Audit | Expertise comptable | Conseil 18 janvier 2018
Présentation Quelle cybersécurité pour demain ?Enjeux et recommandations pour vos organisations
18 janvier 2018 - ANGERS
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Déroulement de la conférence
Programme
17 h 30 - 18 h 00Accueil et présentation
18 h 00 - 19 h 00Animation de la présentation
A partir de 19 h 00Echanges avec l'auditoireCocktail
Précisions sur le déroulement
Principe : favoriser l'interactivité
Entre vous et nous pour privilégier leséchanges d’expérience et être pragmatique surles approches à retenir.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Spécialiste en cybersécuritéNicolas PIERSONExpert en Cyberdéfense,Etat-Major des Armées
Associé BECOUZEVincent GOISLOTExpert-Comptable Commissaire aux Comptes
Chef de mission BECOUZEPierre-Antoine HALOPEAUAuditeur en Sécurité des Systèmes d’Information
Intervenants
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Sommaire
Les menaces actuelles et futures,•
Le contexte de la cybersécurité,•
• L’information et le système d’information,
La gouvernance et le pilotage du système d• ’information,
La sécurité dans les Ressources Humaines,•
La protection de l• ’information… Oui mais laquelle ?,
La sécurité physique, •
La technologie et les risques d• ’exploitation,
La sécurité du poste de travail,•
Audit | Expertise comptable | Conseil 18 janvier 2018
• La sécurité du réseau,
• L’externalisation des prestations informatiques,
• La continuité de l’activité,
• La gestion des incidents de sécurité,
• Le Règlement Général de Protection des Données personnelles,
• Conclusion.
Sommaire (suite)
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Les menaces actuelles et futures
Motivations :
Profit➢ financier,
Espionnage➢ industriel,
Activisme➢ (ANONYMOUS, hackeurs éthiques),
Terrorisme➢ (ISIS),
Services➢ étatiques (NSA),
Recherche➢ de notoriété,
Multiples➢ .
Tendance : industrialisation de la menace.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Schéma d’attaque
Les menaces actuelles et futures
Charge
Vecteur
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Les menaces actuelles et futures
Vecteurs d’attaque (exploit kit) :
➢ "Hameçonnage" (phishing, spear phishing),
➢ Installation par support amovible,
➢Pièce jointe (pdf, macro…),
➢ "Puit numérique" (waterhole, malwaretising),
➢ Injection de code,
➢ Force brute…
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Grandes familles d’attaques actuelles (charge : payload) :
➢ Ransomware,
➢ Déni de service DDOS,
➢ Fraudes multiples,
➢ Fuite/vol de données,
➢ "Défacement" de site,
➢ Prise de contrôle à distance,
➢ Attaque combinée,
➢ Advanced Persistant Threat (APT).
Les menaces actuelles et futures
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La menace du moment :le ransomware :
➢ Cible = ordinateur ou serveur,
➢ Installation d’un logiciel (parphishing, support, pièce jointe…),
➢ Chiffrement des données,
➢ Demande de rançon en bitcoins(entre 150 et 5 000 $).
Ransomware as a service (< 150 $le kit).
Les menaces actuelles et futures
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Déni de service (flooding) :
➢ Envoi massif de messages ou d’informations à une machine(serveur),
➢ Saturation et perte de service,
➢ DDOS as a service.
Les menaces actuelles et futures
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
"Défacement" de site ou de compte :
➢ Atteinte à la notoriété,
➢ Indisponibilité du service.
Les menaces actuelles et futures
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Advanced Persistant Threat (APT)
Les menaces actuelles et futures
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Géopolitique et stratégie dans le cyberespace :
➢ 1 leader mondial (Etats-Unis),
➢ 2 challengers (Chine et Russie),
➢ Quelques suiveurs (Allemagne, France, Grande-Bretagne,Corée du Nord),
➢ Tous les autres.
Les menaces actuelles et futures
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Les menaces actuelles et futures
Les dernières attaques
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Changement de paradigme :
➢ Nouvel espace de conflit (5ème espace pour l’OTAN),
➢ Modèle français en trois couches :
• Physique,• Logique,• Perception.
Nouvelle tendance :
Action d’influence numérique.
Les menaces actuelles et futures
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Le contexte de la cybersécurité
Cybersécurité :
Etat recherché pour un système d’information lui permettant derésister à des événements issus du cyberespace susceptibles decompromettre la disponibilité, l’intégrité ou la confidentialité́des données stockées, traitées ou transmises et des servicesconnexes que ces systèmes offrent ou qu’ils rendent accessibles.
