SlideShare une entreprise Scribd logo

Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes

Maxime ALAY-EDDINE
Maxime ALAY-EDDINE

Centrale Nantes - Conférence du 08 Octobre 2015 Présentation sur les enjeux et les évolutions de la sécurité informatique. Comment passer d'une vision de la sécurité informatique qui préserve la valeur, à une vision génératrice de valeur ajoutée pour l'entreprise ?

Business
1  sur  109
Télécharger pour lire hors ligne
Enjeux et évolutions de la sécurité informatique Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 08/10/2015 1
Faisons connaissance ! • Maxime ALAY-EDDINE • 24 ans, Consultant SSI • Président de Cyberwatch SAS • 3 ans chez SAGEM (SAFRAN) • 1 an chez SportinTown • Commencé piratage à 12 ans CYBERWATCH 2
- Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. 3
La sécurité absolue n’existe pas. 4
Source lolsnaps.com 5
Il faut viser un « niveau de risque acceptable ». 6
Il faut viser un « niveau de risque acceptable ». R.O.I. 7
Plan • Présentation générale • Evolution des attaques • R.O.I. et Sécurité informatique • Démonstration • Projections et réglementation • Questions / Réponses 8
Présentation générale Notions de base et définitions 9
Sécurité des systèmes d’information ? 10
Sécurité des systèmes d’information ? Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006 11
Définition plus « concrète » Disponibilité Intégrité Confidentialité 12
Définition plus « concrète »… avec les mains Disponibilité Intégrité Confidentialité Est-ce que mon système fonctionne ? Est-ce que mes données sont bonnes ? Est-ce que mon système est privé ? 13
Objectif Disponibilité Intégrité Confidentialité Situation optimale 14
Dans l’industrie, 4 grands critères 15
En pratique ? Besoin' d’exper-se' Manque' de'temps' Coût' très'élevé' 16
Quelles solutions ? Clé$en$mains$ 17
Des menaces multiples S T R I D E poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges 18
Usurpation d’identité Le pirate se fait passer pour une entité. 19
Usurpation d’identité Login Password 20
Usurpation d’identité Login Password Login Password 21
Usurpation d’identité 22
Falsification de données Le pirate modifie des données. 23
Falsification de données 24
Falsification de données 25
Falsification de données 26
Falsification de données 27
Répudiation Le pirate fait croire qu’un évènement ne s’est jamais produit. 28
Répudiation 29
Répudiation 30
Répudiation 31
Répudiation 32
Divulgation d’informations Le pirate publie des informations confidentielles. 33
Divulgation d’informations Login Password 34
Divulgation d’informations Login Password 35
Déni de service Le pirate rend un service inaccessible. 36
Déni de service 37
Déni de service 38
Déni de service distribué 39
Déni de service distribué 40
Elévation de privilège Le pirate obtient des droits privilégiés sur un système. 41
Elévation de privilège 42
Elévation de privilège 43
Des menaces multiples… suite Sécurité physique Sécurité réseau Sécurité des applications Ingénierie sociale … 44
Pour chaque menace, il y a une solution Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité … Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Scanner de vulnérabilités … 45
Source : yannarthusbertrand2.org Les menaces
 évoluent et deviennent
 de plus en plus complexes. 46
You can't defend. You can't prevent. The only thing you can do is detect and respond. - Bruce Schneier Expert SSI, inventeur du standard Bluefish 47
Evolution des attaques Etude de la complexité et des nouvelles cibles des pirates 48
La bombe logique - 1982 • Dossier Farewell (Vladimir Vetrov) • Opération créée par la CIA contre un pipeline russe • Code malveillant permettant de faire exploser le pipeline, sans explosif externe • Les dégâts causés étaient visibles depuis l’espace 49
Kevin Mitnick - 1983 • Kevin Mitnick s’introduit sur le réseau du Pentagone • S’introduit par « défi » technique • Ne vole pas de données, conserve un sens éthique • Travaille désormais comme consultant SSI 50
Morris - 1988 • Créé par Robert Tappan Morris (Cornell) en 1988 • Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm) • Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés. • Plus de 6000 ordinateurs infectés, pour $100M d’amende. 51
Jonathan James - 1999 • Pirate la Defense Threat Reduction Agency à 15 ans • Installe une backdoor sur un serveur, puis un sniffer, pour finalement voler des accès à des ordinateurs militaires • Récupère le code source d’un logiciel de la NASA utilisé sur la Station Spatiale Internationale pour contrôler l’environnement de vie des astronautes • Accusé à tort d’une autre attaque, se suicide en 2008 52
MafiaBoy - 2000 • Michael Calce (aka MafiaBoy) réalise des attaques par Déni de service distribué sur des majors (Amazon, CNN, eBay, Yahoo!) • Explique avoir voulu tester des attaques pour concevoir de nouveaux dispositifs de protection • Les dégâts sont évalués à plus de $1,2Mrds • Reconverti dans la sécurité informatique 53
Estonie - 2007 • L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie. • Les services gouvernementaux sont stoppés • Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés 54
