Centrale Nantes - Conférence du 08 Octobre 2015
Présentation sur les enjeux et les évolutions de la sécurité informatique.
Comment passer d'une vision de la sécurité informatique qui préserve la valeur, à une vision génératrice de valeur ajoutée pour l'entreprise ?
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Intervention sur la cybersécurité en BTS SIO, pour les SISR (admin sys et réseau) et les SLAM (développeurs).
Ce document commence par un questionnement sur les meilleurs moyens de sécuriser un SI. Ensuite, une petite partie de sensibilisation explique les risques que les étudiants ne devront pas prendre en entreprise (quels que soient leurs postes). L'intervention poursuit avec une présentation de la cybersécurité, des métiers et des activités qui y sont liés ainsi que des besoins en entreprise. Enfin, ces slides permettront d'identifier des points sensibles de la cybersécurité dans leurs activités respectives (en tant que développeur ou en tant qu'administrateur).
Le tout est entrecoupé de petites parties pratiques qui permettent de démontrer les faits et qui renforceront les compétences techniques des étudiants.
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
Présentation sur la cybersécurité réalisée pour la DFCG
Comment passer d'une approche Annualized Loss Expectancy (ALE) sur l'évaluation de ses risques informatiques, à une approche portant sur la valeur commerciale créée par des outils de cyber-protection ?
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Intervention sur la cybersécurité en BTS SIO, pour les SISR (admin sys et réseau) et les SLAM (développeurs).
Ce document commence par un questionnement sur les meilleurs moyens de sécuriser un SI. Ensuite, une petite partie de sensibilisation explique les risques que les étudiants ne devront pas prendre en entreprise (quels que soient leurs postes). L'intervention poursuit avec une présentation de la cybersécurité, des métiers et des activités qui y sont liés ainsi que des besoins en entreprise. Enfin, ces slides permettront d'identifier des points sensibles de la cybersécurité dans leurs activités respectives (en tant que développeur ou en tant qu'administrateur).
Le tout est entrecoupé de petites parties pratiques qui permettent de démontrer les faits et qui renforceront les compétences techniques des étudiants.
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
Présentation sur la cybersécurité réalisée pour la DFCG
Comment passer d'une approche Annualized Loss Expectancy (ALE) sur l'évaluation de ses risques informatiques, à une approche portant sur la valeur commerciale créée par des outils de cyber-protection ?
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Atelier de la Section Sécurité Informatique: La pêche aux mots de passe !
Par: MECHRI Abderrahmane et BELFODILE Aymen.
Sous l'encadrement de: SMAHI Zakaria
L’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principaux concepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnes pratiques.
Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
Formation complète ici:
https://www.alphorm.com/tutoriel/formation-en-ligne-certified-ethical-hacker-v9-1-4-reussir-ceh-v9
La certification CEH dans sa version 9 est actuellement la plus avancée au monde dans le domaine de l'Ethical Hacking.
Cette formation CEH V9 aborde 18 modules successifs liés aux domaines de la sécurité informatique les plus récents, en détaillant plus de 270 attaques techniques de hacking.
La formation CEH V9 permet à tous les informaticiens et tous les passionnés d'informatique ayant un profil technique de découvrir et de mieux comprendre les modes opératoires, les méthodes employées ainsi plus de 2200 outils utilisés par les pirates informatiques pour contourner et déjouer les protections de sécurité en place.
Cette formation CEH V9 vous aidera à maitriser une méthodologie de piratage éthique qui pourra aussi bien être utilisée dans un test d'intrusion que dans une situation de piratage éthique.
Cette formation CEH V9 est destinée à vous transmettre une vision étendue des variétés d'attaques possibles dans un SI. Vous quitterez avec des compétences en piratage éthique qui sont hautement recherchées.
Cette formation CEH V9 vous permettra d'obtenir l'examen de certification CEH Certified Ethical Hacker.
La cryptographie permet de satisfaire les besoins en sécuritéLe crypto-système symétrique souffre d’un problème de distribution de clés, pour cela son utilisation doit être combinée avec le crypto-système asymétriqueLes crypto-systèmes asymétriques souffrent d’une vulnérabilité dite : Man In The Middle AttackSolution : Certificats électroniques
Dans une société digitalisée, où l’informatique et les systèmes d’informations prennent une part prépondérante dans l’échange de flux divers, il est prioritaire d’apporter un soin particulier à sécuriser les systèmes contre d’éventuelles attaques qui peuvent s’avérer désastreuses.
