L’utilisateur et son rôle primordial dans la protection
active des systèmes d’information
19 mai 2015 | Christian Raemy | ...
Agenda
• Panorama de l’évolution des menaces
• Exemples de cas concrets
• Principaux risques encourus
• Comment se prémuni...
Panorama de l’évolution des
menaces
3
Explosion du nombre de malware
Nouveaux malware par trimestre de 2010 à 2013…
*Source: McAfee Labs
4
2’000’000
4’000’000
6...
Explosion du nombre de malware
…et depuis 2013
*Source: McAfee Labs
5
10’000’000
20’000’000
30’000’000
40’000’000
50’000’0...
1986 2013
1988 1991 1999 2000 2001 2003 2007
Virus Brain
(boot sector)
Worm Morris
(internet)
Michelangello
(time bomb)
Me...
Evolution des malware de rançonnage
Nombre total de ransomware depuis 2012
*Source: McAfee Labs
7
500’000
1’000’000
1’500’...
Quelques exemples de ransomware
8
• 2014 – 2015
Principaux vecteurs de compromission
Phishing Attachement email Site web dangereux et compromis Stick USB
Exemples de cas concrets
10
4 Une fois résidant en
mémoire et avec les
droits admin, le
système compromis
permet tous types
d’opérations:
propagation,...
Malware Expiro
12
• Entreprise active dans le domaine de la construction
• Début de l’infection par une clé USB privé cont...
Ransomware fud@inda.com
13
• Entreprise publique active dans le domaine de la santé
• Début de l’infection par un email co...
APT Generic_R!CTH
14
• Entreprise active dans le domaine chimique
• Début de l’infection par un lien dans un email pointan...
Principaux risques encourus
15
Quels sont les risques et les conséquences:
16
Données chiffrées, illisibles ou détruitesPerte de données
Hébergement illé...
Augmentation
exponentielle
du temps de
résolution et
des coûts lors
d’incidents
Comment se prémunir ?
18
Connaître
19
Facteurs clé de la sécurité IT
Gérer
ProtégerSurveiller
• Inventaire IT complet et à jour
• Schéma réseau
• P...
Conseils de protection pour le service IT
20
Proposition de mesures et de solutions afin de se prémunir de risques majeurs...
Bonnes pratiques à l’intention des utilisateurs
21
Ne pas utiliser de programmes non
distribués ou scrupuleusement vérifié...
Questions & réponses
22
Merci !
Prochain SlideShare
Chargement dans…5
×

L’utilisateur et son rôle primordial dans la protection active des systèmes d’information

589 vues

Publié le

Présentation donnée dans le cadre d'un workshop consacré aux menaces informatiques dans l’eGovernment.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
589
Sur SlideShare
0
Issues des intégrations
0
Intégrations
197
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

L’utilisateur et son rôle primordial dans la protection active des systèmes d’information

