présentation - becouze · 2018-01-19 · advanced persistant threat (apt). les menaces actuelles...

Audit | Expertise comptable | Conseil 18 janvier 2018

Présentation Quelle cybersécurité pour demain ?Enjeux et recommandations pour vos organisations

18 janvier 2018 - ANGERS

Audit | Expertise comptable | Conseil 18 janvier 2018Audit | Expertise comptable | Conseil

Déroulement de la conférence

Programme

17 h 30 - 18 h 00Accueil et présentation

18 h 00 - 19 h 00Animation de la présentation

A partir de 19 h 00Echanges avec l'auditoireCocktail

Précisions sur le déroulement

Principe : favoriser l'interactivité

Entre vous et nous pour privilégier leséchanges d’expérience et être pragmatique surles approches à retenir.


Spécialiste en cybersécuritéNicolas PIERSONExpert en Cyberdéfense,Etat-Major des Armées

Associé BECOUZEVincent GOISLOTExpert-Comptable Commissaire aux Comptes

Chef de mission BECOUZEPierre-Antoine HALOPEAUAuditeur en Sécurité des Systèmes d’Information

Intervenants


Sommaire

Les menaces actuelles et futures,•

Le contexte de la cybersécurité,•

• L’information et le système d’information,

La gouvernance et le pilotage du système d• ’information,

La sécurité dans les Ressources Humaines,•

La protection de l• ’information… Oui mais laquelle ?,

La sécurité physique, •

La technologie et les risques d• ’exploitation,

La sécurité du poste de travail,•


• La sécurité du réseau,

• L’externalisation des prestations informatiques,

• La continuité de l’activité,

• La gestion des incidents de sécurité,

• Le Règlement Général de Protection des Données personnelles,

• Conclusion.

Sommaire (suite)


Les menaces actuelles et futures

Motivations :

Profit➢ financier,

Espionnage➢ industriel,

Activisme➢ (ANONYMOUS, hackeurs éthiques),

Terrorisme➢ (ISIS),

Services➢ étatiques (NSA),

Recherche➢ de notoriété,

Multiples➢ .

Tendance : industrialisation de la menace.


Schéma d’attaque


Charge

Vecteur



Vecteurs d’attaque (exploit kit) :

➢ "Hameçonnage" (phishing, spear phishing),

➢ Installation par support amovible,

➢Pièce jointe (pdf, macro…),

➢ "Puit numérique" (waterhole, malwaretising),

➢ Injection de code,

➢ Force brute…


Grandes familles d’attaques actuelles (charge : payload) :

➢ Ransomware,

➢ Déni de service DDOS,

➢ Fraudes multiples,

➢ Fuite/vol de données,

➢ "Défacement" de site,

➢ Prise de contrôle à distance,

➢ Attaque combinée,

➢ Advanced Persistant Threat (APT).



La menace du moment :le ransomware :

➢ Cible = ordinateur ou serveur,

➢ Installation d’un logiciel (parphishing, support, pièce jointe…),

➢ Chiffrement des données,

➢ Demande de rançon en bitcoins(entre 150 et 5 000 $).

Ransomware as a service (< 150 $le kit).



Déni de service (flooding) :

➢ Envoi massif de messages ou d’informations à une machine(serveur),

➢ Saturation et perte de service,

➢ DDOS as a service.



"Défacement" de site ou de compte :

➢ Atteinte à la notoriété,

➢ Indisponibilité du service.



Advanced Persistant Threat (APT)



Géopolitique et stratégie dans le cyberespace :

➢ 1 leader mondial (Etats-Unis),

➢ 2 challengers (Chine et Russie),

➢ Quelques suiveurs (Allemagne, France, Grande-Bretagne,Corée du Nord),

➢ Tous les autres.




Les dernières attaques


Changement de paradigme :

➢ Nouvel espace de conflit (5ème espace pour l’OTAN),

➢ Modèle français en trois couches :

• Physique,• Logique,• Perception.

Nouvelle tendance :

Action d’influence numérique.



Le contexte de la cybersécurité

Cybersécurité :

Etat recherché pour un système d’information lui permettant derésister à des événements issus du cyberespace susceptibles decompromettre la disponibilité, l’intégrité ou la confidentialité́des données stockées, traitées ou transmises et des servicesconnexes que ces systèmes offrent ou qu’ils rendent accessibles.