La confidentialité est l’assurance que l’information n’est accessible qu’aux personnes autorisées, qu’elle ne
sera pas divulguée en dehors d’un environnement spécifié.
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à
une attaque.
Une « attaque » est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par
l'exploitant du système et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par
minute sur chaque machine connectée. Ces attaques sont pour la plupart lancées
automatiquement à partir de machines infectées (par des virus, chevaux de Troie, vers,
etc.), à l'insu de leur propriétaire. Plus rarement il s'agit de l'action de pirates
informatiques.
Afin de contrer ces attaques il est indispensable de connaître les principaux types
d'attaques afin de mettre en oeuvre des dispositions préventives.
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
Politique de sécurité d'entreprise
Politique de sécurité pour les entreprises : de l'analyse de risque vers la sécurité web
comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?
Implication des tests intrusifs, attack
etude de cas réel sur des maquuettes réelles
Atelier de la Section Sécurité Informatique: La pêche aux mots de passe !
Par: MECHRI Abderrahmane et BELFODILE Aymen.
Sous l'encadrement de: SMAHI Zakaria
L’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principaux concepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnes pratiques.
Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
Formation complète ici:
https://www.alphorm.com/tutoriel/formation-en-ligne-certified-ethical-hacker-v9-1-4-reussir-ceh-v9
La certification CEH dans sa version 9 est actuellement la plus avancée au monde dans le domaine de l'Ethical Hacking.
Cette formation CEH V9 aborde 18 modules successifs liés aux domaines de la sécurité informatique les plus récents, en détaillant plus de 270 attaques techniques de hacking.
La formation CEH V9 permet à tous les informaticiens et tous les passionnés d'informatique ayant un profil technique de découvrir et de mieux comprendre les modes opératoires, les méthodes employées ainsi plus de 2200 outils utilisés par les pirates informatiques pour contourner et déjouer les protections de sécurité en place.
Cette formation CEH V9 vous aidera à maitriser une méthodologie de piratage éthique qui pourra aussi bien être utilisée dans un test d'intrusion que dans une situation de piratage éthique.
Cette formation CEH V9 est destinée à vous transmettre une vision étendue des variétés d'attaques possibles dans un SI. Vous quitterez avec des compétences en piratage éthique qui sont hautement recherchées.
Cette formation CEH V9 vous permettra d'obtenir l'examen de certification CEH Certified Ethical Hacker.
La cryptographie permet de satisfaire les besoins en sécuritéLe crypto-système symétrique souffre d’un problème de distribution de clés, pour cela son utilisation doit être combinée avec le crypto-système asymétriqueLes crypto-systèmes asymétriques souffrent d’une vulnérabilité dite : Man In The Middle AttackSolution : Certificats électroniques
Dans une société digitalisée, où l’informatique et les systèmes d’informations prennent une part prépondérante dans l’échange de flux divers, il est prioritaire d’apporter un soin particulier à sécuriser les systèmes contre d’éventuelles attaques qui peuvent s’avérer désastreuses.
La confidentialité est l’assurance que l’information n’est accessible qu’aux personnes autorisées, qu’elle ne
sera pas divulguée en dehors d’un environnement spécifié.
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à
une attaque.
Une « attaque » est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par
l'exploitant du système et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par
minute sur chaque machine connectée. Ces attaques sont pour la plupart lancées
automatiquement à partir de machines infectées (par des virus, chevaux de Troie, vers,
etc.), à l'insu de leur propriétaire. Plus rarement il s'agit de l'action de pirates
informatiques.
Afin de contrer ces attaques il est indispensable de connaître les principaux types
d'attaques afin de mettre en oeuvre des dispositions préventives.
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
Politique de sécurité d'entreprise
Politique de sécurité pour les entreprises : de l'analyse de risque vers la sécurité web
comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?
Implication des tests intrusifs, attack
etude de cas réel sur des maquuettes réelles
Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ?
Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.
L\'authentification forte : Concept et TechnologiesIbrahima FALL
Présenter le concept d’authentification forte avec quelques techniques de mise en oeuvre pour illustration.
