SlideShare une entreprise Scribd logo
Atelier Sécurité IT

                           Sébastien Gioria
                       Rencontres du Numérique
                        Poitiers - 5 Juillet 2012


Thursday, July 5, 12
Agenda

      • Introduction
      • Risques et Menaces
             –Le vol de données
             –L’intrusion
             –Les réseaux sociaux et Internet
      • Conclusion
        –Quelques solutions...
                                                2


Thursday, July 5, 12
http://www.google.com/search?
                                      q=sebastien%20gioria
                               •Responsable de la branche Audit S.I et
                                 Sécurité au sein du cabinet Groupe Y

                               •OWASP France Leader & Founder -
                                Evangéliste
                               • OWASP Global Education Comittee Member
                                (sebastien.gioria@owasp.org)

                                •Président CLUSIR Poitou-Charentes
                                •Responsable du Groupe Sécurité des
              @SPoint             Applications Web au CLUSIF

                                     CISA && ISO 27005 Risk Manager
                       • +15 ans d’expérience en Sécurité des Systèmes d’Information
                       • Différents postes de manager SSI dans la banque, l’assurance et les
                            télécoms
                       •    Expertise Technique
                           •      PenTesting,
                           •      Secure-SDLC
                           •      Gestion du risque, Architectures fonctionnelles, Audits
                           •      Consulting et Formation en Réseaux et Sécurité



Thursday, July 5, 12
CLUSIF
      • Association sans but lucratif (création début des
        années 80)

      • > 600 membres (50% offreurs, 50% utilisateurs)
      • Promouvoir la sécurité de l’information
      • Partager
             – Echanges homologues-experts, savoir-faire
               collectif, fonds documentaire
      • Anticiper les tendances
             – faire connaître les attentes auprès des offreurs
      • Sensibiliser les acteurs
                                                             4


Thursday, July 5, 12
CLUSIF - CLUSIR
   •    CLUSIR :
         – Association loi de 1901 libre de ses choix, statuts et travaux, agréé par le
           CLUSIF.
         – S’engage à respecter le code d’éthique du CLUSIF.
         – Peut utiliser les moyens du CLUSIF (documents, agence de presse,
           conférenciers, …).
   • Le CLUSIR Poitou-Charentes :
         – Rompre l’isolement du RSSI/DSI
         – Partager les bonnes pratiques, via des groupes de travail ou non:
         – Informer et sensibiliser le dirigeant	




Thursday, July 5, 12
Agenda

      • Introduction
      • Risques et Menaces
             –Le vol de données
             –L’intrusion
             –Les réseaux sociaux et Internet
      • Conclusion
        –Quelques solutions...
                                                6


Thursday, July 5, 12
Dépendance de l’entreprise à
                                  l’informatique




 Source : Enquête 2012 du CLUSIF                           4

Thursday, July 5, 12
Dépendance de l’entreprise à
                                  l’informatique




 Source : Enquête 2012 du CLUSIF                           4

Thursday, July 5, 12
Dépendance de l’entreprise à
                                  l’informatique




 Source : Enquête 2012 du CLUSIF                           4

Thursday, July 5, 12
Dépendance de l’entreprise à
                                  l’informatique




 Source : Enquête 2012 du CLUSIF                           4

Thursday, July 5, 12
Dépendance de l’entreprise à
                                  l’informatique




 Source : Enquête 2012 du CLUSIF                           4

Thursday, July 5, 12
La sécurité informatique , une affaire pour tous !
                        Disponibilité
                                                     SOX           PCI-DSS
                                                     BALE        Solvabilité 2
                         Critères de                           CNIL
                        sécurité d’un
                           Système                   LSF                DGI
                        d’Information
                                                     CONTRAINTES REGLEMENTAIRES
Confidentialité                              Intégrité

     •    Protection du savoir faire.
     •    Protection des données
          personnelles.
     •    Protection du patrimoine de
          l’entreprise.
                                                               COMPLEXITE
     •    Respect des obligations légales.
                                                                                  8

Thursday, July 5, 12
Agenda

      • Introduction
      • Risques et Menaces
             –Le vol
             –L’intrusion
             –Les réseaux sociaux et Internet
      • Conclusion
        –Quelques solutions...
                                                9


Thursday, July 5, 12
Vol d’informations

      • Toute donnée est bonne à exploiter :
             –   Fichier des tarifs ou des clients.
             –   Fichiers salariés.
             –   Processus et savoir faire.
             –   Proposition commerciale.
             –   Carte Bancaire.
             –   Des fichiers de traces techniques.
      • Chaque donnée volée se vend sur Internet :
             – CB : moins de 1 $/numéro de carte
             – Les fichiers de traces : de l’ordre de 100 $

                                 Vol et perte d’informations   26

Thursday, July 5, 12
Pourquoi voler des
                                              informations ?
      • Les voleurs d’informations sont bien organisés et
        sont de divers milieux :
             –   Les gouvernements
             –   La mafia
             –   Des entreprises
             –   Des étudiants/particuliers
      • Percer des secrets d’Etat.
      • Blanchir de l’argent (via le recrutement de
        «mules»).
      • Dénigrer une société/une personne.
      • Augmenter sa compétitivité.
             Ø Ou	
  tout	
  simplement	
  se	
  faire	
  de	
  l’argent	
  de	
  poche	
  !!
                                             Vol et perte d’informations                         27

Thursday, July 5, 12
Vol de portable ?




