SlideShare une entreprise Scribd logo

SEGURET_presentation_secur_Lyon_seguret.pdf

A
AssociationAF

r

Art & Photos
1  sur  35
Télécharger pour lire hors ligne
Ville de LYON / DSITN Nom de la direction Nom de la présentation Date La cybersécurité dans les collectivités territoriales Jean-Marie Seguret Directeur des SI et de la transformation Numérique
La cybersécurité dans les collectivités territoriales • Introduction à la cybersécurité dans les collectivités territoriales • Une mutualisation innovante dans les collectivités • Un PCA Métier incontournable La cybersécurité dans les collectivités territoriales
Contexte La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
Définition et périmètre Définition ISO 27032 : Préservation de la confidentialité, de l'intégrité et de l'accessibilité de l'information dans le cyberespace Préservation de la confidentialité, de l'intégrité et de l'accessibilité de La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
Les principaux vecteurs d’attaques (2020) La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
Des vecteurs réévalués avec le Covid et le télétravail •Le vecteur d’entrée, source de la première compromission La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
Hameçonnage ou phishing La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales Le hameçonnage ou « Phishing » est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (compte d’accès, mot de passe...) et/ou bancaire en se faisant passer pour un tiers de confiance Une première campagne de faux hameçonnage à Lyon a permis d’identifier 12,5% d’agents. Même proportion dans une précédente collectivité
Hameçonnage ou phishing La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
Rançongiciel La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
Déni de service (Dos & DDoS) La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales Le monde du 27 Mars : Le site Internet de l’Assemblée nationale temporairement bloqué par un groupe de pirates prorusse
8 points pour se protéger La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
La cybersécurité dans les collectivités territoriales • Introduction à la cybersécurité dans les collectivités territoriales • Une mutualisation innovante dans les collectivités • Un PCA Métier incontournable La cybersécurité dans les collectivités territoriales
coter-numerique.org PROJET BUG BOUNTY MUTUALISÉ Journée d’Echange et de Travail | Christophe Vergeron Marylyne Boubée Christophe Marnat Nathanaël Veron Antoine Trillard
Le projet de mutualisation Rappel du contexte A la suite à une expérimentation de la ville de Boulogne- Billancourt, dans un esprit de mutualisation, une réflexion a été ouverte par le Club des RSSI des collectivités, l’association COTER Numérique, Yogosha, Capgemini, en relation avec l’ANSSI pour mener un audit en mode bug bounty d’une liste d’applications web et mobile largement utilisées par les collectivités. L’enjeu L’enjeu est alors de mener ces tests une seule fois sur la même application et d’en partager les résultats afin d’éviter que chaque collectivité membre fasse exécuter les mêmes pentests ou de bug bounty dans ses projets propres.
Le projet de mutualisation Le financement Co-financement 70% via le Plan de Relance (Bug Bounty Yogosha, Pilotage et suivi technique Capgemini) 30% pour les éditeurs (Remédiation et suivi technique) La durée Prévu Initialement : 12 mois pour 15 applications Durée par application : 4 mois (Préparation : 1 mois, Audit Technique : 1 mois, Plan de remédiation : 2 mois). Réellement : 18 mois en 2 phase pour 15 applications de 15 Editeurs
Le projet de mutualisation Objectif général Déployer des services aux usagers et des solutions auprès de leurs collaborateurs intégrant un niveau de sécurité maximum et un haut niveau de disponibilité. Accompagner l’augmentation du niveau de sécurité global des collectivités en impliquant les éditeurs clés et en insufflant une dynamique que ces derniers seront incités à poursuivre. Partager les résultats d’audit Objectif technique Identifier des failles de sécurité sur les applications et s’assurer que les éditeurs les corrigent.
