matinée 01 sécurité
Post on 26-Dec-2014
664 Views
Preview:
DESCRIPTION
TRANSCRIPT
le Mardi 03 avril, 2012
Matinée 01 SécuritéJusqu’ici tout va bien …
9h00 – 09h20 - OUVERTURE
Au nom de la loi : responsabilité juridique et
conformité du SI
par
Olivier Itéanu, Avocat à la cour
Paris, Mardi 3 Avril 2012Matinée 01 Sécurité
ParMaître Olivier Iteanu, Avocat
Au nom de la LoiResponsabilité juridique et conformité du SI
L’entreprise entre le marteau et l’enclume
� Ouverture des systèmes d’information� Flux entrant et sortant
(pratiques nouvelles – chartes et cybersurveillance)
� Nomadisme� Chartes – réglementation de
l’usage en entreprise� Données externalisées (Cloud,
réseau social)� Le choix du prestataire� Le contrat (localisation des
données, SLA, réversiblité etc. …)
� Respect de l’intimité de la vie privée des collaborateurs en entreprise
� Respect des dispositions de la Loi informatique et libertés
� Les contingences du droit de la preuve
Illustration des évolutionsDeux exemples� Exemple 1 - Victime mais responsable
�L’obligation de notification d’une faille de sécurité
� Exemple 2 - Les services de renseignement s’intéressent également à vos données
�Le cas de l’USA Patriot Act
6Matinée 01 SécuritéITEANU AVOCATS
L’ordonnance du 24 août 2011� A valeur de Loi
� Transposition du 2nd Paquet Télécom de 2008� Directive 2002/58 du 12 Juillet 2002 « vie privée et
communications Électroniques »� « Lorsqu’il existe un risque particulier de violation de la sécurité du
réseau, le fournisseur (…) informe les abonnés de ce risque … »
� Directive 2009/136/EC du 25 Novembre 2009 du Parlement européeen� Introduit la notion de « violation de données à caractère
personnel » (art. 2 c) 3) et « violations intervenant dans le secteur des communications électroniques » ( considérant 59)
� Existe aux USA depuis 2002 [California Security Breach Notification Act – désormais dans 40 Etats]
La mise en œuvre, qui, quoi ?� « traitements mis en œuvre
dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux … »
� « Toute violation de la sécurité entraînant accidentellement ou de manière illicite une violation des données à caractère personnel »
� Limité aux « opérateurs » ou à tous ?
� Le terme opérateur défini à l’article L 32 15°(Chap. Ier Définitions) « On entend par opérateur toute personne (…) exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques »
� Communiqué CNIL « Seuls les fournisseurs (…) c’est-à-dire essentiellement les opérateurs déclarés à l’ARCEP … »
� Directive 2009 « les violations intervenant dans le secteur des CE … » (considérant 59)
� Création de l’art. 34 Bis dans la Loi Informatique et Libertés de 1978
� Le sens de l’histoire
� Violation et pas simple risque ni tentative
� Plus que la faille ?
Matinée 01 SécuritéITEANU AVOCATS
Comment ?� « le fournisseur avertit, sans
délai, la CNIL »
� « Lorsque cette violation peut porter atteinte aux données (…) d’un abonné ou d’une autre personne physique , le fournisseur avertit également, sans délai, l’intéressé »
� Tenir un registre « des violations (…) notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition » de la CNIL
� Avertir ou notifier (Lettre recommandée) ?
� « Sans délai » [dès connaissance] Qu’en pense la Police ?
� Contenu de la notification� Description de la faille ?
� Moyens d’y remédier OUI
� Notification aux Clients et … aux autres
� Exception à la notification: art. 34 Bis II avant dernier § « les données incompréhensibles » - promotion de la cryptologie
Matinée 01 SécuritéITEANU AVOCATS
Les sanctions – la double peine� Ne pas procéder à la notification
� 5 ans d’emprisonnement et 300K€ d’amende (art. 226-17-1 du Code Pénal)
� « Mise en demeure » de la Cnil et les sanctions associées (article 34Bis II dernier §)� Sanctions pécuniaires (jusqu’à 150K€ ou 300K€)� Publicité
Matinée 01 SécuritéITEANU AVOCATS
L’USA Patriot Act (Oct. 2001) en actions
� Permet au directeur du FBI ou un de ses délégués, d e solliciter d'un juge l'autorisation (order)
� De demander l’accès à « any tangible things (including books, records, papers, documents, and other items »
� Définition très large : en pratique TOUT
� Dans le cadre d'une enquête relative à des activités de terrorisme international, ou des activités d'espionnage
� Le juge tenu ?
