SlideShare une entreprise Scribd logo

Article prot vs_def_secus_10_12

M
michelcusin
1  sur  3
Télécharger pour lire hors ligne
A S S O CI ATIONS ADVANCED PERSISTENT THREAT (APT) 1 Quand se protéger ne suffit plus PAR BSIDESQUÉBEC SÉCUS est heureux de confier à BSidesQuébec la rédaction Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmer de la chronique technique du que l’industrie de la sécurité est tombée dans une déchirure spatio- magazine et espère que vous apprécierez cette section. temporelle. Le monde de la sécurité, dans son ensemble, accuse un retard Pour plus d’informations sur d’au moins une dizaine d’années par rapport à celui des attaquants. BSidesQuébec, consultez bsidesquebec.org. Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus consti- tuaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires. Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque auxquels on fait face. En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de pro- tection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face. Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela arrivera de nouveau ? », mais plutôt « quand cela arrivera-t-il ? » et « combien de fois encore ? ». « On est en train de perdre constat d’échec? peut-on la guerre, mais que faire vis-à-vis de ce » ADVANCED PERSISTENT THREAT (APT) L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bon exemple d’APT est l’attaque qui a frappé l’entreprise RSA en 2011, où les secrets partagés (seeds), qui sont des composantes reliées aux jetons SecurID2, avaient été dérobés par des pirates3. Les auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui ten- tent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintien- nent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un accès leur permettant de revenir plus tard pour frapper de nouveau. Suite en page 50 Automne 2012 SÉCUS | 49 |
Suite de la page 49 La firme américaine Mandiant se spécialise notamment moyens de prévention et de défense mis en place, on constate dans la réponse aux incidents et publie un rapport annuel qui évidemment qu’un changement de paradigmes sur le plan des s’intitule M-Trends4. Le rapport de 2012 fait état de cas d’inci- stratégies traditionnelles de défense s’impose. Il faut voir les dents traités au cours de la dernière année et dépeint un por- mesures préventives comme des moyens ayant pour but de trait très peu rassurant de cette nouvelle réalité que trop peu ralentir les attaques afin que les mesures de détection aient de gens et d’organisations connaissent. Voici quelques faits le temps de les identifier. La notion de détection évoquée ici saillants du M-Trends (2012) : n’inclut pas uniquement les mécanismes traditionnels tels s Seulement 6 % des organisations ont découvert les que les sondes de prévention et de détection des intrusions brèches elles-mêmes et 94 % d’entre elles ont été avi- (IDS et IPS), mais également les trois approches mention- sées par une source externe. nées plus loin. Une réponse adéquate aux incidents est s L’APT typique passe inaperçue pendant plus d’un an. nécessaire afin de tenter de maîtriser la situation avant que les s Les brèches sont de plus en plus découvertes lors de attaquants réalisent qu’ils ont été découverts. processus de fusions et d’acquisitions. Parmi les différentes approches de détection et réponses s Les attaques avancées visent plusieurs maillons de la possibles, voici trois types de contrôles qui devraient être for- « chaîne ». tement considérés et qui pourraient aider grandement dans les s Les logiciels malveillants (malware) racontent seule- situations où l’on doit faire face à des attaques de type APT : ment la moitié (54 %) de l’histoire. s L’utilisation d’outils publics ajoute de la complexité dans l’identification des acteurs derrière les menaces. s Les attaquants diversifient leurs mécanismes de persistance. s Les attaquants motivés par des objectifs financiers sont de plus en plus persistants. Il est important de porter attention à deux de ces points. Le premier concerne les attaques avancées qui visent plusieurs maillons de la chaîne. En fait, les attaquants tentent de passer par un tiers pour atteindre leur cible. À titre d’exemple, des pirates ont réussi à s’introduire dans quatre grands cabinets d’avocats de la rue Bay à Toronto au cours de la dernière année, 1 AUGMENTER LES CONTRÔLES et ce, à l’aide de cyberattaques très sophistiquées conçues SUR LES COMMUNICATIONS SORTANTES pour détruire des données ou voler des documents sensibles Trop souvent, les communications sortantes ne sont pas en matière de fusions et d’acquisitions imminentes5. Évidem- ou sont mal contrôlées sur le plan du périmètre. La plupart des ment, les cibles n’étaient pas les cabinets d’avocats, mais bien logiciels malveillants tenteront tôt ou tard de se connecter à un leurs clients. Le second concerne le fait que les logiciels malveil- centre de commandement (CC), que ce soit pour télécharger lants ne racontent que la moitié (54 %) de l’histoire. Cela signifie des mises à jour, recevoir des instructions, voler et exfiltrer de l’in- que l’autre moitié des attaques (46 %) n’implique pas de logi- formation, etc. Or, les protocoles fréquemment utilisés en sortie ciels malveillants. En fait, une fois qu’un système a été compro- vers Internet tels que HTTP, HTTPS ou DNS sont souvent utilisés mis par les attaquants à l’aide d’un logiciel malveillant, des par les logiciels malveillants afin de se fondre dans la masse du noms d’utilisateur et mots de passe valides (credentials) sont trafic légitime d’une organisation pour ensuite se connecter volés sur le système. Ces derniers sont ensuite réutilisés par au CC. Il est donc essentiel d’exercer un contrôle adéquat à ce les pirates pour se connecter à d’autres systèmes. Les con- niveau, par exemple en permettant uniquement aux serveurs nexions à ces systèmes qui semblent alors légitimes passent DNS de faire des requêtes vers Internet sur les ports TCP et UDP sous le radar et n’attirent pas l’attention. 