La cybersécurité fait appel à des techniques de sécurité dessystèmes d’information (SSI) et s’appuie sur la lutte contre lacybercriminalité et sur la mise en place d’une cyberdéfense.
Audit | Expertise comptable | Conseil 18 janvier 2018
Le contexte de la cybersécurité
Qui ?
➢ L’ANSSI :
Agence Nationale de la Sécurité des Systèmes d’Information.
➢ Mission :
Protection des Opérateurs d’Importance Vitale (OIV).
➢ Et les autres ?
• PME,• TPE.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Le contexte de la cybersécurité
Vulnérabilité :
Faiblesse dans le système, qui peut être exploitée par unemenace.
Menace :
Evénement, d’origine accidentelle ou délibérée, capable s’ilse réalise de causer un dommage au sujet étudié.
Risque :
Association d’une menace aux vulnérabilités qui permettentsa réalisation.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
"L’information est un actif qui a unevaleur pour une organisation et qui, par
conséquent, doit être protégée de manière appropriée".
ISO/IEC 27002:2005
L’information et le système d’information
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Le système d'information est l'ensemble des ressources (le personnel, le matériel, les
logiciels, les procédures) organiséespour collecter, stocker, traiter et communiquer les informations.
L’information et le système d’information
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
L’information et le système d’information
LES TECHNOLOGIES
LES PROCESSUS
LES PERSONNES
L’INFORMATION
Le système d’information
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La gouvernance et le pilotage du système d’information
Objectif : établir la présence d'un cadre de management pour la gouvernance et le pilotage du système d'informationdans l'organisation.
➢ Quel est le degré d’implication et la maîtrise de la DirectionGénérale sur le système d’information ?
➢ Le système d’information a-t-il un DSI, un RSSI ?
➢ La sécurité du système d’information a-t-elle fait l’objet d’un étatdes lieux ?
➢ La SSI fait-elle l’objet de communication interne et externe ?
Recommandations :
Sensibiliser la Direction à la sécurité informatique,•
Evaluer le coût de la fonction informatique,•
Faire un état des lieux de la SSI dans l• ’organisation.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La sécurité dans les Ressources Humaines
Possédez➢ -vous une charte informatique?
Comment➢ gérez-vous les arrivées et les départs en matière de RessourcesHumaines ?
Possédez➢ -vous des clauses spécifiques pour le personnel de confiance ?
Vos➢ utilisateurs sont-ils sensibilisés à la SSI ?
Comment➢ gérez-vous les stagiaires, le personnel intérimaire et les prestataires?
Objectif : s'assurer que les salariés et les sous-traitants sont sensibilisés à la sécurité et connaissent leurs droits etdevoirs vis-à-vis du système d'information.
Recommandations :
• Mettre en place une procédure d’arrivées et de départs en matière de RessourcesHumaines,
• Instaurer une charte informatique annexée au règlement intérieur,• Sensibiliser les utilisateurs aux bonnes pratiques de la SSI.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La protection de l’information… Oui mais laquelle ?
Objectif : identifier les actifs d'information et de support et définir les responsabilités pour une protectionappropriée.
Avez➢ -vous recensé les informations sensibles pour votre organisation ?
Possédez➢ -vous une cartographie de votre SI ?
Avez➢ -vous qualifié et répertorié les informations critiques au sein devotre organisation ?
Avez➢ -vous mis en place des mesures spécifiques pour le stockage,le traitement et la diffusion de ces informations ?
Recommandations :
• Effectuer un recensement des informations de l’entreprise,• Effectuer une cartographie du système d’information,• Catégoriser les informations et mettre en place une classification de l’information.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La sécurité physique
Objectif : empêcher tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et lesmoyens de traitement de l’information de l’organisation.
➢ Votre site est-il protégé physiquement ?
➢ Comment vos locaux techniques sont-ils protégés ?
➢ Avez-vous sensibilisé votre personnel aux règles de sécurité et à l’accueildes visiteurs ?
➢ Tracez-vous les moyens d’accès ?
Recommandations :
Mettre un contrôle d• ’accès physique et des zones de sécurité,Mettre en place une procédure d• ’accueil et un circuit des visiteurs.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La technologie et les risques d’exploitation
Objectif : assurer l'exploitation correcte et sécurisée des moyens de traitement et de stockage de l'information.
➢ Comment gérez-vous les accès à vos applications ou ressources ?
• Compte générique ou nominatif,• Gestion unitaire ou par profil,• Revue périodique.
