SlideShare une entreprise Scribd logo
www.cvci.ch/cybersecurite
LE PARTENAIRE DES ENTREPRISES
Claudine Amstein
Directrice de la
Chambre vaudoise du
commerce et de l’industrie
www.cvci.ch/cybersecurite
LE PARTENAIRE DES ENTREPRISES
37 %
des entreprises sondées ont
été victimes d’au moins une
une attaque informatique
www.cvci.ch/cybersecurite
LE PARTENAIRE DES ENTREPRISES
35 %
des entreprises sondées se sentent
peu, voire pas du tout concernées
par les cyber-risques
www.cvci.ch/cybersecurite
LE PARTENAIRE DES ENTREPRISES
50 %
des entreprises sondées
n’ont prévu aucune formation
à l’intention de leur personnel
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 9
LA CYBERSÉCURITÉ
UN DÉFI À ABORDER ENSEMBLE
Swisscom Connected Event – 9 octobre 2018
09/10/2018
Connected Event @EPFL
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 10
La cybersécurité devient la troisième plus grande menace à la stabilité
mondiale #WEF18
09/10/2018
Connected Event @EPFL
Source : WEF, Global Risks Report 2018
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 11
7 millions de jeux de données volées chaque jour dans le monde
09/10/2018
Connected Event @EPFL
Source :
Gemalto
Breach Level
Index
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 12
100’000+
09/10/2018
Connected Event @EPFL
13’000+
1’800+
750 TB+
500+
4 Mios+
POSTES DE TRAVAIL
SERVEURS
DONNEES
BASES DE DONNEES
EMAILS / JOURS
SPAMS / MOIS
Exposition numérique de l’administration
vaudoise
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 13
Une stratégie multi-dimensions pour l’Etat
09/10/2018
Connected Event @EPFL
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 14
Le SOC (Security Operation Center) de l’Administration Cantonale
Vaudoise pour lutter contre les cyber-risques
09/10/2018
Connected Event @EPFL
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 15
Un rôle actif pour fédérer et réunir les efforts #compétenceslocales
#ensembleplusfort
09/10/2018
Connected Event @EPFL
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 16
vaud.digital, portail des acteurs de l’innovation numérique
09/10/2018
Connected Event @EPFL
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 17
Bientôt - Une application mobile pour soutenir les PME face aux
cyber-risques
09/10/2018
Connected Event @EPFL
Etat de Vaud
Département des infrastructures et des ressources humaines
Page 18
MERCI DE VOTRE ATTENTION
09/10/2018
Connected Event @EPFL
19
Connected Event Cybersécurité EPFL, 9 Octobre 2018
Perspective académique
Prof. Jean-Pierre Hubaux, directeur académique du C4DT
Growing Concern: Medical Data Breaches
Around 5 declared breaches per week, each affecting 500+ people
https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
20
21
The Guardian,
14 May 2017
“WannaCry” Ransomware Virus (May 2017)
Personalized Medicine
The massive digitalization of clinical and genomic information is providing unprecedented
opportunities for improvements in diagnosis, preventive medicine and targeted therapies
22
Another Major Concern: Re-identification
Attacks against Genomic Databases
23
Genomic data pose special privacy
problems:
• They are inherently identifying
• They can’t be changed (as opposed to
passwords)
• They have unique statistical regularities
• They contain sensitive and personal
information (genetic diseases or
propensity to develop certain
conditions)
• Their leakage can expose individuals to
genetic discrimination
• Relatives can also be affected
What If Genomic Data Are Leaked?
24
[Naveed et al.’15]
Data Protection for Personalized
Health (DPPH)
Data Protection for
Personalized Health
• 5 research groups across the ETH domain
+ SDSC (Swiss Data Science Center)
• Funding: 3 Millions CHFrs
• Duration: 3 years (4/2018 - 3/2021)
• Funding Program: ETH PHRT (Personalized Health and
Related Technologies)
DPPH: Data
Protection in
Personalized
Health
LCA1: Systems
for privacy-
conscious data
sharing
DEDIS:
Distributed and
Decentralyzed
Trust
GR-JET:
Fundamental
cryptography
Fellay Group:
Medical
application
SDSC: Data
Science
Infrastructure
and Deployment
Health Ethics
and Policy: Legal
and Ethical
analysis
Project goals:
• Address the main privacy, security, scalability, and ethical challenges of data
sharing for enabling effective P4 medicine
• Define an optimal balance between usability, scalability and data protection
• Deploy an appropriate set of computing tools
DPPH.CH
E. Vayena
B. Ford
JP Hubaux
D. Jetchev
J. Fellay
O. Verscheure
Envisioned Nation-Wide Deployment
27
Q1: How many patients
with BRCA1 and breast
cancer?
Q2: What is the survival rate for
cancer patients undergoing a
given chemotherapy?
Year 2 & 3:
tiered
deployment,
extra
functionality
Year 1: small-
scale
prototype,
simple
queries
DCC: Data Coordination Center
IT
Node
IT
Node
IT
Node
IT
Node
IT
Node
DCC
DPPH – The Role of the Blockchain
28
… …
DPPH Blockchain
Inference
resistance
Provenance and
Reproducibility
Immutable Log
Big Data Platform
Distributed Access
Control
Distributed Privacy-
conscious
Processing
“genomeprivacy.org”
Community website
• Searchable list of publications on genome privacy and security
• News from major media (from Science, Nature, GenomeWeb, etc.)
• Research groups and companies involved
• Tutorial and tools
• Events (past & future) 29
Collaboration Ecosystem
• 30+ EPFL laboratories
• 8+ Organizations
Blockchain
Privacy-
enhancing
technologies
Personalized
health
Smart
contracts
Cyber
security
Machine
Learning
Content
Protection
System
security
Cryptography
Software
verification
30
The Center for Digital Trust @EPFL
Reinventing trust for the digital society
• Center of expertise
• One-stop-shop
• Community
31
… and more to join
Partners of Center for Digital Trust
32
Digital Trust – Research at EPFL
32
C4DT Presentation | 2018
… and more to join
• Blockchain
• Cloud computing
• Cryptography
• Cyber-physical
systems
• Data mining
• Decentralized
systems
• Distributed systems &
algorithms
• Finance
• Genomics
• Image
conceptualization
• IoT
• Large-scale systems
• Machine learning
• Media Security
• Network security
• Personalized health
• Privacy enhancing
technologies
• Programming
languages
• Reliability & security
• Risk management
• Security by design
• Semantic information
• Software verification
• System security
33
C4DT Activities
CENTER FOR DIGITAL TRUST
FACTORY ACADEMY EMBASSY
3
34
The Digital Trust Platform – Technologies & Applications
PRIVACY
CRYPTOGRAPHY
FINANCE&
ECONOMY DIGITAL TRUST OPEN PLATFORM (The Factory)
BLOCKCHAINS
SMART
CONTRACTS
SOFTWARE
VERIFICATION
SYSTEM SECURITY
HEALTH
GOVERNMENT&
HUMANITARIAN
CRITICAL
INFRASTRUCTURES
DIGITAL
INFORMATION
…
TRUSTWORTHY DIGITAL
PRODUCTS & SERVICES
APPLICATION
VERTICALS
TECHNOLOGY
PILLARS
3
Example 1 of C4DT Project:
Capital Markets and Technology Association (CMTA)
• “An independent association formed by leading actors from
Switzerland's financial, technological and legal sectors to create
common standards around issuing, distributing and trading securities
in the form of tokens using the distributed ledger technology.”
• Current project: record ownership of shares in a Swiss company on a
blockchain (Nov. ‘18)
• Without requiring changes to current Swiss law
• Swiss standard for tracking ownership in stock or bond using blockchain and
smart contracts
• Founding members:
Collaboration with ICRC
Humanitarian organization in Geneva
and strategic partner of EPFL
Challenges
• Identifying relevant information
sources
• Search in textual and image content
• Data of poor quality
Example 2 of C4DT Project:
Finding missing people in conflict zones
Face Retrieval using Deep Neural Networks
Adapting the techniques to the context (quality of images) and combining with other search modalities
38
C4DT – A "virtuous circle"
1) Trusted platform
2) Collaboration hub
3) Knowledge
transfer
PARTNERS
C4DT
Needs & Foresight
Specialists & Knowledge
Data & Infrastructures
Funding
Foresight & Opportunities
Research projects
Prototypes
Collaborative platform
Dr. Olivier Crochat
Executive Director
c4dt.org
39
Rapport au Conseil Fédéral sur la gestion et la
sécurité des données
• Groupe de 13 experts (juristes, économistes, éthiciens, informaticiens)
• 3 ans de travaux
• Rapport remis en août 2018
• 51 recommandations: recherche, formation, investissements, législation,…
• 200 pages
• Rapport transmis aux départements fédéraux pour action et rapport d’ici à
l’été 2019
• Rapport publiquement accessible:
https://www.admin.ch/gov/fr/accueil/documentation/communiques/flux-
rss/par-office/communiques-de-presse-et-discours.msg-id-72083.html
40
Conclusion
• Worldwide, the confidentiality of health data is in jeopardy
• Personalized medicine dramatically increases the amount of data
• Mobile devices collect more and more health-related data that need to be
properly secured
• The Data Protection for Personalized Health Project is a (Swiss) response to these
concerns: https://dpph.ch
• EPFL’s initiative to reinvent trust in cyberspace: Center for Digital Trust
https://c4dt.org
41
Les enjeux de la cybersécurité
Exemples dans le monde de la santé
Philippe Vuilleumier
Head of Group Security / Chief Security Officer
Lausanne, 9.10.2018
C1 - public
Le monde dans lequel nous vivons….
… est de plus en plus interconnecté et génère de nouveaux besoins
Toujours en ligne
Big Data et
Business Intelligence
Travailler et se réunir à tout
moment et partout
200 millions d’appareils
connectés à Internet en Suisse
d’ici 2020
Nouvelles interfaces et
consumérisation de
l’informatique
Disponibilité et sécurité des
données: deux points essentiels
9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
43
Open Space Hôpital
Couloir
CouloirVidéoconférence
Chambre Patients
Soins intensifsBlocs Opératoires
Magasin
Magasin
RéceptionUrgences
Consultations
Services Techn. MagasinIT Radiologie
Médecin
Hôpital
Assurance
Pharmacie
Centre
9.10.2018
45
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
Lukaskrankenhaus Neuss
9.10.2018
46
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
9.10.2018
47
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
WannaCry
9.10.2018
48
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
WannaCry Cyber attack and the NHS
Fact & Figures
>Au total, au moins 81 des 236 hôpitaux (angl. trust) ont été touchés. 5 hôpitaux
ont du fermer leurs services d'urgences
