SlideShare une entreprise Scribd logo
1  sur  34
Télécharger pour lire hors ligne
Risques, architectures et processus
Comment survivre à toutes ces
choses qui dansent la nuit !
Clément Gagnon
CCSK, CISA, CISSP, CRISC
Tactika inc.
Février 2019
La sécurité de l’information et la maitrise de la complexité et des risques
Table des matières
I. État des lieux
II. Constats
III.Piste de solution
2
I. État des lieux
Nous vivons dans un
« VUCA world »
Volatility, Uncertainty, Complexity & Ambiguity
Concept introduit par U.S. Army War College
Volatilité, Incertitude, Complexité et Ambiguïté
 Les situations changent rapidement et elles sont instables
 Les résultats sont souvent difficiles à prévoir
 Les nombreuses interactions entre les éléments engendrent un schéma de relations, de causes à
effet qui résultent en un chaos apparent
 Il est difficile de distinguer l’ami de l’ennemi
ISF Threat 2019, Information Security Forum
3
Disruption | rupture, perturbation
• Nos activités socio-économiques ont développé une grande
dépendance au « cyber »
• Tout est interconnecté, tout repose sur le net !
• Certaines couches technologiques ne sont plus adaptées à
la situation
• Protocoles TCP/IP v4 (créé en 1974), BGP, SS7, etc.
• Certaines couches technologiques sont vulnérables
• Ex. Les vulnérabilités Spectre et Meltdown dans le microcode des
processeurs Intel
• IoT ou ‘Internet of shit’
ISF Threat 2019, Information Security Forum
4
Tout est interconnecté
5
Statistique des cyber-attaques 2018
6
Agent : source des ( cyber) attaques
7
Distorsion | Confiance & données
• Production et collecte massive de données
• Big Data
• « Yotta » bits : mille mille milliards de milliards, 1024
• IoT, téléphones intelligents, transport et villes intelligentes
• L’érosion de la confiance
• Manipulation de l’opinion publique & Capitalisme de surveillance vs. Vie privée
• Activités de puissances étrangères et autres groupes organisés
• Les géants du web : BATX & GAFAM
• Baidu, Alibaba, Tencent et Xiaomi
Google, Amazon, Facebook, Apple, Microsoft
ISF Threat 2019, Information Security Forum
8
Données massives
9
250 GB / hre
5 exa B
180 peta B
http://www.internetlivestats.com/
Cisco Cloud index 2014-2019
Capitalisme de surveillance vs. Vie privée
10
Détérioration
• Délicat et fragile équilibre entre la réglementation et la protection
de la vie privée
• Frein à l’innovation
• Évolution rapide et soutenue des technologies grâce à l’innovation
• Incertitude sur l’avenir
• Bouleversement et rupture géopolitique
• Fragmentation de l’Internet
• Détournement envers les institutions politiques et économiques
• Cryptomonnaies
ISF Threat 2019, Information Security Forum
11
Réglementation et innovation
RGPD / Règlement Général sur la Protection
des Données
• Règlement européen
• Canevas pour plusieurs législations (futures) à
travers le monde
• Imposition de plusieurs exigences
• Nécessité d’avis légaux et éventuellement d’audit
• Potentiellement un frein à l’innovation
• Même si vous êtes localisé hors du territoire
européen
12
Vélocité des innovations, tendances & risques
« Toute technologie suffisamment avancée est indiscernable de la magie. » Arthur C. Clarke
Impacts
• Augmentation de la
surface d’attaque
• Érosion de la vie
privée
• Dépendance
technologique
• Expertise difficile à
acquérir et
maintenir
13
https://www.gartner.com/doc/3891569?srcId=1-7251599992&cm_sp=swg-_-gi-_-dynamic
Fragmentation de l’Internet
• Géopolitique et militarisation
14
https://citizenlab.ca/2015/04/chinas-great-cannon/
II. Constats
• L’innovation, l’interconnexion et la vélocité augmentent la
performance, les gains et … l’exposition aux risques
• Une approche traditionnelle,
linéaire et binaire
ne fonctionne plus
15
III. Piste de solution
16
Risque
Architecture
Technologie
Risques
Communiquer
Communiquer le risque
Relation entre la
complexité et le risque
17
Processus de gestion de risque ISO/CEI 27005
Communiquer
Impact(s)
Disponibilité
Intégrité
Confidentialité
RISQUE
Vulnérabilité(s)
Mesure(s)
de contrôle
Modèle générique du risque
Surfaces d’attaque
18
Menace(s)
Probabilité
Agent
Communiquer
Risque & Complexité
• Complexité
• Du latin classique « complexus »» signifiant entrelacé
• Selon Edgar Morin, « … la complexité surgit comme difficulté,
comme incertitude et non pas comme clarté et comme réponse
… »
• Risque
• Le risque est l’effet de l'incertitude sur l'atteinte des objectifs
ISO 31000 Risk management – Guidelines, Second edition 2018-02
19
Communiquer
Complexité & Chaine des risques
« Anne, ma sœur Anne, ne vois-tu rien venir ? »
La Barbe Bleue de Charles Perrault
• Le risque est rarement simple
• Malgré la résilience de chacun,
l’interconnexion des systèmes*
entraine une interdépendance de
ceux-ci avec des conséquences
• Cascade de défaillances  chaine
de risques
* Système de systèmes : hyperconnexion
20
Communiquer
Risques globaux
The Global Risks Report 2019, World Economic Forum
21
Communiquer
Penser différemment
22
• S’adapter aux interlocuteurs
• Changer de perspective
Communiquer
Penser différemment
23
• Illustration des concepts de
probabilité et d’impact
Communiquer
Communiquer le risque … simplement !
24
Film in Five Seconds: Over 150 Great Movie Moments - in Moments!
Gianmarco Milesi Matteo Civaschi (2013)
Le scénario du film « Le parc jurassique » résumé en 5 secondes
Communiquer
Architectures
Comprendre
 Simplicité
 Architecturer pour être intelligible et pérenne
25
Comprendre
Architectures & modèles/pattern
• « Industrialisation » des modèles et
méthodes
• Codification dans un formalisme
simple, structuré et
compréhensible
• Permet
• Une réutilisation du savoir et de
l’expérience
• Une intégration « efficience » de la
sécurité dans l’organisation
Structure « générique » d’un pattern
• Nom
• Résumé
• Problème
• Solution
• Implantation
• Impacts
• Patterns qui sont liés
26
Peut varier selon
le contexte
Communiquer
Application des patterns en SI
circa 2006
27
Table des matières
• Enterprise Security and Risk Management Patterns
• Identification & Authentication (I&A) Patterns
• Access Control Model Patterns
• System Access Control Architecture Patterns
• Operating System Access Control Patterns
• Accounting Patterns
• Firewall Architecture Patterns
• Secure Internet Applications Patterns
• Cryptographic Key Management Patterns
• Related Security Pattern Repositories Patterns
Communiquer
Recueils de patterns
28
Communiquer
www.opensecurityarchitecture.org
Exemple d’un modèle/pattern
29
Communiquer
Pattern et architectures
30
Guide
d’exploitation
Modèle #2 Accès du citoyen aux systèmes de mission
Contrôle
d’accès
au
périmètre
MJQ
Contrôle d’accès
Authentification
Gestion des
identités et des
habilitations
Systèmes de mission
Détection des intrusions
Surveillance et journalisation
SQIA
Modèle #4 Gestion des identités et des habilitations
Détection des intrusions
Surveillance et journalisation
SQIA
Contrôle d’accès
Authentification
Gestion des identités
et des habilitations
Serveur
de
politique
Systèmes de mission
Fédérateur
Répertoire
Portail
accueil
Architecture
détaillée
Fiche
Architecture technologique
de sécurité
Architecture des
infrastructures technologiques
Référentiel de l’architecture d’entreprise
Objet Catalogue de services
Service