                                           15

Thursday, July 5, 12
39

Thursday, July 5, 12
14


Thursday, July 5, 12
Ingéniérie sociale...




                                           15


Thursday, July 5, 12
Cartes Bancaires




                                          16


Thursday, July 5, 12
Cartes Bancaires




                                          16


Thursday, July 5, 12
Cartes Bancaires




                                          16


Thursday, July 5, 12
Cartes Bancaires




                                          16


Thursday, July 5, 12
Cartes Bancaires




                                          16


Thursday, July 5, 12
Cartes Bancaires




                                          16


Thursday, July 5, 12
Cartes Bancaires




                                          16


Thursday, July 5, 12
Mauvais cru 2011....




           Source Panorama Clusif 2011


                                                            17


Thursday, July 5, 12
Agenda

      • Introduction
      • Risques et Menaces
             – Le vol de données
             – L’intrusion
             – Les réseaux sociaux et Internet
      • Conclusion
        –Quelques solutions...
                                                 18


Thursday, July 5, 12
Comment se passe une intrusion informatique par
                         Internet
      • Le pirate récupère des informations sur la cible
        (société) :
             – Via les moteurs de recherche
             – Via le site Internet de la société
             – Via les informations publiques disponibles sur
               Internet
      • Le pirate « cartographie » le réseau de la cible :
             – Il envoie des informations (légitimes ou illégitimes) à
               destination des serveurs Internet de la société et
               construit la carte du réseau

                                 Vol et perte d’informations         28

Thursday, July 5, 12
Ce que vous voyez




                                           20


Thursday, July 5, 12
Ce que voit un pirate




                        Vol et perte d’informations   29

Thursday, July 5, 12
Comment se passe une intrusion
                          informatique par Internet

      • Le pirate parcourt ensuite les serveurs
        pour détecter les failles répertoriées.
      • Lorsqu’il découvre une machine
        vulnérable, il peut alors exploiter la faille.
      • Il récupère des informations ou met en
        place des logiciels lui permettant de
        revenir sur le serveur ou de lui envoyer
        d’autres informations (traces, identifiants,
        transactions, …)

                         Vol et perte d’informations     30

Thursday, July 5, 12
Comment se passe une intrusion
                          informatique par Internet

      • Le pirate parcourt ensuite les serveurs
        pour détecter les failles répertoriées.
      • Lorsqu’il découvre une machine
        vulnérable, il peut alors exploiter la faille.
      • Il récupère des informations ou met en
        place des logiciels lui permettant de
        revenir sur le serveur ou de lui envoyer
        d’autres informations (traces, identifiants,
        transactions, …)

                         Vol et perte d’informations     30

Thursday, July 5, 12
Agenda

      • Introduction
      • Risques et Menaces
             –Le vol de données
             –L’intrusion
             –Les réseaux sociaux et Internet
      • Conclusion
        –Quelques solutions...
                                                23


Thursday, July 5, 12
Un peu d’histoire
   1969                                                                                                      2042


Début        1988          1992         1997      2000             2004    2006     2008      2009 2010
d’internet




Le premier Ver (Morris)
s’attaque aux serveurs                            Création de
         Mail                  Invention du         Google
                            protocole SSL (par           Le début des réseaux
                                NetScape)                 sociaux (facebook,
                Arrivée du Web                              twitter, linkedin,
                (Mosaic, HTTP/                                viadeo, …)
                      0.9)        Début du Haut débit
                                       pour tous…
                                                                                                        Aurora…

                                                                                          Le cloud computing, la
                                                                                          démocratisation de la
                                                                                               virtualisation
                                                                           La première
                                                                          cyber-attaque
Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai
                            raté ma vie personnelle
 Les réseaux sociaux comme support de l’activisme…
    ® Janvier 2009 : 150 jeunes se donnent rendez-vous sur
    Facebook et déferlent sur le Monoprix de la ville
     •2011 => Le phénomène Anonymous...
     •2012 ?
 Les réseaux sociaux et protection de la vie privée un concept dépassé ?
        ® Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook
             ® Août 2009 : 45% des recruteurs consultent des réseaux sociaux
             ® Décembre 2009 : Épinglés sur Twitter pour alcool au volant
  ® Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée
  est périmée
  « Les gens sont à l'aise, non seulement avec le fait de partager plus
  d'informations différentes, mais ils sont également plus ouverts, et à plus de
  personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré
  Mark Zuckerberg.