ANSSI Suivi de la demande de financement et financement. Le projet de mutualisation : Les acteurs 01 02 03 Club des RSSI CSNC et COTER Numérique Liste des 30 applications les plus utilisées avec des éditeurs différents pour en sélectionner à minima 15 à 20 au final. Communiquer en fin de projet sur les solutions auditées (Pour motiver les éditeurs). Yogosha & Capgemini Fourniture de licences à sa plateforme & de chercheurs de faille sélectionnés. Pilotage du projet 04 05 3 Collectivités porteuses : Boulogne Billancourt, CD 31, Chelles Portage administratif de la commande UGAP divisée en 3 (5 applications suivies par ville) Réception des fonds par les 3 villes. Éditeurs Engagement de remédiation transmis par courriel signé par le CoTer Numérique. Pas de charge de déploiement. Test sur des applications déjà déployées (accessibles en ligne ou « on premise »). Remédiation des vulnérabilités.
IXPARAPHEUR Société SRCI Porteur Chelles. Le projet de mutualisation : Le périmètre Phase 1 01 02 03 PORTAIL CITOYEN FAMILLE Société ARPEGE Porteur Chelles CIVIL NetEnfance Société CIRIL GROUP Porteur Boulogne Billancourt 04 05 IPARAPHEURPo Société ADULACT Porteur Boulogne Billancourt . ESIRIUS Société ESII Porteur Boulogne Billancourt.
AIRDELIB - NOMAD Société DIGITECH Porteur Chelles. Le projet de mutualisation : Le périmètre Phase 2 06 07 09 MUNICIPOL Société LOGITUD Porteur Chelles PELEHAS Société AFI Porteur Boulogne Billancourt 08 10 GMA protocole Société GMA Porteur Chelles Beneylu Société Beneylu Porteur Boulogne Billancourt KOSMOS Education Société KOSMOS Porteur CD31 11 12 14 GDA Société MGDIS Porteur Haute-Garonne (CD31) IODAS Société INETUM Porteur Haute-Garonne (CD31) 13 15 La suite de logiciel E-grc Société Berger-Levrault Porteur Haute-Garonne (CD31) CRM SECTEUR PUBLIC Société EUDONET Porteur Haute-Garonne (CD31)
CoTer numérique - 2022 •Le Bug Bounty et ses Hackers Ethique. • Christophe Marnat YOGOSHA
Lancement en quelques heures Qu’est ce que le Bug Bounty ? Flexibilité Un bug bounty est une chasse aux vulnérabilités, un défi lancé aux hackers éthiques. Trouvez un bug, gagnez une récompense. Plus la vulnérabilité est critique, plus la prime est élevée. Rentabilité Diversité de skills Continuité Efficacité Paiement aux résultats. Récompensez uniquement les vulnérabilités exploitables Plus d’humains = plus de compétences. Découvrir des vulnérabilités complexes et à haut risque non détectées par les audits. Tests en continue & Intégration DevSecOPs
Le hacking éthique Black Hat = Pirate Mène des actions illégales et criminelles en s’introduisant sur des systèmes. Grey Hat Recherche de vulnérabilités sans intention malhonnête, mais sans l’accord des organisations ciblées. White Hat = Hacker éthique / Hunter Recherche des failles de sécurité de manière légale avec l’accord des organisations.
Sélection des hunters d’élite Inscription Plateforme Profil Complété Inscription test Liste d’attente Candidature Acceptée Passe le Test Bienvenue au sein de la YSF! Identité & Background Check
Quelle différence avec un Pentest ? Pentest Une démarche ponctuelle Un à deux hunters Paiement au forfait Lancement +/- rapide Bug Bounty Une démarche continue Plusieurs dizaines de hunters Paiement à la prime Lancement immédiat Intégration DevSecOps / CI-CD Un test d’intrusion – ou penetration test – est une cyberattaque simulée et limitée dans le temps, effectuée sur un système pour en évaluer la sécurité.
CoTer numérique - 2022 •Les retours des premiers Bug Bounty vision collectivité. • Christophe Vergeron DGA Boulogne Billancourt & Antoine Trillard président CoTer Numérique, DSI ville de Chelles
26 - © Copyright CoTer numérique - reproduction interdite Triage des rapports 1 - Critical CVSS 9,0 - 10 2 – High CVSS 7,0 – 8,9 3 – Medium CVSS 4,0 – 6,9 4 – Low CVSS 0,1 – 3,9 • Rémunération Hunter • La rémunération du hunter est liée à la criticité de la faille, lors de la revue il est possible de réaffecter les niveaux de faille • Le travail de triage réalisé par Capgemini est conséquent en temps et en compétence, seuls des pentesters peuvent le réaliser Cagnotte Difficultés à gérer la cagnotte Besoin de bloquer la campagne à plusieurs reprises
27 - © Copyright CoTer numérique - reproduction interdite Exemple de failles trouvées • Failles critiques (CVSS 9.0 - 10.0) • Liées à Log4J (prise de main sur serveur) • Accès à toutes les données (non cryptées sauf mdp) de la base (appels API sans jeton • Fuite de couples Login/mdp sur le darknet • Failles élevées (CVSS 7.0 – 8.9) • Identifiants API en clair dans les fichiers (scipts Jajascript) • Accès à toutes les infos serveur (monitoring…) • Mot de passe par défaut