>De plus, 603 autres organisations de soins primaires ont été infectées par
WannaCry, dont 595 cabinets de médecins généralistes
>NHS a estimé que plus de 19 500 consultations ont été annulées, dont
6 912 confirmées
>Le coût financier total de l'incident reste inconnu
Kingsley Manning, former chairman of NHS Digital, blamed a lack of time
and resources but also "frankly a lack of focus, a lack of taking it seriously"
for individual NHS organisations' failure to keep up with the cyber security
improvements.
Détails: https://www.nao.org.uk/press-release/investigation-wannacry-cyber-attack-and-the-nhs/
Faiblesses constatées
NIST Cyber Security Framework
Identification et inventaire
des objets à protéger et des
menaces les visant.
Réaction aux attaques et
prises de mesures rapides
avec pour but de maintenir
les activités.
Garantie d’un
rétablissement rapide des
activités normales.
Protection de l’infrastructure
technologique en matière
d’intégrité, de
confidentialité et de
disponibilité.
Surveillance systématique de
l’infrastructure
technologique par rapport à
d’éventuelles attaques et
anomalies.
Identify Protect Detect Respond Recover
Initial Response
plan developed
but not tested
Improve
Response plan
incl. clear roles
&
responsibilities
Increase
Awareness at all
levels and
implement
critical alerts
Improve
Governance (88
out of 236 trusts
showed that
none passed the
req. cybersec
standards)
9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
49
Les risques sont réels
Chaque mois environ...
attaques de phishing sont
détectées et bloquées2250
ordinateurs de clients privés
sont déconnectés à titre
préventif en raison d'une
infection par un logiciel
malveillant
20 000
plaintes de clients privés
pour cause de problèmes de
spam, de phishing ou de
logiciels malveillants
22 000
clients privés sont informés de façon
proactive du fait que leurs ordinateurs
sont infectés par des logiciels
malveillants
1300
clients privés sont contactés
pour cause de comptes
piratés
4800
accès à distance en provenance
de 40 pays de 16 000
utilisateurs de300 sociétés
300 000
programmes nuisibles/attaques
détectés et bloqués sur le réseau
8 000 000
atteintes à la sécurité traitées par le
CSIRT15
programmes nuisibles
identifiés et bloqués au niveau
d'endpoints de gros clients
5000
Comment traitons-nous ces menaces du cyberespace?
Swisscom se concentre sur trois points
1. Une base bonne et solide
Avec pour objectif: réduire les coûts, consolider les "policies" et
processus, maintenir et développer l’Information Security Management System
certifié ISO 27001, dispenser des formations, et bien plus encore
2. La sécurité doit être garantie de manière simple
Avec pour objectif: développer de nouvelles technologies de sécurité
ainsi que des processus favorisant la numérisation
3. Approche novatrice en matière de détection
Avec pour objectif: protéger l’entreprise, ses clients et la société de l’information
suisse d’attaques ciblées
9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
51
Quatre principes constitue la base …
… de toute stratégie de sécurité
> La sécurité est plus
qu’un coût!
> “Enabling”de concepts
informatique tels que
“Home Office-”ou
“BYOD”
> Des produits sûrs
coûtent moins chers!
La sécurité est le
nouvel argument
commercial
> Quantité et qualité en
augmentation
> De la chaine d’approvi-
sionnement au
périmètre
> Nouvelle approche
nécessaire
Nous sommes en
permanence la cible
d’attaques
> La détection pour
palier les limites de la
prévention
> Représente la base
pour une réaction
conséquente
L’intelligence est
à la base de la
détection
> Base conceptuelle et
opérationnelle stable
> Appliquer les bonnes
pratiques de sécurité
sur la durée
> Cadre réglementaire,
gouvernance
approprié
Appliquer les
Security Good
Practices
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
52
9.10.2018
Chief Security
Officer
CSIRTSecurity
Delivery
Security
Framework &
Governance
Physical
Security
Security
Governance
& Services
CSIRT Security
Officers
Product & Marketing
/ Sales
& Services
Enterprise
Customers
IT, Network &
Infrastructure
Group Functions,
Digital Business
La sécurité chez Swisscom
Conditions organisationnelles pour une gestion efficace de la sécurité
• Tâche à l’échelle du groupe
• Etroite collaboration avec la
Direction du groupe
• Mode opératoire
pragmatique et simple
• Sécurité physique et logique
intégrée
• Env. 60 spécialistes
• Security Officers consacrés
aux divisions operation-
nelles
Group Security
Swisscom Policy Management
• Clair et simple
• Actuel et pertinent
• Tendance au self-
service
• Doit permettre un
développement agile
de solutions TIC
9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
53
> Accepter les défis!
– Dépendances technologiques, savoir-faire, restrictions financières
> Ne pas capituler!
– Structurer, prioriser, et commencer par le début
> Appliquer les bonnes pratiques sur la durée!
– Base conceptuelle et opérationnelle stable
– Cadre réglementaire, gouvernance approprié
> Que voulez/pouvez-vous faire vous-même et que voulez-vous externaliser?
– Exemples: SOC, Threat Detection, Gouvernance
9.10.2018
54
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
Et finalement…
Innovation |
Cybersécurité
Patrick Barbey
1.
Startups et
Support
Rôle
Agence de soutien à
l’innovation
- Porte d’entrée pour les
projets d’innovation
- Pour PME et start-up
- Catalyseur entre la recherche
appliquée et l’économie
Domaines prioritaires
- Sciences de la Vie
- TIC
- Industrie de Précision
- Cleantech
Que faisons-nous?
Parcs d’Innovation
Startups high-tech créées
0
10
20
30
40
50
60
2013 2014 2015 2016 2017 2018p
Investissements capital-risque / 2017
Invested amount in Vaud-based
startups in 2017
$300M
#1 in Switzerland
40 % of TOP
10 are in
VAUD
TOP 100 Swiss Startups 2018
1. Ava
2. Bestmile
3. Lunaphore
4. Flyability
5. Cutiss
6. Piavita
7. Wingtra
8. Gamaya
9. Advanon
10. Versantis
24 startups in TOP 100 are in Canton de Vaud
Finance
FIT grant – 100k
- Prototype/mise au point
FIT seed (prêt) – 100k
- 0% intérêt
- garantie personnelle
FIT growth (prêt) – 500k
- «matching» : 1.- investi = 1.- prêté
- 5% + 5% intérêt
- pas de garantie personnelle
Financement
Soutiens 2017
5.9 MCHF
(28 projets)
vaud.digital
Filtrage simple
par catégorie /
technologie
2.
Startups
Sécurisation d’apps critiques
w Apps internes ou de tiers
w Couche de sécurité
indépendante de l’appareil
w Applications fintech
Histoire:
w Spin-off HEIG-VD / Fondation: 2010
w FIT seed
w Basée à Y-Parc
Plateforme de surveillance
des flux de donnée
entreprise
w Cartographie automatique
des flux de données
w Rapports et alertes
w Installation simple
Histoire:
w Lancement 2014
w Spin-off EPFL basée à
EPFL Innovation Park / Boston
Plateforme de stockage
sécurisé pour
cryptomonnaie
w Solution
cryptographique
hardware/software
w Clients: banques,
gestionnaires de fonds
Histoire:
w Fondée 2014
w Basée à Lausanne
Solution de gestion
d’identité numérique
w Reconnaissance faciale 3D
w Multiplateforme
w 3D Graphical
Authentication
Histoire:
w Basée à Lausanne
w Prêt FIT growth (2018)
Solution de collaboration
sécurisée pour entreprises
w Voix et messagerie
instantanée
w Environnement de travail
(documents, notes)
w Chiffrage end to end avec
authentification robuste
Histoire:
w Spin-off EPFL
w Fondation: 2007
w Basée à Morges
25 octobre 2018
Y-Parc
Merci
ᐅ @innovaud
ᐅ www.innovaud.ch
ᐅ Newsletter
ᐅ https://vaud.digital
Traitement sécurisé de l'information
Digital Trust
Connected Event: CyberSécurité
Le 09 octobre 2018
Blaise Vonlanthen, Chef de Section Romandie
Lucile Van Kerrebroeck, Consultante Senior
AWK Group
Anleitung zum Einfügen eines Fotos:
• Folienmaster anzeigen (Ansicht à
Folienmaster)
• Weisse Abdeckform beiseite ziehen
• Quadratisches Foto auf dieses graue Quadrat
legen (mind. 12×12cm) und bei Bedarf
zuschneiden
• Weisse Abdeckform über Foto schieben, so
dass Abdeckform bündig zu linkem und oberem
Rand liegt
Anleitung zum Einfügen eines Fotos:
• Folienmaster anzeigen (Ansicht à
Folienmaster)
• Weisse Abdeckform selektieren und kopieren
• Masteransicht schliessen
• Auf Titelfolie die weisse
Abdeckform einfügen
• Weisse Abdeckform beiseite schieben
• Quadratisches Foto auf dieses graue Quadrat
legen (mind. 12×12cm) und bei Bedarf
zuschneiden
• Weisse Abdeckform über Foto schieben, so
dass Abdeckform bündig zu linkem und
oberem Rand liegt
Anleitung zum Einfügen eines Fotos:
• Folienmaster anzeigen (Ansicht à
Folienmaster)
• Weisse Abdeckform beiseite ziehen
• Quadratisches Foto auf dieses graue Quadrat
legen (mind. 12×12cm) und bei Bedarf
zuschneiden
• Weisse Abdeckform über Foto schieben, so
dass Abdeckform bündig zu linkem und oberem
Rand liegt
Tendance I : professionnalisation de la cybercriminalité organisée
Cyber Crime as a Service : une entreprise florissante !
Tendance II : digitalisation
Assurer la sécurité de l'information tout au long de la chaîne de valeur
ProducteursFournisseurs Distributeurs Installateurs
Acteurs
Gestion du stock des
mat. premières
Chaîne de montage /
assemblage
Contrôle qualité
Gestion du stock des
produits finis
Publicité du produit
fini
Gestion des ventes
Installation
Service Après
Vente
Chaîne de valeur simplifiée d'une entreprise
Fabrication
Logistique de
commercialisation
Marketing et ventes Services
Logistique
d’approvisionnement
Digital TrustDigital TrustDigital Trust
Distribution des
produits finis
Distribution des mat.
premières
Clients
Force de
vente
RéparateursContrôleursDistributeurs
Responsable
d’entrepôts
78
Digital Trust
4 étapes dans l’établissement d'une confiance numérique
Analyse der internen
Unternehmensressourcen
Digital
Trust
Identifier
● Comprendre l’environnement
de l’entreprise et identifier ses
fonctions critiques au niveau
de ses données, processus,
personnes et compétences
Réagir
● Cette étape comprend les
activités de réaction face à un
incident de sécurité ainsi que
les activités de continuité
business.
Protéger
● Définition et mise en place de
mesures de sécurité appropriées
pour protéger les fonctions
critiques identifiées au préalable.
Détecter
● Élaboration et mise en place de
mesures appropriées pour
détecter des incidents de
sécurité.
79
Digital Trust : sécurité de l'information : approche de gestion intégrée
Interaction de la technologie, de l'organisation et des processus
Identifier Protéger Détecter Réagir
Information Security Management System ISMS