Operation Aurora - 2009 • Google China est victime d’une attaque majeure de la part du gouvernement chinois • Objectif : récupérer des données sur des activistes de la lutte pour les droits de l’Homme 55
Israël - 2009 • 5.000.000 d’ordinateurs réalisent une attaque de Déni de service distribué sur les sites gouvernementaux israéliens. • Ces attaques sont réalisées pendant l’offensive de Janvier 2009 sur la bande de Gaza. • L’origine des attaques semble être liée à un ancien état soviétique et aux organisations type Hamas/Hezbollah. 56
La Cyber-armée iranienne - 2010 • Des militants iraniens attaquent Twitter et Baidu (Google chinois). • Les internautes sont redirigés vers une page pirate avec un message politique. 57
StuxNet - 2010 • Virus de très haute expertise technique visant les machines industrielles Siemens. • Découvert en Iran et en Indonésie. • Semble viser le programme nucléaire iranien. 58
Red October - 2012 • Kaspersky découvre un virus en activité depuis 2007 • Le virus a dérobé des informations confidentielles dans des entités gouvernementales et des entreprises sur des systèmes critiques. • Utilise des vulnérabilités dans Word et Excel 59
Sony Pictures Entertainment - 2014 • Vol massif de données (films notamment) • Les données ont été diffusées sur Internet • Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M 60
Ashley Madison - 2015 • Vol massif de données (60 Go) • > 30M de comptes utilisateurs rendus publics • Problème : pas de surveillance du réseau, mots de passe trop simples (Pass1234) 61
Ashley Madison - 2015 • (source Gizmodo et Dadaviz) • Perte financière :
 - Chantage auprès des utilisateurs du site
 - Class-Action contre l’entreprise, coût estimé > $5 M 62
Constat • Ces attaques évoluent et deviennent de plus en plus élaborées (Morris -> StuxNet). • Les attaques sont maintenant médiatisées (Ashley Madison, Daesh…). • Les plus connues concernent avant tout les grandes entreprises et les gouvernements. • Les techniques d’attaques s’industrialisent. • Petit à petit, création d’un milieu « cybercriminel », avec ses enjeux économiques. 63
Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou la diffusion d’idées politiques. 64
Quid des PME ? Des particuliers ? 65
Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 66
Etude des solutions installées en entreprise • Certaines menaces sont traitées de facto • Les menaces les plus « techniques » sont encore oubliées. • Cas des vulnérabilités informatiques dites « connues ». 67
Rôle des autorités de SSI • Autorités gouvernementales de la SSI • 2 rôles majeurs : surveillance, information 68
Les vulnérabilités connues ou « historiques » • Vulnérabilités publiées par les autorités (8000 en 2014) • CERT : Computer Emergency Response Team • Objectif : avertir les usagers des nouvelles failles pour se protéger en temps réel Heartbleed Shellshock 69
Problème : qui suit ces alertes en continu ? 70
71
Résultat • Cette liste constitue l’armurerie parfaite pour les pirates • Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités • Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes. 72
Source : Gartner 80% des attaques réussies utiliseront au moins une vulnérabilité connue en 2015. 73
Les pirates évoluent, nous devons adapter nos mentalités et nos moyens de défense. 74
R.O.I. et Sécurité informatique Faire de la cybersécurité un investissement créateur de valeur 75
Etude du R.O.I. - Cas classique Poste Dépenses Recettes 76
Etude du R.O.I. - Cas classique Poste Dépenses Recettes 1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10% 2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0% 3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10% 77
Et dans la Cybersécurité ? 78
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes 79
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0 - Dépenses = 0, Pertes = 5000 80
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 81
La sécurité informatique avec une vision classique de R.O.I. se défend mal. Pourtant… 82
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 83
Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 Total : -1000 Total : -5000 84
La sécurité informatique
 préserve la valeur de l’entreprise. 85
La sécurité informatique
 préserve la valeur de l’entreprise. On la perçoit donc comme un outil de réduction de risque. 86
Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 87
Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 10% de chances d’avoir un Accident 10.000.000€ de pertes attendues si l’Accident se produit Budget ≤ 1.000.000€ pour se protéger Ex : 88
Les biais de l’approche « Réduction du risque » • Risque de la sécurité informatique :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Pertes liées à la sécurité informatique :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ? 89
Les biais de l’approche « Réduction du risque » • Risque de la sécurité informatique :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Pertes liées à la sécurité informatique :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ? Manque de données sur l’environnement et ses enjeux. 90
Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 
 