30
IA & ML & SI
Intelligence artificielle & Machine Learning et la sécurité de l’information
S’outiller
 Exploiter les nouvelles technologies afin de maitriser la situation
Machine Learning
 Processus de fonctionnement d'un système d'intelligence artificielle doté d'un
système d'apprentissage
Intelligence artificielle
 Ensemble des théories et des techniques développant des programmes
informatiques complexes capables de simuler certains traits de l'intelligence
humaine (raisonnement, apprentissage…).
31
Outiller
IA & ML & SI
Intelligence artificielle & Machine Learning et la sécurité de l’information
• IA & ML permet
• Accélérer le temps l’analyse des menaces
• Réduire le temps de contention des dispositifs/composants contaminés
• Identifier les vulnérabilités
• Bénéfices
• Analyse de la sécurité plus efficace
• Simplification des processus de détection et de réponses des menaces
• Réduction de la charge de travail des spécialistes
• Avec l’aide
• Intelligence collective
• Raffinement et sophistication des algorithmes
• Puissance de traitement appliquée sur un énorme volume de données
32
Outiller
Déploiement de IA & ML
33
Outiller
Intelligence
collective
Internet
Réseau d’entreprise
Collecte des événements
Surveillance du réseau
Analyse heuristique des comportements
Actions de contention et d’éradication
Partage d’informations avec dépersonnalisation
Fin
Merci de votre attention
clement.gagnon@tactika.com
http://www.tactika.com
Twitter: @tactika
Instagram : @tactika_inc
YouTube: http://bit.ly/tactikaVideo
34

Contenu connexe

Similaire à 6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx

AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014Abdeljalil AGNAOU
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxKhalil BOUKRI
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance daCloudAcademy
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxBernardKabuatila
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecuritesidomanel
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...Symantec
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...Djallal BOUABDALLAH
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Alain EJZYN
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 

Similaire à 6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx (20)

AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptx
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Securité et gouvernance da
Securité et gouvernance daSecurité et gouvernance da
Securité et gouvernance da
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
L'Enjeux de la cyber résilience et de la souveraineté numérique en Algérie: C...
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 

Plus de Tactika inc.

ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfTactika inc.
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Tactika inc.
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxTactika inc.
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud  v1 Enjeux de sécurité relatifs au cloud  v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsTactika inc.
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 

Plus de Tactika inc. (9)

ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdf
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud  v1 Enjeux de sécurité relatifs au cloud  v1
Enjeux de sécurité relatifs au cloud v1
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisations
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx

  • 1. Risques, architectures et processus Comment survivre à toutes ces choses qui dansent la nuit ! Clément Gagnon CCSK, CISA, CISSP, CRISC Tactika inc. Février 2019 La sécurité de l’information et la maitrise de la complexité et des risques
  • 2. Table des matières I. État des lieux II. Constats III.Piste de solution 2
  • 3. I. État des lieux Nous vivons dans un « VUCA world » Volatility, Uncertainty, Complexity & Ambiguity Concept introduit par U.S. Army War College Volatilité, Incertitude, Complexité et Ambiguïté  Les situations changent rapidement et elles sont instables  Les résultats sont souvent difficiles à prévoir  Les nombreuses interactions entre les éléments engendrent un schéma de relations, de causes à effet qui résultent en un chaos apparent  Il est difficile de distinguer l’ami de l’ennemi ISF Threat 2019, Information Security Forum 3
  • 4. Disruption | rupture, perturbation • Nos activités socio-économiques ont développé une grande dépendance au « cyber » • Tout est interconnecté, tout repose sur le net ! • Certaines couches technologiques ne sont plus adaptées à la situation • Protocoles TCP/IP v4 (créé en 1974), BGP, SS7, etc. • Certaines couches technologiques sont vulnérables • Ex. Les vulnérabilités Spectre et Meltdown dans le microcode des processeurs Intel • IoT ou ‘Internet of shit’ ISF Threat 2019, Information Security Forum 4
  • 7. Agent : source des ( cyber) attaques 7
  • 8. Distorsion | Confiance & données • Production et collecte massive de données • Big Data • « Yotta » bits : mille mille milliards de milliards, 1024 • IoT, téléphones intelligents, transport et villes intelligentes • L’érosion de la confiance • Manipulation de l’opinion publique & Capitalisme de surveillance vs. Vie privée • Activités de puissances étrangères et autres groupes organisés • Les géants du web : BATX & GAFAM • Baidu, Alibaba, Tencent et Xiaomi Google, Amazon, Facebook, Apple, Microsoft ISF Threat 2019, Information Security Forum 8
  • 9. Données massives 9 250 GB / hre 5 exa B 180 peta B http://www.internetlivestats.com/ Cisco Cloud index 2014-2019
  • 10. Capitalisme de surveillance vs. Vie privée 10
  • 11. Détérioration • Délicat et fragile équilibre entre la réglementation et la protection de la vie privée • Frein à l’innovation • Évolution rapide et soutenue des technologies grâce à l’innovation • Incertitude sur l’avenir • Bouleversement et rupture géopolitique • Fragmentation de l’Internet • Détournement envers les institutions politiques et économiques • Cryptomonnaies ISF Threat 2019, Information Security Forum 11
  • 12. Réglementation et innovation RGPD / Règlement Général sur la Protection des Données • Règlement européen • Canevas pour plusieurs législations (futures) à travers le monde • Imposition de plusieurs exigences • Nécessité d’avis légaux et éventuellement d’audit • Potentiellement un frein à l’innovation • Même si vous êtes localisé hors du territoire européen 12
  • 13. Vélocité des innovations, tendances & risques « Toute technologie suffisamment avancée est indiscernable de la magie. » Arthur C. Clarke Impacts • Augmentation de la surface d’attaque • Érosion de la vie privée • Dépendance technologique • Expertise difficile à acquérir et maintenir 13 https://www.gartner.com/doc/3891569?srcId=1-7251599992&cm_sp=swg-_-gi-_-dynamic
  • 14. Fragmentation de l’Internet • Géopolitique et militarisation 14 https://citizenlab.ca/2015/04/chinas-great-cannon/
  • 15. II. Constats • L’innovation, l’interconnexion et la vélocité augmentent la performance, les gains et … l’exposition aux risques • Une approche traditionnelle, linéaire et binaire ne fonctionne plus 15
  • 16. III. Piste de solution 16 Risque Architecture Technologie
  • 17. Risques Communiquer Communiquer le risque Relation entre la complexité et le risque 17 Processus de gestion de risque ISO/CEI 27005 Communiquer
