1. 2012 Les défis de la
sécurité informatique
Club IES, 7 février 2012
Jérôme Saiz / SecurityVibes
2. Qui ?
SecurityVibes
Communauté de professionnels de la sécurité IT
Magazine
Evénements
Soutien de Philippe Courtot, Qualys
Jérôme Saiz
Journaliste, spécialiste des questions de sécurité
Geek de cœur
EPITA : « Technologies & Marché de la sécurité »
LesNouvelles.netSecurityVibes
2
3. Menu
La menace a évolué
Les nouveaux acteurs
Le rôle du RSSI
Contre-mesures réalistes
3
5. Evolution
Del’amateurau vénal
Du visible (égo)au discret (exploitation)
Exploitation = argent = professionnalisation
9 millions de $ / 49 villes US / 130 DAB / une heure (WorldPay, 2009)
6,7 millions de $ / 3 jours / DAB + virements (Postbank, 2012)
Des comptes dédiés ouverts pendant une année
Malgré 2 millions de $ de logiciels anti-fraude
Retour à l’amateur avec les hacktivistes
5
6. Evolution
Niveau techniqueen baisse
Vrai pour le grand public
Arnaques Facebook, « badware »…
Aucun besoin de sophistication technique
L’utilisateur est (i)responsable de son infection
Moins pour l’entreprise
Attaques ciblées, social engineering, APT, Stuxnet
Kits d’infection et de copie rapide (smartphone, laptop)
6
7. Evolution
Trois menaces 2012
Réseaux sociaux
Grand public : arnaques en hausse
Sondages&SMS surtaxés, vraies fausses vidéos virales, vol du carnet d’adresses
Entreprises : repérage, renseignement, ciblage
Mobiles
Grand public : vol de données, arnaques bancaires (appspiégées)
Entreprises : BYOD
Documents piégés
Attaques ciblées via Flash / PDF / MS Office
7
9. Acteurs
Les Hacktivistes
« Altermondialistes numériques »
Non-violent, illégal, digital et politique
Armes : vol de données et déni de service distribué (DDoS)
Pas de consensus sur la « légitimité » de l’un ou de l’autre
DDoS = « sitting » pacifique ou acte violent de neutralisation ?
Vol de données =militantisme ou vol ?
9
10. Acteurs
Les Hacktivistes
Pas d’objectif unique / clair
Liberté d’expression ?
Anticapitalisme ?
Nihilisme 2.0 ?
Ecologie ?
Intérêts personnels ?
Manipulation ? (PSYOP militaire)
« Psychological operations are planned operations to convey selected information and
indicators to foreign audiences to influence their emotions, motives, objective reasoning, and
ultimately the behavior of foreign governments, organizations, groups, and
individuals »(Wikipedia)
10
11. Acteurs
Les Hacktivistes
Des actions perçues (aussi) positivement
Développement d’outils de chiffrement (PGP)
Miroirs de sites censurés
Assistance technique anti censure
Dialogue difficile à initier
Qui est représentatif ?
Emotion vs business
11
12. Acteurs
Les Hacktivistes
« Si vous dirigez un pays et que vous ne vous comportez pas
correctement, avec les réseaux sociaux les utilisateurs ont
désormais le moyen de vous faire tomber » (David Jones, DG Havas
@ Davos 2012)
Vrai également pour les entreprises
« Chaque utilisateur a désormais les moyens de lancer un
mouvement de masse. Mais ces cyber mouvements sociaux ne
créent pas de leaders »(idem)
Débordements et réflexe de meute (ex : Orange / Free)
Dialogue rationnel difficile
12
13. Acteurs
Les Hacktivistes
Exemple : Anonymous
Une idée plutôt qu’une organisation
La liberté d’expression, la désobéissance civile
Pas d’intérêt pour les données personnelles
Structure fluide et décentralisée
Basée sur la volonté du groupe (désignation libre des cibles + LOIC)
Héritage de 4chan
DDoS (majoritaire) et intrusions (rares)
Dissensions régulières & inévitables
Risques de dérapage
Anonymous vs Zetas
Enrôlement forcé (casPasteHTML.com)
13
14. Acteurs
Les Hacktivistes
Le défi
Veille d’actualité
Veille réseau sociaux
Matrice de risque actualité / activité
de l’entreprise à développer
Communication de crise
14
15. Acteurs
Le crime organisé
Les Sopranos sur Internet ? Pas vraiment
Le web comme soutien aux activités illégales traditionnelles
Communication, organisation, protection des données
Blanchiment d’argent (fraude transnationale)
Contrefaçon, pédopornographie, prostitution
Approche « utilitaire » des technologies
15
16. Acteurs
Le crime organisé
La réalité : des gangs 100% virtuels
1 casse @ $1 million ou 1 million d’arnaques @ 1$ ?