Security Incident
& Event Management
Business Continuity
Management
Identity & Access Management
Post Incident Audits
Information Security
Architecture
IT Forensics
Operational Security Assurance
Network Security
Audits préventifs
IT Service Continuity
Logging
Monitoring
Gestion des risques
Awareness Training
Breach Containment
Asset / Data / Process
Inventory
Vulnerability / Update
Management
Incident Management
80
L’importance de la sensibilisation
Laptop1:
─ Sans surveillance
─ Sans protection avec un mot de passe
68%
PMEs dans le canton VD n’ont pas encore mis en place
de formations à la sécurité informatique2.
1 Photo prise dans le train entre Berne et Lausanne le 3 octobre 2018
2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf
81
● Données clients
● Données personnelles
● Informations stratégiques sur l'entreprise
● Propriété intellectuelle
Connaissez-vous vos fonctions critiques ?
Joyaux de la couronne
● Connaitre sa tolérance de risque
● Etablir des mesures de protection afin de réduire le risque à un niveau acceptable
Prochaines étapes
Identifier Identifier Protéger Détecter Réagir
82
La sécurité périmétrique
https://commons.wikimedia.org/w/ind
ex.php?curid=181784
Identifier Protéger Détecter Réagir
Sécurité du réseau 1.0
La fin de la sécurité périmétrique
83
● Définir une politique de sécurité et ses standards
● S’assurer que toutes les ressources soient accessibles de manière sécurisées
● Authentification
● Chiffrement des transmissions
● Accorder uniquement l'accès sur la base du «need-to-know» et «least privilege»
● Ségrégation du réseau, centré sur la protection des ressources/données critiques
Zero Trust Model
Identifier Protéger Détecter RéagirSécurité réseau 2.0
84
UBS (2011)
● Détournement de 2 milliards de dollars
● Cause: contrôle préventif applicatif non
configuré pour effectuer certaines
transactions de paiement
Cela s’applique également aux PMEs
pour leur application d’e-banking1!
● Principe du double contrôle
● Désactiver les transactions non nécessaires
● Accès à l’e-banking depuis un ordinateur
spécifique
1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
85
Nestlé (2014)
● Le compte Twitter de Nestlé Crunch pour la branche
mexicaine a été utilisé dans le but de nuire à la marque1.
● Cause: Gestion des accès privilégiés non contrôlée.
96%
PMEs dans le canton VD n’imposent pas de complexité
et de changement régulier des mots de passe2.
1 https://www.20min.ch/ro/news/monde/story/Etudiants-massacres--la-blague-douteuse-de-Nestle-14085746?httpredirect
2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf
Security Operation Center
86
Sur toutes les lèvres
«Assume breach» & «Security Operation Center» (SOC)
Security Information and
Event Management
Threat
Intelligence
Gestion des
vulnérabilités
Surveillance des
systèmes clés
● Le risque zéro n’existe pas malgré les contrôles
● Le modèle «Assume breach» permet de garder à l’esprit qu’il faut être
capable de détecter les incidents de sécurité
Objectifs
● Détecter et analyser les incidents, les attaques, les intrusions
dans les systèmes clés
● Veille technologique
● Effectuer des tests de pénétration en environnement
équivalent à la production
Les prérequis d'un SOC
● Fonctions critiques connues
● Systèmes permettant de générer des «audit logs»
● Processus de gestion des incidents
Identifier Protéger Détecter Réagir
87
NSA (2013)
● 1,7 millions de documents dérobés par une
personne autorisée à avoir accès à ces
données classés secrètes (accès
administrateur).
● Cause: Manque de contrôle détectif sur les
accès distants et sur des documents classés
«secret» avec des comptes à hauts
privilèges.
Cela s’applique également aux PMEs,
contrôle détectifs essentiels pour
analyser un incident1
● Systèmes sensibles doivent tenir des fichiers
journaux («log files»).
● Sauvegarder ces fichiers au moins 6 mois.
1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
Limiter les impacts d’un incident
88
Assurer une réactivité en cas d'incident
4ème objectif du SOC : adresser les incidents
● S’assurer que l’incident est contenu dans une certaine zone («breach containement»)
● Determiner les mesures adéquates afin d’éviter que cela se reproduise
● Coordonner l’implémentation des différents correctifs de sécurité
La gestion des sauvegardes et d’un DRP (Disaster Recovery Plan):
● Sauvegarder régulièrement ses données et les placer à différents endroits
● S’assurer qu’un site de secours informatique est à disposition
● Prioritiser le recouvrement: Définition des Recovery Time Ojective / Recovery Point Objective
Identifier Protéger Détecter Réagir
89
MAERSK (2017)
● L’attaque informatique Petya a touché l’ensemble du
système informatique causant la perte de 300 millions
de dollars sur son chiffre d’affaire.
● Cause: Manque de processus de recouvrement face à
une cyber attaque paralysant entièrement le système.
● Impact: Ses partenaires ont été indirectement touchés
par cette paralysie
91%
des PMEs VD reconnaissent ne pas effectuer de
sauvegarde externe ou à plusieurs endroits (la
base d’un plan de recouvrement des activités)1.
1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
90
Digital Trust : un facteur de succès de votre transformation numérique
Renforcer la confiance dans
vos processus digitaux
Digital Trust
Trust by design
« Inspiration from
Latitude 59° N e-Estonia »
Connected Event
October 9, 2018
Philippe Thevoz
Philippe Gillet
Enabling trust
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 92
TRUST by DESIGN
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 93
NOTARY DOCUMENTS : FROM PAPER TO DIGITAL
e-Notary
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 94
MY DIGITAL MEDICAL RECORDS
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 95
E-BANKING
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 96
DIPLOMA LEGALIZATION PROCESS
HOW TO ENABLE TRUST IN THE DIGITAL
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 98
TRUST ENABLERS IN DIGITAL
oProcess & Device
integrity (Hardware & Software)
o System Resilience
o Data Integrity & Security
o Immutability
o Anti-Tampering
o Anti-Counterfeiting
o Traceability
o Auditability
o Accountability
o Confidentiality
o Privacy & Consent
o Data Sovereignty
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 99
HOW TO GENERATE TRUST IN DIGITAL ?
Blockchain
Cloud
Databases
Cybersecurity
Blockchain
TRUSTinDigitalServices
SecureIT
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 100
HOW TO GENERATE TRUST IN DIGITAL ?
Digital ID
Data privacy &
sovereignty
Physical –
Digital Link
Secure
marking
Encryption
Artificial Intell.
Blockchain
Cloud
Databases
Cybersecurity
Dataintegrity
&Security
TRUSTinDigitalServices
SecureIT
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 101
BLOCKCHAIN – ONLY A TECHNOLOGY, NOT A FULL SOLUTION
Integrity
Digital ID
Data privacy &
sovereignty
Physical –
Digital Link
Secure
marking
Encryption
Artificial Intell.
Blockchain
Cloud
Databases
Cybersecurity
AI
Sover-
eignty
Phys-
Dig Link
Marking
Encry-
ption
Digital
ID
Block-
chain
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 102
SECURE IMMUTABLE REGISTRIES
Indisputable tamper evidenceData Integrity
Real-time intrusion detectionData Security
Render data unusable and
unbreakable by any intruder
Confidentiality
Privacy
How can I prove my good faith,
independently from the system
Digital
Sovereignty
How to prove that the data have been
generated through the right process
Process
Integrity
Undisputable proof of who did
what and when on which data
Auditability
Accountability
EXAMPLE 1 : DATA INTEGRITY
e-Notary
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 104
The example of e-Estonia
Last year
Last month
Last week
Yesterday
HOW TO SECURE MILLION OF DIGITAL TRANSACTIONS?
Today
Tax Authority Land registry People registry …
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 105
TIMESTAMP PROOF
I am very pleased to be
present today at this
conference.
Philippe – May 3, 2018
How can I prove in 10 years
that I wrote that statement on May 3, 2018 ?
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 106
PUBLISH THE DOCUMENT IN A NEWSPAPER
I am very pleased to be
present today at this
conference.
Philippe – May 3, 2018
May 4, 2018
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 107
PUBLISH THE HASH OF THE DOCUMENT
3f0c8709cf75272beb1de9a
96a4c6c343f2fe4a263a868
e8e2d3f97cbe901da7
May 4, 2018
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 108
PUBLISH THE TOP HASH OF THE MERKLE TREE
c775e7b757ede630cd0aa1
113bd102661ab38829ca52
a6422ab782862f268646
May 4, 2018
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 109
I am very pleased to be
present today at this
conference.
Philippe – May 3, 2018
HOW CAN I PROVE IN 10 YEARS FROM NOW THAT THE
FOLLOWING DOCUMENT IS IMMUTABLE ?
+
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 110
KSI BLOCKCHAIN – ONE HASH PER SECOND
FOR THE WHOLE WORLD
US
Corp1
US Corp2
Estonia
SICPA
US
Administration
C775e7b757ede630c
d0aa1113bd1026…
KSI-Blockchain
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 111
DIGITAL INTEGRITY: IN THE HEART OF e-ESTONIA
Terabytes of Data are secured every
second on the KSI Blockchain since 2008.
In full operation since 2012
EXAMPLE 2 :
DATA INTEGRITY, CONFIDENTIALITY, TRACEABILITY
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 113
TRACEABILITY ON MY DATA IN ESTONIA
EXAMPLE 3 :
DATA SOVEREIGNTY - DIGITAL RECEIPT
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 115
SECURE REGISTRY
Proof
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 116
SECURE VALUE DOCUMENTS
Cryptographic
link
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 117
SECURE VALUE DOCUMENTS
Cryptographic
link
200 CHF
Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 118
TRUST by DESIGN
0011010110110101010111010100000111101010
1010100001111010101011001001010010010001
0101110101101010100100100100010110110110
1001111001001101010011010010100100100100
100010010101010100101010100100101010010
0101001001001001000010111010110010101010
1010100101001001010001011110101010100101
0101010101010100100110101101101010101110
1010000011110101010101000011110101010110
0100101001001000101011101011010101001001
0010001011011011010011110010011010100110
100101001001001001000100101010101001010
101001001010100100101001001001001000
Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018