28 - © Copyright CoTer numérique - reproduction interdite Ville de Chelles Des failles trouvées systématiquement Plateforme Yogosha simple à utiliser Rapports des hunters très clairs, bien expliqués et bien illustrés « explication étape par étape, Vidéo, capture d’écran » Réellement : 18 mois en 2 phases pour 15 applications de 15 Editeurs Les retours des premiers Bug Bounty vision collectivité
La cybersécurité dans les collectivités territoriales • Introduction à la cybersécurité dans les collectivités territoriales • Une mutualisation innovante dans les collectivités • Un PCA Métier incontournable La cybersécurité dans les collectivités territoriales
Objectifs Proposer une démarche pour évaluer les éléments nécessaires au maintien d’une activité à minima dans les directions en cas de sinistre informatique • Pour les directions métiers : Définir des procédures de continuité d’activité • Prendre conscience des conséquences d’un sinistre informatique sur leur activité • Imaginer des modes dégradés de fonctionnement • Inventorier les dispositifs à mobiliser • Préparer des dispositifs d’information alternatifs • Pour la DSITN : • Accompagner les directions sur le cadre méthodologique • Identifier les moyens informatiques et télécoms internes impactés • Identifier les moyens alternatifs à mobiliser pour assurer cette continuité d’activité • Définir une cellule de crise Être en capacité d’activer un plan d’urgence sur un périmètre critique défini par les directions préalablement
Les phases d’un PCA Métier Sinistr e Les directions La cellule de crise La DSITN Arrêt total TeleAlerte porter plainte CNIL (DPD) Alertée Mobilisation Diagnostic ANSSI (Forensic) PCA Métier Assainir et durcir les systèmes d’information distribution équipement de secours Arrêt total / SI de secours Reprise partielle Plan de Reprise d’Activité Décision plan secours Retour normal Fonctionnement Normal Relancer progressivement le SI et réouverture des services numériques Axe du temps (moyenne constatée) ~2 jours ~1 à 2 semaines ~1 mois ~2 mois Plan de communication Décision de reprise progressive Mécanisme de récupération
Démarche proposée pour assurer un plan de continuité 1. Le périmètre : Quelles directions et activités prioritaires devant avoir un plan de continuité : Exemple : La paie, Les achats, Les instances, Les services à la population, la police municipale, la com externe et interne… 2. Pour chaque activité stratégique, identifier : Les informations et documents clés nécessaires aux activités essentielles les processus associés aux activités vitales en identifiant les flux d’informations et de documentation les ressources minimales nécessaires de substitution pour assurer un fonctionnement dégradé 3. Identifier les partenaires internes et externes nécessaires au maintien de l’activité critique 4. Mettre en place un dispositif d’information alternatif (affichage…)
Tests du PCA et amelioration continue •Mise en œuvre de la continuité sur la base des procédures •Tests, simulations •mesurer, auditer • Planification de la continuité par la direction •définir un panel d’exercices permettant de valider le PCA • Amélioration continue • Bilan de chaque exercice mené • Réviser le PCA pour Intégrer les actions nécessaires • Partage du retour d’expérience 4. Act 1. Plan 2. Do 3. Check Développer des exercices ou tests pour vérifier la cohérence du PCA
Organisation • La DG : valider les missions / activités critiques • La direction : • Identifier un référent métier dans chaque direction pour réaliser son PCA • Mettre en œuvre le cadre proposé P5 • Remonter à la DSITN les ressources informatiques à mobiliser • effectuer des campagnes de test • Réactualiser ses procédures • La DSITN : • Construire le cadre de la démarche proposé en p5 • Capitaliser et enrichir le cadre après le RETEX des directions pilotes • Approvisionner les équipements requis • Tenir un tableau de bord pour la DG de l’état d’avancement du PCA par direction • Enrichir le référentiel des activités des directions
Calendrier prévisionnel • Phase 1 : mise en œuvre dans 3 directions pilotes (Direction des archives, MA9, Dir Financière) • Phase 2 : Simulation de cyber attaque & bilan avec les directions pilotes • Phase 3 : Présentation des objectifs, démarches, bilan en DG pour mise en œuvre potentielle dans d’autres directions • Phase 4 : déploiement dans les directions retenues en DG