Thursday, July 5, 12
site:*.gouv.fr "index of"




                                              26


Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai raté
                               ma vie professionnelle
   •    Google est le premier moteur de recherche utilisé par un Internaute
        (et donc par un pirate)
         – Exemple : site:*.gouv.fr "index of"
   •    Google est le premier site amenant du trafic :
         – Achats de mots clés, mauvais référencement, pollution des statistiques

       •Février 2012 : Google Bombing sur François Hollande




Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai raté
                               ma vie professionnelle
   •    Google est le premier moteur de recherche utilisé par un Internaute
        (et donc par un pirate)
         – Exemple : site:*.gouv.fr "index of"
   •    Google est le premier site amenant du trafic :
         – Achats de mots clés, mauvais référencement, pollution des statistiques

       •Février 2012 : Google Bombing sur François Hollande




Thursday, July 5, 12
Si je ne suis pas sur Internet, je
                             ne suis pas compétitif
•   Après la téléphonie , le reste des infrastructures générales migre
    sur les réseaux IP(Internet) : énergie, surveillances et accès,
    pilotage des processus industriels (SCADA), …
     •    Détection de fumée Orange : http://mamaison.orange.fr/
     •    SFR HomeScope : http://www.sfr.fr/vos-services/equipements/
          innovations/sfr-homescope/
•   Automne 2009, des chercheurs démontre que l’isolation dans le
    Cloud EC2 d’amazon, c’est pas si bien faite que cela.
•   Septembre 2009 : PME Française de VPC, vol de la base de
    données SQL via un fichier servant a la sauvegarde qui a été
    « oublié » sur le serveur Web.
     ⇒ Mailling des voleurs aux clients pour les informer…
•   Janvier 2010 : un hacker diffuse des scènes pornographiques
    sur des panneaux de publicité en Russie….




Thursday, July 5, 12
29


Thursday, July 5, 12
Agenda

      • Introduction
      • Risques et Menaces
             –Le vol de données
             –L’intrusion
             –Les réseaux sociaux et Internet
      • Conclusion
        –Quelques solutions...
                                                30


Thursday, July 5, 12
Comment sécuriser son système
                             d’informations
      • S’assurer d’avoir mis en place des outils
        de sécurité tels des anti-virus, des
        firewalls, ….
      • S’assurer que les données sont bien
        sauvegardées régulièrement et qu’il est
        possible de les restaurer !
      • Etre attentif à tout comportement anormal
        sur un poste informatique.

                                                       9

Thursday, July 5, 12
Comment sécuriser son système
                             d’informations
      • Vérifier régulièrement qu’il n’y a pas eu
        d’altération de tout ou partie des applications
        métiers et de leurs bases associées.
      • Fournir à tout salarié une charte de bon
        comportement informatique.
      • Sensibiliser l’ensemble du personnel à la
        sécurité !
      • Tester régulièrement sa sécurité (physique,
        logique et humaine !)
                                                      10

Thursday, July 5, 12
« Si vous trouvez que l'Education coûte
              trop cher, essayez l'ignorance ! »
                      Abraham LINCOLN
                                            33


Thursday, July 5, 12
Annexes




                                 34


Thursday, July 5, 12
Risques et solutions
   Risque                 Conséquences                               Parade	
  à	
  considérer
   Destruction de la      •Perte d’informations et de                •Site de secours
   salle informatique     services                                   •Sauvegarde externalisée
                                                                     •Plan de reprise formalisé
   Destruction de la      •Perte d’archives              •Externalisation des
   médiathèque            •Perte de sauvegardes          archives et des
                          •Perte de données applicatives sauvegardes
                                                         •Copie sur disque des
                                                         données
   Destruction/Arrêt de   •Arrêt de serveurs             •Redondance des
   la climatisation       •Altération des supports       climatiseurs
                          •Indisponibilité de l’immeuble •Plans et moyens de
                          ou de la salle                 secours pour les serveurs
   Destruction/Coupure    •Panne de disques et                       •Batteries et Onduleurs
   de l’alimentation      détérioration de données                   régulièrement testés
   électrique             •Arrêt de serveurs                         •Dédoublement des
                          •Altération des supports                   arrivées électriques

                                  Continuité et reprise d’activité                               21

Thursday, July 5, 12
Risques et solutions
 Système               Très	
  Haute	
  Disponibilité    Moyenne	
  Disponibilité   Faible	
  disponibilité
 Serveurs              •Serveurs de secours              •Serveurs de secours       •Serveurs de
 Stratégique           dédiés situés sur un              dédiés situés sur un       secours situés sur
 s                     autre site en état de             autre site.                un autre site,
                       fonctionnement                    •Copie régulière des       pouvant être
                       •Solutions de type                bases et des données       mutualisés avec
                       Cluster/LoadBalancing                                        d’autres tâches
 Réseau                •Redondance des                   •Matériel et rocade de     •Matériel de
 Local                 équipements                       secours                    secours
                       •Doublement des                                              •Kit de câblage
                       rocades de câblage                                           volant.
 Accès                 •Au moins deux                    •Nœud de secours           •Engagement
 réseau                arrivées séparées sur             externeContrat             d’intervention du
 externe               plusieurs points                  prévoyant l’intervention   fournisseur avec
                       d’entrées, voire                  de l’opérateur avec        obligation de
                       plusieurs sites                   engagement de résultats    résultats
                       •Maillage du réseau
                       d’entreprise
                                                Continuité et reprise d’activité                       22

