SlideShare une entreprise Scribd logo

Welcome in the World Wild Web

High-Tech Bridge SA (HTBridge)
High-Tech Bridge SA (HTBridge)

In our interconnected world, users are everyday facing an hostile environment, even if most of them are usually not aware of the underlying risks. During his talk at 4th brokers forum which occurred in Chavannes-de-Bogis, Frederic BOURLA presented some of the threats which could deadly impact brokers businesses. This short talk is a basic and visual security awareness initiation for brokers and insurers. Source: https://www.htbridge.com/publications/welcome_to_the_world_wild_web.html

Technologie
1  sur  26
Télécharger pour lire hors ligne
©2011 High-Tech Bridge SA – www.htbridge.ch Bienvenue dans le World Wild Web 6th June 2013 Frédéric BOURLA Chief Security Specialist ©2011 High-Tech Bridge SA – www.htbridge.ch
©2011 High-Tech Bridge SA – www.htbridge.ch À propos de moi Frédéric BOURLA Chief Security Specialist chez High-Tech Bridge SA Directeur des départements Ethical Hacking & Forensics ~13 ans d’expérience dans les technologies de l’information GXPN, LPT, CISSP, CCSE, CCSA, ECSA, CEH, eCPPT GREM, CHFI RHCE, RHCT, MCP [frederic.bourla@htbridge.com]
©2011 High-Tech Bridge SA – www.htbridge.ch À propos de cette conférence  Le but de cette conférence est de vous familiariser avec le concept de sécurité de l’information, et de vous permettre à plus long terme de minimiser les risques de subir des attaques informatiques dispendieuses.  1 round de 30’, et 10-15’ de questions-réponses.  Inutile de prendre des notes, la présentation vous est fournie.  Si quoique ce soit venait à devenir abstrus ces prochains jours, n’hésitez pas à m’envoyer un email.
©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
©2011 High-Tech Bridge SA – www.htbridge.ch Quelques faits  Dans notre monde contemporain, l’information est le nerf de la guerre.  L’information n’a de de sens que lorsqu’elle circule.  Les réseaux d’entreprise se sont donc tournés vers l'extérieur… Et tout le monde est aujourd’hui plus ou moins interconnecté.  Sur le plan de la communication et du traitement informatisé, nous profitons d’une ère technologique considérable. "With great power comes great responsibility." [Voltaire]
©2011 High-Tech Bridge SA – www.htbridge.ch Quelques faits  Ce monde interconnecté est hostile. Chacun d’entre vous à de très fortes [mal]chances de devenir proie [ciblée ou aléatoire].
©2011 High-Tech Bridge SA – www.htbridge.ch Quelques faits  D’après l’Internet Security Alliance, 1 milliard de dollars serait annuellement dérobé à travers le monde grâce au vol de propriétés intellectuelles ou à la subtilisation d’informations sensibles chez les sociétés victimes.  Les attaques cybernétiques ont malheureusement beaucoup évolué ces dernières années. Il y a nettement moins de « Hacking For Fun », et considérablement plus de « Hacking For Profit ». La cybercriminalité est ainsi devenue une entreprise complexe disposant d’une économie souterraine florissante :  Les cyber-attaques sont devenues sophistiquées.  Elles ne sont pas toujours ciblées.  Il n'est pas rare aujourd’hui d'observer des attaques orchestrées par des groupes spécialisés à la solde de concurrents déloyaux.
©2011 High-Tech Bridge SA – www.htbridge.ch Quelques faits  Les cybercriminels d’aujourd’hui n'ont plus à développer leurs propres codes... Ils peuvent louer des botnets et même acheter des logiciels malveillants sous licence, disposant alors eux-mêmes d’un support technique.  De nombreuses informations peuvent être intéressantes pour un attaquant, notamment celles relatives aux clients, aux parties prenantes, au marketing ou aux données financières.  Tout le monde est concerné… De la petite PME aux multinationales en passant par les particuliers et les agences gouvernementales.