Recommandé

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15Aix-Marseille French Tech (Officiel)
 
Introduction au web3.pdf
Introduction au web3.pdfIntroduction au web3.pdf
Introduction au web3.pdfMichel-Marie Maudet
 
Webcast eth-mat-thw-final
Webcast eth-mat-thw-finalWebcast eth-mat-thw-final
Webcast eth-mat-thw-finalIsabelle JARNIOU
 
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Matooma
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 

Recommandé

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15
Présentation 63ème plénière Medinsoft / CIP / Clusir Paca 10/12/15Aix-Marseille French Tech (Officiel)
 
Introduction au web3.pdf
Introduction au web3.pdfIntroduction au web3.pdf
Introduction au web3.pdfMichel-Marie Maudet
 
Webcast eth-mat-thw-final
Webcast eth-mat-thw-finalWebcast eth-mat-thw-final
Webcast eth-mat-thw-finalIsabelle JARNIOU
 
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Matooma
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things SecurityHamza Ben Marzouk
 
Cyber methodologie - Equation Humaine 2012
Cyber methodologie - Equation Humaine 2012Cyber methodologie - Equation Humaine 2012
Cyber methodologie - Equation Humaine 2012Alice & Smith
 
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...TelecomValley
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Numériser la ville
Numériser la villeNumériser la ville
Numériser la villeMarc Moreau
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesITrust - Cybersecurity as a Service
 
Présentation STN nov 2010
Présentation STN nov 2010Présentation STN nov 2010
Présentation STN nov 2010rosemonde savi
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...Rolland MELET
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Snort
SnortSnort
SnortTchadowNet
 
Digitalisation de la societe et impact sur l'informatique d'entreprise
Digitalisation de la societe et impact sur l'informatique d'entrepriseDigitalisation de la societe et impact sur l'informatique d'entreprise
Digitalisation de la societe et impact sur l'informatique d'entrepriseCharlets Jean-Philippe
 
Agile Secteur Public - Numérique Responsable
Agile Secteur Public - Numérique ResponsableAgile Secteur Public - Numérique Responsable
Agile Secteur Public - Numérique ResponsableChristophe Rochefolle
 
Paris Bluetooth MobiGuide explorcamp (20080516)
Paris Bluetooth MobiGuide explorcamp (20080516)Paris Bluetooth MobiGuide explorcamp (20080516)
Paris Bluetooth MobiGuide explorcamp (20080516)Mairie de Paris
 
Paris Bluetooth MobiGuide
Paris Bluetooth MobiGuideParis Bluetooth MobiGuide
Paris Bluetooth MobiGuideLoïc Haÿ
 
Les collectivités à l’heure des objets connectés - Qowisio
Les collectivités à l’heure des objets connectés - QowisioLes collectivités à l’heure des objets connectés - Qowisio
Les collectivités à l’heure des objets connectés - QowisioLes Interconnectés
 
chapitres 3 technologies de communication de l'IoT partie II.pptx
chapitres 3 technologies de communication de l'IoT partie II.pptxchapitres 3 technologies de communication de l'IoT partie II.pptx
chapitres 3 technologies de communication de l'IoT partie II.pptxmerazgaammar2
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09FinancialVideo
 
meetup devops aix marseille du 16/05/23
meetup devops aix marseille du 16/05/23meetup devops aix marseille du 16/05/23
meetup devops aix marseille du 16/05/23Frederic Leger
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 

Contenu connexe

Similaire à SEGURET_presentation_secur_Lyon_seguret.pdf

Cyber methodologie - Equation Humaine 2012
Cyber methodologie - Equation Humaine 2012Cyber methodologie - Equation Humaine 2012
Cyber methodologie - Equation Humaine 2012Alice & Smith
 
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...TelecomValley
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Numériser la ville
Numériser la villeNumériser la ville
Numériser la villeMarc Moreau
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Présentation STN nov 2010
Présentation STN nov 2010Présentation STN nov 2010
Présentation STN nov 2010rosemonde savi
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...Rolland MELET
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Digitalisation de la societe et impact sur l'informatique d'entreprise
Digitalisation de la societe et impact sur l'informatique d'entrepriseDigitalisation de la societe et impact sur l'informatique d'entreprise
Digitalisation de la societe et impact sur l'informatique d'entrepriseCharlets Jean-Philippe
 
Agile Secteur Public - Numérique Responsable
Agile Secteur Public - Numérique ResponsableAgile Secteur Public - Numérique Responsable
Agile Secteur Public - Numérique ResponsableChristophe Rochefolle
 
Paris Bluetooth MobiGuide explorcamp (20080516)
Paris Bluetooth MobiGuide explorcamp (20080516)Paris Bluetooth MobiGuide explorcamp (20080516)
Paris Bluetooth MobiGuide explorcamp (20080516)Mairie de Paris
 
Paris Bluetooth MobiGuide
Paris Bluetooth MobiGuideParis Bluetooth MobiGuide
Paris Bluetooth MobiGuideLoïc Haÿ
 
