Centre de Professions Financières 15 Novembre 2017 Bernard Barbier CYBER SECURITE Comment rétablir la confiance dans le Numérique et l’Internet
Centre de Professions Financières 15 Novembre 2017
Bernard Barbier
CYBER SECURITE
Comment rétablir la confiance dans le
Numérique et l’Internet
2
-2013: CAPGEMINI Group Cyber Security Officer
-2006-2013: Directeur technique de la DGSE
-2003-2006: Directeur du LETI (CEA Grenoble)
-2000-2003: DSI du CEA Commissariat à l’Energie Atomique
@Barbier_Bernard
#Linkedin.com/in/bernard-barbier-52538459
Ingénieur Ecole Centrale de Paris, 1976,
Membre de l ’Académie des Technologies
4
De l’ombre vers la lumière
25 ans d’histoire.
Un risque marginal conduit par quelques « geek » est devenu en 25 ans un risque
stratégique.
1989-2005: les virus, I love You en 2000
2005-2010: action des états, Stuxnet, espionnage,
2010-2015: cybercriminalité (dépasse le trafic de drogue)
2016: La Cyber Guerre: Ukraine-Russie
L’aspect ludique des années 1990 est devenu un risque mondial
C’est maintenant un élément stratégique de la défense des nations qui est comparé
avec le nucléaire (dissuasion): Cyber…L’arme fatale ?
5
Pourquoi une telle évolution: augmentation de la menace, augmentation du risque….
La surface du risque augmente: 5 milliards d’objets connectés en 2015, 50 milliards
en 2020 avec l’Internet des objets
Les menaces augmentent: 1 millions de hackers: des individus, des mercenaires ou
des personnels étatiques.
Le niveau d’expertise des hackers augmente: partage d’expérience sur les réseaux
sociaux
La transformation numérique des organisations augmentent le risque: cloud, big
data, mobilité…
Les organisations doivent se transformer en devenant ouverte, donc en augmentant
leurs risques
6
Les principes d’une attaque
Le principe de base est d’introduire un MALWARE dans l’ordinateur de la cible. Un
MALWARE est un logiciel qui va utiliser une faille du système pour prendre le
contrôle de l’ordinateur ( la faille est une vulnérabilité appelée 0 day car inconnue
de l’éditeur de logiciel, qui permet d’augmenter les privilèges d’un processus )
Pour « injecter » le MALWARE, il faut « contourner » les protections: antivirus,
firewall..le plus simple est le Phishing: mail piégé qui contient un lien vers un site
« pirate »
Le MALWARE est « piloté » à distance par des serveurs de contrôle commande. Le
MALWARE peut être très complexe, il peut s’auto propager de PC en PC, prendre
le contrôle du clavier, de la caméra, aller chercher des données sensibles, casser
(STUXNET)
La partie « injection » peut être très complexe, exemple QUANTUM ATTACK de la
NSA
7
Les principes d’une attaque: ex TV5
Email piégé en janvier , le MALWARE APT28 est injecté le 23 janvier
APT28 utilise deux 0 day: Adobe Flash CVE2015-3043
Microsoft CVE2015-1701
15
Les États réagissent, en Europe la directive NIS : Network and Information Security, GDPR pour General Data Protection Regulation.
NIS: Entreprises qui fournissent des services indispensables: Énergie,
Transport, Banque, Télécom, Santé, sites de E-commerces, fournisseurs
de CLOUD…plus de 10 employés, CA> 2M€.
Entrée en vigueur 2018
GDPR: Tout le monde est concerné
toute information relative à une personne physique qui peut être
identifiée directement ou indirectement par référence à un numéro:
exemple numéro de plaque de voiture….
Les Obligations:
- mesures préventives techniques et organisationnelles
-détection et gestion des risques SSI
-notification des incidents
-audit
17
Les EntreprisesPour les entreprises, les administrations, l’enjeu de la cyber sécurité impose une
vraie transformation
La numérisation des entreprises, l’évolution vers le CLOUD COMPUTING, la
mobilité, le BIG DATA, sont en danger face à la cyber insécurité.
Cette transformation (révolution) de l’entreprise vers le tout numérique oblige
l’entreprise à se transformer dans son approche Sécurité Informatique.
La mise en place d’un programme volontariste de cyber défense doit être conduit
au plus haut niveau de l’entreprise dans une volonté de transformation de
l’entreprise.
La SSI classique, orientée procédure, muraille, moyens, statique, doit se
transformer totalement vers une cyber défense dynamique, réactive, intégrée dans
la culture de l’entreprise. LA GESTION DU RISQUE NUMERIQUE
C’est le risque majeur de l’entreprise du 21e siècle: comité d’hygiène à la sécurité
numérique
18
Bon risk appetit: apprendre à gérer le risque
https://www.capgemini.com/blog/cto-blog/2014/12/technovision-2015-bon-risk-appetit
19
CYBERSECURITÉ STRATÉGIE: PASSER DE LA FORTERESSEE À L’AÉROPORT
IDENTIFY
MONITOR
DETECT
REACT
PREVENT
HARDENING
INFRASTRUCTURE
21
Les Entreprises, l’approche par la protection des données
Mettre en place une politique donnée: classement, protection, sauvegarde, sécurité
Protéger les données vraiment critiques
Mettre en place une défense par silos (pelure d’oignons)
Chiffrer les données, les communications, les entrepôts (PC portable..)
Mettre en place une infrastructure des identités, des droits d’accès
Contrôler la sortie des données critiques (DLP)
22
CYBERSECURITY MONITORING
SECURITY OPERATION CENTERSSECURITY MONITORINGof IT systems, industrial systems & data
Scanning
SIEM
Sandboxing
Security
Analytics
BIG DATA
23
CYBER ARME: UNE ARME DE DISSUASION?
23
https://www.youtube.com/watch?v=OOQ3rjb2NUs