©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  Il faut donc protéger l'information d’un vaste éventail de menaces dans le but d'assurer la continuité des activités et de réduire les dommages éventuels pour l’entreprise tout en maximisant le retour sur investissement et les opportunités d'affaires.  Vous pouvez globalement comparer la sécurité de l'information à la robustesse d'une porte, qui peut souffrir de 3 faiblesses distinctes :  L’aspect architectural Est-elle construite avec des matériaux solides ?  L’aspect lié à l’implémentation A-t-elle été installée correctement ?  L’aspect opérationnel Conservez-vous une clé sous le paillasson ?
©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  La sécurité de l'information implique la préservation de:  La confidentialité. Cela consiste à s'assurer que l'information n’est divulguée qu’aux personnes autorisées.  L’intégrité. Cela consiste à assurer l'exactitude et l'exhaustivité des informations et des processus.  La disponibilité. Cela consiste à s'assurer que l'information et les actifs afférents sont accessibles aux personnes autorisées quand elles en ont besoin.  Ce principe fondamental dit « CIA » est à la base du concept de sécurité informatique.  Le concept de CIA est très simple sur le plan théorique… Mais en pratique, cela peut être très difficile à accomplir.
©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  L’une des raisons de ces difficultés rencontrées « sur le terrain » repose notamment sur le fait que la longue chaîne de la sécurité de l'information est aussi forte que son maillon le plus faible.
©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  Ainsi le concept même de sécurité informatique est asymétrique. Les « gentils » ont pléthore de variables complexes à maitriser, mais il suffit qu’une seule tombe sous le joug des « méchants » pour qu’un effet domino soit à redouter sur tout ou partie de la triade CIA.
©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  La disponibilité est probablement moins vitale pour vous que la confidentialité ou l’intégrité.  L’intégrité est en effet importante pour les assureurs, et potentiellement également pour l’ensemble des courtiers. Imaginez qu’un pirate accède à vos emails et supprime les courriels de prise de contact des prospects ?  La confidentialité est encore plus importe dans votre secteur d’activités. Courtiers financiers, courtiers en assurances et assureurs ont tous un devoir de confidentialité.  Les courtiers financiers sont même soumis à la FINMA, et ont ainsi les obligations que les banques en termes de confidentialité.
©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  Imaginez également que Monsieur X prenne une police d’assurance pour sa maitresse Madame Y… Et qu’après piratage de la plateforme des courtiers chez l’assureur, l’adultère soit ébruité sur la toile ?  Les assureurs proposent parfois des produis de défiscalisation… Cela pourrait être dommageable que le Fisc de certains pays tombent dessus. D’autant plus que c’est à la mode ces dernières années, entre la Suisse, la France, les Etats Unis et l’Allemagne.  Le marché secondaire de l’assurance vie est courant Etats-Unis, mais peut également se commercialiser en Suisse… Qu’adviendrait-il si le client qui vient de racheter l’assurance décès parvient à savoir qui est l’assuré ? Il pourrait envisager d’accélérer son trépas pour encaisser la prime et rentabiliser son investissement.