 A : un gain certain de 100 €
 B : 1 chance sur 2 de gagner 200 € (ou 0€) 91
Les biais de l’approche « Réduction du risque » • Question 2 - Que préférez-vous entre :
 
 
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) 92
Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 A : un gain certain de 100 € — 72%
 B : 1 chance sur 2 de gagner 200 € (ou 0€) • Question 2 - Que préférez-vous entre :
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64% Problèmes équivalents mais humain irrationnel. Phénomène d’aversion à la perte (Tversky, Kahneman, 1986). 93
L’approche classique ALE ne pousse pas à assainir l’écosystème. 2 solutions :
 1) Créer de la valeur avec la cybersécurité.
 2) Réglementer l’écosystème. 94
Créer de la valeur avec la cybersécurité • Faire de la sécurité informatique un argument commercial :
 « Notre système d’information a été audité pendant 5 jours par une équipe d’experts en sécurité. Avec nous, vos données sont protégées. » • Inclure des solutions de sécurité dans ses produits :
 - Voitures vendues avec des alarmes en option.
 - Infogéreurs vendent des serveurs infogérés avec une option sécurité. 95
Créer de la valeur avec la cybersécurité • La sécurité informatique augmente alors la valeur perçue par le client, en termes de qualité. • Le fait d’embarquer des solutions permet d’apporter en plus du confort et de la simplicité. • Ces approches réduisent le risque informatique, et en déportent le coût sur le client final. 96
Réglementer l’écosystème • Approche de l’assurance :
 - Tout conducteur doit avoir souscrit une assurance auto.
 - Tout salarié cotise à l’assurance chômage. • Depuis 2013, Loi de Programmation Militaire :
 - Fixe des obligations comme l’interdiction de connecter certains systèmes à Internet ;
 - Met en place de systèmes de détections par des prestataires labélisés par l’Etat ;
 - Vérifie le niveau de sécurité des SI critiques à travers un système d’audit ;
 - Et en cas de crise majeure, peut imposer les mesures nécessaires aux opérateurs. Source cyberstrategie.org 97
Réglementer l’écosystème • LPM s’applique aux Opérateurs d’Importance Vitale :
 - Transport ;
 - Energie ;
 - Télécommunications… • Les OIV doivent notifier les attaques informatiques à l’Agence Nationale de la Sécurité des Systèmes d’Information. • Au niveau européen, directives votées en 2014 permettent à un Etat d’avertir le public d’une attaque sur OIV… 98
Démonstration Attaque par injection XSS sur un site connu Visite d’un site du Darkweb 99
Projections et réglementation Projections sur l’écosystème et réglementation en cours 100
Evolution globale de la sécurité DétectionGuérison Bruce Schneier au FIC 2015 Présent 101
Evolution globale de la sécurité CorrectionDétectionGuérison Bruce Schneier au FIC 2015 Présent 102
De la guérison à la prévention • Guérison : suite à une attaque, opérations de remise en service du système d’information. • Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion. • Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter. 103
Evolutions réglementaires • Transposition des directives européennes en France ? • Extension progressive de la réglementation imposée aux OIV à l’ensemble des entreprises françaises ? • Vers une assurance Cyber-Risques obligatoire ? Objectif : Atteindre la « Cyber-Résilience » européenne 104
105
Les menaces sont multiples, complexes. Les technologies de protection deviennent de plus en plus mûres et automatisées. Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont. Conclusion 106
Notre avis sur l’avenir ? L’assainissement de l’écosystème passe par des solutions de sécurité embarquées, automatisées et économiques, et supportées par des évolutions réglementaires. 107
Merci pour votre attention ! Questions / Réponses 108
CYBERWATCHCybersecurity as a Service Protéger - Détecter - Corriger contact@cyberwatch.fr http://www.cyberwatch.fr 109