Les collectivités à l’heure des objets connectés - Qowisio
Les collectivités à l’heure des objets connectés - QowisioLes collectivités à l’heure des objets connectés - Qowisio
Les collectivités à l’heure des objets connectés - QowisioLes Interconnectés
 
chapitres 3 technologies de communication de l'IoT partie II.pptx
chapitres 3 technologies de communication de l'IoT partie II.pptxchapitres 3 technologies de communication de l'IoT partie II.pptx
chapitres 3 technologies de communication de l'IoT partie II.pptxmerazgaammar2
 
meetup devops aix marseille du 16/05/23
meetup devops aix marseille du 16/05/23meetup devops aix marseille du 16/05/23
meetup devops aix marseille du 16/05/23Frederic Leger
 

Similaire à SEGURET_presentation_secur_Lyon_seguret.pdf (20)

Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
Cyber methodologie - Equation Humaine 2012
Cyber methodologie - Equation Humaine 2012Cyber methodologie - Equation Humaine 2012
Cyber methodologie - Equation Humaine 2012
 
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Numériser la ville
Numériser la villeNumériser la ville
Numériser la ville
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
 
Présentation STN nov 2010
Présentation STN nov 2010Présentation STN nov 2010
Présentation STN nov 2010
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...
Sport, Ville et Web3.0 : Intervention Rolland MELET au Forum Sports et Territ...
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Snort
SnortSnort
Snort
 
Digitalisation de la societe et impact sur l'informatique d'entreprise
Digitalisation de la societe et impact sur l'informatique d'entrepriseDigitalisation de la societe et impact sur l'informatique d'entreprise
Digitalisation de la societe et impact sur l'informatique d'entreprise
 
Agile Secteur Public - Numérique Responsable
Agile Secteur Public - Numérique ResponsableAgile Secteur Public - Numérique Responsable
Agile Secteur Public - Numérique Responsable
 
Paris Bluetooth MobiGuide explorcamp (20080516)
Paris Bluetooth MobiGuide explorcamp (20080516)Paris Bluetooth MobiGuide explorcamp (20080516)
Paris Bluetooth MobiGuide explorcamp (20080516)
 
Paris Bluetooth MobiGuide
Paris Bluetooth MobiGuideParis Bluetooth MobiGuide
Paris Bluetooth MobiGuide
 
Les collectivités à l’heure des objets connectés - Qowisio
Les collectivités à l’heure des objets connectés - QowisioLes collectivités à l’heure des objets connectés - Qowisio
Les collectivités à l’heure des objets connectés - Qowisio
 
chapitres 3 technologies de communication de l'IoT partie II.pptx
chapitres 3 technologies de communication de l'IoT partie II.pptxchapitres 3 technologies de communication de l'IoT partie II.pptx
chapitres 3 technologies de communication de l'IoT partie II.pptx
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
meetup devops aix marseille du 16/05/23
meetup devops aix marseille du 16/05/23meetup devops aix marseille du 16/05/23
meetup devops aix marseille du 16/05/23
 

Plus de AssociationAF

RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
Presentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfPresentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfAssociationAF
 
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdfAssociationAF
 
Les archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerLes archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerAssociationAF
 
Chacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueChacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueAssociationAF
 
Quand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeQuand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeAssociationAF
 
20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptxAssociationAF
 
Le fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELLe fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELAssociationAF
 
Les archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansLes archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansAssociationAF
 
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24AssociationAF
 
table ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pastable ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pasAssociationAF
 
20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.pptAssociationAF
 
A la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleA la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleAssociationAF
 
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptxAssociationAF
 
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfDUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfAssociationAF
 
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfMEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfAssociationAF
 
SCHMAUCH_resilience_pour_rancon.pdf
SCHMAUCH_resilience_pour_rancon.pdfSCHMAUCH_resilience_pour_rancon.pdf
SCHMAUCH_resilience_pour_rancon.pdfAssociationAF
 

Plus de AssociationAF (20)

RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
Presentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfPresentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdf
 
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
 
Les archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerLes archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformer
 
Chacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueChacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloque
 
Quand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeQuand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table ronde
 
20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx
 
Le fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELLe fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MEL
 
Les archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansLes archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'Orléans
 
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
 
table ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pastable ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pas
 
20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt
 
A la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleA la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielle
 
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
 
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfDUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
 
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfMEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
 
SCHMAUCH_resilience_pour_rancon.pdf
SCHMAUCH_resilience_pour_rancon.pdfSCHMAUCH_resilience_pour_rancon.pdf
SCHMAUCH_resilience_pour_rancon.pdf
 