©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  Pour les courtiers en assurances, un concurrent déloyal pourrait par exemple être très heureux d’obtenir la liste de vos clients avec les mandats de gestion pour rétrocession des primes.  Et même sans aller jusque là, avec LAMAL qu’adviendrait-il en cas de fuite d’informations de santé et de questionnaires médicaux ?
©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information
©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
©2011 High-Tech Bridge SA – www.htbridge.ch Les faiblesses récurrentes  À l’instar d’un château, les défenses périmétriques se sont fortifiées au fil des années…  Mais pourquoi attaquer un pont levis périlleux lorsqu’il est possible de passer simplement par une fenêtre ?
©2011 High-Tech Bridge SA – www.htbridge.ch  Dans la grande majorité des cas, les hackers vont au plus simple en attaquant directement les points faibles de leurs proies :  Le réseau local ne s’est pas autant fortifié que ses défenses périmétriques.  Les utilisateurs internes, rarement formés aux bonnes pratiques informatiques et aux concepts de base de la sécurité de l’information, constituent également une cible de prédilection. À titre d’exemple, plus de 60'000 utilisateurs sont victimes de Phishing tous les mois dans le monde.  Les sites Web sont souvent « mal codés » et restent également une cible de choix pour les cybercriminels. Les faiblesses récurrentes
©2011 High-Tech Bridge SA – www.htbridge.ch Les faiblesses récurrentes  C’est donc principalement sur ces 3 axes que vous devez articuler votre stratégie, et ainsi obtenir une efficacité défensive maximale pour un minimum d’efforts.  Pour l’aspect « utilisateur », votre meilleure arme est la connaissance. Des formations ou des conférences comme celle d’aujourd’hui sont très efficaces. Des simulations d’attaques par Cheval de Troie et Ingénierie Sociale sont un excellent moyen de faire le point sur le niveau d’exposition de vos collaborateurs, et sur le risque qu’ils font encourir à l’entreprise.  Pour l’aspect « réseau interne », l’idéal est de faire appel à un expert au travers de prestations de Consulting, puis d’éprouver votre sécurité grâce à un test d’intrusion interne.
©2011 High-Tech Bridge SA – www.htbridge.ch Les faiblesses récurrentes  Et finalement pour l’aspect « site Web », l’idéal est d’éprouver son niveau de sécurité par le biais de simulations d’attaques spécifiques. ImmuniWeb® peut à ce titre vous être précieux, puisqu’il s’agit d’un SaaS unique alliant l’hybride d’un test de pénétration manuel à l’automatisation d’un scanner de vulnérabilité propriétaire. Pour moins de 600 CHF, vous pouvez aujourd’hui sécuriser efficacement votre site Internet.  Pour de plus amples informations, veuillez consulter https://www.htbridge.com/immuniweb/.
©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
©2011 High-Tech Bridge SA – www.htbridge.ch Conclusion  Comme vous venez de le voir dans cette démonstration, une simple faille sur le site Web d’un assureur peut permettre de compromettre l’ensemble des courtiers, et potentiellement permettre d’usurper leur identité chez d’autres assureurs.  Une telle attaques permettrait donc de dérober des données confidentielles simultanément chez plusieurs assureurs, tout en offrant l’opportunité de nuire aux courtiers et à leur propres clients.  Cette attaque, comme beaucoup d’autres, peut être évitée si articulez votre réflexion autour de la formation du personnel, de la sécurisation de votre site Web et de la fortification de votre réseau interne.
©2011 High-Tech Bridge SA – www.htbridge.ch Merci pour votre attention Vos questions sont les bienvenues ! frederic.bourla@htbridge.com