Contenu connexe

Similaire à Connected Event - Cybersecurity 9 10 2018

IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
Daniel Soriano
 

Similaire à Connected Event - Cybersecurity 9 10 2018 (20)

Livre blanc big data écosystème français
Livre blanc big data écosystème françaisLivre blanc big data écosystème français
Livre blanc big data écosystème français
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Nuit du Big Data, 10 Décembre 2014
Nuit du Big Data, 10 Décembre 2014Nuit du Big Data, 10 Décembre 2014
Nuit du Big Data, 10 Décembre 2014
 
Données critiques et blockchain - sajida zouarhi - juillet 2016
Données critiques et blockchain  - sajida zouarhi - juillet 2016Données critiques et blockchain  - sajida zouarhi - juillet 2016
Données critiques et blockchain - sajida zouarhi - juillet 2016
 
e-volution des bibliothèques : développer des services numériques dans un env...
e-volution des bibliothèques : développer des services numériques dans un env...e-volution des bibliothèques : développer des services numériques dans un env...
e-volution des bibliothèques : développer des services numériques dans un env...
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
Une perspective multi-source de données pour l'Intelligence Technologique
Une perspective multi-source de données pour l'Intelligence TechnologiqueUne perspective multi-source de données pour l'Intelligence Technologique
Une perspective multi-source de données pour l'Intelligence Technologique
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Brochure_Capacitaire_Hexatrust_2023.pdf
Brochure_Capacitaire_Hexatrust_2023.pdfBrochure_Capacitaire_Hexatrust_2023.pdf
Brochure_Capacitaire_Hexatrust_2023.pdf
 
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
 
Gestion de la sécurité des données en France - étude 2016
Gestion de la sécurité des données en France - étude 2016Gestion de la sécurité des données en France - étude 2016
Gestion de la sécurité des données en France - étude 2016
 
CITC Watch - Cellule de veille sur les technologies sans contact et l'Interne...
CITC Watch - Cellule de veille sur les technologies sans contact et l'Interne...CITC Watch - Cellule de veille sur les technologies sans contact et l'Interne...
CITC Watch - Cellule de veille sur les technologies sans contact et l'Interne...
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017Nos vies numériques sous haute protection le 21-10-2017
Nos vies numériques sous haute protection le 21-10-2017
 