Recommandé

Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 

Recommandé

Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Audit
AuditAudit
Auditzan
 
Les attaques
Les attaquesLes attaques
Les attaquesnadia sassi
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMEAvignon Delta Numérique
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITESINCLAIR JAZA FOLEFACK
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
BigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataBigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataLilia Sfaxi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 

Contenu connexe

Tendances

Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Audit
AuditAudit
Auditzan
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMEAvignon Delta Numérique
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
BigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataBigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataLilia Sfaxi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 

Tendances (20)

Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Audit
AuditAudit
Audit
 
Les attaques
Les attaquesLes attaques
Les attaques
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
BigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataBigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big Data
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 

En vedette

La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographiqueMaxime ALAY-EDDINE
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesIbrahima FALL
 
Symfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiquesSymfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiquesNoel GUILBERT
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteNis
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Implémenter de l’authentification forte pour vos environnements Cloud
Implémenter de l’authentification forte pour vos environnements CloudImplémenter de l’authentification forte pour vos environnements Cloud
Implémenter de l’authentification forte pour vos environnements CloudMicrosoft Décideurs IT
 
Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPMounir Kaali
 
Free radius
Free radiusFree radius
Free radiusSafae Ad
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2PRONETIS
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
 

En vedette (19)

La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographique
 
radius
radiusradius
radius
 
83839589 radius
83839589 radius83839589 radius
83839589 radius
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radius
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et Technologies
 
Symfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiquesSymfony2: 30 astuces et bonnes pratiques
Symfony2: 30 astuces et bonnes pratiques
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Implémenter de l’authentification forte pour vos environnements Cloud
Implémenter de l’authentification forte pour vos environnements CloudImplémenter de l’authentification forte pour vos environnements Cloud
Implémenter de l’authentification forte pour vos environnements Cloud
 
Rapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIPRapport de stage TOIP/VOIP
Rapport de stage TOIP/VOIP
 
Free radius
Free radiusFree radius
Free radius
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusCri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radius
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 

Similaire à Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes

IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéPatrick Bouillaud
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019OPcyberland
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019OPcyberland
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréNormandie Web Xperts
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptMarrelNguemaMvome
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 

Similaire à Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes (20)

siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Hackfest @ WAQ2011
Hackfest @ WAQ2011Hackfest @ WAQ2011
Hackfest @ WAQ2011
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Evolution du paysage sécurité
Evolution du paysage sécuritéEvolution du paysage sécurité
Evolution du paysage sécurité
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 

Plus de Maxime ALAY-EDDINE

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesMaxime ALAY-EDDINE
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésMaxime ALAY-EDDINE
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Maxime ALAY-EDDINE
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Maxime ALAY-EDDINE
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Maxime ALAY-EDDINE
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...Maxime ALAY-EDDINE
 

Plus de Maxime ALAY-EDDINE (7)

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best Practices
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachés
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
 
Fonctionnement du web
Fonctionnement du webFonctionnement du web
Fonctionnement du web
 

Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes

  • 1. Enjeux et évolutions de la sécurité informatique Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 08/10/2015 1
  • 2. Faisons connaissance ! • Maxime ALAY-EDDINE • 24 ans, Consultant SSI • Président de Cyberwatch SAS • 3 ans chez SAGEM (SAFRAN) • 1 an chez SportinTown • Commencé piratage à 12 ans CYBERWATCH 2
  • 3. - Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. 3
  • 4. La sécurité absolue n’existe pas. 4
  • 6. Il faut viser un « niveau de risque acceptable ». 6
  • 7. Il faut viser un « niveau de risque acceptable ». R.O.I. 7
  • 8. Plan • Présentation générale • Evolution des attaques • R.O.I. et Sécurité informatique • Démonstration • Projections et réglementation • Questions / Réponses 8
  • 9. Présentation générale Notions de base et définitions 9
  • 10. Sécurité des systèmes d’information ? 10
  • 11. Sécurité des systèmes d’information ? Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006 11
  • 13. Définition plus « concrète »… avec les mains Disponibilité Intégrité Confidentialité Est-ce que mon système fonctionne ? Est-ce que mes données sont bonnes ? Est-ce que mon système est privé ? 13
  • 15. Dans l’industrie, 4 grands critères 15
  • 18. Des menaces multiples S T R I D E poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges 18
  • 19. Usurpation d’identité Le pirate se fait passer pour une entité. 19
  • 23. Falsification de données Le pirate modifie des données. 23
  • 28. Répudiation Le pirate fait croire qu’un évènement ne s’est jamais produit. 28
  • 33. Divulgation d’informations Le pirate publie des informations confidentielles. 33
  • 36. Déni de service Le pirate rend un service inaccessible. 36
  • 39. Déni de service distribué 39
  • 40. Déni de service distribué 40
  • 41. Elévation de privilège Le pirate obtient des droits privilégiés sur un système. 41
  • 44. Des menaces multiples… suite Sécurité physique Sécurité réseau Sécurité des applications Ingénierie sociale … 44
  • 45. Pour chaque menace, il y a une solution Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité … Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Scanner de vulnérabilités … 45
  • 46. Source : yannarthusbertrand2.org Les menaces
 évoluent et deviennent
 de plus en plus complexes. 46
  • 47. You can't defend. You can't prevent. The only thing you can do is detect and respond. - Bruce Schneier Expert SSI, inventeur du standard Bluefish 47
  • 48. Evolution des attaques Etude de la complexité et des nouvelles cibles des pirates 48
  • 49. La bombe logique - 1982 • Dossier Farewell (Vladimir Vetrov) • Opération créée par la CIA contre un pipeline russe • Code malveillant permettant de faire exploser le pipeline, sans explosif externe • Les dégâts causés étaient visibles depuis l’espace 49
  • 50. Kevin Mitnick - 1983 • Kevin Mitnick s’introduit sur le réseau du Pentagone • S’introduit par « défi » technique • Ne vole pas de données, conserve un sens éthique • Travaille désormais comme consultant SSI 50
  • 51. Morris - 1988 • Créé par Robert Tappan Morris (Cornell) en 1988 • Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm) • Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés. • Plus de 6000 ordinateurs infectés, pour $100M d’amende. 51
  • 52. Jonathan James - 1999 • Pirate la Defense Threat Reduction Agency à 15 ans • Installe une backdoor sur un serveur, puis un sniffer, pour finalement voler des accès à des ordinateurs militaires • Récupère le code source d’un logiciel de la NASA utilisé sur la Station Spatiale Internationale pour contrôler l’environnement de vie des astronautes • Accusé à tort d’une autre attaque, se suicide en 2008 52
  • 53. MafiaBoy - 2000 • Michael Calce (aka MafiaBoy) réalise des attaques par Déni de service distribué sur des majors (Amazon, CNN, eBay, Yahoo!) • Explique avoir voulu tester des attaques pour concevoir de nouveaux dispositifs de protection • Les dégâts sont évalués à plus de $1,2Mrds • Reconverti dans la sécurité informatique 53
  • 54. Estonie - 2007 • L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie. • Les services gouvernementaux sont stoppés • Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés 54
  • 55. Operation Aurora - 2009 • Google China est victime d’une attaque majeure de la part du gouvernement chinois • Objectif : récupérer des données sur des activistes de la lutte pour les droits de l’Homme 55
  • 56. Israël - 2009 • 5.000.000 d’ordinateurs réalisent une attaque de Déni de service distribué sur les sites gouvernementaux israéliens. • Ces attaques sont réalisées pendant l’offensive de Janvier 2009 sur la bande de Gaza. • L’origine des attaques semble être liée à un ancien état soviétique et aux organisations type Hamas/Hezbollah. 56
