Session d'information sur les nouveaux dangers du numérique.
Cette présentation tente de dresser un inventaire des menaces pesant sur la numérisation de l'économie, et préconiser des mesures simples pour réduire sa vulnérabilité.
Elle s'adresse à tous les acteurs de la vie économique actuelle.
2. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Agenda
Contexte
La Sécurité au passé simple
Le Présent composé
Focus I : Les Dernières Attaques
Améliorer la sécurité de votre SI
Focus II : L’Hameçonnage (Phishing)
Les Acteurs de la Cybersécurité
Le Futur imparfait
Questions/Réponses
3. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Contexte de l’Intervention
Attaques récentes
Rançongiciels et le cryptage
Nouvelles Campagnes de Phishing
Modifications des Lois et Réglements
4. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Contexte de l’Intervention
Partenaires
Ville de Douvaine
○ Impliquée dans les nouvelles technologies
depuis plus de 15 ans
○ Soucieuse de fournir des informations
précises sur les nouveaux enjeux du
numérique à la collectivité
5. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Contexte de l’Intervention
Partenaires
FG Consulting
○ Nouveaux Services
Aux Entreprises
Aux Collectivités
Aux Associations
○ Aide à la Gouvernance
7. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
La Sécurité au Passé Simple
Les Années 80 : Arrivée des premiers ordinateurs
Les Années 90 : Les ordinateurs se mettent en
réseau… les virus aussi
Fin des Années 90 : Les ordinateurs se connectent
sur l’Internet naissant… les virus en profitent
Les Années 2000 : Croissance ultra rapide de la
connectivité par Internet
Les Années 2010 : Multiplication des Objets
connectés (IoT)
8. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
La Sécurité au Passé Simple
Les risques augmentent avec le nombre
Peu de leçons apprises depuis I Love You
9. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le Présent Composé
Changement de Vocabulaire
Système Informatique -> Système d’Information
Virus -> Maliciel (Malware)
Attaque virale -> Incident de Sécurité
La cybercriminalité est devenue un
business
Sécurité et Contraintes vont de paire
La défense de son système doit être
organisée en profondeur
11. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le Présent (dé)Composé
Les Risques
Perte Financière
Perte de Disponibilité
Cessation d’Activité
Vol de données
Atteinte à l’image
Désinformation ou Manipulation
Menaces
Vecteurs
Acteurs
Risques
12. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le Présent (dé)Composé
Les Menaces
Les Rançongiciels (Ransomware)
Le Déni de Service (DoS)
Le Vol de données (Leaking, Keylogger)
○ Personnel
○ Stratégique
La Défiguration de Site (Defacing)
Espionnage (Spyware et APT)
Utilisation de vos ressources (Botnet)
Les Publiciels (Adwares)
Risques
Vecteurs
Acteurs
Menaces
13. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le Présent (dé)Composé
Les Vecteurs
Messagerie Electronique (>50%)
Failles logicielles (Vulnérabilités «0-Day») (>30%)
Smartphone et Tablette (>10%)
Stockage USB (>10%)
Objets connectés (<5%)
Ingénierie Sociale (<5%)
Risques
Menaces
Acteurs
Vecteurs
14. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le Présent (dé)Composé
Les Acteurs de la
Cybercriminalité
Les Hackers (Ethiques ou pas)
○ Les Experts
○ Les «Revendeurs»
○ Les Opportunistes
Les Hackivistes
Les Etats (!!)
Les Revenchards
Les Victimes
Risques
Menaces
Vecteurs
Acteurs
15. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Bilan 2016 - Etude Cesin
(140 réponses analysées parmi les membres du Cesin)
Hit-parade des attaques
Rançongiciel : 80%
Déni de Service : 40%
Attaques virales générales : 36%
Défiguration de site : 27%
Vol ou fuite d’infos : 24%
Attaques ciblées : 23%
Vol données personnelles : 10%
Espionnage : 9%
Moyenne de 3 attaques/membre sur l’année
Risques
Menaces
Vecteurs
Acteurs
18. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le cas Wannacry
Déroulement de l’attaque
Aout 2016 – ShadowsBrokers piratent le site de la
NSA
Mars 2017 – Microsoft met des correctifs en place
Avril 2017 – Les outils volés sont publiés sur Internet.