53 pour qu’un logiciel malveillant tentant d’utiliser ce protocole soit bloqué. De plus, un système situé sur le réseau interne ne PRÉVENTION ET DÉFENSE PAR RAPPORT À LA DÉTECTION devrait jamais pouvoir rejoindre Internet directement sans ET À LA RÉPONSE passer par un serveur mandataire (proxy). Toutes les connexions Il faut comprendre que les APT sont réelles et que leurs qui tentent de rejoindre Internet sans passer par un serveur auteurs disposent de plus de temps et d’argent pour s’intro- mandataire pourraient par exemple être redirigées via la route duire dans les infrastructures que l’on a de temps et d’argent par défaut du réseau (0.0.0.0.) vers un pot de miel (honeypot)6 pour les sécuriser. La plupart des organisations allouent la situé à l’interne. Cela contribuerait à bloquer les connexions majorité de leur budget et de leurs efforts à la sécurité sur les de type CC et à analyser le contenu du trafic clandestin ou techniques de prévention et de défense pour malheureuse- malicieux et ainsi à détecter les systèmes potentiellement ment négliger la détection et la réponse aux incidents. Alors, si infectés à l’interne et d’en apprendre plus sur l’attaque en cours l’on considère le fait que l’on se fera pirater peu importe les qui, parfois, est invisible autrement. Suite en page 51 Automne 2012 SÉCUS | 50 |
Suite de la page 50 2 CONTRÔLER L’ACCÈS AUX RESSOURCES INFORMATIQUES Un élément en particulier attire-t-il l’attention ? Est-ce Le nerf de guerre est l’information, et c’est exactement que des requêtes à intervalles fixes de six heures précises à ce que les attaquants tentent d’obtenir lors qu’ils attaquent la seconde près sur une période de douze heures et toujours une infrastructure. vers la même adresse sont faites par un humain ou par une « Que ce soitconfidentielles ou des bases machine ? Il y a de fortes chances que ce soit une machine. des fichiers contenant des informations IL Y A PLUS ! En plus de maintenir les contrôles traditionnels et de données avec des numéros de cartes d’exercer ceux qui sont mentionnés plus tôt, il est également de crédit, l’accès aux ressources recommandé d’effectuer régulièrement des analyses de informatiques doit être rigoureusement » vulnérabilité et des tests d’intrusion (pentest) de façon péri- contrôlé et journalisé. odique, ce qui est un excellent moyen de découvrir les failles et d’avoir la vision que les attaquants ont de l’environnement Par exemple, il n’est pas normal que des systèmes con- technologique. Il faut être conscient que ces deux activités tenant de l’information de cette nature soient sur un réseau plat sont différentes, alors on doit prendre cette réalité en qui n’a aucune segmentation et qui n’offre aucun cloisonnement compte. Une analyse de vulnérabilité est ni plus ni moins des données. De plus, des solutions d’authentification forte de qu’un balayage (scan) de vulnérabilité suivi d’un rapport. Ce type Role Based Access Control (RBAC)7 combinées avec une ne devrait pas seulement être un copier-coller provenant du solution de gestion des identités contribueront grandement à résultat d’un outil, mais bien une interprétation de ce dernier, sécuriser les données. Il faut comprendre que, même si l’on met incluant des recommandations et des solutions pour cha- les meilleurs mécanismes en place, cela ne rendra pas les sys- cune des vulnérabilités découvertes. tèmes impénétrables. Cependant, plus on met de bâtons dans Le test d’intrusion, quant à lui, pousse l’exercice plus les roues des attaquants, plus ils risquent de s’enfarger et d’être loin. Le testeur tente d’exploiter les vulnérabilités ayant été bruyants, ce qui permettra de repérer leurs activités qui ne découvertes, tout comme un vrai pirate le ferait, mais dans seraient peut-être pas détectées autrement. un cadre professionnel et contrôlé. Il faut noter que ces tests peuvent être effectués tant sur le plan du réseau, du 3 ANALYSER LES INFORMATIONS PERTINENTES serveur que de l’application. On peut même tester les Il ne suffit pas de tout journaliser. Encore faut-il savoir humains grâce à l’ingénierie sociale ! Mais c’est un autre quoi regarder et avoir les bons outils pour le faire. Voici l’exemple dossier... Suite en page 52 de la série de requêtes DNS : s date-20XX 08:42:29.121 client 1.1.1.130#18759: query: drpxbbjbvcvcjllyqxsn.com IN A s date-20XX 08:42:29.218 client 1.1.1.130#18789: query: eh4t07sruha0x3betqa.com IN A –E Que remarque-t-on ? Est-ce que les noms de domaine « drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com » semblent légitimes ou ressemblent-ils à des requêtes qui pourraient avoir été faites par un logiciel potentiellement malveillant tentant de rejoindre un CC ? Il s’agit fort proba- blement de requêtes faites par un logiciel potentiellement malveillant. Voici maintenant des requêtes ayant été journalisées par un coupe-feu : s 2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html BSIDESQUEBEC, FIER PARTENAIRE DU CQSI, s 2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111 S’UNIT À CUSIN SÉCURITÉ INC., %ASA-5-304001: 1.1.1.42 Accessed URL AFIN DE SOULIGNER L’IMPLICATION DE L’ASIQ 69.3.211.4:http://www.emcc.com/info.html s 2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111 ET LES 20 ANS DU CQSI! %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html http://bsidesquebec.org http://cusin.ca