Recommandé

Campagne business security
Campagne business securityCampagne business security
Campagne business securityThomas Alostery
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebThawte
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpmeVanbreda Risk & Benefits
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéITrust - Cybersecurity as a Service
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 

Recommandé

Campagne business security
Campagne business securityCampagne business security
Campagne business securityThomas Alostery
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebThawte
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpmeVanbreda Risk & Benefits
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéITrust - Cybersecurity as a Service
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...OpinionWay
 
Agefi 2009 12 16 Mer 04
Agefi 2009 12 16 Mer 04Agefi 2009 12 16 Mer 04
Agefi 2009 12 16 Mer 04Creus Moreira Carlos
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Laetitia Berché
 
Le côté obscur de la cybersécurité
Le côté obscur de la cybersécuritéLe côté obscur de la cybersécurité
Le côté obscur de la cybersécuritéITrust - Cybersecurity as a Service
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficienteELCA Informatique SA / ELCA Informatik AG
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeAlice and Bob
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSICGPME des Pays de la Loire
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCommonwealth Telecommunications Organisation
 
Injection on Steroids: Codeless code injection and 0-day techniques
Injection on Steroids: Codeless code injection and 0-day techniquesInjection on Steroids: Codeless code injection and 0-day techniques
Injection on Steroids: Codeless code injection and 0-day techniquesenSilo
 
Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Asad Ali
 

Contenu connexe

Tendances

Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...OpinionWay
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Laetitia Berché
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeAlice and Bob
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSICGPME des Pays de la Loire
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 

Tendances (20)

Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
Agefi 2009 12 16 Mer 04
Agefi 2009 12 16 Mer 04Agefi 2009 12 16 Mer 04
Agefi 2009 12 16 Mer 04
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016
 
Le côté obscur de la cybersécurité
Le côté obscur de la cybersécuritéLe côté obscur de la cybersécurité
Le côté obscur de la cybersécurité
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passe
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
 

En vedette

Injection on Steroids: Codeless code injection and 0-day techniques
Injection on Steroids: Codeless code injection and 0-day techniquesInjection on Steroids: Codeless code injection and 0-day techniques
Injection on Steroids: Codeless code injection and 0-day techniquesenSilo
 
Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Asad Ali
 
Process injection - Malware style
Process injection - Malware styleProcess injection - Malware style
Process injection - Malware styleSander Demeester
 
Client-side threats - Anatomy of Reverse Trojan attacks
Client-side threats - Anatomy of Reverse Trojan attacksClient-side threats - Anatomy of Reverse Trojan attacks
Client-side threats - Anatomy of Reverse Trojan attacksHigh-Tech Bridge SA (HTBridge)
 
Defeating Data Execution Prevention and ASLR in Windows
Defeating Data Execution Prevention and ASLR in WindowsDefeating Data Execution Prevention and ASLR in Windows
Defeating Data Execution Prevention and ASLR in WindowsHigh-Tech Bridge SA (HTBridge)
 
Frontal Attacks - From basic compromise to Advanced Persistent Threat
Frontal Attacks - From basic compromise to Advanced Persistent ThreatFrontal Attacks - From basic compromise to Advanced Persistent Threat
Frontal Attacks - From basic compromise to Advanced Persistent ThreatHigh-Tech Bridge SA (HTBridge)
 
Cybercrime in nowadays businesses - A real case study of targeted attack
Cybercrime in nowadays businesses - A real case study of targeted attackCybercrime in nowadays businesses - A real case study of targeted attack
Cybercrime in nowadays businesses - A real case study of targeted attackHigh-Tech Bridge SA (HTBridge)
 
Become fully aware of the potential dangers of ActiveX attacks
Become fully aware of the potential dangers of ActiveX attacksBecome fully aware of the potential dangers of ActiveX attacks
Become fully aware of the potential dangers of ActiveX attacksHigh-Tech Bridge SA (HTBridge)
 
Sitzungsbericht sew, féduse, apess
Sitzungsbericht sew, féduse, apessSitzungsbericht sew, féduse, apess
Sitzungsbericht sew, féduse, apessLuxemburger Wort
 
Pre Plan Youniverse World
Pre Plan Youniverse World Pre Plan Youniverse World
Pre Plan Youniverse World carolinebaumont
 
2011 poa power
2011 poa power2011 poa power
2011 poa powerAdalberto
 
Mise en garde AMF sites de trading
Mise en garde AMF sites de tradingMise en garde AMF sites de trading
Mise en garde AMF sites de tradingAgence1984
 
Actividades De Arte Crd SegúN Calendario 2010
Actividades De Arte Crd SegúN Calendario 2010Actividades De Arte Crd SegúN Calendario 2010
Actividades De Arte Crd SegúN Calendario 2010Adalberto
 
Evaluacion 12 en la escuela
Evaluacion 12 en la escuelaEvaluacion 12 en la escuela
Evaluacion 12 en la escuelaAdalberto
 

En vedette (20)

