité procédurale - savoir où trouver les procédures opérationnelles
appropriées et les suivre à la lettre
4. Sauvegarde forcée - toute action présentant un risque élevé pour le système doit
être effectuée par deux personnes
5. Une attitude de questionnement - ce n'est pas facile à cultiver dans une
organisation, en particulier une organisation avec une structure de rang formelle
dans laquelle le respect immédiat des ordres est la norme
6. Formalité dans la communication - minimiser la possibilité que des instructions
soient données ou reçues de manière incorrecte à des moments critiques

Le Pentagone a créé un cadre qui peut être utilisé par n'importe quelle organisation
Ce qui a changé pour les entreprises: l’Échelle et sophistication des attaques avec des menaces système avancées qui peuvent être utilisées non
pas maintenant mais à l'avenir. C'est effrayant quand les entreprises ne savent pas si elles ont un tel bogue dans leurs systèmes. Il existe
effectivement une Silicon Valley pour la cybercriminalité et ses membres sont très bons dans ce qu'ils font. Cela coûte en fait le travail aux
dirigeants, perdant ainsi la valeur de la marque et la réputation. Qu'est-ce qui le motive:
• Des médias sociaux
• BYOD
• Cloud computing - savez-vous où réside votre messagerie vocale
• Big Data - nous permet de combiner des choses sur les gens
• Chaînes d'approvisionnement complexes - c'est ce qui s'est passé dans le cas de Target
C'est beaucoup sur la discipline des gens et cela conduit à la «menace d'initié» à l'initié «malveillant».
Types de menaces que le Pentagone voit: Ils opèrent dans plus de 100 pays avec plus de 3 millions d'utilisateurs et 7 millions d'appareils
À partir de 2009, l'infrastructure informatique a commencé à être unifiée - JIE (Joined Information Environment). Ciblé par des acteurs avancés,
y compris les services de renseignement d'autres pays. De septembre 2014 à juin 2015, 30 millions d'attaques malveillantes connues ont été
stoppées aux limites du réseau et 99,5% des attaques ont été vaincues. Capable de détecter la posture permet désormais de détecter et de
remédier aux intrusions en quelques heures sinon en quelques minutes
Cela n'empêche pas le danger d'attaques d'initiés
Quelles entreprises peuvent y remédier?
Plus de 80% des attaques réussies contre le DoD lorsque cela est possible en raison d'erreurs humaines:
• Cliquer sur un lien
• Insertion d'un lecteur extraterrestre
• Mots de passe faibles
• Paramètres réseau (c'est un niveau beaucoup plus élevé)
Comment évitez-vous les erreurs?
• Intégrité - si vous faites une erreur, vous devez l'admettre, niveau de connaissances, respect des procédures, sauvegarde énergique,
attitude de questionnement
• Profondeur des connaissances - Formation approfondie et continue
• Conformité procédurale - nous nous attendons à ce que les gens les suivent
• Rapports d'incidents
• Responsabilité
Il faut créer un changement culturel: la Cyber Culture Ini a ve. De quoi a-t-on besoin pour utiliser le mot «Culture» au lieu de «Ordre». Il y a
une résistance au changement Les gens devraient être un peu plus énervés sur Cyber.
Les cadres supérieurs ne voient cependant pas les dégâts réels lorsqu'ils se produisent, certains n'ont pas les compétences techniques
nécessaires pour comprendre le fait. Sensibilisation croissante des cadres supérieurs grâce à une formation obligatoire.

27
8 conseils de cybersécurité pour rester protégé en 2022

1. Use Strong Passwords and a Password Manager

2. Use Two-Factor Authentication (2FA)
3. Double-Check That Link Before You Click
4. Use a VPN When On Public Wi-Fi
5. Keeps Apps and Devices Up-to-Date
6. Don't Jailbreak Your iPhone
7. Don't Store Sensitive Info on Your Phone (and Always Use a Passcode Lock)
8. Use Privacy-Focused Apps

8 Cybersecurity Tips to Stay Protected in 2022 (howtogeek.com)

 Formation et sensibilisation
Sécurité générale et (cybersécurité)

Database Cloud Learning Subscription Channels

Getting Started Administration Migration
Security Performance Management & Scaling

Identity Management Enterprise Manager

Learning Path Learning Path

29

Il y a un déficit de spécialistes de la sécurité dans le monde. Nous n'avons pas assez de gens, ils ne
sont pas assez bien éduqués.

La première chose doit être: FORMATION et SENSIBILISATION. Les gens ont besoin de s'entraîner
et de se former en continu, pas seulement l'informatique, mais chaque utilisateur métier.

29
Recap
Dans cette leçon, vous avez appris:
• Quelle est l'ampleur des dégâts lorsque des vulnérabilités sont exploitées, à travers
certaines études de cas telles que Sony Media Enterprise, Target, Capital One,
Garmin, Nvidia, MailChimp
• Regardez certains types de vulnérabilités
• Confidentialité des données personnelles et nouvelles réglementations de
conformité des gouvernements
• Leçons apprises du Pentagone
• Application de la formation à la sécurité

30