Recommandé

Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 

Recommandé

Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéEChristophe-Alexandre PAILLARD
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Hapsis
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se CampMichel GERARD
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 

Contenu connexe

Tendances

IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Hapsis
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se CampMichel GERARD
 

Tendances (20)

CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?Social Engineering : Quelles stratégies ?
Social Engineering : Quelles stratégies ?
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se Camp
 

Similaire à Article prot vs_def_secus_10_12

Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfssuser384b72
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Symantec
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
 
5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces CibléesSymantec
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013Franck Dasilva
 

Similaire à Article prot vs_def_secus_10_12 (20)

Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013DCRI - Flash ingérence economique juin 2013
DCRI - Flash ingérence economique juin 2013
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie sociale
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 

Plus de michelcusin

Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatalemichelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackersmichelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

Plus de michelcusin (14)

Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Article prot vs_def_secus_10_12

  • 1. A S S O CI ATIONS ADVANCED PERSISTENT THREAT (APT) 1 Quand se protéger ne suffit plus PAR BSIDESQUÉBEC SÉCUS est heureux de confier à BSidesQuébec la rédaction Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmer de la chronique technique du que l’industrie de la sécurité est tombée dans une déchirure spatio- magazine et espère que vous apprécierez cette section. temporelle. Le monde de la sécurité, dans son ensemble, accuse un retard Pour plus d’informations sur d’au moins une dizaine d’années par rapport à celui des attaquants. BSidesQuébec, consultez bsidesquebec.org. Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus consti- tuaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires. Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque auxquels on fait face. En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de pro- tection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face. Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela arrivera de nouveau ? », mais plutôt « quand cela arrivera-t-il ? » et « combien de fois encore ? ». « On est en train de perdre constat d’échec? peut-on la guerre, mais que faire vis-à-vis de ce » ADVANCED PERSISTENT THREAT (APT) L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bon exemple d’APT est l’attaque qui a frappé l’entreprise RSA en 2011, où les secrets partagés (seeds), qui sont des composantes reliées aux jetons SecurID2, avaient été dérobés par des pirates3. Les auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui ten- tent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintien- nent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un accès leur permettant de revenir plus tard pour frapper de nouveau. Suite en page 50 Automne 2012 SÉCUS | 49 |
  • 2. Suite de la page 49 La firme américaine Mandiant se spécialise notamment moyens de prévention et de défense mis en place, on constate dans la réponse aux incidents et publie un rapport annuel qui évidemment qu’un changement de paradigmes sur le plan des s’intitule M-Trends4. Le rapport de 2012 fait état de cas d’inci- stratégies traditionnelles de défense s’impose. Il faut voir les dents traités au cours de la dernière année et dépeint un por- mesures préventives comme des moyens ayant pour but de trait très peu rassurant de cette nouvelle réalité que trop peu ralentir les attaques afin que les mesures de détection aient de gens et d’organisations connaissent. Voici quelques faits le temps de les identifier. La notion de détection évoquée ici saillants du M-Trends (2012) : n’inclut pas uniquement les mécanismes