Injection on Steroids: Codeless code injection and 0-day techniques
Injection on Steroids: Codeless code injection and 0-day techniquesInjection on Steroids: Codeless code injection and 0-day techniques
Injection on Steroids: Codeless code injection and 0-day techniques
 
Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)Ssl (Secure Sockets Layer)
Ssl (Secure Sockets Layer)
 
Process injection - Malware style
Process injection - Malware styleProcess injection - Malware style
Process injection - Malware style
 
Inline Hooking in Windows
Inline Hooking in WindowsInline Hooking in Windows
Inline Hooking in Windows
 
Client-side threats - Anatomy of Reverse Trojan attacks
Client-side threats - Anatomy of Reverse Trojan attacksClient-side threats - Anatomy of Reverse Trojan attacks
Client-side threats - Anatomy of Reverse Trojan attacks
 
Manipulating Memory for Fun & Profit
Manipulating Memory for Fun & ProfitManipulating Memory for Fun & Profit
Manipulating Memory for Fun & Profit
 
Userland Hooking in Windows
Userland Hooking in WindowsUserland Hooking in Windows
Userland Hooking in Windows
 
Spying Internet Explorer 8.0
Spying Internet Explorer 8.0Spying Internet Explorer 8.0
Spying Internet Explorer 8.0
 
Fuzzing: An introduction to Sulley Framework
Fuzzing: An introduction to Sulley FrameworkFuzzing: An introduction to Sulley Framework
Fuzzing: An introduction to Sulley Framework
 
Defeating Data Execution Prevention and ASLR in Windows
Defeating Data Execution Prevention and ASLR in WindowsDefeating Data Execution Prevention and ASLR in Windows
Defeating Data Execution Prevention and ASLR in Windows
 
Frontal Attacks - From basic compromise to Advanced Persistent Threat
Frontal Attacks - From basic compromise to Advanced Persistent ThreatFrontal Attacks - From basic compromise to Advanced Persistent Threat
Frontal Attacks - From basic compromise to Advanced Persistent Threat
 
Cybercrime in nowadays businesses - A real case study of targeted attack
Cybercrime in nowadays businesses - A real case study of targeted attackCybercrime in nowadays businesses - A real case study of targeted attack
Cybercrime in nowadays businesses - A real case study of targeted attack
 
Become fully aware of the potential dangers of ActiveX attacks
Become fully aware of the potential dangers of ActiveX attacksBecome fully aware of the potential dangers of ActiveX attacks
Become fully aware of the potential dangers of ActiveX attacks
 
Sitzungsbericht sew, féduse, apess
Sitzungsbericht sew, féduse, apessSitzungsbericht sew, féduse, apess
Sitzungsbericht sew, féduse, apess
 
Pre Plan Youniverse World
Pre Plan Youniverse World Pre Plan Youniverse World
Pre Plan Youniverse World
 
2011 poa power
2011 poa power2011 poa power
2011 poa power
 
Mise en garde AMF sites de trading
Mise en garde AMF sites de tradingMise en garde AMF sites de trading
Mise en garde AMF sites de trading
 
Mn15 PI
Mn15 PIMn15 PI
Mn15 PI
 
Actividades De Arte Crd SegúN Calendario 2010
Actividades De Arte Crd SegúN Calendario 2010Actividades De Arte Crd SegúN Calendario 2010
Actividades De Arte Crd SegúN Calendario 2010
 
Evaluacion 12 en la escuela
Evaluacion 12 en la escuelaEvaluacion 12 en la escuela
Evaluacion 12 en la escuela
 

Similaire à Welcome in the World Wild Web

Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueLaurent DAST
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesSophie Roy
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurMathieu Isaia | TheGreeBow
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu RigottoIMS NETWORKS
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu RigottoSolenn Eclache
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Mobilité - Comment concilier opportunités et menaces
Mobilité - Comment concilier opportunités et menacesMobilité - Comment concilier opportunités et menaces
Mobilité - Comment concilier opportunités et menaceseGov Innovation Center
 
