Cybersécurité : vous avez des problèmes
de sécurité dans leTI, c’est de votre faute…
Par Claude Marson
Formateur en techno...
JE ME PRÉSENTE
CLAUDE MARSON
Le sujet traité est très sensible : faillites
d’entreprises, pertes financières, suicides…
Nous adopterons volontairement ...
La sécurité est généralement mal abordée dans les entreprises.
Si vous avez des problèmes à cet égard, c’est de votre faut...
SERVEURS CENTRAUX
 Pas de chiffrement des données sensibles
 Failles dans les couches de virtualisation
 Sauvegardes an...
DMZ
 Détections d’intrusions inadaptées (IDS)
 Pas d’analyse des logs (SIEM)
 Règles de filtrage aux pare-feux inadapté...
RÉSEAU
 Déni de service réseau trop simple
 Protections insuffisantes contre mascarade
 Mauvaise gestion des mots de pa...
POSTE DETRAVAIL
 Mise à jour non centralisée, avec logiciels
non contrôlés
 Pas d’écrans de veille et machines en
sessio...
UTILISATEURS
 Prise de conscience insuffisante (pas de
charte de sécurité)
 Pas de sauvegardes des données critiques
 P...
Les principales formes d’attaques
Pas de prise de conscience claire du problème
La sécurité informatique, c’est avant tout un problème technique.
Ignorer le...
Le CA mondial de la cybercriminalité, tout compris, avec les anti-malwares qui ne servent pas à
grand-chose, est supérieur...
 La cybercriminalité s’est organisée :
 Tarifs, prestations, prestataires
 100 000 délinquants qui constituent une
véri...
1Pas de prise de conscience claire du problème
Les entreprises maintiennent des versions dépassées de navigateurs
 Ces ve...
La cible des mobiles remplace celle des PC.
 On s’attend à ce qu’il y ait 100 000 nouveaux logiciels malveillants (malwar...
Pas de prise de conscience claire du problème
La cyberguerre est déjà commencée et
les pessimistes pensent qu’elle est déj...
 Salons où sont invités les pirates : Hackfest…
 La presse qui relate avec «gourmandise» les exploits des cybercriminels...
Le rançongiciel ou « ransomware »
 Ne jamais payer
 Faire de la prévention : sauvegardes, restaurations, contrôle des supports…
Le rançongiciel ou «ransom...
 Charte de sécurité
 Inexistante ou trop touffue
 De 5 à 8 points fondamentaux à respecter
 La charte doit être présen...
 Les protocoles Internet n’ont pas été conçus pour supporter 3
milliards d’internautes et 600 millions de serveursWeb
 T...
Les chevaux deTroie et les portes
dérobées (backdoors)
 Les programmes malveillants les plus répandus
 LesTrojware : che...
Les chevaux deTroie et les portes
dérobées (backdoors)
 Les parades sont difficiles à mettre en œuvre, parmi
lesquelles, ...
Dan Kaminsky
L’énorme faille DNS
 Dan Kaminsky dévoile à l’été 2008
une faille importante du protocole
DNS qui permet de ...
Les faiblesses du codage
Les dangers de l’hypervision
La mécanique d’une attaque APT
 Advanced : les techniques les plus sophistiquées sont utilisées
 Persistent : le but n’e...
Le vol de données se propage sans que personne ne s’en émeuve vraiment…
En 2016, c’est par dizaines de millions que les do...
Les botnets : l’asservissement de nos machines
 Ressources humaines absentes
 On fait de l’administration de la sécurité, mais pas
de prévention
 Il faut mettre en fa...
Webinaire "Cybersécurité : vous avez des problèmes de sécurité dans le TI, c’est de votre faute… "
Webinaire "Cybersécurité : vous avez des problèmes de sécurité dans le TI, c’est de votre faute… "
Webinaire "Cybersécurité : vous avez des problèmes de sécurité dans le TI, c’est de votre faute… "
Webinaire "Cybersécurité : vous avez des problèmes de sécurité dans le TI, c’est de votre faute… "
Webinaire "Cybersécurité : vous avez des problèmes de sécurité dans le TI, c’est de votre faute… "
Prochain SlideShare
Chargement dans…5
×

Webinaire "Cybersécurité : vous avez des problèmes de sécurité dans le TI, c’est de votre faute… "

657 vues

Publié le

La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Nous allons passer en revue les règles à appliquer pour tenter de se préserver : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.