� Concernant toute personne étrangère, ou tout citoyen américain� sauf si ce dernier exerce une activité protégée par le 1er amendement de la
constitution des USA (donc une activité liée à l'exercice de la liberté de religion et d'expression, la liberté de la presse ou le droit à s'« assembler pacifiquement »)
� Dans le secret� L'autorisation délivrée (order) ne divulgue pas l'objet de l'enquête, et s'impose à tout
détenteur des informations recherchées� Il est interdit au détenteur des informations de divulguer à quiconque qu'il a été sollicité � Le détenteur des informations est légalement protégé par la loi américaine et n'est pas
responsable à l'égard des tiers des conséquences de cette divulgation� Pas de recours aux US contre la personne divulguant ces informations au FBI, quelles
que soient ses obligations envers la personne qui les lui a confiées
Merci !Olivier ITEANU
Avocat à la Cour d ’Appel de Pariscontact@iteanu.com -
www.iteanu.comblog.iteanu.com
09h20 – 10h00 - TABLE RONDE
Le SI de votre entreprise est-il vraiment bien
protégé ?
avec
Léonard Dahan, DG France Bénélux, Stonesoft
Fabrice Pizzi, RSSI, Eiffage
10h00 – 10h20 - Parole d’expert
Et si votre SI était exposé à votre insu ?
Par
Laurent Boutet, CISSP, Expert Avant-Vente, Stonesoft
Advanced Evasion Techniques (AET)ET SI VOTRE SI ÉTAIT EXPOSÉ À VOTRE INSU…
Advanced Evasion Techniques (AET)
Qu’est-ce que c’est?Toute technique d’attaque réseau qui vise à contourner les dispositifs de sécurité et de détection.
Pourquoi “avancées”?Combinaisons de contournements opérant en même temps sur de multiples couches de protocoleCombinaisons qui peuvent changer pendant une attaqueConçue pour échapper à la détection
Typiquement, les AET sont utilisées dans l’exécution des Advanced Persistent Threats (APT)
APT = motivation
UNE DECOUVERTE AU GOUT AMER
Nous appellons ces méthodes:
AET - TECHNIQUES D’EVASION AVANCEES
Plus d’infos: aet.stonesoft.com
LA VERITE
Les chercheurs européens de Stonesoftont découvert des millions de méthodes pour contourner les solutions les plus évoluées de sécurité réseau sans laisser ni traces ni alertes sur les systèmes d’administration.
Civisme oblige, Stonesoft a publié une centaine de méthodes parmi ces millions.
Mais elle ne représente que la partie émergée de l’iceberg
“Faites le calcul” vous-même…
http://www.cert.fi/en/reports/2010/vulnerability385726.htmlCert 2010.1 set : 23 Cert 2011.1 set : 123 Cert 2011.2 set : 163
Actuellement, 250+ Evasions que l’on peut combiner et cumuler sont en test dans les plateformes de recherche.
Le nombre de combinaisons d’Evasions est déjà pratiquement illimité!
Recherches sur les ”Evasions”...
1,8092513943330655534932966407607e+75
Predator 4.2OUTIL DE R&D
Equipement de sécurité afin de concevoir un environnement de recherchepour des tests automatisés
Injecteur d’Evasion
Brouille les protocoles tout en laissant le payload intact tel que la cible pourrait l’interpréter.
Capable d’utiliser de multiples techniques d’Evasion de manière aléatoire et simultanément sur toutes les couches.
Conclusion de recherche1. Impossiblede se protéger contre toutes les
combinaisons.