SEGURET_presentation_secur_Lyon_seguret.pdf

  • 1. Ville de LYON / DSITN Nom de la direction Nom de la présentation Date La cybersécurité dans les collectivités territoriales Jean-Marie Seguret Directeur des SI et de la transformation Numérique
  • 2. La cybersécurité dans les collectivités territoriales • Introduction à la cybersécurité dans les collectivités territoriales • Une mutualisation innovante dans les collectivités • Un PCA Métier incontournable La cybersécurité dans les collectivités territoriales
  • 3. Contexte La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
  • 4. Définition et périmètre Définition ISO 27032 : Préservation de la confidentialité, de l'intégrité et de l'accessibilité de l'information dans le cyberespace Préservation de la confidentialité, de l'intégrité et de l'accessibilité de La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
  • 5. Les principaux vecteurs d’attaques (2020) La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
  • 6. Des vecteurs réévalués avec le Covid et le télétravail •Le vecteur d’entrée, source de la première compromission La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
  • 7. Hameçonnage ou phishing La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales Le hameçonnage ou « Phishing » est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (compte d’accès, mot de passe...) et/ou bancaire en se faisant passer pour un tiers de confiance Une première campagne de faux hameçonnage à Lyon a permis d’identifier 12,5% d’agents. Même proportion dans une précédente collectivité
  • 8. Hameçonnage ou phishing La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
  • 9. Rançongiciel La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
  • 10. Déni de service (Dos & DDoS) La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales Le monde du 27 Mars : Le site Internet de l’Assemblée nationale temporairement bloqué par un groupe de pirates prorusse
  • 11. 8 points pour se protéger La cybersécurité dans les collectivités territoriales La cybersécurité dans les collectivités territoriales
  • 12. La cybersécurité dans les collectivités territoriales • Introduction à la cybersécurité dans les collectivités territoriales • Une mutualisation innovante dans les collectivités • Un PCA Métier incontournable La cybersécurité dans les collectivités territoriales
  • 13. coter-numerique.org PROJET BUG BOUNTY MUTUALISÉ Journée d’Echange et de Travail | Christophe Vergeron Marylyne Boubée Christophe Marnat Nathanaël Veron Antoine Trillard
  • 14. Le projet de mutualisation Rappel du contexte A la suite à une expérimentation de la ville de Boulogne- Billancourt, dans un esprit de mutualisation, une réflexion a été ouverte par le Club des RSSI des collectivités, l’association COTER Numérique, Yogosha, Capgemini, en relation avec l’ANSSI pour mener un audit en mode bug bounty d’une liste d’applications web et mobile largement utilisées par les collectivités. L’enjeu L’enjeu est alors de mener ces tests une seule fois sur la même application et d’en partager les résultats afin d’éviter que chaque collectivité membre fasse exécuter les mêmes pentests ou de bug bounty dans ses projets propres.
  • 15. Le projet de mutualisation Le financement Co-financement 70% via le Plan de Relance (Bug Bounty Yogosha, Pilotage et suivi technique Capgemini) 30% pour les éditeurs (Remédiation et suivi technique) La durée Prévu Initialement : 12 mois pour 15 applications Durée par application : 4 mois (Préparation : 1 mois, Audit Technique : 1 mois, Plan de remédiation : 2 mois). Réellement : 18 mois en 2 phase pour 15 applications de 15 Editeurs
  • 16. Le projet de mutualisation Objectif général Déployer des services aux usagers et des solutions auprès de leurs collaborateurs intégrant un niveau de sécurité maximum et un haut niveau de disponibilité. Accompagner l’augmentation du niveau de sécurité global des collectivités en impliquant les éditeurs clés et en insufflant une dynamique que ces derniers seront incités à poursuivre. Partager les résultats d’audit Objectif technique Identifier des failles de sécurité sur les applications et s’assurer que les éditeurs les corrigent.