Thursday, July 5, 12
Risques et solutions
 Système               Très	
  Haute	
  Disponibilité    Moyenne	
  Disponibilité    Faible	
  disponibilité
 Téléphonie            •Doublement de                    •Contrat prévoyant le      •Autocommutateur
                       l’autocommutateur                 transfert d’appels par le  de secours.
                       dans un local distant et          fournisseur vers un site   •Mise en place
                       bascule automatique               de secours prêt à          d’un message pré-
                       des communications                réceptionner les appels    enregistré.
                                                                                    •Transfert des
                                                                                    appels par le
                                                                                    fournisseur sur le
                                                                                    site de secours.
 Accès                 •Double connexion                 •Connexion Internet sur le site de secours
 Internet              Internet sur tous les             avec basculement manuel
                       sites avec des
                       fournisseurs différents
                       •Mise en place du
                       protocole réseau
                       BGP4


                                                Continuité et reprise d’activité                        23

Thursday, July 5, 12
Les méthodes de vol employées et comment
                                              se protéger
                  Méthode	
            But	
  poursuivi                    Difficulté	
  pour	
     Défense
                  employée                                                 l’aLaquant
  Pourriels       •Envoi de courrier   •Vol de Numéro de CB,               •Aucune. Les           •Un bon anti-
  (SPAM)          non sollicité à un   Installation de Logiciel            sites internet         spam
                  internaute           Espion, …                           regorgent              •Contrôler la
                                                                           d’adresses             diffusion de son
                                                                           mails                  e-mail
  Logiciel        •Installation d’un   •Obtenir les informations           •Faible : Il est       •Disposer d’un
  espion          logiciel sur le      saisies par l’internaute sur        très simple            logiciel anti-
  (spyware)       poste de             tous les sites consultés            d’installer un         espion
                  l’internaute         •Obtenir des informations           logiciel en            •N’installer que
                                       Internes à la société               jouant sur la          des logiciels
                                                                           sensibilité de         dont la
                                                                           l’Internaute           provenance est
                                                                                                  vérifiée.




                                             Vol et perte d’informations                                     31

Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger
                       Méthode	
  employée         But	
  poursuivi       Difficulté	
  pour	
   Défense
                                                                          l’aLaquant
  Hameçonnag           •Envoi d’un pourriel        •Obtenir les           •Moyen à          •Disposer de logiciel
  e (Phishing)         très bien fait et           informations de        Fort              anti-hameçonnage
                       ressemblant à un vrai       connexion pour                           •Ne pas faire
                       courriel du                 effectuer des                            confiance aux liens
                       fournisseur                 transactions                             situés dans un
                                                   malicieuses                              courriel, surtout si ils
                       •Redirection vers un                                                 redirigent vers un
                       site qui ressemble à                                                 site qui «ressemble»
                       celui ciblé (souvent                                                 au site officiel
                       des sites bancaires
                       ou assimilés)
  Réseau de            •Installation de logiciel   •Mettre en place       •Simple à         •Ne pas télécharger
  Robots/Mules         à distance via des          un réseaux de          Complexe :        de «vidéos»
  (BotNet)             sites Internet ou le        machines               •Il suffit        inédites, ni de
                       téléchargement de           permettant de          d’appâter les     «logiciels» pour
                       fichiers sur Internet       lancer des             internautes       lesquels on n’est
                                                   attaques de            avec des          pas sûr de la source
                                                   grande                 vidéos
                                                   envergure (déni        « inédites »
                                                   de service,
                                               Vol spam, d’informations
                                                    et perte …)                                              32

Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger
                       Méthode	
  employée          But	
  poursuivi         Difficulté	
     Défense
                                                                             pour	
  
                                                                             l’aLaquant
  L’Intrusion          •Recrutement d’une           •Récupérer un            •Simple à      •Auditer
  informatique         personne spécialisée         fichier, détruire        Complexe       régulièrement sa
                       pour « passer » outre        des données,                            sécurité
                       les contrôles de             modifier des                            informatique par
                       sécurité                     données                                 des tests
                                                                                            d’intrusions
  Le vol de            •Récupérer dans un           •Améliorer sa            •Simple à      •Sensibiliser le
  matériel             lieu public ou non du        compétitivité,           Complexe       personnel à la
                       matériel ou des              découvrir des                           sécurité
                       documents                    secrets de                              •Mettre en place
                                                    fabrication                             des procédés de
                                                                                            «chiffrement de
                                                                                            données», des
                                                                                            verrous logiciels ou
                                                                                            matériel pour tout
                                                                                            ce qui est sensible.
                                                                                            •Broyeurs de
                                                                                            documents.