Site de l’exposé : http://www-igm.univ-mlv.fr/~dr/XPOSE2010/authentificationForte/index.php#introduction
Symfony2: 30 astuces et bonnes pratiquesNoel GUILBERT
Avec cette nouvelle version de votre framework préféré, de nouvelles fonctionnalités et de nouveaux usages sont apparus. Vous vous demandez comment structurer vos bundles? Comment organiser votre code source? Comment utiliser correctement l'injecteur de dépendance? Venez découvrir au cours de cette session les bonnes pratiques, et quelques astuces, qui vous aiderons dans la réalisation de vos projets avec Symfony2.
Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Implémenter de l’authentification forte pour vos environnements CloudMicrosoft Décideurs IT
Lorsque les entreprises commencent à utiliser des services Cloud, l’authentification des utilisateurs de manière fiable constitue une exigence vitale. Les entreprises doivent ainsi relever des défis liés à l'authentification tels que la gestion des informations d'identification, la force de l'authentification (avec la prise en compte de plusieurs facteurs), etc. et mettre en œuvre des solutions rentables qui réduisent le risque de façon appropriée tout en limitant les coûts de gestion. Cette session sera l'occasion de présenter mais surtout de démontrer différentes approches de prise en charge de l’authentification forte dans ce contexte. Seront en particulier illustrées des solutions qui se dispensent de dispositifs matériels (carte à puce par ex.) et qui s’intègrent avec la technologie Active Directory Federation Services (AD FS ) 2.0.
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Si, depuis quelques années, les types d’attaque n’ont pas vraiment évolué, les compromissions sont de plus en plus fréquentes et faciles à réaliser, ou à faire réaliser contre compensation. Les pirates informatiques ont des profils de plus en plus diversifiés, et des motivations diverses, même si la majorité des attaques sont opportunistes. On ne se protège bien que contre ce que l’on connaît !
Nouveaux risques cyber - 4 décembre 2019OPcyberland
Présentation des nouveaux risques cyber sous l'influence de l'apprentissage automatique. L'IA en défense. L'IA en attaque. L'UEBA, les architectures de données fictives immersives ADFI
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
La sécurité de votre système d'information : un sujet toujours d'actualité
- Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
- Comment assurer une protection efficace ?
- Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques
Rewics (04 mai 2011) - Atelier : « L'informatique dans les nuages
(cloud computing) : vraie révolution ou pétard mouillé ? ». Avec Bruno Schroder, National Technology Officer, Microsoft, et Olivier Loncin, spécialiste Google Apps.
La cybercriminalité est multiforme (fraude informatique, violation de données personnelles, atteinte à la e réputation…) et touchent les entreprises de toutes tailles et de tout secteurs d’activités. Ces attaques ont des répercussions financières qui mettent l’entreprise en danger. La prise de conscience de ces risques permet à l’entreprise de mettre en place des actions préventives.
Depuis les années 2000 et l’explosion d’IP comme protocole fédérateur, toutes les applications ont migré vers le même protocole et utilisent la même infrastructure
De même, les applications autrefois délivrées à un nombre limité d’utilisateurs sont devenues « universelles » (messagerie ou applications web par exemple)
Les types et le nombre de clients présents sur le réseau ont aussi explosé, et potentiellement, chaque client IP peut atteindre n’importe qu’elle application IP visible sur le réseau
Par ailleurs, de nouveaux besoins sont apparu, comme la mobilité, complexifiant encore plus la problématique de sécurisation du Système d’Information
La généralisation de ce modèle ouvert et la convergence sur un seul protocole ont facilité la tache des pirates, qui se sont engouffrés dans la faille !
La problématique de sécurité devient donc un axe majeur dans les réseaux modernes, et se complexifie de jour en jour.
Internet : Comprendre les opportunités et les dangers des réseaux cachésMaxime ALAY-EDDINE
Cyberwatch - cybersecurity training
Formation en sécurité informatique délivrée par CYBERWATCH SAS
Module de sensibilisation
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Maxime ALAY-EDDINE
Etablissements d’enseignement supérieur et MOOCs : présentation et analyse des différentes stratégies possibles.
Project Collectif, Master Affaires Publiques de Sciences Po
Maxime ALAY-EDDINE, Natacha BRIOIST, Alazaïs RAYNAL, Philippe WEN
Présentation associée au rapport suivant :
http://fr.slideshare.net/MaximeALAYEDDINE/comment-optimiser-la-stratgie-dun-tablissement-au-travers-des-moocs
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Maxime ALAY-EDDINE
Etablissements d’enseignement supérieur et MOOCs : présentation et analyse des différentes stratégies possibles.