La cybersécurité fait appel à des techniques de sécurité dessystèmes d’information (SSI) et s’appuie sur la lutte contre lacybercriminalité et sur la mise en place d’une cyberdéfense.



Qui ?

➢ L’ANSSI :

Agence Nationale de la Sécurité des Systèmes d’Information.

➢ Mission :

Protection des Opérateurs d’Importance Vitale (OIV).

➢ Et les autres ?

• PME,• TPE.



Vulnérabilité :

Faiblesse dans le système, qui peut être exploitée par unemenace.

Menace :

Evénement, d’origine accidentelle ou délibérée, capable s’ilse réalise de causer un dommage au sujet étudié.

Risque :

Association d’une menace aux vulnérabilités qui permettentsa réalisation.


"L’information est un actif qui a unevaleur pour une organisation et qui, par

conséquent, doit être protégée de manière appropriée".

ISO/IEC 27002:2005

L’information et le système d’information


Le système d'information est l'ensemble des ressources (le personnel, le matériel, les

logiciels, les procédures) organiséespour collecter, stocker, traiter et communiquer les informations.




LES TECHNOLOGIES

LES PROCESSUS

LES PERSONNES

L’INFORMATION

Le système d’information


La gouvernance et le pilotage du système d’information

Objectif : établir la présence d'un cadre de management pour la gouvernance et le pilotage du système d'informationdans l'organisation.

➢ Quel est le degré d’implication et la maîtrise de la DirectionGénérale sur le système d’information ?

➢ Le système d’information a-t-il un DSI, un RSSI ?

➢ La sécurité du système d’information a-t-elle fait l’objet d’un étatdes lieux ?

➢ La SSI fait-elle l’objet de communication interne et externe ?

Recommandations :

Sensibiliser la Direction à la sécurité informatique,•

Evaluer le coût de la fonction informatique,•

Faire un état des lieux de la SSI dans l• ’organisation.


La sécurité dans les Ressources Humaines

Possédez➢ -vous une charte informatique?

Comment➢ gérez-vous les arrivées et les départs en matière de RessourcesHumaines ?

Possédez➢ -vous des clauses spécifiques pour le personnel de confiance ?

Vos➢ utilisateurs sont-ils sensibilisés à la SSI ?

Comment➢ gérez-vous les stagiaires, le personnel intérimaire et les prestataires?

Objectif : s'assurer que les salariés et les sous-traitants sont sensibilisés à la sécurité et connaissent leurs droits etdevoirs vis-à-vis du système d'information.

Recommandations :

• Mettre en place une procédure d’arrivées et de départs en matière de RessourcesHumaines,

• Instaurer une charte informatique annexée au règlement intérieur,• Sensibiliser les utilisateurs aux bonnes pratiques de la SSI.


La protection de l’information… Oui mais laquelle ?

Objectif : identifier les actifs d'information et de support et définir les responsabilités pour une protectionappropriée.

Avez➢ -vous recensé les informations sensibles pour votre organisation ?

Possédez➢ -vous une cartographie de votre SI ?

Avez➢ -vous qualifié et répertorié les informations critiques au sein devotre organisation ?

Avez➢ -vous mis en place des mesures spécifiques pour le stockage,le traitement et la diffusion de ces informations ?

Recommandations :

• Effectuer un recensement des informations de l’entreprise,• Effectuer une cartographie du système d’information,• Catégoriser les informations et mettre en place une classification de l’information.


La sécurité physique

Objectif : empêcher tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et lesmoyens de traitement de l’information de l’organisation.

➢ Votre site est-il protégé physiquement ?

➢ Comment vos locaux techniques sont-ils protégés ?

➢ Avez-vous sensibilisé votre personnel aux règles de sécurité et à l’accueildes visiteurs ?

➢ Tracez-vous les moyens d’accès ?

Recommandations :

Mettre un contrôle d• ’accès physique et des zones de sécurité,Mettre en place une procédure d• ’accueil et un circuit des visiteurs.


La technologie et les risques d’exploitation

Objectif : assurer l'exploitation correcte et sécurisée des moyens de traitement et de stockage de l'information.

➢ Comment gérez-vous les accès à vos applications ou ressources ?

• Compte générique ou nominatif,• Gestion unitaire ou par profil,• Revue périodique.

➢ Assurez-vous une traçabilité des actions d’administration sur le SI ?

➢ Avez-vous une politique de mise à jour périodique des postes etserveurs ?

• Patch postes et serveurs,• Antivirus.