  1. 1. L’utilisateur et son rôle primordial dans la protection active des systèmes d’information 19 mai 2015 | Christian Raemy | Senior Security Expert
  2. 2. Agenda • Panorama de l’évolution des menaces • Exemples de cas concrets • Principaux risques encourus • Comment se prémunir ? • Questions & réponses
  3. 3. Panorama de l’évolution des menaces 3
  4. 4. Explosion du nombre de malware Nouveaux malware par trimestre de 2010 à 2013… *Source: McAfee Labs 4 2’000’000 4’000’000 6’000’000 8’000’000 10’000’000 12’000’000 Q1 2010 Q2 2010 Q3 2010 Q4 2010 Q1 2011 Q2 2011 Q3 2011 Q4 2011 Q1 2012 Q2 2012 Q3 2012 Q4 2012 Q1 2013 14’000’000
  5. 5. Explosion du nombre de malware …et depuis 2013 *Source: McAfee Labs 5 10’000’000 20’000’000 30’000’000 40’000’000 50’000’000 Q1 2013 Q2 2013 Q3 2013 Q4 2013 Q1 2014 Q2 2014 Q3 2014 Q4 2014 550’000 par jour ~400 par minute > 6 par seconde
  6. 6. 1986 2013 1988 1991 1999 2000 2001 2003 2007 Virus Brain (boot sector) Worm Morris (internet) Michelangello (time bomb) Melissa (Email) Code Red & Nimda (Mass worm email & Web) I Love You (Mass email) Blaster (reboot) Storm (botnet) Zeus (Bank worm) • Professionnalisation des attaques Evolution de la complexité des malwares *Source: Wikipedia Slammer (SQL) Sasser (Network outage) 2004 2008 Conficker (worm & USB) 2010 Stuxnet (SCADA network) 2012 Flame Shamoon (cyber espionage) Cryptolocker (crypto randsomware)
  7. 7. Evolution des malware de rançonnage Nombre total de ransomware depuis 2012 *Source: McAfee Labs 7 500’000 1’000’000 1’500’000 2’000’000 Q1 2012 Q2 2012 Q3 2012 Q4 2012 Q1 2013 Q2 2013 Q3 2013 Q4 2013 Q1 2014 Q2 2014 Q3 2014 Q4 2014 2’500’000
  8. 8. Quelques exemples de ransomware 8
  9. 9. • 2014 – 2015 Principaux vecteurs de compromission Phishing Attachement email Site web dangereux et compromis Stick USB
  10. 10. Exemples de cas concrets 10
  11. 11. 4 Une fois résidant en mémoire et avec les droits admin, le système compromis permet tous types d’opérations: propagation, arrêt des protection, vol de données, etc... Windows Desktop or Server Corporate Network Exemple d’infection d’un système informatique Grâce à l’exploitation d’une vulnérabilité du navigateur Système vulnérable “Non-patché ou vulnérabilité zero-day” Sales Force Customers Exploitation de la faille 2 …et écriture de codes en mémoire 3 Firewall Remote Workers Internet L’utilisateur est incité à se rendre sur un site web piégé 1 Sensitive Data 11 Le système compromis ouvre alors une brèche depuis l’intérieur du réseau protégé !
  12. 12. Malware Expiro 12 • Entreprise active dans le domaine de la construction • Début de l’infection par une clé USB privé contenant un malware • Propagation rapide au travers des partages réseaux et clés USB • Infection de tous les exécutables sur tous les postes et tous les serveurs; ~70’000 exécutables sur ~250 systèmes • Les machines compromises font partie d’un réseau de zombie • Les mots de passe des navigateurs sont volés • Le malware se connecte régulièrement aux serveurs de contrôle et mute toute les 24 heures Septembre 2013 • 3 personnes pendant 5 jours pour désinfecter (220h/hommes) • Perte de productivité importante pour 80% des collaborateurs pendant 3 jours • Changement global de tous les mot de passe des collaborateurs
  13. 13. Ransomware fud@inda.com 13 • Entreprise publique active dans le domaine de la santé • Début de l’infection par un email contenant une pièce jointe infectée • Chiffrement de tous les documents et images présente sur le poste • Chiffrement de tous les documents sur tous les partage réseau accessibles par l’utilisateur connecté • En moins de 2h30, plus de 6 Téraoctets sont chiffrés sur les serveurs • Il faudra plus de 3 heures pour détecter le poste infecté, le localiser et le déconnecter du réseau Décembre 2014 • 4 personnes pendant 12h pour résoudre l’incident (48h/hommes) • 9 heures de restauration des données sur les serveurs • Perte de tous les documents créés par 20% des collaborateurs pendant la journée
  14. 14. APT Generic_R!CTH 14 • Entreprise active dans le domaine chimique • Début de l’infection par un lien dans un email pointant vers une fausse facture • Tentative de connexion à des serveurs de contrôle • Envoi régulier par email des captures de frappe et de lien url • Tentative d’attaque bruteforce contre le site intranet de l’entreprise • Le malware était présent depuis le mois de juillet 2014 sans aucune détection anti-virale • Lors de sa découverte, aucun des 55 anti-virus ne connaissait ce malware. Aujourd’hui seul 39/55 (source VirusTotal) Décembre 2014 • 4 postes infectés sans aucun impact de performance ou soupçons • 6 mois de présence et de «collecte d’information»
  15. 15. Principaux risques encourus 15
  16. 16. Quels sont les risques et les conséquences: 16 Données chiffrées, illisibles ou détruitesPerte de données Hébergement illégal (Impact media & opinion publique)Dégats d’image Exfiltration de données confidentielles, revente, publicationVol de données Détournement bancaire, «arnaque au président»Pertes financière Hébergement malveillant, minage de Bitcoin, P2P Exploitation des resources Compromission des systèmes, interruption de(s) service(s)Indisponibilité
  17. 17. Augmentation exponentielle du temps de résolution et des coûts lors d’incidents
  18. 18. Comment se prémunir ? 18
  19. 19. Connaître 19 Facteurs clé de la sécurité IT Gérer ProtégerSurveiller • Inventaire IT complet et à jour • Schéma réseau • Procédures documentées • Formation continue • Participation aux événements • Outils de management global • Adaptation régulière des règles de protection • Tests et validation • Limitation de l’exposition aux risques • Déploiement de solutions de protection adaptées • Sensibilisation des utilisateurs aux problèmes de sécurité • Rapport réguliers • Alertes lors d’incidents ou de seuil particulier • Audit de sécurité
  20. 20. Conseils de protection pour le service IT 20 Proposition de mesures et de solutions afin de se prémunir de risques majeurs Appliquer les mises à jour logicielle Déployer et gérer une solution anti-virus fiable Adapter les droits des utilisateurs Changer les mots de passe par défaut ou trop simples Effectuer des sauvegardes régulières et vérifier les processus de restauration Protéger vos accès vers l’extérieur (Firewall, Web, Email) Implémenter une solution de protection comportementale Exploiter des outils de monitoring
  21. 21. Bonnes pratiques à l’intention des utilisateurs 21 Ne pas utiliser de programmes non distribués ou scrupuleusement vérifiés En cas de doute, toujours vérifier l’identité de votre interlocuteur par un moyen tierce Ne pas confondre outils informatique professionnel et système privé ou récréatif Informer immédiatement le service IT en cas de doute, de mauvaise manipulation ou d’infection Ne JAMAIS transmettre ses identifiants (usename, password,…) à qui conque! Sensibilisation régulière des utilisateurs avec exercices et validation
  22. 22. Questions & réponses 22
  23. 23. Merci !

×