Publié dans : Formation
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
657
Sur SlideShare
0
Issues des intégrations
0
Intégrations
372
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Webinaire "Cybersécurité : vous avez des problèmes de sécurité dans le TI, c’est de votre faute… "

  1. 1. Cybersécurité : vous avez des problèmes de sécurité dans leTI, c’est de votre faute… Par Claude Marson Formateur en technologies de l’information
  2. 2. JE ME PRÉSENTE CLAUDE MARSON
  3. 3. Le sujet traité est très sensible : faillites d’entreprises, pertes financières, suicides… Nous adopterons volontairement un ton libre…voire provocateur! Il ne faudra pas prendre nos propos au premier degré : c’est un moyen de susciter des réactions… indignées. Notre objectif est d’alerter les usagers sur l’urgence qu’il y a de prendre la cybercriminalité au sérieux : cessons de croire qu’elle se limite à quelques actions de « ransomware ». C’est aussi le moment d’avoir un peu d’humour… Avertissement
  4. 4. La sécurité est généralement mal abordée dans les entreprises. Si vous avez des problèmes à cet égard, c’est de votre faute dans 95 % des cas! 5 domaines clés que nous allons détailler : 1. Il n’y a pas de prise de conscience claire du problème 2. La cybercriminalité est une sorte de « spectacle » dont la presse se fait l’écho 3. Les techniques de protection sont inadaptées 4. Les entreprises sont mal organisées face à la cybercriminalité 5. On ne met pas les bonnes personnes en face des cybercriminels C’est de votre faute
  5. 5. SERVEURS CENTRAUX  Pas de chiffrement des données sensibles  Failles dans les couches de virtualisation  Sauvegardes anarchiques et non contrôlées  Mauvaise administration des patchs  Applications mal écrites  Failles OS et API  Services inutiles installés par défaut  Délégation de « comptes de circonstances »  Pas de solutions de PCA/PRA UnTI ouvert aux quatre vents…
  6. 6. DMZ  Détections d’intrusions inadaptées (IDS)  Pas d’analyse des logs (SIEM)  Règles de filtrage aux pare-feux inadaptées  Pourriels malicieux non bloqués UnTI ouvert aux quatre vents…
  7. 7. RÉSEAU  Déni de service réseau trop simple  Protections insuffisantes contre mascarade  Mauvaise gestion des mots de passe, pas de provisionnement général UnTI ouvert aux quatre vents…
  8. 8. POSTE DETRAVAIL  Mise à jour non centralisée, avec logiciels non contrôlés  Pas d’écrans de veille et machines en session laissées sans surveillance  Droits administrateurs inutiles attribués aux cadres  « Buddy punching »  Failles applicatives (JavaScript) UnTI ouvert aux quatre vents…
  9. 9. UTILISATEURS  Prise de conscience insuffisante (pas de charte de sécurité)  Pas de sauvegardes des données critiques  Pas de chiffrement des données sensibles UnTI ouvert aux quatre vents…
  10. 10. Les principales formes d’attaques
  11. 11. Pas de prise de conscience claire du problème La sécurité informatique, c’est avant tout un problème technique. Ignorer le danger n’exclut pas le danger. Ça n’arrive pas qu’aux autres. Le temps n’est plus des pirates « au grand cœur », lesArsène Lupin modernes.  L’écossais Gary McKinnon : pénètre 97 ordinateurs de la NASA, US Army, armée de terre, le Pentagone, le ministère de la Défense… : il cherchait seulement à établir l'existence de vaisseaux spatiaux d'origine extraterrestre!  Les seules motivations en 2016, c’est l’argent et le terrorisme. Gary McKinnon
  12. 12. Le CA mondial de la cybercriminalité, tout compris, avec les anti-malwares qui ne servent pas à grand-chose, est supérieur à celui de la drogue : plus de 400 G$. La cybercriminalité est une arme qui ne nécessite pas de gros investissements.  Les écoles djihadistes forment des cybercriminels qui vont s’attaquer aux ressources sensibles des pays dont ils combattent le mode de vie. Les gouvernements se préoccupent plus de la protection des données personnelles que des vrais problèmes de cybercriminalité.  Les services chargés de protéger les ressources publiques sont le plus souvent dérisoires. Dans la plupart des pays, le cadre juridique n’est plus adapté. Pas de prise de conscience claire du problème Gary McKinnon