Dossier complet validy aux candidats à la présidence de la république
Dossier complet validy aux candidats à la présidence de la républiqueDossier complet validy aux candidats à la présidence de la république
Dossier complet validy aux candidats à la présidence de la républiqueGilles Sgro
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 

Similaire à Welcome in the World Wild Web (20)

Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
 
2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto2016-09 article Global Security Magazine par Mathieu Rigotto
2016-09 article Global Security Magazine par Mathieu Rigotto
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Mobilité - Comment concilier opportunités et menaces
Mobilité - Comment concilier opportunités et menacesMobilité - Comment concilier opportunités et menaces
Mobilité - Comment concilier opportunités et menaces
 
Dossier complet validy aux candidats à la présidence de la république
Dossier complet validy aux candidats à la présidence de la républiqueDossier complet validy aux candidats à la présidence de la république
Dossier complet validy aux candidats à la présidence de la république
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 

Welcome in the World Wild Web

  • 1. ©2011 High-Tech Bridge SA – www.htbridge.ch Bienvenue dans le World Wild Web 6th June 2013 Frédéric BOURLA Chief Security Specialist ©2011 High-Tech Bridge SA – www.htbridge.ch
  • 2. ©2011 High-Tech Bridge SA – www.htbridge.ch À propos de moi Frédéric BOURLA Chief Security Specialist chez High-Tech Bridge SA Directeur des départements Ethical Hacking & Forensics ~13 ans d’expérience dans les technologies de l’information GXPN, LPT, CISSP, CCSE, CCSA, ECSA, CEH, eCPPT GREM, CHFI RHCE, RHCT, MCP [frederic.bourla@htbridge.com]
  • 3. ©2011 High-Tech Bridge SA – www.htbridge.ch À propos de cette conférence  Le but de cette conférence est de vous familiariser avec le concept de sécurité de l’information, et de vous permettre à plus long terme de minimiser les risques de subir des attaques informatiques dispendieuses.  1 round de 30’, et 10-15’ de questions-réponses.  Inutile de prendre des notes, la présentation vous est fournie.  Si quoique ce soit venait à devenir abstrus ces prochains jours, n’hésitez pas à m’envoyer un email.
  • 4. ©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
  • 5. ©2011 High-Tech Bridge SA – www.htbridge.ch Quelques faits  Dans notre monde contemporain, l’information est le nerf de la guerre.  L’information n’a de de sens que lorsqu’elle circule.  Les réseaux d’entreprise se sont donc tournés vers l'extérieur… Et tout le monde est aujourd’hui plus ou moins interconnecté.  Sur le plan de la communication et du traitement informatisé, nous profitons d’une ère technologique considérable. "With great power comes great responsibility." [Voltaire]
  • 6. ©2011 High-Tech Bridge SA – www.htbridge.ch Quelques faits  Ce monde interconnecté est hostile. Chacun d’entre vous à de très fortes [mal]chances de devenir proie [ciblée ou aléatoire].
  • 7. ©2011 High-Tech Bridge SA – www.htbridge.ch Quelques faits  D’après l’Internet Security Alliance, 1 milliard de dollars serait annuellement dérobé à travers le monde grâce au vol de propriétés intellectuelles ou à la subtilisation d’informations sensibles chez les sociétés victimes.  Les attaques cybernétiques ont malheureusement beaucoup évolué ces dernières années. Il y a nettement moins de « Hacking For Fun », et considérablement plus de « Hacking For Profit ». La cybercriminalité est ainsi devenue une entreprise complexe disposant d’une économie souterraine florissante :  Les cyber-attaques sont devenues sophistiquées.  Elles ne sont pas toujours ciblées.  Il n'est pas rare aujourd’hui d'observer des attaques orchestrées par des groupes spécialisés à la solde de concurrents déloyaux.