  • 17. ANSSI Suivi de la demande de financement et financement. Le projet de mutualisation : Les acteurs 01 02 03 Club des RSSI CSNC et COTER Numérique Liste des 30 applications les plus utilisées avec des éditeurs différents pour en sélectionner à minima 15 à 20 au final. Communiquer en fin de projet sur les solutions auditées (Pour motiver les éditeurs). Yogosha & Capgemini Fourniture de licences à sa plateforme & de chercheurs de faille sélectionnés. Pilotage du projet 04 05 3 Collectivités porteuses : Boulogne Billancourt, CD 31, Chelles Portage administratif de la commande UGAP divisée en 3 (5 applications suivies par ville) Réception des fonds par les 3 villes. Éditeurs Engagement de remédiation transmis par courriel signé par le CoTer Numérique. Pas de charge de déploiement. Test sur des applications déjà déployées (accessibles en ligne ou « on premise »). Remédiation des vulnérabilités.
  • 18. IXPARAPHEUR Société SRCI Porteur Chelles. Le projet de mutualisation : Le périmètre Phase 1 01 02 03 PORTAIL CITOYEN FAMILLE Société ARPEGE Porteur Chelles CIVIL NetEnfance Société CIRIL GROUP Porteur Boulogne Billancourt 04 05 IPARAPHEURPo Société ADULACT Porteur Boulogne Billancourt . ESIRIUS Société ESII Porteur Boulogne Billancourt.
  • 19. AIRDELIB - NOMAD Société DIGITECH Porteur Chelles. Le projet de mutualisation : Le périmètre Phase 2 06 07 09 MUNICIPOL Société LOGITUD Porteur Chelles PELEHAS Société AFI Porteur Boulogne Billancourt 08 10 GMA protocole Société GMA Porteur Chelles Beneylu Société Beneylu Porteur Boulogne Billancourt KOSMOS Education Société KOSMOS Porteur CD31 11 12 14 GDA Société MGDIS Porteur Haute-Garonne (CD31) IODAS Société INETUM Porteur Haute-Garonne (CD31) 13 15 La suite de logiciel E-grc Société Berger-Levrault Porteur Haute-Garonne (CD31) CRM SECTEUR PUBLIC Société EUDONET Porteur Haute-Garonne (CD31)
  • 20. CoTer numérique - 2022 •Le Bug Bounty et ses Hackers Ethique. • Christophe Marnat YOGOSHA
  • 21. Lancement en quelques heures Qu’est ce que le Bug Bounty ? Flexibilité Un bug bounty est une chasse aux vulnérabilités, un défi lancé aux hackers éthiques. Trouvez un bug, gagnez une récompense. Plus la vulnérabilité est critique, plus la prime est élevée. Rentabilité Diversité de skills Continuité Efficacité Paiement aux résultats. Récompensez uniquement les vulnérabilités exploitables Plus d’humains = plus de compétences. Découvrir des vulnérabilités complexes et à haut risque non détectées par les audits. Tests en continue & Intégration DevSecOPs
  • 22. Le hacking éthique Black Hat = Pirate Mène des actions illégales et criminelles en s’introduisant sur des systèmes. Grey Hat Recherche de vulnérabilités sans intention malhonnête, mais sans l’accord des organisations ciblées. White Hat = Hacker éthique / Hunter Recherche des failles de sécurité de manière légale avec l’accord des organisations.
  • 23. Sélection des hunters d’élite Inscription Plateforme Profil Complété Inscription test Liste d’attente Candidature Acceptée Passe le Test Bienvenue au sein de la YSF! Identité & Background Check
  • 24. Quelle différence avec un Pentest ? Pentest Une démarche ponctuelle Un à deux hunters Paiement au forfait Lancement +/- rapide Bug Bounty Une démarche continue Plusieurs dizaines de hunters Paiement à la prime Lancement immédiat Intégration DevSecOps / CI-CD Un test d’intrusion – ou penetration test – est une cyberattaque simulée et limitée dans le temps, effectuée sur un système pour en évaluer la sécurité.
  • 25. CoTer numérique - 2022 •Les retours des premiers Bug Bounty vision collectivité. • Christophe Vergeron DGA Boulogne Billancourt & Antoine Trillard président CoTer Numérique, DSI ville de Chelles
  • 26. 26 - © Copyright CoTer numérique - reproduction interdite Triage des rapports 1 - Critical CVSS 9,0 - 10 2 – High CVSS 7,0 – 8,9 3 – Medium CVSS 4,0 – 6,9 4 – Low CVSS 0,1 – 3,9 • Rémunération Hunter • La rémunération du hunter est liée à la criticité de la faille, lors de la revue il est possible de réaffecter les niveaux de faille • Le travail de triage réalisé par Capgemini est conséquent en temps et en compétence, seuls des pentesters peuvent le réaliser Cagnotte Difficultés à gérer la cagnotte Besoin de bloquer la campagne à plusieurs reprises
  • 27. 27 - © Copyright CoTer numérique - reproduction interdite Exemple de failles trouvées • Failles critiques (CVSS 9.0 - 10.0) • Liées à Log4J (prise de main sur serveur) • Accès à toutes les données (non cryptées sauf mdp) de la base (appels API sans jeton • Fuite de couples Login/mdp sur le darknet • Failles élevées (CVSS 7.0 – 8.9) • Identifiants API en clair dans les fichiers (scipts Jajascript) • Accès à toutes les infos serveur (monitoring…) • Mot de passe par défaut