Presentation a in ovive montpellier - 26%2 f06%2f2018 (1)
Presentation a in ovive   montpellier - 26%2 f06%2f2018 (1)Presentation a in ovive   montpellier - 26%2 f06%2f2018 (1)
Presentation a in ovive montpellier - 26%2 f06%2f2018 (1)
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 

Plus de Raphael Rollier

Plus de Raphael Rollier (18)

Swiss Territorial Data Lab - geo Data Science - Workshop CGC
Swiss Territorial Data Lab - geo Data Science - Workshop CGCSwiss Territorial Data Lab - geo Data Science - Workshop CGC
Swiss Territorial Data Lab - geo Data Science - Workshop CGC
 
Swiss Territorial Data Lab - Spacial Data Science Conference
Swiss Territorial Data Lab - Spacial Data Science ConferenceSwiss Territorial Data Lab - Spacial Data Science Conference
Swiss Territorial Data Lab - Spacial Data Science Conference
 
Swiss Territorial Data Lab - geo Data Science - Forum SITG
Swiss Territorial Data Lab - geo Data Science - Forum SITG Swiss Territorial Data Lab - geo Data Science - Forum SITG
Swiss Territorial Data Lab - geo Data Science - Forum SITG
 
Swiss Territorial Data Lab - geo Data Science - colloque FHNW
Swiss Territorial Data Lab - geo Data Science - colloque FHNWSwiss Territorial Data Lab - geo Data Science - colloque FHNW
Swiss Territorial Data Lab - geo Data Science - colloque FHNW
 
Swiss Territorial Data Lab - geo Data Science - colloque swisstopo
Swiss Territorial Data Lab - geo Data Science - colloque swisstopoSwiss Territorial Data Lab - geo Data Science - colloque swisstopo
Swiss Territorial Data Lab - geo Data Science - colloque swisstopo
 
Smart Tourist Destinations - leveraging Big Data & Blockchain
Smart Tourist Destinations - leveraging Big Data & BlockchainSmart Tourist Destinations - leveraging Big Data & Blockchain
Smart Tourist Destinations - leveraging Big Data & Blockchain
 
Big Data, Big Profit ?
Big Data, Big Profit ?Big Data, Big Profit ?
Big Data, Big Profit ?
 
Connected Event - Blockchain 3 05 2018
Connected Event - Blockchain 3 05 2018Connected Event - Blockchain 3 05 2018
Connected Event - Blockchain 3 05 2018
 
Ville durable, les facteurs de succès de la transition numérique
Ville durable, les facteurs de succès de la transition numériqueVille durable, les facteurs de succès de la transition numérique
Ville durable, les facteurs de succès de la transition numérique
 
Start-up as innovation partner
Start-up as innovation partnerStart-up as innovation partner
Start-up as innovation partner
 
Big Data for Big Impact - Swiss Data Day - EPFL - Nov 2017
Big Data for Big Impact - Swiss Data Day  - EPFL - Nov 2017Big Data for Big Impact - Swiss Data Day  - EPFL - Nov 2017
Big Data for Big Impact - Swiss Data Day - EPFL - Nov 2017
 
Mobility Flow in Zurich
Mobility Flow in ZurichMobility Flow in Zurich
Mobility Flow in Zurich
 
SmartCity workshop, Basel , April 2017
SmartCity workshop, Basel , April 2017SmartCity workshop, Basel , April 2017
SmartCity workshop, Basel , April 2017
 
Big Data in Real Estate - Digital Real Estate Summit
Big Data in Real Estate - Digital Real Estate SummitBig Data in Real Estate - Digital Real Estate Summit
Big Data in Real Estate - Digital Real Estate Summit
 
Smart Data Tool - Smart City Conference St. Gallen
Smart Data Tool - Smart City Conference St. GallenSmart Data Tool - Smart City Conference St. Gallen
Smart Data Tool - Smart City Conference St. Gallen
 
Connected Event - Du Big Data au Smart Data 7Oct2015 - EPFL
Connected Event - Du Big Data au Smart Data 7Oct2015 - EPFLConnected Event - Du Big Data au Smart Data 7Oct2015 - EPFL
Connected Event - Du Big Data au Smart Data 7Oct2015 - EPFL
 
Smart City - Swisscom Dialogue Arena 18 juin2015, Lausanne
Smart City - Swisscom Dialogue Arena 18 juin2015, LausanneSmart City - Swisscom Dialogue Arena 18 juin2015, Lausanne
Smart City - Swisscom Dialogue Arena 18 juin2015, Lausanne
 
Smart City Event EPFL 24 09 2014
Smart City Event EPFL 24 09 2014Smart City Event EPFL 24 09 2014
Smart City Event EPFL 24 09 2014
 