➢ Assurez-vous une traçabilité des actions d’administration sur le SI ?
➢ Avez-vous une politique de mise à jour périodique des postes etserveurs ?
• Patch postes et serveurs,• Antivirus.
Recommandations :
• Gérer les profils et revoir périodiquement les profils d’accès métiers,• Mettre en place une politique de mise à jour des postes et serveurs,• Assurer une traçabilité des actions des administrateurs.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La sécurité du poste de travail
Objectif : garantir la sécurité de l'information dans l'utilisation des points d'accès au système d'information.
Recommandation :
• Mener un audit sur la sécurité de vos postes de travail et serveurs.
➢ Quelle est la sécurité des postes de travail et des serveurs de votreorganisation ?
• Utilisateurs administrateurs locaux,• Utilisation d’un Active Directory (GPO, FGPP... ),• Base antivirus à jour,• Sauvegarde du poste de travail,• VPN IPSec,• Chiffrement des partitions,• Messagerie chiffrée et authentifiée,• Filtres de confidentialité,• BYOD,• WANNACRY et PETYA.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La sécurité du réseau
Objectif : garantir la protection de l’information sur les réseaux et des moyens de traitement utilisés.
Recommandation :
• Mettre en place une étude de la sécurité de votre réseau en menant une analogie avec lasécurité physique de votre organisation.
➢ Avez-vous mis en place un cloisonnement des réseaux logiques enzone VLAN ?
• Bureautique,• Téléphonie,• Wifi,• Production industrielle…
➢ Appliquez-vous un filtrage entre les différentes zones de confiance ?
➢ Avez-vous une passerelle d’interconnexion Internet sécurisée ?
➢ Possédez-vous une authentification réseau ?
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
L’externalisation des prestations informatiques
Objectif : garantir la protection des actifs de l’organisation dans le traitement effectué par les tierces parties.
Avez➢ -vous contractualisé avec vos prestataires informatiques ?
Avez➢ -vous recensé et apporté des clauses spécifiques aux servicesqu’ils vous fournissent ?
Revoyez➢ -vous les contrats à chaque changement du périmètre deservices ?
Auditez➢ -vous vos prestataires externalisés ?
Recommandation :
• Nous vous recommandons une étude des risques contractuels dans l'externalisation de vosprestations informatiques et la mise en place a minima de contrats comportant les clausesde confidentialité, de réversibilité, des conventions de services, des audits de sécurité, unegestion des évolutions et de résiliation...
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La continuité de l’activité
Objectif : assurer la continuité de la disponibilité et de la sécurité de l'information en mode dégradé.
➢ Avez-vous un plan de continuité ou de reprise d’activité ?
➢ Comment gérez-vous vos sauvegardes ?
➢ Protégez-vous vos sauvegardes ?
➢ Testez-vous toute la chaîne du plan de continuité ou de reprise d’activité ?
Recommandations :
Mettre• en place un plan de continuité ou de reprise d’activité en collaboration avec lesdomaines métiers,Tester• le plan de continuité en menant des simulations de reprise périodiquement sur dumatériel de simulation.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
La gestion des incidents de sécurité
Objectif : garantir une méthode cohérente et efficace de gestion des incidents liés à la sécurité de l’information,incluant la communication des événements et des failles liés à la sécurité.
➢ Connaissez-vous les actions à mener et qui contacter en cas d’incidentde sécurité ?
➢ Avez-vous un comité de gestion de crise ou a minima les contacts àjoindre en cas d’incident ?
➢ Savez-vous détecter, qualifier, traiter et apprendre d’un incident desécurité ?
Recommandations :
• Mettre en place un comité de gestion de crise en vous assurant que tous les acteurs ont lescoordonnées des autres acteurs,
• Mettre en place une procédure permettant de détecter, qualifier, traiter et apprendre d’unincident de sécurité.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Le Règlement Général de Protection des Données personnelles
➢ Connaissez-vous les règlements et les directives imposables à votreorganisation en matière de SSI ?
➢ Connaissez-vous la CNIL et/ou le RGPD ?
• Qui doit se mettre en conformité ?• Quels sont les droits des interlocuteurs ?• Quels sont les risques si je ne me mets pas en conformité ?
Recommandations :
Mener• une étude des obligations légales, statutaires et réglementaires concernant le"domaine métier" de l’organisation,Se• mettre en conformité avec la nouvelle directive européenne sur la protection desdonnées personnelles.
Objectif : éviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles relatives à lasécurité de l’information et toute violation des exigences de sécurité.
Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil
Conclusion
Merci de votre attention.
Des questions ?