traditionnels tels s Seulement 6 % des organisations ont découvert les que les sondes de prévention et de détection des intrusions brèches elles-mêmes et 94 % d’entre elles ont été avi- (IDS et IPS), mais également les trois approches mention- sées par une source externe. nées plus loin. Une réponse adéquate aux incidents est s L’APT typique passe inaperçue pendant plus d’un an. nécessaire afin de tenter de maîtriser la situation avant que les s Les brèches sont de plus en plus découvertes lors de attaquants réalisent qu’ils ont été découverts. processus de fusions et d’acquisitions. Parmi les différentes approches de détection et réponses s Les attaques avancées visent plusieurs maillons de la possibles, voici trois types de contrôles qui devraient être for- « chaîne ». tement considérés et qui pourraient aider grandement dans les s Les logiciels malveillants (malware) racontent seule- situations où l’on doit faire face à des attaques de type APT : ment la moitié (54 %) de l’histoire. s L’utilisation d’outils publics ajoute de la complexité dans l’identification des acteurs derrière les menaces. s Les attaquants diversifient leurs mécanismes de persistance. s Les attaquants motivés par des objectifs financiers sont de plus en plus persistants. Il est important de porter attention à deux de ces points. Le premier concerne les attaques avancées qui visent plusieurs maillons de la chaîne. En fait, les attaquants tentent de passer par un tiers pour atteindre leur cible. À titre d’exemple, des pirates ont réussi à s’introduire dans quatre grands cabinets d’avocats de la rue Bay à Toronto au cours de la dernière année, 1 AUGMENTER LES CONTRÔLES et ce, à l’aide de cyberattaques très sophistiquées conçues SUR LES COMMUNICATIONS SORTANTES pour détruire des données ou voler des documents sensibles Trop souvent, les communications sortantes ne sont pas en matière de fusions et d’acquisitions imminentes5. Évidem- ou sont mal contrôlées sur le plan du périmètre. La plupart des ment, les cibles n’étaient pas les cabinets d’avocats, mais bien logiciels malveillants tenteront tôt ou tard de se connecter à un leurs clients. Le second concerne le fait que les logiciels malveil- centre de commandement (CC), que ce soit pour télécharger lants ne racontent que la moitié (54 %) de l’histoire. Cela signifie des mises à jour, recevoir des instructions, voler et exfiltrer de l’in- que l’autre moitié des attaques (46 %) n’implique pas de logi- formation, etc. Or, les protocoles fréquemment utilisés en sortie ciels malveillants. En fait, une fois qu’un système a été compro- vers Internet tels que HTTP, HTTPS ou DNS sont souvent utilisés mis par les attaquants à l’aide d’un logiciel malveillant, des par les logiciels malveillants afin de se fondre dans la masse du noms d’utilisateur et mots de passe valides (credentials) sont trafic légitime d’une organisation pour ensuite se connecter volés sur le système. Ces derniers sont ensuite réutilisés par au CC. Il est donc essentiel d’exercer un contrôle adéquat à ce les pirates pour se connecter à d’autres systèmes. Les con- niveau, par exemple en permettant uniquement aux serveurs nexions à ces systèmes qui semblent alors légitimes passent DNS de faire des requêtes vers Internet sur les ports TCP et UDP sous le radar et n’attirent pas l’attention. 53 pour qu’un logiciel malveillant tentant d’utiliser ce protocole soit bloqué. De plus, un système situé sur le réseau interne ne PRÉVENTION ET DÉFENSE PAR RAPPORT À LA DÉTECTION devrait jamais pouvoir rejoindre Internet directement sans ET À LA RÉPONSE passer par un serveur mandataire (proxy). Toutes les connexions Il faut comprendre que les APT sont réelles et que leurs qui tentent de rejoindre Internet sans passer par un serveur auteurs disposent de plus de temps et d’argent pour s’intro- mandataire pourraient par exemple être redirigées via la route duire dans les infrastructures que l’on a de temps et d’argent par défaut du réseau (0.0.0.0.) vers un pot de miel (honeypot)6 pour les sécuriser. La plupart des organisations allouent la situé à l’interne. Cela contribuerait à bloquer les connexions majorité de leur budget et de leurs efforts à la sécurité sur les de type CC et à analyser le contenu du trafic clandestin ou techniques de prévention et de défense pour malheureuse- malicieux et ainsi à détecter les systèmes potentiellement ment négliger la détection et la réponse aux incidents. Alors, si infectés à l’interne et d’en apprendre plus sur l’attaque en cours l’on considère le fait que l’on se fera pirater peu importe les qui, parfois, est invisible autrement. Suite en page 51 Automne 2012 SÉCUS | 50 |