Connected Event - Cybersecurity 9 10 2018

  • 1.
  • 2.
  • 3.
  • 4.
  • 5. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES Claudine Amstein Directrice de la Chambre vaudoise du commerce et de l’industrie
  • 6. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 37 % des entreprises sondées ont été victimes d’au moins une une attaque informatique
  • 7. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 35 % des entreprises sondées se sentent peu, voire pas du tout concernées par les cyber-risques
  • 8. www.cvci.ch/cybersecurite LE PARTENAIRE DES ENTREPRISES 50 % des entreprises sondées n’ont prévu aucune formation à l’intention de leur personnel
  • 9. Etat de Vaud Département des infrastructures et des ressources humaines Page 9 LA CYBERSÉCURITÉ UN DÉFI À ABORDER ENSEMBLE Swisscom Connected Event – 9 octobre 2018 09/10/2018 Connected Event @EPFL
  • 10. Etat de Vaud Département des infrastructures et des ressources humaines Page 10 La cybersécurité devient la troisième plus grande menace à la stabilité mondiale #WEF18 09/10/2018 Connected Event @EPFL Source : WEF, Global Risks Report 2018
  • 11. Etat de Vaud Département des infrastructures et des ressources humaines Page 11 7 millions de jeux de données volées chaque jour dans le monde 09/10/2018 Connected Event @EPFL Source : Gemalto Breach Level Index
  • 12. Etat de Vaud Département des infrastructures et des ressources humaines Page 12 100’000+ 09/10/2018 Connected Event @EPFL 13’000+ 1’800+ 750 TB+ 500+ 4 Mios+ POSTES DE TRAVAIL SERVEURS DONNEES BASES DE DONNEES EMAILS / JOURS SPAMS / MOIS Exposition numérique de l’administration vaudoise
  • 13. Etat de Vaud Département des infrastructures et des ressources humaines Page 13 Une stratégie multi-dimensions pour l’Etat 09/10/2018 Connected Event @EPFL
  • 14. Etat de Vaud Département des infrastructures et des ressources humaines Page 14 Le SOC (Security Operation Center) de l’Administration Cantonale Vaudoise pour lutter contre les cyber-risques 09/10/2018 Connected Event @EPFL
  • 15. Etat de Vaud Département des infrastructures et des ressources humaines Page 15 Un rôle actif pour fédérer et réunir les efforts #compétenceslocales #ensembleplusfort 09/10/2018 Connected Event @EPFL
  • 16. Etat de Vaud Département des infrastructures et des ressources humaines Page 16 vaud.digital, portail des acteurs de l’innovation numérique 09/10/2018 Connected Event @EPFL
  • 17. Etat de Vaud Département des infrastructures et des ressources humaines Page 17 Bientôt - Une application mobile pour soutenir les PME face aux cyber-risques 09/10/2018 Connected Event @EPFL
  • 18. Etat de Vaud Département des infrastructures et des ressources humaines Page 18 MERCI DE VOTRE ATTENTION 09/10/2018 Connected Event @EPFL
  • 19. 19 Connected Event Cybersécurité EPFL, 9 Octobre 2018 Perspective académique Prof. Jean-Pierre Hubaux, directeur académique du C4DT
  • 20. Growing Concern: Medical Data Breaches Around 5 declared breaches per week, each affecting 500+ people https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf 20
  • 21. 21 The Guardian, 14 May 2017 “WannaCry” Ransomware Virus (May 2017)
  • 22. Personalized Medicine The massive digitalization of clinical and genomic information is providing unprecedented opportunities for improvements in diagnosis, preventive medicine and targeted therapies 22
  • 23. Another Major Concern: Re-identification Attacks against Genomic Databases 23
  • 24. Genomic data pose special privacy problems: • They are inherently identifying • They can’t be changed (as opposed to passwords) • They have unique statistical regularities • They contain sensitive and personal information (genetic diseases or propensity to develop certain conditions) • Their leakage can expose individuals to genetic discrimination • Relatives can also be affected What If Genomic Data Are Leaked? 24 [Naveed et al.’15]
  • 25. Data Protection for Personalized Health (DPPH)
  • 26. Data Protection for Personalized Health • 5 research groups across the ETH domain + SDSC (Swiss Data Science Center) • Funding: 3 Millions CHFrs • Duration: 3 years (4/2018 - 3/2021) • Funding Program: ETH PHRT (Personalized Health and Related Technologies) DPPH: Data Protection in Personalized Health LCA1: Systems for privacy- conscious data sharing DEDIS: Distributed and Decentralyzed Trust GR-JET: Fundamental cryptography Fellay Group: Medical application SDSC: Data Science Infrastructure and Deployment Health Ethics and Policy: Legal and Ethical analysis Project goals: • Address the main privacy, security, scalability, and ethical challenges of data sharing for enabling effective P4 medicine • Define an optimal balance between usability, scalability and data protection • Deploy an appropriate set of computing tools DPPH.CH E. Vayena B. Ford JP Hubaux D. Jetchev J. Fellay O. Verscheure
  • 27. Envisioned Nation-Wide Deployment 27 Q1: How many patients with BRCA1 and breast cancer? Q2: What is the survival rate for cancer patients undergoing a given chemotherapy? Year 2 & 3: tiered deployment, extra functionality Year 1: small- scale prototype, simple queries
  • 28. DCC: Data Coordination Center IT Node IT Node IT Node IT Node IT Node DCC DPPH – The Role of the Blockchain 28 … … DPPH Blockchain Inference resistance Provenance and Reproducibility Immutable Log Big Data Platform Distributed Access Control Distributed Privacy- conscious Processing
  • 29. “genomeprivacy.org” Community website • Searchable list of publications on genome privacy and security • News from major media (from Science, Nature, GenomeWeb, etc.) • Research groups and companies involved • Tutorial and tools • Events (past & future) 29
  • 30. Collaboration Ecosystem • 30+ EPFL laboratories • 8+ Organizations Blockchain Privacy- enhancing technologies Personalized health Smart contracts Cyber security Machine Learning Content Protection System security Cryptography Software verification 30 The Center for Digital Trust @EPFL Reinventing trust for the digital society • Center of expertise • One-stop-shop • Community
  • 31. 31 … and more to join Partners of Center for Digital Trust
  • 32. 32 Digital Trust – Research at EPFL 32 C4DT Presentation | 2018 … and more to join • Blockchain • Cloud computing • Cryptography • Cyber-physical systems • Data mining • Decentralized systems • Distributed systems & algorithms • Finance • Genomics • Image conceptualization • IoT • Large-scale systems • Machine learning • Media Security • Network security • Personalized health • Privacy enhancing technologies • Programming languages • Reliability & security • Risk management • Security by design • Semantic information • Software verification • System security
  • 33. 33 C4DT Activities CENTER FOR DIGITAL TRUST FACTORY ACADEMY EMBASSY 3
  • 34. 34 The Digital Trust Platform – Technologies & Applications PRIVACY CRYPTOGRAPHY FINANCE& ECONOMY DIGITAL TRUST OPEN PLATFORM (The Factory) BLOCKCHAINS SMART CONTRACTS SOFTWARE VERIFICATION SYSTEM SECURITY HEALTH GOVERNMENT& HUMANITARIAN CRITICAL INFRASTRUCTURES DIGITAL INFORMATION … TRUSTWORTHY DIGITAL PRODUCTS & SERVICES APPLICATION VERTICALS TECHNOLOGY PILLARS 3
  • 35. Example 1 of C4DT Project: Capital Markets and Technology Association (CMTA) • “An independent association formed by leading actors from Switzerland's financial, technological and legal sectors to create common standards around issuing, distributing and trading securities in the form of tokens using the distributed ledger technology.” • Current project: record ownership of shares in a Swiss company on a blockchain (Nov. ‘18) • Without requiring changes to current Swiss law • Swiss standard for tracking ownership in stock or bond using blockchain and smart contracts • Founding members:
  • 36. Collaboration with ICRC Humanitarian organization in Geneva and strategic partner of EPFL Challenges • Identifying relevant information sources • Search in textual and image content • Data of poor quality Example 2 of C4DT Project: Finding missing people in conflict zones
  • 37. Face Retrieval using Deep Neural Networks Adapting the techniques to the context (quality of images) and combining with other search modalities
  • 38. 38 C4DT – A "virtuous circle" 1) Trusted platform 2) Collaboration hub 3) Knowledge transfer PARTNERS C4DT Needs & Foresight Specialists & Knowledge Data & Infrastructures Funding Foresight & Opportunities Research projects Prototypes Collaborative platform Dr. Olivier Crochat Executive Director
  • 40. Rapport au Conseil Fédéral sur la gestion et la sécurité des données • Groupe de 13 experts (juristes, économistes, éthiciens, informaticiens) • 3 ans de travaux • Rapport remis en août 2018 • 51 recommandations: recherche, formation, investissements, législation,… • 200 pages • Rapport transmis aux départements fédéraux pour action et rapport d’ici à l’été 2019 • Rapport publiquement accessible: https://www.admin.ch/gov/fr/accueil/documentation/communiques/flux- rss/par-office/communiques-de-presse-et-discours.msg-id-72083.html 40
  • 41. Conclusion • Worldwide, the confidentiality of health data is in jeopardy • Personalized medicine dramatically increases the amount of data • Mobile devices collect more and more health-related data that need to be properly secured • The Data Protection for Personalized Health Project is a (Swiss) response to these concerns: https://dpph.ch • EPFL’s initiative to reinvent trust in cyberspace: Center for Digital Trust https://c4dt.org 41
  • 42. Les enjeux de la cybersécurité Exemples dans le monde de la santé Philippe Vuilleumier Head of Group Security / Chief Security Officer Lausanne, 9.10.2018 C1 - public
  • 43. Le monde dans lequel nous vivons…. … est de plus en plus interconnecté et génère de nouveaux besoins Toujours en ligne Big Data et Business Intelligence Travailler et se réunir à tout moment et partout 200 millions d’appareils connectés à Internet en Suisse d’ici 2020 Nouvelles interfaces et consumérisation de l’informatique Disponibilité et sécurité des données: deux points essentiels 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 43
