Expert sécurité, réseau et services informatiques Version : Date : Diffusion : Simplifiez la sécurisation de vos données par chiffrement transparent Fabien Jacquier – Kyos Restreinte 1.0 29.10.2015 Simplifiez la sécurisation de vos données par chiffrement transparent
50
Embed
Simplifiez la sécurisation de vos données par chiffrement transparent
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
Simplifiez la sécurisation de vos données par chiffrement transparentFabien Jacquier – Kyos
Restreinte
1.0
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques
• Implanté à Genève depuis novembre 2002
• Fusion par absorption avec la société Spacecom, spécialiste réseau, en juin 2013
Simplifiez la sécurisation de vos données par chiffrement transparent
2
Expert sécurité, réseau et services informatiques
Agenda
La problématique de la protection des donnéesFabien JACQUIER - Kyos
‐ La problématique de la protection des données
‐ le chiffrement transparent de Vormetric
‐ Démonstration avec simulation d’attaque
‐ Discussion ouverte
29.10.20153
Simplifiez la sécurisation de vos données par chiffrement transparent
Kyos SARL
L’attaque de TalkTalk29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
4
Kyos SARL
Quelles données ont été accédées ?29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
5
• Nom
• Adresse
• Date de naissance
• Email
• Numéros de téléphones
• Détails du compte TalkTalk
• Données de carte de credit
• Données de compte bancaire
• Mots de passe ?
Kyos SARL
La législation anglaise29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
6
Kyos SARL
Payment Card Industry (PCI) Data Security Standard v3.0
Requirement 3: Protect stored cardholder data – 3.4Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
• One-way hashes based on strong cryptography, (hash must be of the entire PAN)
• Truncation (hashing cannot be used to replace the truncated segment of PAN)
• Index tokens and pads (pads must be securely stored)
• Strong cryptography with associated key-management processes and procedures.
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
7
Eradication
Obfuscation
Chiffrement
Kyos SARL
Appendix 3 to the FINMA Circular 2008/21
Principle 3: Location and access to dataArchiving and accessing data from abroad
Should CID be archived outside of Switzerland or if it can be accessed from abroad, the institution must adequately mitigate the increased risks with respect to client data protection. CID must be adequately protected (e.g. anonymized, encrypted or pseudonymized).
Principle 4: Security standards for infrastructure and technologyIn order to ensure the confidentiality of CID, institutions must evaluate protective measures (e.g. encryptions) and if necessary, implement these at the following levels:
• Security of CID on devices or end points (e.g. PCs, notebooks, portable data storage and mobile devices);
• Security during the transfer of CID (e.g. within a network or between various locations);
• Security of stored CID (e.g. on servers, databases or backup media).
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
8
Kyos SARL
Les précautions à l’implémentation de chiffrement
• Complexité de la gestion et du stockage des clés de chiffrement
• Complexité du chiffrement de BDD avec plusieurs instances utilisant les même clés
• Lenteur et perte de performance• Besoin de modification des systèmes
existants• Déploiement d’un agent sur les
postes clients• Contraintes d’administration• Contraintes pour l’utilisateur
• Risque de perte des clés• Peur de perdre les données suite à
une mauvaise manipulation• Les données restent accessibles au
moment où elles sont déchiffrées / utilisées
29.10.2015
Simplifiez la sécurisation de vos données par chiffrement transparent
9
Expert sécurité, réseau et services informatiques
AgendaProtégez vos fichiers, applications, bases de données et sauvegardes par le chiffrement transparent de VormetricMichael Loger - Vormetric
‐ La problématique de la protection des données
‐ le chiffrement transparent de Vormetric
‐ Démonstration avec simulation d’attaque
‐ Discussion ouverte
29.10.201510
Simplifiez la sécurisation de vos données par chiffrement transparent
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Vormetric Data Security
Frank Weisel - RSD DACH
Michael Loger - Sen. SE DACH
Vormetric, Inc.
10/2015
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Data SecurityWhat we need!
Availability
Integrity
Confidentiality
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Data SecurityConfidentiality = Need to know principle
IntegrityConfidentiality
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Data SecurityConfidentiality = Need to know principle
IntegrityConfidentiality
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?Need to Know principle!
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?
= Need to Know principle
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Why Encryption / Tokenization?
= Need to Know principle
Appendix 3 to the FINMA Circular
2008/21
PCI-DSS
BDSG
SOX
HIPAA
GLBA
BASEL II Accord
EURO-SOX
FDA Title 21 CFR Part 11
95/46/EC EU Directive
PIPEEDAUK DPA
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
Copyright 2014 Vormetric, Inc. – Proprietary and Confidential. All rights reserved.
Vormetric Platform and Products
29.10.2015
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
29.10.2015
<1%
94%
Serverslaptops
Servers
2012 DATA BREACH INVESTIGATION REPORT
Records Compromised
Records Compromised
Data Is The Target …Server Data = Biggest Target
Le c
hif
frem
ent
tran
spar
ent
de
Vo
rmet
ric
of breaches are reported by third parties
median number of days advanced attackers are on the network before being detected Data = Money