  • 57. La Cyber-armée iranienne - 2010 • Des militants iraniens attaquent Twitter et Baidu (Google chinois). • Les internautes sont redirigés vers une page pirate avec un message politique. 57
  • 58. StuxNet - 2010 • Virus de très haute expertise technique visant les machines industrielles Siemens. • Découvert en Iran et en Indonésie. • Semble viser le programme nucléaire iranien. 58
  • 59. Red October - 2012 • Kaspersky découvre un virus en activité depuis 2007 • Le virus a dérobé des informations confidentielles dans des entités gouvernementales et des entreprises sur des systèmes critiques. • Utilise des vulnérabilités dans Word et Excel 59
  • 60. Sony Pictures Entertainment - 2014 • Vol massif de données (films notamment) • Les données ont été diffusées sur Internet • Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M 60
  • 61. Ashley Madison - 2015 • Vol massif de données (60 Go) • > 30M de comptes utilisateurs rendus publics • Problème : pas de surveillance du réseau, mots de passe trop simples (Pass1234) 61
  • 62. Ashley Madison - 2015 • (source Gizmodo et Dadaviz) • Perte financière :
 - Chantage auprès des utilisateurs du site
 - Class-Action contre l’entreprise, coût estimé > $5 M 62
  • 63. Constat • Ces attaques évoluent et deviennent de plus en plus élaborées (Morris -> StuxNet). • Les attaques sont maintenant médiatisées (Ashley Madison, Daesh…). • Les plus connues concernent avant tout les grandes entreprises et les gouvernements. • Les techniques d’attaques s’industrialisent. • Petit à petit, création d’un milieu « cybercriminel », avec ses enjeux économiques. 63
  • 64. Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou la diffusion d’idées politiques. 64
  • 65. Quid des PME ? Des particuliers ? 65
  • 66. Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 66
  • 67. Etude des solutions installées en entreprise • Certaines menaces sont traitées de facto • Les menaces les plus « techniques » sont encore oubliées. • Cas des vulnérabilités informatiques dites « connues ». 67
  • 68. Rôle des autorités de SSI • Autorités gouvernementales de la SSI • 2 rôles majeurs : surveillance, information 68
  • 69. Les vulnérabilités connues ou « historiques » • Vulnérabilités publiées par les autorités (8000 en 2014) • CERT : Computer Emergency Response Team • Objectif : avertir les usagers des nouvelles failles pour se protéger en temps réel Heartbleed Shellshock 69
  • 70. Problème : qui suit ces alertes en continu ? 70
  • 71. 71
  • 72. Résultat • Cette liste constitue l’armurerie parfaite pour les pirates • Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités • Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes. 72
  • 73. Source : Gartner 80% des attaques réussies utiliseront au moins une vulnérabilité connue en 2015. 73
  • 74. Les pirates évoluent, nous devons adapter nos mentalités et nos moyens de défense. 74
  • 75. R.O.I. et Sécurité informatique Faire de la cybersécurité un investissement créateur de valeur 75
  • 76. Etude du R.O.I. - Cas classique Poste Dépenses Recettes 76
  • 77. Etude du R.O.I. - Cas classique Poste Dépenses Recettes 1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10% 2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0% 3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10% 77
  • 78. Et dans la Cybersécurité ? 78
  • 79. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes 79
  • 80. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0 - Dépenses = 0, Pertes = 5000 80
  • 81. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 81
  • 82. La sécurité informatique avec une vision classique de R.O.I. se défend mal. Pourtant… 82
  • 83. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 83
  • 84. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 Total : -1000 Total : -5000 84
  • 85. La sécurité informatique
 préserve la valeur de l’entreprise. 85
  • 86. La sécurité informatique
 préserve la valeur de l’entreprise. On la perçoit donc comme un outil de réduction de risque. 86
  • 87. Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 87
  • 88. Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 10% de chances d’avoir un Accident 10.000.000€ de pertes attendues si l’Accident se produit Budget ≤ 1.000.000€ pour se protéger Ex : 88
  • 89. Les biais de l’approche « Réduction du risque » • Risque de la sécurité informatique :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Pertes liées à la sécurité informatique :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ? 89
  • 90. Les biais de l’approche « Réduction du risque » • Risque de la sécurité informatique :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Pertes liées à la sécurité informatique :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ? Manque de données sur l’environnement et ses enjeux. 90
  • 91. Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 
 