  • 28. 28 - © Copyright CoTer numérique - reproduction interdite Ville de Chelles Des failles trouvées systématiquement Plateforme Yogosha simple à utiliser Rapports des hunters très clairs, bien expliqués et bien illustrés « explication étape par étape, Vidéo, capture d’écran » Réellement : 18 mois en 2 phases pour 15 applications de 15 Editeurs Les retours des premiers Bug Bounty vision collectivité
  • 29. La cybersécurité dans les collectivités territoriales • Introduction à la cybersécurité dans les collectivités territoriales • Une mutualisation innovante dans les collectivités • Un PCA Métier incontournable La cybersécurité dans les collectivités territoriales
  • 30. Objectifs Proposer une démarche pour évaluer les éléments nécessaires au maintien d’une activité à minima dans les directions en cas de sinistre informatique • Pour les directions métiers : Définir des procédures de continuité d’activité • Prendre conscience des conséquences d’un sinistre informatique sur leur activité • Imaginer des modes dégradés de fonctionnement • Inventorier les dispositifs à mobiliser • Préparer des dispositifs d’information alternatifs • Pour la DSITN : • Accompagner les directions sur le cadre méthodologique • Identifier les moyens informatiques et télécoms internes impactés • Identifier les moyens alternatifs à mobiliser pour assurer cette continuité d’activité • Définir une cellule de crise Être en capacité d’activer un plan d’urgence sur un périmètre critique défini par les directions préalablement
  • 31. Les phases d’un PCA Métier Sinistr e Les directions La cellule de crise La DSITN Arrêt total TeleAlerte porter plainte CNIL (DPD) Alertée Mobilisation Diagnostic ANSSI (Forensic) PCA Métier Assainir et durcir les systèmes d’information distribution équipement de secours Arrêt total / SI de secours Reprise partielle Plan de Reprise d’Activité Décision plan secours Retour normal Fonctionnement Normal Relancer progressivement le SI et réouverture des services numériques Axe du temps (moyenne constatée) ~2 jours ~1 à 2 semaines ~1 mois ~2 mois Plan de communication Décision de reprise progressive Mécanisme de récupération
  • 32. Démarche proposée pour assurer un plan de continuité 1. Le périmètre : Quelles directions et activités prioritaires devant avoir un plan de continuité : Exemple : La paie, Les achats, Les instances, Les services à la population, la police municipale, la com externe et interne… 2. Pour chaque activité stratégique, identifier : Les informations et documents clés nécessaires aux activités essentielles les processus associés aux activités vitales en identifiant les flux d’informations et de documentation les ressources minimales nécessaires de substitution pour assurer un fonctionnement dégradé 3. Identifier les partenaires internes et externes nécessaires au maintien de l’activité critique 4. Mettre en place un dispositif d’information alternatif (affichage…)
  • 33. Tests du PCA et amelioration continue •Mise en œuvre de la continuité sur la base des procédures •Tests, simulations •mesurer, auditer • Planification de la continuité par la direction •définir un panel d’exercices permettant de valider le PCA • Amélioration continue • Bilan de chaque exercice mené • Réviser le PCA pour Intégrer les actions nécessaires • Partage du retour d’expérience 4. Act 1. Plan 2. Do 3. Check Développer des exercices ou tests pour vérifier la cohérence du PCA
  • 34. Organisation • La DG : valider les missions / activités critiques • La direction : • Identifier un référent métier dans chaque direction pour réaliser son PCA • Mettre en œuvre le cadre proposé P5 • Remonter à la DSITN les ressources informatiques à mobiliser • effectuer des campagnes de test • Réactualiser ses procédures • La DSITN : • Construire le cadre de la démarche proposé en p5 • Capitaliser et enrichir le cadre après le RETEX des directions pilotes • Approvisionner les équipements requis • Tenir un tableau de bord pour la DG de l’état d’avancement du PCA par direction • Enrichir le référentiel des activités des directions
  • 35. Calendrier prévisionnel • Phase 1 : mise en œuvre dans 3 directions pilotes (Direction des archives, MA9, Dir Financière) • Phase 2 : Simulation de cyber attaque & bilan avec les directions pilotes • Phase 3 : Présentation des objectifs, démarches, bilan en DG pour mise en œuvre potentielle dans d’autres directions • Phase 4 : déploiement dans les directions retenues en DG