                                                                                                          33
                                               Vol et perte d’informations
Thursday, July 5, 12
Les méthodes de vol employées et comment
                                             se protéger
                       Méthode	
  employée           But	
  poursuivi      Difficulté	
     Défense
                                                                           pour	
  
                                                                           l’aLaquant
  L’ ingénierie        •Recrutement d’une            •Améliorer sa         •Simple        •Sensibiliser les
  sociale              personne se faisant           compétitivité,                       salariés à la
                       «passer» pour un              découvrir des                        sécurité
                       technicien de la              secrets de
                       société Vendée-NET            fabrication
                       qui doit :
                          - Réparer le PC du
                       PDG
                          - Accéder à la salle
                       de réunion pour vérifier
                       la climatisation…




                                             Vol et perte d’informations                              34

Thursday, July 5, 12

Contenu connexe

En vedette

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
 
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Philippe Gamache
 
Slides inhesjfinal2
Slides inhesjfinal2Slides inhesjfinal2
Slides inhesjfinal2
nicoladiaz
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009
Aref Jdey
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
Oxalide
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
Oxalide
 
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Pascal Gagnon
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
Oxalide
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
Johan Moreau
 
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Stratég- IE
 
Les menaces apt
Les menaces aptLes menaces apt
Les menaces apt
Bruno Valentin
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
Safae Rahel
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratique
salmenloukil
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Sylvain Maret
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking
81787
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
Idir Gaci
 
Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)
Bruno Valentin
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middle
Bruno Valentin
 

En vedette (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
 
Slides inhesjfinal2
Slides inhesjfinal2Slides inhesjfinal2
Slides inhesjfinal2
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
 
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
 
ASFWS 2013 - Welcome
ASFWS 2013 - Welcome ASFWS 2013 - Welcome
ASFWS 2013 - Welcome
 
Les menaces apt
Les menaces aptLes menaces apt
Les menaces apt
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratique
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
 
Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middle
 

Similaire à 2012 07-05-spn-sgi-v1-lite

Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?
Antoine Vigneron
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnelles
Prof. Jacques Folon (Ph.D)
 
PRIVACY 2.0
PRIVACY 2.0PRIVACY 2.0
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
ESI Technologies
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
vie privée en 2013
vie privée en 2013  vie privée en 2013
vie privée en 2013
Prof. Jacques Folon (Ph.D)
 
Vie privée et RH
Vie privée et RHVie privée et RH
Vie privée et RH
Prof. Jacques Folon (Ph.D)
 
Web 2.0, média sociaux et vie privée
Web 2.0, média sociaux et vie privée Web 2.0, média sociaux et vie privée
Web 2.0, média sociaux et vie privée
Prof. Jacques Folon (Ph.D)
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui   un livre blanc clearswiftLa nécessité de la dlp aujourd’hui   un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswift
Ben Rothke
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
David Blampain
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
Antoine Vigneron
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Prof. Jacques Folon (Ph.D)
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
David Blampain
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
University of Geneva
 
L'Intelligence economique au service des RH
L'Intelligence economique au service des RHL'Intelligence economique au service des RH
L'Intelligence economique au service des RH
Franck Dasilva
 
Parcours Big Data @ Cetic (6 mai 2014)
Parcours Big Data @ Cetic (6 mai 2014)Parcours Big Data @ Cetic (6 mai 2014)
Parcours Big Data @ Cetic (6 mai 2014)
Agence du Numérique (AdN)
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
IMS NETWORKS
 
Gdpr acerta
Gdpr acertaGdpr acerta
Intelligence économique et Management de la Connaissance
Intelligence économique et Management de la ConnaissanceIntelligence économique et Management de la Connaissance
Intelligence économique et Management de la Connaissance
BENCHERIF Amir Nidhal
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
cedric delberghe
 

Similaire à 2012 07-05-spn-sgi-v1-lite (20)

Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnelles
 
PRIVACY 2.0
PRIVACY 2.0PRIVACY 2.0
PRIVACY 2.0
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
vie privée en 2013
vie privée en 2013  vie privée en 2013
vie privée en 2013
 
Vie privée et RH
Vie privée et RHVie privée et RH
Vie privée et RH
 
Web 2.0, média sociaux et vie privée
Web 2.0, média sociaux et vie privée Web 2.0, média sociaux et vie privée
Web 2.0, média sociaux et vie privée
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui   un livre blanc clearswiftLa nécessité de la dlp aujourd’hui   un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswift
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
L'Intelligence economique au service des RH
L'Intelligence economique au service des RHL'Intelligence economique au service des RH
L'Intelligence economique au service des RH
 
Parcours Big Data @ Cetic (6 mai 2014)
Parcours Big Data @ Cetic (6 mai 2014)Parcours Big Data @ Cetic (6 mai 2014)
Parcours Big Data @ Cetic (6 mai 2014)
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
 
Gdpr acerta
Gdpr acertaGdpr acerta
Gdpr acerta
 
Intelligence économique et Management de la Connaissance
Intelligence économique et Management de la ConnaissanceIntelligence économique et Management de la Connaissance
Intelligence économique et Management de la Connaissance
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 