 A : un gain certain de 100 €
 B : 1 chance sur 2 de gagner 200 € (ou 0€) 91
  • 92. Les biais de l’approche « Réduction du risque » • Question 2 - Que préférez-vous entre :
 
 
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) 92
  • 93. Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 A : un gain certain de 100 € — 72%
 B : 1 chance sur 2 de gagner 200 € (ou 0€) • Question 2 - Que préférez-vous entre :
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64% Problèmes équivalents mais humain irrationnel. Phénomène d’aversion à la perte (Tversky, Kahneman, 1986). 93
  • 94. L’approche classique ALE ne pousse pas à assainir l’écosystème. 2 solutions :
 1) Créer de la valeur avec la cybersécurité.
 2) Réglementer l’écosystème. 94
  • 95. Créer de la valeur avec la cybersécurité • Faire de la sécurité informatique un argument commercial :
 « Notre système d’information a été audité pendant 5 jours par une équipe d’experts en sécurité. Avec nous, vos données sont protégées. » • Inclure des solutions de sécurité dans ses produits :
 - Voitures vendues avec des alarmes en option.
 - Infogéreurs vendent des serveurs infogérés avec une option sécurité. 95
  • 96. Créer de la valeur avec la cybersécurité • La sécurité informatique augmente alors la valeur perçue par le client, en termes de qualité. • Le fait d’embarquer des solutions permet d’apporter en plus du confort et de la simplicité. • Ces approches réduisent le risque informatique, et en déportent le coût sur le client final. 96
  • 97. Réglementer l’écosystème • Approche de l’assurance :
 - Tout conducteur doit avoir souscrit une assurance auto.
 - Tout salarié cotise à l’assurance chômage. • Depuis 2013, Loi de Programmation Militaire :
 - Fixe des obligations comme l’interdiction de connecter certains systèmes à Internet ;
 - Met en place de systèmes de détections par des prestataires labélisés par l’Etat ;
 - Vérifie le niveau de sécurité des SI critiques à travers un système d’audit ;
 - Et en cas de crise majeure, peut imposer les mesures nécessaires aux opérateurs. Source cyberstrategie.org 97
  • 98. Réglementer l’écosystème • LPM s’applique aux Opérateurs d’Importance Vitale :
 - Transport ;
 - Energie ;
 - Télécommunications… • Les OIV doivent notifier les attaques informatiques à l’Agence Nationale de la Sécurité des Systèmes d’Information. • Au niveau européen, directives votées en 2014 permettent à un Etat d’avertir le public d’une attaque sur OIV… 98
  • 99. Démonstration Attaque par injection XSS sur un site connu Visite d’un site du Darkweb 99
  • 100. Projections et réglementation Projections sur l’écosystème et réglementation en cours 100
  • 101. Evolution globale de la sécurité DétectionGuérison Bruce Schneier au FIC 2015 Présent 101
  • 102. Evolution globale de la sécurité CorrectionDétectionGuérison Bruce Schneier au FIC 2015 Présent 102
  • 103. De la guérison à la prévention • Guérison : suite à une attaque, opérations de remise en service du système d’information. • Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion. • Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter. 103
  • 104. Evolutions réglementaires • Transposition des directives européennes en France ? • Extension progressive de la réglementation imposée aux OIV à l’ensemble des entreprises françaises ? • Vers une assurance Cyber-Risques obligatoire ? Objectif : Atteindre la « Cyber-Résilience » européenne 104
  • 105. 105
  • 106. Les menaces sont multiples, complexes. Les technologies de protection deviennent de plus en plus mûres et automatisées. Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont. Conclusion 106
  • 107. Notre avis sur l’avenir ? L’assainissement de l’écosystème passe par des solutions de sécurité embarquées, automatisées et économiques, et supportées par des évolutions réglementaires. 107
  • 108. Merci pour votre attention ! Questions / Réponses 108
  • 109. CYBERWATCHCybersecurity as a Service Protéger - Détecter - Corriger contact@cyberwatch.fr http://www.cyberwatch.fr 109