11 Mai – Attaque mondiale utilisant 2 «outils» de
la NSA
13 Mai – Un «étudiant» anglais trouve le «Kill switch»
14 Mai – Découverte d’Adylkuzz le Cryptomineur.
17 Mai – Des solutions sont trouvées pour décrypter
les données sans payer la rançon
19. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le cas Wannacry
Type d’attaque
Attaque massive par ver concernant les ordinateurs
utilisant le protocole de partage de fichiers SMB 1.0.
L’industrie est le secteur le + touché
Impact
200 000 ordinateurs infectés dans le 150 pays.
Env. 80’000 $ récoltés.
Des milliers d’heures de travail supplémentaire pour les
équipes informatique.
Objectifs
Derrière le but affiché (rançon) se cache peut-être une
autre démarche
20. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le cas Wannacry
Pourquoi autant de machines non «patchées» 2 mois après la
mise à disposition des correctifs?
Pourquoi autant de médiatisation ?
Pourquoi si peu d’argent collecté (1% des victimes)?
Pourquoi les gouvernements conservent-t-ils «au secret» des
armes aussi dangereuses?
Pourquoi avoir parlé de phishing comme méthode d’infection
au lieu de Ver?
Pourquoi avoir pointé du doigt Windows XP comme principal
victime alors que Windows 7 64bits parait le plus touché ?
21. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le cas Wannacry
Hameçonnage (Phishing): Technique utilisée pour
soutirer une information sensible à une victime, en utilisant 2
vecteurs courant : Le message électronique, et le faux site
web. Plus récemment les SMS ou numéros 0800 surtaxés.
• Ver Informatique (Worm) : Logiciel malicieux se
reproduisant très rapidement sur un réseau. Il peut être
intégré sous forme de script sur des pages web détournées
ou envoyé sur Internet pour exploiter des failles logiciels sur
les ordinateurs cible
22. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le cas Wannacry
Hameçonnage : (ré)Apprendre à lire
l’écran, et faire preuve de bon sens.
Ver Informatique : Toujours maintenir les
machines à jour, et éviter l’exécution
automatique des scripts
23. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
En Cas d’attaque réussie…
Déconnecter la machine infectée DES réseaux
Informer le responsable sécurité et/ou la société
de services
Changer les mots de passe de l’utilisateur
et/ou supprimer ses autorisations d’accès réseau
NE PAS ETEINDRE LA MACHINE INFECTEE !!!
25. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Améliorer le niveau de sécurité de votre SI
Immédiatement
Améliorer la politique de vos Mots de Passe (81% des brèches)
Ne jamais utiliser un profil Administrateur au quotidien
Maintenir à jour TOUS vos systèmes. (95% des incidents)
Améliorer la sécurité de votre messagerie (66% des incidents)
Vérifier votre politique de Sauvegarde (en ligne et hors
ligne)
Améliorer la sécurité de vos outils mobiles
Utiliser un navigateur web «renforcé»
Ajouter un pare-feu à l’antivirus
26. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Améliorer le niveau de sécurité de votre SI
A Court Terme
Désigner un délégué à la sécurité du SI
Former et Informer vos collaborateurs (surtout les
nouveaux).
Etablir votre profil de risque, maintenir un inventaire
complet.
Rédiger des Chartes ou Contrats internes
Adopter une position ferme pour séparer, dans votre
entreprise, vie personnelle et vie professionnelle.
Intégrer la sécurité au cœur de votre budget numérique.