2. Sans modèle de tests automatisés, les éditeurs sont incapables de développer des produits efficaces contre les évasion
3. La question est : Qui peut offrir un haut niveau de protectiontout en proposant des mises à jourdynamiques et efficaces contre les Evasions ?
4. A l’avenir, IPv6 offrira un univers de combinaisonsencore plus vaste
ConnuesIP fragmentation with manipulated fragment size and order
TCP segmentation with manipulated segment size and order
SMB fragmentation
SMP transaction write method
MSRPC multibind (bind to multiple “unnecessary or non-existent” contexts + the vulnerable context)
MSRPC fragmentation
MSRPC encryption
Pas si connuesIP random options
TCP TIME_WAIT
TCP urgent pointer
SMB write/read padding
SMB transaction method fragmentation
SMB session mixing
MSRPC alter context
MSRPC object reference
MSRPC endianmanipulation
Ethernet
VLANs
IPv4 IPv6
TCP UDP
NetBIOSHTTP
SMB SMB2
MSRPC
Application
Prenons l’exemple de MSRPC
ImplicationsLes données critiques perdent leur protection, peu importe l’efficacité de détection de l’équipement de sécurité.
On devient aveuglesur la tentative ou réussite d’une attaque si l’équipement échoue sur son traitement anti-évasion
La fausse impression de protection crée des cibles faciles
Augmente le taux de réussite des attaques réseaux.
Etablit une nouvelle menace pour les organisations offrant un large gain (financier, stratégique, politique, technique) pour les cybercriminels expérimentés.
L’amélioration de la gestion de patches et une mise à jour constante des protection contres les Evasions sont impératives
Pourquoi s’inquiéter?Les AET peuvent compromettre des données sensiblesLes AET peuvent impacter l’intégrité des marquesLes AET peuvent provoquer des pertes financièresLes AET peuvent affecter la continuité d’activitéLes AET peuvent nuire aux infrastructures critiquesLes AET peuvent menacer la sécurité nationale
Tant que les cibles vulnérables existent – et il y en aura toujours- les AET pourront les toucher avec des attaques connues ou inconnues. Et personne ne le sait.
Les AET fonctionnent comme un Passe-Partout…que les éditeurs ne possèdent pas
Déjà vuSécurité automobile en 1959 Sécurité réseau en 2010?
Statu Quo: Avant 1959 les marques de voitures
revendiquaient leur sécurité ; les utilisateurs les croyaient et
se sentaient en sécurité
Avant 2010 les éditeurs de sécurité réseau révendiquant un
très haut niveau de sécurité et les organisations estimaient
que leurs biens numériques étaient protégés
La rupture: Une marque nordique arrive sur le marche:
VOLVO. Elle met en cause la sécurité des automobiles et
réclame des innovations pour y rémédier.
Une marque nordique arrive: STONESOFT. Elle met en cause
l’état actuel de la sécurité.
(C’est la rupture)
Percée technologique: En 1959 elle lance la ceinture à trois
points
Percée technologique: En 2010 elle présente les AET et les
technologies innovantes de réponse.
Revendication: Elle prétend que si toutes les marques
adoptaient les ceintures, des vies seraient sauvées.
Revendication: Elle prétend que les organistions publiques et
privées et les marques seraient sauvées si elles adoptaient la
technologie anti-évasion.
Réponse de l’Industrie: “Ce n’est que du marketing, Coûts
supplémentaires, pas pertinent, dangereux, pas confortable,
Personne ne s’en servira, cela restera théorique,
Réponse de l’Industrie: Les uns restent de marbre et les
autres estiment que “C’est du marketing, nous saurons y
répondre, coûts supplémentaires, pas de pertinence pour la
sécurité, pas prouvé, théorique, ce n’est pas la réalité.”
