Diaporama utilisé par Alain Ninane, responsable de la sécurité de l'information de l'UCL, lors de sa présentation au Forum financier du Brabant wallon, le 24 avril 2019.
Et si finalement, nous étions les meilleurs acteurs de notre cybersécurité?
1. ET SI FINALEMENT, NOUS ÉTIONS LES
MEILLEURS ACTEURS DE NOTRE
CYBERSÉCURITÉ ?
Forum Financier du Brabant wallon
24 avril 2019
Alain Ninane – RSSI@UCLouvain.be
2. PLAN
• Un peu de théorie
• Définitions
• Cadre légal
• Expérience UCLouvain
• Domaines d’attention
• Le hacking social
• La protection des données
• L’internet des objets
• Le nomadisme
• Conclusion
• Liens utiles
24 avril 2019 Forum Financier BW 2
3. Cybersécurité ?
• Wikipédia en donne une définition intéressante
• Le mot cybersécurité est un néologisme désignant le rôle de
l’ensemble des lois, politiques, outils, dispositifs, concepts et
mécanismes de sécurité, méthodes de gestion des risques,
actions, formations, bonnes pratiques et technologies [….]
• Vision courante
• Sécurité informatique
• Quels mots-clefs ressortent le plus ?
• +++ Antivirus …
• ++ Parefeu …
• + Phishing … Hacker …
• -- Backup …
• Vision essentiellement technique
24 avril 2019 Forum Financier BW 3
4. Informatique – Information - Données
• Informatique
• Traitement automatique de l’information (début 20è s. )
• Vision essentiellement technologique :
• Matériel, Logiciel, Réseau…
• Information
• Connaissance pouvant avoir un effet
• Remonte à l’antiquité
• 1er document chiffré (16è s. av. j-c.)
• Données
• Représentation de l’information
24 avril 2019 Forum Financier BW 4
5. Informatique – Information - Données
• Ce sont des actifs (a de la valeur)
• Spécifiques
• Les actifs propres du système informatique
• Serveurs, logiciels, PCs d’une salle de change…
• Sous contrôle du service informatique
• A-Spécifiques
• Les actifs portés par le système informatique
• Données
• Numéro de compte client
• Documents de travail réunion
• Hors de contrôle du service informatique
24 avril 2019 Forum Financier BW 5
6. Les nouveaux actifs du 21è s.
• Les données sont le nouvel or noir
• Des hôpitaux belges vendent les données de leurs
patients (Le Soir, 6/10/2017)
• Taxe sur les GAFA: l'UE se laisse intimider (Le Soir,
7/11/2018)
• Facebook: une faille expose les données de 540
millions d’utilisateur (Le Soir, 4 avril 2019)
• Internet est le 4è fluide…
• En complément du gaz, de l’eau et de l’électricité
24 avril 2019 Forum Financier BW 6
7. Actifs – Menaces et Protection
• Sécurité
• En anglais : safety
• Prévention/gestion d’incidents imprévus
• Exemples : Panne d’un serveur, fibre optique coupée
lors d’un chantier, délestage, crash disque…
• Sûreté
• En anglais : security
• Prévention/gestion d’incidents volontaires
• Sous-entendu : d’origine humaine (hackers…)
• Exemples : Intrusion dans un serveur, sabotage de
matériel, fausses factures…
24 avril 2019 Forum Financier BW 7
9. Cadres légaux (en général)
• Sécurité
• Service de prévention et protection au travail
• Loi de 1996 sur le bien être au travail, harcèlement,
prévention incendie… (remplace-ra le RGPT)
• Comité prévention et protection au travail (CPPT)
• Sûreté
• Service de sûreté (p.ex. gardiennage)
• Loi sur la sécurité privée et particulière (ex loi Tobback)