  13. 13.  La cybercriminalité s’est organisée :  Tarifs, prestations, prestataires  100 000 délinquants qui constituent une véritable économie  Globalement, les usagers ont trop confiance dans Internet et n’appliquent pas les règles élémentaires de protection :  10 % de la totalité des contenus Internet sont jugés pollués et inutilisables Pas de prise de conscience claire du problème
  14. 14. 1Pas de prise de conscience claire du problème Les entreprises maintiennent des versions dépassées de navigateurs  Ces versions nécessitent des greffons pour s’adapter aux besoins modernes… ce qui est des plus dangereux! Les internautes se croient en sécurité sur Facebook et les réseaux sociaux : erreur!  Ce sera la cible n°1 des criminels qui ne peuvent pas ignorer 1,3 milliard d’usagers peu soucieux de protection. On se trompe souvent de cibles :  Les vers et les virus représentent moins de 10 % des menaces  Le vrai problème, ce sont les chevaux deTroie et les portes dérobées (backdoors) dans les systèmes et applications
  15. 15. La cible des mobiles remplace celle des PC.  On s’attend à ce qu’il y ait 100 000 nouveaux logiciels malveillants (malwares) par jour (50 000 pour les PC au mieux de leur forme). Les industriels n’ont pas conscience du problème (car ils n’y ont jamais été confrontés). Ils ignorent que leurs structures sont fragiles.  L’attaque Stuxnet sur les automates iraniens dans les centrales nucléaires, l’attaque sur les centrales thermiques en Ukraine…  C’est dans ce domaine qu’il faudra être le plus vigilant… si les plateformes industrielles partagent les mêmes réseaux de transport que les autres départements. Pas de prise de conscience claire du problème
  16. 16. Pas de prise de conscience claire du problème La cyberguerre est déjà commencée et les pessimistes pensent qu’elle est déjà perdue.  Rôle très ambigu joué par la Russie et la Chine  Ces 2 pays ont institutionnalisé des structures affectées au cyberespionnage… tout comme les États-Unis, le Canada et l’Europe!!!
  17. 17.  Salons où sont invités les pirates : Hackfest…  La presse qui relate avec «gourmandise» les exploits des cybercriminels  Dans l’entreprise, sentiment diffus que le piratage informatique est une forme de contestation, dont les employés sont inconsciemment complices : syndrome de la grève qui pourrit la vie des usagers, mais «que l’on comprend…»  La cybercriminalité s’est organisée, avec ses tarifs et ses prestataires La cybercriminalité est un spectacle… et un business! La presse s’est extasiée devant les exploits de ce parfait abruti qu’est le jeune Sebastian Gruber, un Autrichien de 15 ans, qui a attaqué 259 entreprises en 3 mois, soit 3 par jour : défaçage, divulgations de données, etc.
  18. 18. Le rançongiciel ou « ransomware »
  19. 19.  Ne jamais payer  Faire de la prévention : sauvegardes, restaurations, contrôle des supports… Le rançongiciel ou «ransomware»
  20. 20.  Charte de sécurité  Inexistante ou trop touffue  De 5 à 8 points fondamentaux à respecter  La charte doit être présentée avec fermeté et formalité (cérémonie…)  Motivation du personnel  Présenter les conséquences du non-respect de la charte  Prévoir des sanctions dissuasives  Insouciance des usagers  10 % des malwares sont véhiculés par des clés USB L’organisation n’est pas (plus) adaptée
  21. 21.  Les protocoles Internet n’ont pas été conçus pour supporter 3 milliards d’internautes et 600 millions de serveursWeb  TCP, IP, DNS, SMTP, ICP, SSL… sont des incitations au crime  Il est sans doute trop tard pour faire machine arrière  Protections périmétriques insuffisantes ou inadaptées  Applications remplies de failles  Failles dans les OS et les API  Boîte à outils insuffisante  Folie du BYOD Les techniques de protection sont souvent inadaptées LeTI est une passoire… … et les protocoles Internet, une plaisanterie douteuse!