Ticket d’entrée faible, risque faible, gains élevés
Gourmands, très spécialisés, très organisés
Codeur, exploiteur, « carder », associé, mule…
Ne se rencontrent (presque) jamais
Géométrie variable
Constitution de groupes ad-hoc
Communication exclusivement en ligne
Des spécialités régionales
Russie (piratage, exploits), Brésil (malwarebancaire), Chine (hébergement)…
16
17. Acteurs
Le crime organisé
Exemple : Liberty Reserve
Monnaie parallèle
hors système bancaire international
Difficile d’atteinte
« Puisque nous sommes basés à Nevis (Costa Rica), vous devez être un meurtrier, un
ravisseur ou un baron de la drogue pour nous forcer à divulguer des informations sensibles »
Structure décentralisée
Emetteur et grossistes indépendants
Opérations 100% virtuelles
Transactions via MSN, Yahoo! Messenger, ICQ vers des comptes en ligne
Pas de logs
17
18. Acteurs
Le crime organisé
Le défi
Contrôles internes / fraude interne
Protection des clients
Moyens de
paiement, achats, escroqueries en ligne
Conformité réglementaire
(un défi à part entière !)
18
19. Acteurs
Les Etats
Cyberguerre ≠ espionnage
Guerre = opérations militaires, dégâts matériels, victimes
= Cyber-sabotage
Confusion
N’importe qui peut se joindre à la bataille
Attaque Russe contre la Géorgie, Estonie : nationalistes ? Hacktivistes ?
Attaques contre le cyber ou attaque avec des armes cyber ?
Contre : détruire l’infrastructure SI (armes cyber ou physiques)
Avec : utiliser des armes cyber pour provoquer des dégâts physiques
19
20. Acteurs
Les Etats
Le cyber comme nouveau théâtre d’opération
Terre, Air, Mer, Espace et Cyber (US)
Attaques cyber : « un acte de guerre » (US)
Des armes opérationnelles
Stuxnet
Opération Orchard (Israël), tests Aurora (US)
Des Etats organisés
ANSSI (France), US Cyber Command (US), Grande Bretagne
(GCHQ), ENISA (EU), KKL (Estonie) + Russie, Chine, Israël, Corée(s), Iran ?
20
21. Acteurs
Les Etats
Mais encore beaucoup (trop) de questions
Nature des armes cyber ?
Armes de dissuasion ? Armes « e-bactériologiques » ? Armes tactiques ?
Quid de la couche radio ? (GPS Jammer ?)
Doctrines d’utilisation ?
Quels objectifs ? (Perturbations civiles ? Sabotage d’infrastructures critiques ?
Neutralisation d’objectifs militaires ?)
Quelle réponse ?
« Do we do it by going back over the network ? Would it be easier to send a group of
special forces in and blow the servers up ? » (Michael Chertoff, ex-directeur US
homeland security)
Attribution ?
Dissémination & contrôle ?
21
22. Acteurs
Les Etats
+ d’info
« Nature des armes cybernétiques et stabilité du
système international »
Guy-Philippe Goldstein
Sur SecurityVibes : http://goo.gl/1nGeD
22
23. Acteurs
Les Etats
Le défi
Se rapprocher de votre agence
nationale
Redondance, protection des
données, PCA/PRA
Sensibiliser les utilisateurs
Cyber-espionnage plutôt que cyberguerre
23
25. RSSI
Le rôle du RSSI
Plus seulement un technicien
SMSI, gestion du risque, organisation…
(si maturité suffisante de l’entreprise)
Communiquant / manager / politique
Et désormais aussi un peu juriste
Obligations de conformité réglementaire (CNIL & métiers)
Montée dans le nuage = contrats & responsabilités
Et surtout visionnaire
Technologies et pratiques émergentes : quel impact ?
BYOD, mobilité, SaaS, télétravail, recrutement, mini-sites…
25
26. RSSI
Le rôle du RSSI
+ d’info
« Le RSSI : un schizophrène en évolution ? »
Jean-François Louapre, RSSI AG2R – La Mondiale
Sur SecurityVibes : http://www.securityvibes.com/docs/DOC-1448
26
27. RSSI
Le rôle du RSSI
Le défi
De nouveaux camarades de jeu
CNIL = CIL
Risque = Risk Manager
De nouvelles pratiques
Les métiers accèdent aux offres SaaS
directement
La protection de l’information dépasse
le cadre du SI
Collaboration avec le responsable IE
27
30. Contre-mesures
Les contre-mesures réalistes
« Back to basics » (retour aux fondamentaux)
Si pas encore fait : inutile d’aller plus loin
Si déjà fait : vous savez le chemin qui reste à parcourir.
Et n’avez pas besoin de mes conseils ;)
30