24 avril 2019 Forum Financier BW 9
10. Cadre légal pour les données ?
• Cadre légal “pauvre”
• Ex Loi vie privée de 1992
• Loi cybercriminalité 2000
• Loi communications électronique 2005
• CCT 81 sur la cybersurveillance
• CCT 68 videosurveillance
• Anectotes
• Piratage BISTEL (Le Soir, 5/11/1988)
• Accès “soudés” carte bancaire (Misc N°56, 07/2011)
24 avril 2019 Forum Financier BW 10
11. Cadre légal – Epilogue J - LE RGPD !
• Règlement Général Protection des Données
• Porte ses effets depuis le 25 mai 2018
• Pas une directive ; un règlement
• Pas de transposition nécessaire en droit belge
• Directement applicable
• Mais lacunes par rapport à loi VP de 1992 (abrogée)
• CPVP -> APD
• Commission de la protection de la vie privée
• Autorité de protection des données
24 avril 2019 Forum Financier BW 11
12. Le RGPD en bref
• Nouvelle loi “Vie Privée” européenne
• Notion de consentement
• Plus de consentement tacite
• Fondement du traitement
• Droit des personnes concernées
• Information – rectification - effacement
• Organisation
• Data Protection Officer
• Privacy by design
• Registre des activités de traitement
• Registre des incidents
• Sanctions
24 avril 2019 Forum Financier BW 12
13. Votre orateur – RSSI@UCLouvain
• Responsable Sécurité du Système d’Information
• Missions
• Conseiller
• Coordinateur
• Gestionnaire d’identité
• Expérience dans le 𝜇-cosme UCLouvain
• Le vrai problème ne relève pas de la technologie
mais surtout des utilisateurs (80%)
• Importance de la sensibilisation et formation
24 avril 2019 Forum Financier BW 13
14. Domaines d’attention
1. Hacking Social
2. La protection des données
3. L’internet des objets
4. Logiciel et matériels
5. Le Cloud
6. Le nomadisme
7. L’informatique cachée
24 avril 2019 Forum Financier BW 14
15. 1 – Le Hacking Social
• Phishing
• Sites Web malicieux
• Documents ou mails malicieux
• Fraude au CEO
• Réseaux sociaux
• Facebook, Skype…
• Faux ami.e(s)
• Comportements innapropriés
• Demandes de rançon
24 avril 2019 Forum Financier BW 15
18. Phishing 3 – Elements d’attention
24 avril 2019 Forum Financier BW 18
19. Phishing 4 – Elements d’attention
24 avril 2019 Forum Financier BW 19
20. Mails avec documents malicieux
• Document attractif ou attendu
• Contient du code malveillant qui va infecter votre
ordinateur
• Document Word avec Macro
• Fichier PDF trafiqué (avec vieil Acrobat Reader)
• Cryptojacking
• Cryptolocker (chiffrement du disque dur)
• Ransomware (paiement d’une rançon)
• Moneyjacking
• Votre ordinateur va servir à “miner” des bitcoins
• “Vol” de votre puissance de calcul et de votre électricité
24 avril 2019 Forum Financier BW 20
24. Fraude au CEO
24 avril 2019 Forum Financier BW 24
• https://goo.gl/uTXAse
25. Mesures de précautions
• Vérifier l’adresse réelle d’expédition
• Dans la mesure du possible (voir les entêtes)
• Vérifier la plausibilité du contenu
• Au besoin, confirmation par téléphone
• Au numéro que VOUS connaissez
• Ne cliquer pas compulsivement
• Signature / Chiffrement des emails
• Utilisation de certificats numériques
• Authenticité de l’expéditeur
• Non répudiation du contenu
• Secret de la communication
24 avril 2019 Forum Financier BW 25
26. 2 – La Protection des Données (1)
• Mot de passe
• Utilisation : spamming, espionnage, fraude…
• Complexité (et surtout longueur)
• C’est personnel… comme une brosse à dents
• Utilisation d’un 2nd facteur d’authentification
• Vol de matériel
• Quid du matériel et des données volées ?
• Backup, chiffrement (Réflexions en cours)
• Les backups
• Protection contre le vol
• Protection contre la destruction accidentelle (ou volontaire)
• Doivent être automatiques !!