  • 3. Suite de la page 50 2 CONTRÔLER L’ACCÈS AUX RESSOURCES INFORMATIQUES Un élément en particulier attire-t-il l’attention ? Est-ce Le nerf de guerre est l’information, et c’est exactement que des requêtes à intervalles fixes de six heures précises à ce que les attaquants tentent d’obtenir lors qu’ils attaquent la seconde près sur une période de douze heures et toujours une infrastructure. vers la même adresse sont faites par un humain ou par une « Que ce soitconfidentielles ou des bases machine ? Il y a de fortes chances que ce soit une machine. des fichiers contenant des informations IL Y A PLUS ! En plus de maintenir les contrôles traditionnels et de données avec des numéros de cartes d’exercer ceux qui sont mentionnés plus tôt, il est également de crédit, l’accès aux ressources recommandé d’effectuer régulièrement des analyses de informatiques doit être rigoureusement » vulnérabilité et des tests d’intrusion (pentest) de façon péri- contrôlé et journalisé. odique, ce qui est un excellent moyen de découvrir les failles et d’avoir la vision que les attaquants ont de l’environnement Par exemple, il n’est pas normal que des systèmes con- technologique. Il faut être conscient que ces deux activités tenant de l’information de cette nature soient sur un réseau plat sont différentes, alors on doit prendre cette réalité en qui n’a aucune segmentation et qui n’offre aucun cloisonnement compte. Une analyse de vulnérabilité est ni plus ni moins des données. De plus, des solutions d’authentification forte de qu’un balayage (scan) de vulnérabilité suivi d’un rapport. Ce type Role Based Access Control (RBAC)7 combinées avec une ne devrait pas seulement être un copier-coller provenant du solution de gestion des identités contribueront grandement à résultat d’un outil, mais bien une interprétation de ce dernier, sécuriser les données. Il faut comprendre que, même si l’on met incluant des recommandations et des solutions pour cha- les meilleurs mécanismes en place, cela ne rendra pas les sys- cune des vulnérabilités découvertes. tèmes impénétrables. Cependant, plus on met de bâtons dans Le test d’intrusion, quant à lui, pousse l’exercice plus les roues des attaquants, plus ils risquent de s’enfarger et d’être loin. Le testeur tente d’exploiter les vulnérabilités ayant été bruyants, ce qui permettra de repérer leurs activités qui ne découvertes, tout comme un vrai pirate le ferait, mais dans seraient peut-être pas détectées autrement. un cadre professionnel et contrôlé. Il faut noter que ces tests peuvent être effectués tant sur le plan du réseau, du 3 ANALYSER LES INFORMATIONS PERTINENTES serveur que de l’application. On peut même tester les Il ne suffit pas de tout journaliser. Encore faut-il savoir humains grâce à l’ingénierie sociale ! Mais c’est un autre quoi regarder et avoir les bons outils pour le faire. Voici l’exemple dossier... Suite en page 52 de la série de requêtes DNS : s date-20XX 08:42:29.121 client 1.1.1.130#18759: query: drpxbbjbvcvcjllyqxsn.com IN A s date-20XX 08:42:29.218 client 1.1.1.130#18789: query: eh4t07sruha0x3betqa.com IN A –E Que remarque-t-on ? Est-ce que les noms de domaine « drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com » semblent légitimes ou ressemblent-ils à des requêtes qui pourraient avoir été faites par un logiciel potentiellement malveillant tentant de rejoindre un CC ? Il s’agit fort proba- blement de requêtes faites par un logiciel potentiellement malveillant. Voici maintenant des requêtes ayant été journalisées par un coupe-feu : s 2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html BSIDESQUEBEC, FIER PARTENAIRE DU CQSI, s 2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111 S’UNIT À CUSIN SÉCURITÉ INC., %ASA-5-304001: 1.1.1.42 Accessed URL AFIN DE SOULIGNER L’IMPLICATION DE L’ASIQ 69.3.211.4:http://www.emcc.com/info.html s 2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111 ET LES 20 ANS DU CQSI! %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html http://bsidesquebec.org http://cusin.ca