Plus de Sébastien GIORIA

Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
Sébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
Sébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
Sébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
Sébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
Sébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
Sébastien GIORIA
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
Sébastien GIORIA
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
Sébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Sébastien GIORIA
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 

Plus de Sébastien GIORIA (20)

Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 

2012 07-05-spn-sgi-v1-lite

  • 1. Atelier Sécurité IT Sébastien Gioria Rencontres du Numérique Poitiers - 5 Juillet 2012 Thursday, July 5, 12
  • 2. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 2 Thursday, July 5, 12
  • 3. http://www.google.com/search? q=sebastien%20gioria •Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y •OWASP France Leader & Founder - Evangéliste • OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) •Président CLUSIR Poitou-Charentes •Responsable du Groupe Sécurité des @SPoint Applications Web au CLUSIF CISA && ISO 27005 Risk Manager • +15 ans d’expérience en Sécurité des Systèmes d’Information • Différents postes de manager SSI dans la banque, l’assurance et les télécoms • Expertise Technique • PenTesting, • Secure-SDLC • Gestion du risque, Architectures fonctionnelles, Audits • Consulting et Formation en Réseaux et Sécurité Thursday, July 5, 12
  • 4. CLUSIF • Association sans but lucratif (création début des années 80) • > 600 membres (50% offreurs, 50% utilisateurs) • Promouvoir la sécurité de l’information • Partager – Echanges homologues-experts, savoir-faire collectif, fonds documentaire • Anticiper les tendances – faire connaître les attentes auprès des offreurs • Sensibiliser les acteurs 4 Thursday, July 5, 12
  • 5. CLUSIF - CLUSIR • CLUSIR : – Association loi de 1901 libre de ses choix, statuts et travaux, agréé par le CLUSIF. – S’engage à respecter le code d’éthique du CLUSIF. – Peut utiliser les moyens du CLUSIF (documents, agence de presse, conférenciers, …). • Le CLUSIR Poitou-Charentes : – Rompre l’isolement du RSSI/DSI – Partager les bonnes pratiques, via des groupes de travail ou non: – Informer et sensibiliser le dirigeant Thursday, July 5, 12
  • 6. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 6 Thursday, July 5, 12
  • 7. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 8. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 9. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 10. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 11. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 12. La sécurité informatique , une affaire pour tous ! Disponibilité SOX PCI-DSS BALE Solvabilité 2 Critères de CNIL sécurité d’un Système LSF DGI d’Information CONTRAINTES REGLEMENTAIRES Confidentialité Intégrité • Protection du savoir faire. • Protection des données personnelles. • Protection du patrimoine de l’entreprise. COMPLEXITE • Respect des obligations légales. 8 Thursday, July 5, 12
  • 13. Agenda • Introduction • Risques et Menaces –Le vol –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 9 Thursday, July 5, 12
  • 14. Vol d’informations • Toute donnée est bonne à exploiter : – Fichier des tarifs ou des clients. – Fichiers salariés. – Processus et savoir faire. – Proposition commerciale. – Carte Bancaire. – Des fichiers de traces techniques. • Chaque donnée volée se vend sur Internet : – CB : moins de 1 $/numéro de carte – Les fichiers de traces : de l’ordre de 100 $ Vol et perte d’informations 26 Thursday, July 5, 12
  • 15. Pourquoi voler des informations ? • Les voleurs d’informations sont bien organisés et sont de divers milieux : – Les gouvernements – La mafia – Des entreprises – Des étudiants/particuliers • Percer des secrets d’Etat. • Blanchir de l’argent (via le recrutement de «mules»). • Dénigrer une société/une personne. • Augmenter sa compétitivité. Ø Ou  tout  simplement  se  faire  de  l’argent  de  poche  !! Vol et perte d’informations 27 Thursday, July 5, 12
  • 16. Vol de portable ? 15 Thursday, July 5, 12
  • 19. Ingéniérie sociale... 15 Thursday, July 5, 12
  • 20. Cartes Bancaires 16 Thursday, July 5, 12
  • 21. Cartes Bancaires 16 Thursday, July 5, 12
  • 22. Cartes Bancaires 16 Thursday, July 5, 12
  • 23. Cartes Bancaires 16 Thursday, July 5, 12
  • 24. Cartes Bancaires 16 Thursday, July 5, 12
  • 25. Cartes Bancaires 16 Thursday, July 5, 12
  • 26. Cartes Bancaires 16 Thursday, July 5, 12
  • 27. Mauvais cru 2011.... Source Panorama Clusif 2011 17 Thursday, July 5, 12
  • 28. Agenda • Introduction • Risques et Menaces – Le vol de données – L’intrusion – Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 18 Thursday, July 5, 12
  • 29. Comment se passe une intrusion informatique par Internet • Le pirate récupère des informations sur la cible (société) : – Via les moteurs de recherche – Via le site Internet de la société – Via les informations publiques disponibles sur Internet • Le pirate « cartographie » le réseau de la cible : – Il envoie des informations (légitimes ou illégitimes) à destination des serveurs Internet de la société et construit la carte du réseau Vol et perte d’informations 28 Thursday, July 5, 12