  22. 22. Les chevaux deTroie et les portes dérobées (backdoors)  Les programmes malveillants les plus répandus  LesTrojware : chevaux deTroie qui ne peuvent pas se démultiplier seuls  Les portes dérobées, outils de dissimulation d’activités, et tous les chevaux deTroie ont progressé de 119,7 % (ils représentent 89,45 % du total)  Ce sont des exécutables qui attendent d’être activés par un évènement : une date, un anniversaire… qui les déclenchera  Très difficiles à détecter, car rien a priori ne les distingue d’un autre exécutable.
  23. 23. Les chevaux deTroie et les portes dérobées (backdoors)  Les parades sont difficiles à mettre en œuvre, parmi lesquelles, toutefois :  l’analyse des signatures  la recherche de séquences en code machine  le calcul et contrôle des empreintes  la cartographie des exécutables comparée à une carte déjà enregistrée (whitelisting)  l’analyse du comportement de la machine de l’utilisateur, en espérant pouvoir anticiper sur les dégradations  Les backdoors sont une vieille pratique, dont se sont (toujours) servis les constructeurs et éditeurs : IBM, Microsoft…
  24. 24. Dan Kaminsky L’énorme faille DNS  Dan Kaminsky dévoile à l’été 2008 une faille importante du protocole DNS qui permet de contaminer le cache des serveurs DNS.  Le pirate peut ainsi, sous son contrôle, rediriger une navigation et des courriers vers des domaines qu’il contrôle.  À la fin 2008, sur les 12 millions de serveurs DNS recensés, 44 % n’avaient pas encore été corrigés : c’était une incitation au crime…  Le gouvernement américain a lancé une étude pour la refonte du protocole, ce qui se traduit par une mise à jour très importante.
  25. 25. Les faiblesses du codage
  26. 26. Les dangers de l’hypervision
  27. 27. La mécanique d’une attaque APT  Advanced : les techniques les plus sophistiquées sont utilisées  Persistent : le but n’est pas le gain financier immédiat, il y a une cible et un objectif bien précis  Threat : les opérations structurées et coordonnées sont menées par des pirates compétents Le termeAPT (Advanced PersistentThreats) correspond à un enchaînement d’attaques par des moyens divers, en vue d’effectuer une opération délictueuse
  28. 28. Le vol de données se propage sans que personne ne s’en émeuve vraiment… En 2016, c’est par dizaines de millions que les données sont piratées : Home Depot,TJX, etc. Le problème du vol de données 24 millions de comptes piratés chez Zappos, boutique en ligne de chaussures et de vêtements, filiale d’Amazon. 134 millions de cartes de crédit volées chez Heartland, via une injection SQL qui a permis d’installer un logiciel espion (spyware) dans le système Heartland ESTsoft : les informations personnelles de 35 millions de Sud-Coréens sont volées grâce à une faille de sécurité chez un important distributeur de logiciels 58 millions de cartes compromises chez Home Depot Le fichier national non chiffré du «Department ofVeteranAffairs» est volé (26 millions de personnes) : noms, numéros de sécurité sociale, états de service et nombreuses informations confidentielles Vol d’informations concernant 40 millions de personnes chez RSA. La technique utilisée fait encore débat. RSA affirme que deux groupes distincts de pirates sont intervenus par hameçonnage, avec l’aide d’un gouvernement étranger… 94 millions de cartes volées chezTJX du fait de l’absence de pare-feu.AlbertGonzalez, coupable présumé de l’attaque, est condamné à 40 ans de prison. Un pirate revendique le vol de 150 000 dossiers clientsAdobe et a publié les informations confidentielles de 230 de ces clients.Yahoo serait le prochain sur la liste.
  29. 29. Les botnets : l’asservissement de nos machines
  30. 30.  Ressources humaines absentes  On fait de l’administration de la sécurité, mais pas de prévention  Il faut mettre en face des cybercriminels les mêmes… mais honnêtes, si possible  Il faut accepter que ces spécialistes de la sécurité soient des marginaux vis-à-vis de l’entreprise  Ils ne respectent pas les horaires : ils travaillent la nuit ou quand ça leur chante…  Ils connaissent les forums des pirates, là où l’information est diffusée  Ils fréquentent les communautés criminelles, comme une « taupe », et s’informent Profil inadéquat du personnel

×