  • 19. Risque & Complexité • Complexité • Du latin classique « complexus »» signifiant entrelacé • Selon Edgar Morin, « … la complexité surgit comme difficulté, comme incertitude et non pas comme clarté et comme réponse … » • Risque • Le risque est l’effet de l'incertitude sur l'atteinte des objectifs ISO 31000 Risk management – Guidelines, Second edition 2018-02 19 Communiquer
  • 20. Complexité & Chaine des risques « Anne, ma sœur Anne, ne vois-tu rien venir ? » La Barbe Bleue de Charles Perrault • Le risque est rarement simple • Malgré la résilience de chacun, l’interconnexion des systèmes* entraine une interdépendance de ceux-ci avec des conséquences • Cascade de défaillances  chaine de risques * Système de systèmes : hyperconnexion 20 Communiquer
  • 21. Risques globaux The Global Risks Report 2019, World Economic Forum 21 Communiquer
  • 22. Penser différemment 22 • S’adapter aux interlocuteurs • Changer de perspective Communiquer
  • 23. Penser différemment 23 • Illustration des concepts de probabilité et d’impact Communiquer
  • 24. Communiquer le risque … simplement ! 24 Film in Five Seconds: Over 150 Great Movie Moments - in Moments! Gianmarco Milesi Matteo Civaschi (2013) Le scénario du film « Le parc jurassique » résumé en 5 secondes Communiquer
  • 25. Architectures Comprendre  Simplicité  Architecturer pour être intelligible et pérenne 25 Comprendre
  • 26. Architectures & modèles/pattern • « Industrialisation » des modèles et méthodes • Codification dans un formalisme simple, structuré et compréhensible • Permet • Une réutilisation du savoir et de l’expérience • Une intégration « efficience » de la sécurité dans l’organisation Structure « générique » d’un pattern • Nom • Résumé • Problème • Solution • Implantation • Impacts • Patterns qui sont liés 26 Peut varier selon le contexte Communiquer
  • 27. Application des patterns en SI circa 2006 27 Table des matières • Enterprise Security and Risk Management Patterns • Identification & Authentication (I&A) Patterns • Access Control Model Patterns • System Access Control Architecture Patterns • Operating System Access Control Patterns • Accounting Patterns • Firewall Architecture Patterns • Secure Internet Applications Patterns • Cryptographic Key Management Patterns • Related Security Pattern Repositories Patterns Communiquer
  • 30. Pattern et architectures 30 Guide d’exploitation Modèle #2 Accès du citoyen aux systèmes de mission Contrôle d’accès au périmètre MJQ Contrôle d’accès Authentification Gestion des identités et des habilitations Systèmes de mission Détection des intrusions Surveillance et journalisation SQIA Modèle #4 Gestion des identités et des habilitations Détection des intrusions Surveillance et journalisation SQIA Contrôle d’accès Authentification Gestion des identités et des habilitations Serveur de politique Systèmes de mission Fédérateur Répertoire Portail accueil Architecture détaillée Fiche Architecture technologique de sécurité Architecture des infrastructures technologiques Référentiel de l’architecture d’entreprise Objet Catalogue de services Service  30
  • 31. IA & ML & SI Intelligence artificielle & Machine Learning et la sécurité de l’information S’outiller  Exploiter les nouvelles technologies afin de maitriser la situation Machine Learning  Processus de fonctionnement d'un système d'intelligence artificielle doté d'un système d'apprentissage Intelligence artificielle  Ensemble des théories et des techniques développant des programmes informatiques complexes capables de simuler certains traits de l'intelligence humaine (raisonnement, apprentissage…). 31 Outiller
  • 32. IA & ML & SI Intelligence artificielle & Machine Learning et la sécurité de l’information • IA & ML permet • Accélérer le temps l’analyse des menaces • Réduire le temps de contention des dispositifs/composants contaminés • Identifier les vulnérabilités • Bénéfices • Analyse de la sécurité plus efficace • Simplification des processus de détection et de réponses des menaces • Réduction de la charge de travail des spécialistes • Avec l’aide • Intelligence collective • Raffinement et sophistication des algorithmes • Puissance de traitement appliquée sur un énorme volume de données 32 Outiller
  • 33. Déploiement de IA & ML 33 Outiller Intelligence collective Internet Réseau d’entreprise Collecte des événements Surveillance du réseau Analyse heuristique des comportements Actions de contention et d’éradication Partage d’informations avec dépersonnalisation
  • 34. Fin Merci de votre attention clement.gagnon@tactika.com http://www.tactika.com Twitter: @tactika Instagram : @tactika_inc YouTube: http://bit.ly/tactikaVideo 34