Bilan: Des millions de vie ont été sauvées et ça continue Bilan: Les organisations seront saines et sauves s’ils
prennent au sérieux la menace des AET
Relai des infos…“Les AET peuvent contourner plusieurs systèmes de sécurité réseau. Nous avons pu valider les recherches faites par Stonesoft et croyons que ces AET peuvent provoquer de graves pertes pour les organisations.”– Jack Walsh, Program Manager
“Si un système de sécurité rate un contournement, cela implique qu’un pirate peut avoir recours à toute une catégorie d’exploits pour èchapper aux produits de sécurité, les rendant inutiles. Les AET augmentent le risque de contournement des IPS, ce qui crée un vrai problème pour les réseaux actuels.” – Rick Moy, President
“Les recherches récentes indiquent que les AET sont une vraie menace aux infrastructures de sécurité réseau qui protègent les gouvernements, le commerce et des informations partagées dans le monde entier. Les éditeurs de sécurité réseau se doivent de déployer des ressources pour trouver une solution.“
– Bob Walder, Research Directo r
Nous croyons que les AET représentent une vraie menace pour la sécurité réseau et avons déjà constaté leur utilisation par les hackers. Il est encourageant de voir que Stonesoft prend la menace au sérieux car elle a été négligée par le passé-Andrew Blyth, Professor of Glamorgan University
Silence radio chez les éditeurs
de sécurité!
Relai des infos…Silence radio
chez les éditeursde sécurité!
Infos clandestinesCertains se procurent la technologie de Stonesoft
Certains se concentrent sur la réussite des prochains tests publics
Certains déploient des patchs et techniques de contournement
Certains minimisent les risques lorsqu’on les interroge directement
Certains protègent leurs activités aux dépens des clients
Certains mènent des enquêtes sur leurs failles de conception
Certains ne font rien!
D’autres éditeurs sont en train de protéger
leur activité.
Comment répondre face à ces menaces?
GUIDE PRATIQUE:
Augmenter vos connaissances su r les
advanced evasiontechniques sur
antievasion.com
Auditer les infrastructures, les
applications (ERP, CRM) et les données critiques
Identifier les serveurs qui portent ces données critiques et évaluer leur protection contre les
AETs
Protéger ces données avec des solutions anti evasion ready et les
dernières mises à jours
Prévoir comment migrervers des solutions de
sécurité dynamiques et faciles à mettre à jour
Déconnecter si besoin tout élément critique qui ne peut pas être
patché ou protégé contre les AETs
Processus pour réagir face aux AETs
Audit type ÆRT
Plateforme de Test
Environment Cible
Système ciblevirtuel
L”équipementdevant êtreévalué
EVASIONS(attaques déguisées)
RESULTATSde la technique d’EvasionStoneGate Evasion
Testing Tool 4.1
NormalisationLa normalisation protocolaire est un moyen de combattre les techniques d’évasion
La capacité d’Anti Evasion dépend de l’efficacité d’un système à normaliser un trafic sur toutes les couches.
Cela signifie que toute analyse protocolaire est normalisée afin de pouvoir détecter les attaques par une signature. Il n’y a que la signature de l’attaque qui doit être utilisée.
Inspection Traditionnelle
Couches de protocoles applicatives(Flux)
SegmentsTCP, pseudo paquets
Paquets IP
Retrait zéro ou partiel de contournementsLe trafic n’est pas indemne et l’inspection tient peu compte de données contextuelles.
Décodage et inspection de Protocoles limités pour gagner en vitesse
Détection et bloquage des exploitsNon fiable quand les countournementsne sont pas retirés à tous les niveaux.
Espace d’Inspection Vertical
1 2 3
Trafic de données
Espace horizontal Processus basé sur les flux de données, normalisation des piles et l’inspection
Trafic …Espace d’inspection continue…
La Technologie Anti-évasion
2 3 4Normalisation de trafic continue
Trafic nettoyé des évasions et exploits.