  • 30. Ce que vous voyez 20 Thursday, July 5, 12
  • 31. Ce que voit un pirate Vol et perte d’informations 29 Thursday, July 5, 12
  • 32. Comment se passe une intrusion informatique par Internet • Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées. • Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille. • Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …) Vol et perte d’informations 30 Thursday, July 5, 12
  • 33. Comment se passe une intrusion informatique par Internet • Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées. • Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille. • Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …) Vol et perte d’informations 30 Thursday, July 5, 12
  • 34. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 23 Thursday, July 5, 12
  • 35. Un peu d’histoire 1969 2042 Début 1988 1992 1997 2000 2004 2006 2008 2009 2010 d’internet Le premier Ver (Morris) s’attaque aux serveurs Création de Mail Invention du Google protocole SSL (par Le début des réseaux NetScape) sociaux (facebook, Arrivée du Web twitter, linkedin, (Mosaic, HTTP/ viadeo, …) 0.9) Début du Haut débit pour tous… Aurora… Le cloud computing, la démocratisation de la virtualisation La première cyber-attaque Thursday, July 5, 12
  • 36. Si je ne suis pas sur Internet, j’ai raté ma vie personnelle Les réseaux sociaux comme support de l’activisme… ® Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville •2011 => Le phénomène Anonymous... •2012 ? Les réseaux sociaux et protection de la vie privée un concept dépassé ? ® Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook ® Août 2009 : 45% des recruteurs consultent des réseaux sociaux ® Décembre 2009 : Épinglés sur Twitter pour alcool au volant ® Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée « Les gens sont à l'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg. Thursday, July 5, 12
  • 37. site:*.gouv.fr "index of" 26 Thursday, July 5, 12
  • 38. Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle • Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate) – Exemple : site:*.gouv.fr "index of" • Google est le premier site amenant du trafic : – Achats de mots clés, mauvais référencement, pollution des statistiques •Février 2012 : Google Bombing sur François Hollande Thursday, July 5, 12
  • 39. Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle • Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate) – Exemple : site:*.gouv.fr "index of" • Google est le premier site amenant du trafic : – Achats de mots clés, mauvais référencement, pollution des statistiques •Février 2012 : Google Bombing sur François Hollande Thursday, July 5, 12
  • 40. Si je ne suis pas sur Internet, je ne suis pas compétitif • Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP(Internet) : énergie, surveillances et accès, pilotage des processus industriels (SCADA), … • Détection de fumée Orange : http://mamaison.orange.fr/ • SFR HomeScope : http://www.sfr.fr/vos-services/equipements/ innovations/sfr-homescope/ • Automne 2009, des chercheurs démontre que l’isolation dans le Cloud EC2 d’amazon, c’est pas si bien faite que cela. • Septembre 2009 : PME Française de VPC, vol de la base de données SQL via un fichier servant a la sauvegarde qui a été « oublié » sur le serveur Web. ⇒ Mailling des voleurs aux clients pour les informer… • Janvier 2010 : un hacker diffuse des scènes pornographiques sur des panneaux de publicité en Russie…. Thursday, July 5, 12
  • 42. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 30 Thursday, July 5, 12
  • 43. Comment sécuriser son système d’informations • S’assurer d’avoir mis en place des outils de sécurité tels des anti-virus, des firewalls, …. • S’assurer que les données sont bien sauvegardées régulièrement et qu’il est possible de les restaurer ! • Etre attentif à tout comportement anormal sur un poste informatique. 9 Thursday, July 5, 12
  • 44. Comment sécuriser son système d’informations • Vérifier régulièrement qu’il n’y a pas eu d’altération de tout ou partie des applications métiers et de leurs bases associées. • Fournir à tout salarié une charte de bon comportement informatique. • Sensibiliser l’ensemble du personnel à la sécurité ! • Tester régulièrement sa sécurité (physique, logique et humaine !) 10 Thursday, July 5, 12
  • 45. « Si vous trouvez que l'Education coûte trop cher, essayez l'ignorance ! » Abraham LINCOLN 33 Thursday, July 5, 12
  • 46. Annexes 34 Thursday, July 5, 12
  • 47. Risques et solutions Risque Conséquences Parade  à  considérer Destruction de la •Perte d’informations et de •Site de secours salle informatique services •Sauvegarde externalisée •Plan de reprise formalisé Destruction de la •Perte d’archives •Externalisation des médiathèque •Perte de sauvegardes archives et des •Perte de données applicatives sauvegardes •Copie sur disque des données Destruction/Arrêt de •Arrêt de serveurs •Redondance des la climatisation •Altération des supports climatiseurs •Indisponibilité de l’immeuble •Plans et moyens de ou de la salle secours pour les serveurs Destruction/Coupure •Panne de disques et •Batteries et Onduleurs de l’alimentation détérioration de données régulièrement testés électrique •Arrêt de serveurs •Dédoublement des •Altération des supports arrivées électriques Continuité et reprise d’activité 21 Thursday, July 5, 12