Créer des sous-réseaux
Améliorer la résilience du SI
28. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage (Phishing)
Le Courriel : 1er vecteur de filoutage
Courriel : Service pas ou peu sécurisé
Multiples possibilités de lecture =
Multiples risques
Outlook ou autre (Thunderbird, Mail,…)
Webmail
Email Mobile ou Tablette
29. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage
Exemples de courriels dangereux
• Adresse de l’expéditeur
sans aucun rapport avec
le message
• En vérifiant le lien, il ne
pointe pas sur la même
adresseNe pas cliquer !!
Facile
30. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage
Exemples de courriels dangereux
• L’adresse de l’expéditeur
est étrange
• Message destiné à infecter
les mobiles ou les tablettes
Ne pas flasher !!
Moyen
31. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage
Exemples de courriels dangereux
• Trop de fautes
• Lien caché et pointant sur
un domaine différent
Moyen
32. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage
Exemples de site dangereux
• Les caractères
accentués sont mal
gérés
• Les feuilles de styles
sont incomplètes
• Depuis quand fait-on
des remboursements sur
une carte de crédit ?
• Le navigateur vous
averti
Moyen
33. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage
Exemples de Site infecté
34. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage
5 techniques très en vogue
La confirmation de données
Le Tirage au sort gagnant
Le changement de site
Le coup du sentimental
La menace
Attaque de masse
Que Faire ?
Menez son enquête
Prévenir ses contacts SANS transférer le message !!
35. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage
Spear phishing ou Harponnage
Utilise l’Ingénierie Sociale
Travail d’espionnage préalable
Réception de messages TRES personnalisés
Attaque ciblé (un ou quelques individus)
Que Faire ?
Se référer à la charte de sécurité de l’entreprise
S’informer auprès de ses contacts en cas de doutes
36. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Hammeçonnage
Avant la lecture des messages
Améliorer la sécurité de votre
lecteur d’email
Utiliser un Navigateur Web
« Renforcé »
38. L’ANSSI
www.secure.gouv.fr
• Découvrir les menaces
• Stratégie Nationale
• Qualifier les outils et les services
avec la délivrance d’un label
• Informer et conseiller
• Une présence régionale
40. La CNIL
www.cnil.fr
• Public Pro : Mise en conformité
• Grand Public : Défense des droits
• Quel impact des NTIC sur la vie
privée et les libertés
41. LE CERT-FR
www.cert.ssi.gouv.fr
Organisme de recherche et
d’alerte en matière de cyber
sécurité
• Publie des bulletins d’alerte et aide les
éditeurs à résoudre ces problèmes
• Déploiement mondial et coopération
internationale
42. • Cybermalveillance.gouv.fr
(S1 2017)
• Assistance aux victimes
• Les Assurances (+26% en 2016)
• Le statut des victimes n’étant pas clair, il est
normal de se tourner vers les organismes de
gestion des risques traditionnels
• Generali (Protection Numérique)
• AXA (Cyber Risques)
• Magarantie (Cyber) – Assurance en ligne
• …
45. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le Cadre légal évolu
Loi République Numérique (Mars 2018)
RGPDP (Juin 2018)
La victime négligente, sera coupable et
punissable
Le Futur Imparfait _
46. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le Cadre légal évolu
Loi République
Numérique
(Mars 2018)
Le Futur Imparfait _
47. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
R.G.P.D.P.
Devant entrer en
application sur tout le
territoire de l'UE le 28
Mai 2018, il remplacera
les textes nationaux
dans le domaine de la
protection des données
gérés par TOUS
Le Futur Imparfait _
48. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Le Futur imparfait
Secured by Design (2018 ??)
Sécurisation de tous les nouveaux objets dès
leur conception
Généralisation des Signatures
49. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Résumé Bonnes Pratiques Utilisateurs
Source ANSSI
50. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Résumé Bonnes Pratiques Utilisateurs
51. LA SECURITE DU NUMERIQUE – SESSION Douvaine – Juin2017
Résumé Bonnes Pratiques Utilisateurs