  • 44. Open Space Hôpital Couloir CouloirVidéoconférence Chambre Patients Soins intensifsBlocs Opératoires Magasin Magasin RéceptionUrgences Consultations Services Techn. MagasinIT Radiologie Médecin Hôpital Assurance Pharmacie Centre
  • 48. 9.10.2018 48 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 WannaCry Cyber attack and the NHS Fact & Figures >Au total, au moins 81 des 236 hôpitaux (angl. trust) ont été touchés. 5 hôpitaux ont du fermer leurs services d'urgences >De plus, 603 autres organisations de soins primaires ont été infectées par WannaCry, dont 595 cabinets de médecins généralistes >NHS a estimé que plus de 19 500 consultations ont été annulées, dont 6 912 confirmées >Le coût financier total de l'incident reste inconnu Kingsley Manning, former chairman of NHS Digital, blamed a lack of time and resources but also "frankly a lack of focus, a lack of taking it seriously" for individual NHS organisations' failure to keep up with the cyber security improvements. Détails: https://www.nao.org.uk/press-release/investigation-wannacry-cyber-attack-and-the-nhs/
  • 49. Faiblesses constatées NIST Cyber Security Framework Identification et inventaire des objets à protéger et des menaces les visant. Réaction aux attaques et prises de mesures rapides avec pour but de maintenir les activités. Garantie d’un rétablissement rapide des activités normales. Protection de l’infrastructure technologique en matière d’intégrité, de confidentialité et de disponibilité. Surveillance systématique de l’infrastructure technologique par rapport à d’éventuelles attaques et anomalies. Identify Protect Detect Respond Recover Initial Response plan developed but not tested Improve Response plan incl. clear roles & responsibilities Increase Awareness at all levels and implement critical alerts Improve Governance (88 out of 236 trusts showed that none passed the req. cybersec standards) 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 49
  • 50. Les risques sont réels Chaque mois environ... attaques de phishing sont détectées et bloquées2250 ordinateurs de clients privés sont déconnectés à titre préventif en raison d'une infection par un logiciel malveillant 20 000 plaintes de clients privés pour cause de problèmes de spam, de phishing ou de logiciels malveillants 22 000 clients privés sont informés de façon proactive du fait que leurs ordinateurs sont infectés par des logiciels malveillants 1300 clients privés sont contactés pour cause de comptes piratés 4800 accès à distance en provenance de 40 pays de 16 000 utilisateurs de300 sociétés 300 000 programmes nuisibles/attaques détectés et bloqués sur le réseau 8 000 000 atteintes à la sécurité traitées par le CSIRT15 programmes nuisibles identifiés et bloqués au niveau d'endpoints de gros clients 5000
  • 51. Comment traitons-nous ces menaces du cyberespace? Swisscom se concentre sur trois points 1. Une base bonne et solide Avec pour objectif: réduire les coûts, consolider les "policies" et processus, maintenir et développer l’Information Security Management System certifié ISO 27001, dispenser des formations, et bien plus encore 2. La sécurité doit être garantie de manière simple Avec pour objectif: développer de nouvelles technologies de sécurité ainsi que des processus favorisant la numérisation 3. Approche novatrice en matière de détection Avec pour objectif: protéger l’entreprise, ses clients et la société de l’information suisse d’attaques ciblées 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 51
  • 52. Quatre principes constitue la base … … de toute stratégie de sécurité > La sécurité est plus qu’un coût! > “Enabling”de concepts informatique tels que “Home Office-”ou “BYOD” > Des produits sûrs coûtent moins chers! La sécurité est le nouvel argument commercial > Quantité et qualité en augmentation > De la chaine d’approvi- sionnement au périmètre > Nouvelle approche nécessaire Nous sommes en permanence la cible d’attaques > La détection pour palier les limites de la prévention > Représente la base pour une réaction conséquente L’intelligence est à la base de la détection > Base conceptuelle et opérationnelle stable > Appliquer les bonnes pratiques de sécurité sur la durée > Cadre réglementaire, gouvernance approprié Appliquer les Security Good Practices C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 52 9.10.2018
  • 53. Chief Security Officer CSIRTSecurity Delivery Security Framework & Governance Physical Security Security Governance & Services CSIRT Security Officers Product & Marketing / Sales & Services Enterprise Customers IT, Network & Infrastructure Group Functions, Digital Business La sécurité chez Swisscom Conditions organisationnelles pour une gestion efficace de la sécurité • Tâche à l’échelle du groupe • Etroite collaboration avec la Direction du groupe • Mode opératoire pragmatique et simple • Sécurité physique et logique intégrée • Env. 60 spécialistes • Security Officers consacrés aux divisions operation- nelles Group Security Swisscom Policy Management • Clair et simple • Actuel et pertinent • Tendance au self- service • Doit permettre un développement agile de solutions TIC 9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 53
  • 54. > Accepter les défis! – Dépendances technologiques, savoir-faire, restrictions financières > Ne pas capituler! – Structurer, prioriser, et commencer par le début > Appliquer les bonnes pratiques sur la durée! – Base conceptuelle et opérationnelle stable – Cadre réglementaire, gouvernance approprié > Que voulez/pouvez-vous faire vous-même et que voulez-vous externaliser? – Exemples: SOC, Threat Detection, Gouvernance 9.10.2018 54 C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0 Et finalement…
  • 57. Rôle Agence de soutien à l’innovation - Porte d’entrée pour les projets d’innovation - Pour PME et start-up - Catalyseur entre la recherche appliquée et l’économie Domaines prioritaires - Sciences de la Vie - TIC - Industrie de Précision - Cleantech
  • 61. Investissements capital-risque / 2017 Invested amount in Vaud-based startups in 2017 $300M #1 in Switzerland
  • 62. 40 % of TOP 10 are in VAUD TOP 100 Swiss Startups 2018 1. Ava 2. Bestmile 3. Lunaphore 4. Flyability 5. Cutiss 6. Piavita 7. Wingtra 8. Gamaya 9. Advanon 10. Versantis 24 startups in TOP 100 are in Canton de Vaud
  • 63. Finance FIT grant – 100k - Prototype/mise au point FIT seed (prêt) – 100k - 0% intérêt - garantie personnelle FIT growth (prêt) – 500k - «matching» : 1.- investi = 1.- prêté - 5% + 5% intérêt - pas de garantie personnelle
  • 67. Sécurisation d’apps critiques w Apps internes ou de tiers w Couche de sécurité indépendante de l’appareil w Applications fintech Histoire: w Spin-off HEIG-VD / Fondation: 2010 w FIT seed w Basée à Y-Parc
  • 68. Plateforme de surveillance des flux de donnée entreprise w Cartographie automatique des flux de données w Rapports et alertes w Installation simple Histoire: w Lancement 2014 w Spin-off EPFL basée à EPFL Innovation Park / Boston
  • 69. Plateforme de stockage sécurisé pour cryptomonnaie w Solution cryptographique hardware/software w Clients: banques, gestionnaires de fonds Histoire: w Fondée 2014 w Basée à Lausanne
  • 70. Solution de gestion d’identité numérique w Reconnaissance faciale 3D w Multiplateforme w 3D Graphical Authentication Histoire: w Basée à Lausanne w Prêt FIT growth (2018)
  • 71. Solution de collaboration sécurisée pour entreprises w Voix et messagerie instantanée w Environnement de travail (documents, notes) w Chiffrage end to end avec authentification robuste Histoire: w Spin-off EPFL w Fondation: 2007 w Basée à Morges
  • 73. Merci ᐅ @innovaud ᐅ www.innovaud.ch ᐅ Newsletter ᐅ https://vaud.digital
  • 74.
  • 75. Traitement sécurisé de l'information Digital Trust Connected Event: CyberSécurité Le 09 octobre 2018 Blaise Vonlanthen, Chef de Section Romandie Lucile Van Kerrebroeck, Consultante Senior AWK Group Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform beiseite ziehen • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform selektieren und kopieren • Masteransicht schliessen • Auf Titelfolie die weisse Abdeckform einfügen • Weisse Abdeckform beiseite schieben • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt Anleitung zum Einfügen eines Fotos: • Folienmaster anzeigen (Ansicht à Folienmaster) • Weisse Abdeckform beiseite ziehen • Quadratisches Foto auf dieses graue Quadrat legen (mind. 12×12cm) und bei Bedarf zuschneiden • Weisse Abdeckform über Foto schieben, so dass Abdeckform bündig zu linkem und oberem Rand liegt
  • 76. Tendance I : professionnalisation de la cybercriminalité organisée Cyber Crime as a Service : une entreprise florissante !
  • 77. Tendance II : digitalisation Assurer la sécurité de l'information tout au long de la chaîne de valeur ProducteursFournisseurs Distributeurs Installateurs Acteurs Gestion du stock des mat. premières Chaîne de montage / assemblage Contrôle qualité Gestion du stock des produits finis Publicité du produit fini Gestion des ventes Installation Service Après Vente Chaîne de valeur simplifiée d'une entreprise Fabrication Logistique de commercialisation Marketing et ventes Services Logistique d’approvisionnement Digital TrustDigital TrustDigital Trust Distribution des produits finis Distribution des mat. premières Clients Force de vente RéparateursContrôleursDistributeurs Responsable d’entrepôts
  • 78. 78 Digital Trust 4 étapes dans l’établissement d'une confiance numérique Analyse der internen Unternehmensressourcen Digital Trust Identifier ● Comprendre l’environnement de l’entreprise et identifier ses fonctions critiques au niveau de ses données, processus, personnes et compétences Réagir ● Cette étape comprend les activités de réaction face à un incident de sécurité ainsi que les activités de continuité business. Protéger ● Définition et mise en place de mesures de sécurité appropriées pour protéger les fonctions critiques identifiées au préalable. Détecter ● Élaboration et mise en place de mesures appropriées pour détecter des incidents de sécurité.