Recommandations :

• Gérer les profils et revoir périodiquement les profils d’accès métiers,• Mettre en place une politique de mise à jour des postes et serveurs,• Assurer une traçabilité des actions des administrateurs.


La sécurité du poste de travail

Objectif : garantir la sécurité de l'information dans l'utilisation des points d'accès au système d'information.

Recommandation :

• Mener un audit sur la sécurité de vos postes de travail et serveurs.

➢ Quelle est la sécurité des postes de travail et des serveurs de votreorganisation ?

• Utilisateurs administrateurs locaux,• Utilisation d’un Active Directory (GPO, FGPP... ),• Base antivirus à jour,• Sauvegarde du poste de travail,• VPN IPSec,• Chiffrement des partitions,• Messagerie chiffrée et authentifiée,• Filtres de confidentialité,• BYOD,• WANNACRY et PETYA.


La sécurité du réseau

Objectif : garantir la protection de l’information sur les réseaux et des moyens de traitement utilisés.

Recommandation :

• Mettre en place une étude de la sécurité de votre réseau en menant une analogie avec lasécurité physique de votre organisation.

➢ Avez-vous mis en place un cloisonnement des réseaux logiques enzone VLAN ?

• Bureautique,• Téléphonie,• Wifi,• Production industrielle…

➢ Appliquez-vous un filtrage entre les différentes zones de confiance ?

➢ Avez-vous une passerelle d’interconnexion Internet sécurisée ?

➢ Possédez-vous une authentification réseau ?


L’externalisation des prestations informatiques

Objectif : garantir la protection des actifs de l’organisation dans le traitement effectué par les tierces parties.

Avez➢ -vous contractualisé avec vos prestataires informatiques ?

Avez➢ -vous recensé et apporté des clauses spécifiques aux servicesqu’ils vous fournissent ?

Revoyez➢ -vous les contrats à chaque changement du périmètre deservices ?

Auditez➢ -vous vos prestataires externalisés ?

Recommandation :

• Nous vous recommandons une étude des risques contractuels dans l'externalisation de vosprestations informatiques et la mise en place a minima de contrats comportant les clausesde confidentialité, de réversibilité, des conventions de services, des audits de sécurité, unegestion des évolutions et de résiliation...


La continuité de l’activité

Objectif : assurer la continuité de la disponibilité et de la sécurité de l'information en mode dégradé.

➢ Avez-vous un plan de continuité ou de reprise d’activité ?

➢ Comment gérez-vous vos sauvegardes ?

➢ Protégez-vous vos sauvegardes ?

➢ Testez-vous toute la chaîne du plan de continuité ou de reprise d’activité ?

Recommandations :

Mettre• en place un plan de continuité ou de reprise d’activité en collaboration avec lesdomaines métiers,Tester• le plan de continuité en menant des simulations de reprise périodiquement sur dumatériel de simulation.


La gestion des incidents de sécurité

Objectif : garantir une méthode cohérente et efficace de gestion des incidents liés à la sécurité de l’information,incluant la communication des événements et des failles liés à la sécurité.

➢ Connaissez-vous les actions à mener et qui contacter en cas d’incidentde sécurité ?

➢ Avez-vous un comité de gestion de crise ou a minima les contacts àjoindre en cas d’incident ?

➢ Savez-vous détecter, qualifier, traiter et apprendre d’un incident desécurité ?

Recommandations :

• Mettre en place un comité de gestion de crise en vous assurant que tous les acteurs ont lescoordonnées des autres acteurs,

• Mettre en place une procédure permettant de détecter, qualifier, traiter et apprendre d’unincident de sécurité.


Le Règlement Général de Protection des Données personnelles

➢ Connaissez-vous les règlements et les directives imposables à votreorganisation en matière de SSI ?

➢ Connaissez-vous la CNIL et/ou le RGPD ?

• Qui doit se mettre en conformité ?• Quels sont les droits des interlocuteurs ?• Quels sont les risques si je ne me mets pas en conformité ?

Recommandations :

Mener• une étude des obligations légales, statutaires et réglementaires concernant le"domaine métier" de l’organisation,Se• mettre en conformité avec la nouvelle directive européenne sur la protection desdonnées personnelles.

Objectif : éviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles relatives à lasécurité de l’information et toute violation des exigences de sécurité.


Conclusion

Merci de votre attention.

Des questions ?

présentation - becouze · 2018-01-19 · advanced persistant threat (apt). les menaces actuelles...

Documents