  • 8. ©2011 High-Tech Bridge SA – www.htbridge.ch Quelques faits  Les cybercriminels d’aujourd’hui n'ont plus à développer leurs propres codes... Ils peuvent louer des botnets et même acheter des logiciels malveillants sous licence, disposant alors eux-mêmes d’un support technique.  De nombreuses informations peuvent être intéressantes pour un attaquant, notamment celles relatives aux clients, aux parties prenantes, au marketing ou aux données financières.  Tout le monde est concerné… De la petite PME aux multinationales en passant par les particuliers et les agences gouvernementales.
  • 9. ©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
  • 10. ©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  Il faut donc protéger l'information d’un vaste éventail de menaces dans le but d'assurer la continuité des activités et de réduire les dommages éventuels pour l’entreprise tout en maximisant le retour sur investissement et les opportunités d'affaires.  Vous pouvez globalement comparer la sécurité de l'information à la robustesse d'une porte, qui peut souffrir de 3 faiblesses distinctes :  L’aspect architectural Est-elle construite avec des matériaux solides ?  L’aspect lié à l’implémentation A-t-elle été installée correctement ?  L’aspect opérationnel Conservez-vous une clé sous le paillasson ?
  • 11. ©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  La sécurité de l'information implique la préservation de:  La confidentialité. Cela consiste à s'assurer que l'information n’est divulguée qu’aux personnes autorisées.  L’intégrité. Cela consiste à assurer l'exactitude et l'exhaustivité des informations et des processus.  La disponibilité. Cela consiste à s'assurer que l'information et les actifs afférents sont accessibles aux personnes autorisées quand elles en ont besoin.  Ce principe fondamental dit « CIA » est à la base du concept de sécurité informatique.  Le concept de CIA est très simple sur le plan théorique… Mais en pratique, cela peut être très difficile à accomplir.
  • 12. ©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  L’une des raisons de ces difficultés rencontrées « sur le terrain » repose notamment sur le fait que la longue chaîne de la sécurité de l'information est aussi forte que son maillon le plus faible.
  • 13. ©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  Ainsi le concept même de sécurité informatique est asymétrique. Les « gentils » ont pléthore de variables complexes à maitriser, mais il suffit qu’une seule tombe sous le joug des « méchants » pour qu’un effet domino soit à redouter sur tout ou partie de la triade CIA.
  • 14. ©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  La disponibilité est probablement moins vitale pour vous que la confidentialité ou l’intégrité.  L’intégrité est en effet importante pour les assureurs, et potentiellement également pour l’ensemble des courtiers. Imaginez qu’un pirate accède à vos emails et supprime les courriels de prise de contact des prospects ?  La confidentialité est encore plus importe dans votre secteur d’activités. Courtiers financiers, courtiers en assurances et assureurs ont tous un devoir de confidentialité.  Les courtiers financiers sont même soumis à la FINMA, et ont ainsi les obligations que les banques en termes de confidentialité.
  • 15. ©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  Imaginez également que Monsieur X prenne une police d’assurance pour sa maitresse Madame Y… Et qu’après piratage de la plateforme des courtiers chez l’assureur, l’adultère soit ébruité sur la toile ?  Les assureurs proposent parfois des produis de défiscalisation… Cela pourrait être dommageable que le Fisc de certains pays tombent dessus. D’autant plus que c’est à la mode ces dernières années, entre la Suisse, la France, les Etats Unis et l’Allemagne.  Le marché secondaire de l’assurance vie est courant Etats-Unis, mais peut également se commercialiser en Suisse… Qu’adviendrait-il si le client qui vient de racheter l’assurance décès parvient à savoir qui est l’assuré ? Il pourrait envisager d’accélérer son trépas pour encaisser la prime et rentabiliser son investissement.