  • 79. 79 Digital Trust : sécurité de l'information : approche de gestion intégrée Interaction de la technologie, de l'organisation et des processus Identifier Protéger Détecter Réagir Information Security Management System ISMS Security Incident & Event Management Business Continuity Management Identity & Access Management Post Incident Audits Information Security Architecture IT Forensics Operational Security Assurance Network Security Audits préventifs IT Service Continuity Logging Monitoring Gestion des risques Awareness Training Breach Containment Asset / Data / Process Inventory Vulnerability / Update Management Incident Management
  • 80. 80 L’importance de la sensibilisation Laptop1: ─ Sans surveillance ─ Sans protection avec un mot de passe 68% PMEs dans le canton VD n’ont pas encore mis en place de formations à la sécurité informatique2. 1 Photo prise dans le train entre Berne et Lausanne le 3 octobre 2018 2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf
  • 81. 81 ● Données clients ● Données personnelles ● Informations stratégiques sur l'entreprise ● Propriété intellectuelle Connaissez-vous vos fonctions critiques ? Joyaux de la couronne ● Connaitre sa tolérance de risque ● Etablir des mesures de protection afin de réduire le risque à un niveau acceptable Prochaines étapes Identifier Identifier Protéger Détecter Réagir
  • 83. La fin de la sécurité périmétrique 83 ● Définir une politique de sécurité et ses standards ● S’assurer que toutes les ressources soient accessibles de manière sécurisées ● Authentification ● Chiffrement des transmissions ● Accorder uniquement l'accès sur la base du «need-to-know» et «least privilege» ● Ségrégation du réseau, centré sur la protection des ressources/données critiques Zero Trust Model Identifier Protéger Détecter RéagirSécurité réseau 2.0
  • 84. 84 UBS (2011) ● Détournement de 2 milliards de dollars ● Cause: contrôle préventif applicatif non configuré pour effectuer certaines transactions de paiement Cela s’applique également aux PMEs pour leur application d’e-banking1! ● Principe du double contrôle ● Désactiver les transactions non nécessaires ● Accès à l’e-banking depuis un ordinateur spécifique 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
  • 85. 85 Nestlé (2014) ● Le compte Twitter de Nestlé Crunch pour la branche mexicaine a été utilisé dans le but de nuire à la marque1. ● Cause: Gestion des accès privilégiés non contrôlée. 96% PMEs dans le canton VD n’imposent pas de complexité et de changement régulier des mots de passe2. 1 https://www.20min.ch/ro/news/monde/story/Etudiants-massacres--la-blague-douteuse-de-Nestle-14085746?httpredirect 2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf
  • 86. Security Operation Center 86 Sur toutes les lèvres «Assume breach» & «Security Operation Center» (SOC) Security Information and Event Management Threat Intelligence Gestion des vulnérabilités Surveillance des systèmes clés ● Le risque zéro n’existe pas malgré les contrôles ● Le modèle «Assume breach» permet de garder à l’esprit qu’il faut être capable de détecter les incidents de sécurité Objectifs ● Détecter et analyser les incidents, les attaques, les intrusions dans les systèmes clés ● Veille technologique ● Effectuer des tests de pénétration en environnement équivalent à la production Les prérequis d'un SOC ● Fonctions critiques connues ● Systèmes permettant de générer des «audit logs» ● Processus de gestion des incidents Identifier Protéger Détecter Réagir
  • 87. 87 NSA (2013) ● 1,7 millions de documents dérobés par une personne autorisée à avoir accès à ces données classés secrètes (accès administrateur). ● Cause: Manque de contrôle détectif sur les accès distants et sur des documents classés «secret» avec des comptes à hauts privilèges. Cela s’applique également aux PMEs, contrôle détectifs essentiels pour analyser un incident1 ● Systèmes sensibles doivent tenir des fichiers journaux («log files»). ● Sauvegarder ces fichiers au moins 6 mois. 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
  • 88. Limiter les impacts d’un incident 88 Assurer une réactivité en cas d'incident 4ème objectif du SOC : adresser les incidents ● S’assurer que l’incident est contenu dans une certaine zone («breach containement») ● Determiner les mesures adéquates afin d’éviter que cela se reproduise ● Coordonner l’implémentation des différents correctifs de sécurité La gestion des sauvegardes et d’un DRP (Disaster Recovery Plan): ● Sauvegarder régulièrement ses données et les placer à différents endroits ● S’assurer qu’un site de secours informatique est à disposition ● Prioritiser le recouvrement: Définition des Recovery Time Ojective / Recovery Point Objective Identifier Protéger Détecter Réagir
  • 89. 89 MAERSK (2017) ● L’attaque informatique Petya a touché l’ensemble du système informatique causant la perte de 300 millions de dollars sur son chiffre d’affaire. ● Cause: Manque de processus de recouvrement face à une cyber attaque paralysant entièrement le système. ● Impact: Ses partenaires ont été indirectement touchés par cette paralysie 91% des PMEs VD reconnaissent ne pas effectuer de sauvegarde externe ou à plusieurs endroits (la base d’un plan de recouvrement des activités)1. 1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
  • 90. 90 Digital Trust : un facteur de succès de votre transformation numérique Renforcer la confiance dans vos processus digitaux Digital Trust
  • 91. Trust by design « Inspiration from Latitude 59° N e-Estonia » Connected Event October 9, 2018 Philippe Thevoz Philippe Gillet Enabling trust
  • 92. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 92 TRUST by DESIGN
  • 93. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 93 NOTARY DOCUMENTS : FROM PAPER TO DIGITAL e-Notary
  • 94. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 94 MY DIGITAL MEDICAL RECORDS
  • 95. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 95 E-BANKING
  • 96. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 96 DIPLOMA LEGALIZATION PROCESS
  • 97. HOW TO ENABLE TRUST IN THE DIGITAL
  • 98. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 98 TRUST ENABLERS IN DIGITAL oProcess & Device integrity (Hardware & Software) o System Resilience o Data Integrity & Security o Immutability o Anti-Tampering o Anti-Counterfeiting o Traceability o Auditability o Accountability o Confidentiality o Privacy & Consent o Data Sovereignty
  • 99. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 99 HOW TO GENERATE TRUST IN DIGITAL ? Blockchain Cloud Databases Cybersecurity Blockchain TRUSTinDigitalServices SecureIT
  • 100. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 100 HOW TO GENERATE TRUST IN DIGITAL ? Digital ID Data privacy & sovereignty Physical – Digital Link Secure marking Encryption Artificial Intell. Blockchain Cloud Databases Cybersecurity Dataintegrity &Security TRUSTinDigitalServices SecureIT
  • 101. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 101 BLOCKCHAIN – ONLY A TECHNOLOGY, NOT A FULL SOLUTION Integrity Digital ID Data privacy & sovereignty Physical – Digital Link Secure marking Encryption Artificial Intell. Blockchain Cloud Databases Cybersecurity AI Sover- eignty Phys- Dig Link Marking Encry- ption Digital ID Block- chain
  • 102. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 102 SECURE IMMUTABLE REGISTRIES Indisputable tamper evidenceData Integrity Real-time intrusion detectionData Security Render data unusable and unbreakable by any intruder Confidentiality Privacy How can I prove my good faith, independently from the system Digital Sovereignty How to prove that the data have been generated through the right process Process Integrity Undisputable proof of who did what and when on which data Auditability Accountability
  • 103. EXAMPLE 1 : DATA INTEGRITY e-Notary
  • 104. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 104 The example of e-Estonia Last year Last month Last week Yesterday HOW TO SECURE MILLION OF DIGITAL TRANSACTIONS? Today Tax Authority Land registry People registry …
  • 105. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 105 TIMESTAMP PROOF I am very pleased to be present today at this conference. Philippe – May 3, 2018 How can I prove in 10 years that I wrote that statement on May 3, 2018 ?
  • 106. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 106 PUBLISH THE DOCUMENT IN A NEWSPAPER I am very pleased to be present today at this conference. Philippe – May 3, 2018 May 4, 2018
  • 107. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 107 PUBLISH THE HASH OF THE DOCUMENT 3f0c8709cf75272beb1de9a 96a4c6c343f2fe4a263a868 e8e2d3f97cbe901da7 May 4, 2018
  • 108. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 108 PUBLISH THE TOP HASH OF THE MERKLE TREE c775e7b757ede630cd0aa1 113bd102661ab38829ca52 a6422ab782862f268646 May 4, 2018
  • 109. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 109 I am very pleased to be present today at this conference. Philippe – May 3, 2018 HOW CAN I PROVE IN 10 YEARS FROM NOW THAT THE FOLLOWING DOCUMENT IS IMMUTABLE ? +
  • 110. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 110 KSI BLOCKCHAIN – ONE HASH PER SECOND FOR THE WHOLE WORLD US Corp1 US Corp2 Estonia SICPA US Administration C775e7b757ede630c d0aa1113bd1026… KSI-Blockchain
  • 111. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 111 DIGITAL INTEGRITY: IN THE HEART OF e-ESTONIA Terabytes of Data are secured every second on the KSI Blockchain since 2008. In full operation since 2012
  • 112. EXAMPLE 2 : DATA INTEGRITY, CONFIDENTIALITY, TRACEABILITY
  • 113. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 113 TRACEABILITY ON MY DATA IN ESTONIA
  • 114. EXAMPLE 3 : DATA SOVEREIGNTY - DIGITAL RECEIPT
  • 115. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 115 SECURE REGISTRY Proof
  • 116. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 116 SECURE VALUE DOCUMENTS Cryptographic link
  • 117. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 117 SECURE VALUE DOCUMENTS Cryptographic link 200 CHF
  • 118. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 118 TRUST by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