Détection sur trafic propre
Alertes et reporting par le système de management
Couches de protocoles applicatives(Flux)
SegmentsTCP, pseudo paquets
Paquets IP
Merci – Q&RLAURENT.BOUTET@STONESOFT.COM
10h15 – 10h45 - PAUSE
Pause / Networking
10h45 – 11h05 - Avis d’expert
La dimension humaine dans la sécurité du SI
par
Philippe Rondel, Directeur Technique France, Check Point Software
©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties
Security in 2012
Philippe RONDEL
Directeur Technique France
prondel@checkpoint.com
42©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Hospital record update
Hospital record update
Online bank balance check
Online bank balance check
Social network update
Social network update
Supermarket checkout
Supermarket checkout
PDA email check
PDA email check
Credit card payment
Credit card payment
ATM withdrawal
ATM withdrawal
Remote data backup
Remote data backup
ERP supplier catalog update
ERP supplier catalog update
Opening of a new branch
Opening of a new branch
Setup a mobile office
at a client
Setup a mobile office
at a client
Check today’s
sales orders
Check today’s
sales orders
Update this year’s
bonuses
Update this year’s
bonuses
Log into a WiFi hotspot
Log into a WiFi hotspot
Securing Business Everywhere
42©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
43©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
A Busy Year for Security Attacks…
44©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
And Continuing ….
45©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Two Sources of Vulnerability
Human Technology
46©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
The HumanFactor
46©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
47©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
People do not read policies
47©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
48©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
People click first, then think
49©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Ste
ve R
hode
s
Peoplelosedata
49©2012 Check Point Software Technologies Ltd. [PROTECTED] — All rights reserved. |
50©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Technology50©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
51©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
We use millions and millions of lines of code
Complexityleads tovulnerability
51©2012 Check Point Software Technologies Ltd. [PROTECTED] — All rights reserved. |
52©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Vulnerabilities & Solution
53©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
3D SECURITY:GAIN CONTROL
Enforcement
Policies
People
54©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Consolidate Security—Better Security
ALL LAYERS OF SECURITY ACT TOGETHER
Software Blade Architecture from Check Point
55©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Check Point Multiple Layers of Security
Extended Security
Specialized threat prevention
Firewall based network segmentation
Consolidated approach protecting against multi-layered threats
Firewall
Anti-BotIPSAntivirus
URL Filtering
AppControlDLPAnti-Spam
56©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Today’s Typical User ‘Involvement’
NOEXPLANATION
NORESOLUTION
57©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Users Taking Part in Security
EXPLANATION
RESOLUTION
5858©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
CONFUSING EXPLAINING
Explain The Security Policy
5959©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties |
Policy Reminder
©2012 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties
Merci !!
Philippe RONDEL
Directeur Technique France
prondel@checkpoint.com
11h05 – 11h40- Table ronde
Cloud, mobilité et réseaux sociaux : menaces
supplémentaires?
avec
Christophe Jolivet, RSSI, Eutelsat
Philippe Rondel, Directeur Technique France, Check Point Software
11h40 – 12h00 - Remise des Trophées RSSI
Trophée de l’Innovation
Trophée Jeune RSSI
Trophée Prix Spécial du Jury
Trophée Grand Prix 2012
11h40 – 12h00 - Remise des Trophées RSSI
Trophée de l’Innovation
Trophée de l’Innovation
Sophie De Vismede l’INED
(Institut national des études démographiques)
11h40 – 12h00 - Remise des Trophées RSSI
Trophée Jeune RSSI
Trophée Jeune RSSI
Fabrice Stalter
du CHRU de Strasbourg
11h40 – 12h00 - Remise des Trophées RSSI
Trophée
Prix Spécial du Jury
Trophée Prix Spécial du Jury
Michel Cazenavedu Ministère des Affaires étrangères
et européennes
11h40 – 12h00 - Remise des Trophées RSSI
Trophée
Grand Prix RSSI 2012
Trophée Grand Prix RSSI 2012
Nathalie Risacherde Natixis CIB Americas
12h00 – 13h00 - Table ronde
Enregistrement BFM radio de
« 01 Business Spécial Trophée RSSI 2012»
Présentée par Frédéric Simottel
Avec
Nathalie Risacher, Natixis New-York
Michel Cazenave, Ministère des Affaires étrangères et européennes
Fabrice Stalter, CHRU Strasbourg
Sophie De Visme, INED
Et la participation de Stéphane Bellec et Yann Serra
13h00 – 13h05 - JEU
TIRAGE AU SORT iPad
Et le gagnant est……?
13h05– 14h00 - COCKTAIL DEJEUNATOIRE
Cocktail / Networking
MERCI DE VOTRE PARTICIPATION !
top related