  • 16. ©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information  Pour les courtiers en assurances, un concurrent déloyal pourrait par exemple être très heureux d’obtenir la liste de vos clients avec les mandats de gestion pour rétrocession des primes.  Et même sans aller jusque là, avec LAMAL qu’adviendrait-il en cas de fuite d’informations de santé et de questionnaires médicaux ?
  • 17. ©2011 High-Tech Bridge SA – www.htbridge.ch Sécurité de l’information
  • 18. ©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
  • 19. ©2011 High-Tech Bridge SA – www.htbridge.ch Les faiblesses récurrentes  À l’instar d’un château, les défenses périmétriques se sont fortifiées au fil des années…  Mais pourquoi attaquer un pont levis périlleux lorsqu’il est possible de passer simplement par une fenêtre ?
  • 20. ©2011 High-Tech Bridge SA – www.htbridge.ch  Dans la grande majorité des cas, les hackers vont au plus simple en attaquant directement les points faibles de leurs proies :  Le réseau local ne s’est pas autant fortifié que ses défenses périmétriques.  Les utilisateurs internes, rarement formés aux bonnes pratiques informatiques et aux concepts de base de la sécurité de l’information, constituent également une cible de prédilection. À titre d’exemple, plus de 60'000 utilisateurs sont victimes de Phishing tous les mois dans le monde.  Les sites Web sont souvent « mal codés » et restent également une cible de choix pour les cybercriminels. Les faiblesses récurrentes
  • 21. ©2011 High-Tech Bridge SA – www.htbridge.ch Les faiblesses récurrentes  C’est donc principalement sur ces 3 axes que vous devez articuler votre stratégie, et ainsi obtenir une efficacité défensive maximale pour un minimum d’efforts.  Pour l’aspect « utilisateur », votre meilleure arme est la connaissance. Des formations ou des conférences comme celle d’aujourd’hui sont très efficaces. Des simulations d’attaques par Cheval de Troie et Ingénierie Sociale sont un excellent moyen de faire le point sur le niveau d’exposition de vos collaborateurs, et sur le risque qu’ils font encourir à l’entreprise.  Pour l’aspect « réseau interne », l’idéal est de faire appel à un expert au travers de prestations de Consulting, puis d’éprouver votre sécurité grâce à un test d’intrusion interne.
  • 22. ©2011 High-Tech Bridge SA – www.htbridge.ch Les faiblesses récurrentes  Et finalement pour l’aspect « site Web », l’idéal est d’éprouver son niveau de sécurité par le biais de simulations d’attaques spécifiques. ImmuniWeb® peut à ce titre vous être précieux, puisqu’il s’agit d’un SaaS unique alliant l’hybride d’un test de pénétration manuel à l’automatisation d’un scanner de vulnérabilité propriétaire. Pour moins de 600 CHF, vous pouvez aujourd’hui sécuriser efficacement votre site Internet.  Pour de plus amples informations, veuillez consulter https://www.htbridge.com/immuniweb/.
  • 23. ©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
  • 24. ©2011 High-Tech Bridge SA – www.htbridge.ch Sommaire 0x00 - À propos de moi 0x01 - À propos de cette conférence 0x02 - Quelques faits 0x03 - La sécurité de l’information, quésaco ? 0x04 - Les faiblesses récurrentes 0x05 - Démonstration 0x06 - Conclusion
  • 25. ©2011 High-Tech Bridge SA – www.htbridge.ch Conclusion  Comme vous venez de le voir dans cette démonstration, une simple faille sur le site Web d’un assureur peut permettre de compromettre l’ensemble des courtiers, et potentiellement permettre d’usurper leur identité chez d’autres assureurs.  Une telle attaques permettrait donc de dérober des données confidentielles simultanément chez plusieurs assureurs, tout en offrant l’opportunité de nuire aux courtiers et à leur propres clients.  Cette attaque, comme beaucoup d’autres, peut être évitée si articulez votre réflexion autour de la formation du personnel, de la sécurisation de votre site Web et de la fortification de votre réseau interne.
  • 26. ©2011 High-Tech Bridge SA – www.htbridge.ch Merci pour votre attention Vos questions sont les bienvenues ! frederic.bourla@htbridge.com