24 avril 2019 Forum Financier BW 26
27. 2 – La Protection des Données (2a)
• Fuite de données
• Réfléchir au périmètre de diffusion des documents
• Classifier les documents
• Confidentiels, Restreints, Internes, Publics
• Suis-je victime d’une fuite de données ?
• Recherche Google avancées
• "alain ninane" site:uclouvain.be filetype:pdf
• Have I been pawned
• https://haveibeenpwned.com/
• Présence d’une adresse email dans une fuite de données
• Possibilité de compte institutionnel
• Pastebin
• Plateforme d’échange de documents textes
• http://www.pastebin.com
• Possibilité de configurer des triggers
24 avril 2019 Forum Financier BW 27
28. 2 – La Protection des Données (2b)
24 avril 2019 Forum Financier BW 28
29. 2 – La Protection des Données (3)
• Utilisation des stockages Cloud
• Attention aux données à caractère personnel
• Attention aux clouds gratuits (à-la-Dropbox)
• Attention aux formulaires Google (p.ex.)
• Préférence aux solutions institutionnelles
• Cloud ou pas Cloud
• Interne ou Externe
• Chiffrement des documents
• https://www.cnil.fr/fr/comment-chiffrer-ses-documents-et-ses-repertoires
24 avril 2019 Forum Financier BW 29
30. 2 – La Protection des Données (4)
• Protection des sites Web
• Mises-à-jours des frameworks (wordpress, joomla…)
• Destruction
• De documents, y compris papiers…
• Disques durs
• Effacé du web ≠ disparaître du web
• Internet archives : https://archive.org/web/
24 avril 2019 Forum Financier BW 30
32. 3 – L’Internet des Objets (1)
• Objets connectés
• Parfois à l’insu de votre plein gré J
• Matériel bureautique
• Photocopieurs, scanners
• Routeurs WIFI
• Domotique
• Chauffage, Aspirateurs
• Caméras de surveillance
• Caméras belges non protégées
• http://www.insecam.org/en/bycountry/BE/
24 avril 2019 Forum Financier BW 32
33. 3 – L’Internet des Objets (2)
• Comment savoir si on est concerné ?
• https://www.shodan.io
• Permet de mesurer sa surface d’attaque
24 avril 2019 Forum Financier BW 33
35. 4 – Le Nomadisme (1)
• WIFI
• Eviter les WIFI ouverts
• Désactivé si pas utilisé
• Points d’accès
• Réseau caché (hidden ssid)
• Sécurité au moins WPA2
• Modifier mot de passe vendeur
• VPN – Virtual Private Networks
• Institutionnels
• Privés
• Plus si “confidentiels” maintenant
24 avril 2019 Forum Financier BW 35
36. 4 – Le Nomadisme (2)
• Clefs USB
• Vecteur de malwares si pas d’anti-virus
• Bad USB Key Event with CCB@LLN
• https://youtu.be/dcl08b8R4sc
24 avril 2019 Forum Financier BW 36
37. Conclusion
• Vigilance de tous les instants !
• Comme un chirurgien dans une opération…
• Ne pas croire que cela n’arrive qu’aux autres…
• Bon sens !
• Ne pas croire aux contes de fées…
• Agir dans sa vie “numérique” comme dans sa vie réelle…
• S’informer !
24 avril 2019 Forum Financier BW 37
38. Liens utiles
• Centre Belge pour la Cybersécurité (CCB)
• https://ccb.belgium.be/fr
• Différents publics : privé, professionnel, scolaire, …
• Pour le grand public
• https://www.safeonweb.be/fr
• Service opérationnel
• The Federal Cyber Emergency Response Team (CERT.be)
• https://www.cert.be/fr
• RTBF
• Classic 21 – Surfons tranquille
• Site RTBF
• https://www.facebook.com/Classic21SurfonsTranquille/
24 avril 2019 Forum Financier BW 38