  • 48. Risques et solutions Système Très  Haute  Disponibilité Moyenne  Disponibilité Faible  disponibilité Serveurs •Serveurs de secours •Serveurs de secours •Serveurs de Stratégique dédiés situés sur un dédiés situés sur un secours situés sur s autre site en état de autre site. un autre site, fonctionnement •Copie régulière des pouvant être •Solutions de type bases et des données mutualisés avec Cluster/LoadBalancing d’autres tâches Réseau •Redondance des •Matériel et rocade de •Matériel de Local équipements secours secours •Doublement des •Kit de câblage rocades de câblage volant. Accès •Au moins deux •Nœud de secours •Engagement réseau arrivées séparées sur externeContrat d’intervention du externe plusieurs points prévoyant l’intervention fournisseur avec d’entrées, voire de l’opérateur avec obligation de plusieurs sites engagement de résultats résultats •Maillage du réseau d’entreprise Continuité et reprise d’activité 22 Thursday, July 5, 12
  • 49. Risques et solutions Système Très  Haute  Disponibilité Moyenne  Disponibilité Faible  disponibilité Téléphonie •Doublement de •Contrat prévoyant le •Autocommutateur l’autocommutateur transfert d’appels par le de secours. dans un local distant et fournisseur vers un site •Mise en place bascule automatique de secours prêt à d’un message pré- des communications réceptionner les appels enregistré. •Transfert des appels par le fournisseur sur le site de secours. Accès •Double connexion •Connexion Internet sur le site de secours Internet Internet sur tous les avec basculement manuel sites avec des fournisseurs différents •Mise en place du protocole réseau BGP4 Continuité et reprise d’activité 23 Thursday, July 5, 12
  • 50. Les méthodes de vol employées et comment se protéger Méthode   But  poursuivi Difficulté  pour   Défense employée l’aLaquant Pourriels •Envoi de courrier •Vol de Numéro de CB, •Aucune. Les •Un bon anti- (SPAM) non sollicité à un Installation de Logiciel sites internet spam internaute Espion, … regorgent •Contrôler la d’adresses diffusion de son mails e-mail Logiciel •Installation d’un •Obtenir les informations •Faible : Il est •Disposer d’un espion logiciel sur le saisies par l’internaute sur très simple logiciel anti- (spyware) poste de tous les sites consultés d’installer un espion l’internaute •Obtenir des informations logiciel en •N’installer que Internes à la société jouant sur la des logiciels sensibilité de dont la l’Internaute provenance est vérifiée. Vol et perte d’informations 31 Thursday, July 5, 12
  • 51. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté  pour   Défense l’aLaquant Hameçonnag •Envoi d’un pourriel •Obtenir les •Moyen à •Disposer de logiciel e (Phishing) très bien fait et informations de Fort anti-hameçonnage ressemblant à un vrai connexion pour •Ne pas faire courriel du effectuer des confiance aux liens fournisseur transactions situés dans un malicieuses courriel, surtout si ils •Redirection vers un redirigent vers un site qui ressemble à site qui «ressemble» celui ciblé (souvent au site officiel des sites bancaires ou assimilés) Réseau de •Installation de logiciel •Mettre en place •Simple à •Ne pas télécharger Robots/Mules à distance via des un réseaux de Complexe : de «vidéos» (BotNet) sites Internet ou le machines •Il suffit inédites, ni de téléchargement de permettant de d’appâter les «logiciels» pour fichiers sur Internet lancer des internautes lesquels on n’est attaques de avec des pas sûr de la source grande vidéos envergure (déni « inédites » de service, Vol spam, d’informations et perte …) 32 Thursday, July 5, 12
  • 52. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté   Défense pour   l’aLaquant L’Intrusion •Recrutement d’une •Récupérer un •Simple à •Auditer informatique personne spécialisée fichier, détruire Complexe régulièrement sa pour « passer » outre des données, sécurité les contrôles de modifier des informatique par sécurité données des tests d’intrusions Le vol de •Récupérer dans un •Améliorer sa •Simple à •Sensibiliser le matériel lieu public ou non du compétitivité, Complexe personnel à la matériel ou des découvrir des sécurité documents secrets de •Mettre en place fabrication des procédés de «chiffrement de données», des verrous logiciels ou matériel pour tout ce qui est sensible. •Broyeurs de documents. 33 Vol et perte d’informations Thursday, July 5, 12
  • 53. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté   Défense pour   l’aLaquant L’ ingénierie •Recrutement d’une •Améliorer sa •Simple •Sensibiliser les sociale personne se faisant compétitivité, salariés à la «passer» pour un découvrir des sécurité technicien de la secrets de société Vendée-NET fabrication qui doit : - Réparer le PC du PDG - Accéder à la salle de réunion pour vérifier la climatisation… Vol et perte d’informations 34 Thursday, July 5, 12