Project Collectif, Master Affaires Publiques de Sciences Po
Maxime ALAY-EDDINE, Natacha BRIOIST, Alazaïs RAYNAL, Philippe WEN
Nés aux États-Unis dans les années 2000, les MOOCs (Massive Open Online Courses, ou Cours en Ligne Ouverts et Massifs) se sont développés en France durant l’été 2013 avec la création de FUN (France Université Numérique).
Aujourd’hui, c’est plus de 1 200 cours dispensés par 200 universités que l’on peut retrouver en ligne, et qui accueillent un public de plus de 10 millions d’étudiants.
Ces MOOCs sont à l’origine de multiples interrogations dans le milieu universitaire : s’agit-il d’une révolution numérique et pédagogique ou d’un simple phénomène de mode ? Vont-ils participer à la création de grands pôles universitaires et/ou remplacer les cours en présentiels ?
S’ils n’apportent pas encore de réponse claire à cette question, les MOOCs se développent et sont de véritables vecteurs de changement et d’innovation au sein des établissements d’enseignement. Il est à ce jour déjà possible de dresser un bilan de l’insertion des MOOCs dans le paysage académique et professionnel français, et de voir comment en faire des outils efficaces au service de la stratégie d’un établissement.
Ce rapport a été réalisé sur la base des premiers retours d’expérience des principaux experts des MOOCs en France. Le cadre de cette étude porte en particulier sur les établissements d’enseignement supérieur, et s’intéresse aussi bien aux aspects financiers ou logistiques qu’aux enjeux stratégiques de ces nouveaux objets pédagogiques.
Si l’État a mis en place une plateforme d’accueil et d’hébergement des MOOCs français avec FUN, il est important de réfléchir aux conséquences de la création d’un MOOC, et de voir de quelle manière un établissement peut optimiser sa stratégie par leur intermédiaire. Cela mène aux questions suivantes : quelles raisons poussent des universités à se lancer dans la création d’un MOOC et par conséquent quel public visent-elles ? Par l’intermédiaire de quels cours, quels professeurs ? Quels sont les modèles économiques émergents ? Quels sont les enjeux pratiques et financiers soulevés, quelles évolutions sont à prévoir ?
Notre rapport a pour objectif de porter un éclairage, sur la manière dont les établissements d'enseignement supérieur en France peuvent optimiser leur stratégie au travers des MOOCs, et avec quel modèle économique. Ce projet, réalisé dans le cadre des Projets Collectifs du Master Affaires Publiques de Sciences Po, propose de répondre à cette question en trois temps. Nous étudierons d’abord la manière dont les MOOCs peuvent s’inscrire dans la stratégie d’un établissement, puis les moyens disponibles pour amortir les coûts de développement, et enfin les enjeux opérationnels qui interviennent lors de leur mise en oeuvre.
Soutenance du mémoire "Identité numérique, identités numériques" réalisé dans le cadre du cours Etat et Révolution Numérique, Master Affaires Publiques de Sciences Po.
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...Maxime ALAY-EDDINE
Exposé sur la neutralité du net - Master Affaires Publiques de Sciences Po 2013-2014
"L'imprimerie a permis au peuple de lire, Internet va lui permettre d'écrire" (Benjamin Bayart).
La neutralité du net est un sujet récurrent dans les débats de notre société.
Pourtant, il est rare que l'on rentre dans les détails et que l'on explique réellement les enjeux de ce thème.
Au travers de cet exposé, nous tenterons de combler ces lacunes en voyant tout d'abord en quoi Internet est neutre par essence, puis les atteintes portées à cette neutralité et les moyens de lutter contre celles-ci.
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
1. Enjeux et évolutions
de la sécurité informatique
Maxime ALAY-EDDINE
Cyberwatch SAS - http://www.cyberwatch.fr
v1.0 - 08/10/2015
1
2. Faisons connaissance !
• Maxime ALAY-EDDINE
• 24 ans, Consultant SSI
• Président de Cyberwatch SAS
• 3 ans chez SAGEM (SAFRAN)
• 1 an chez SportinTown
• Commencé piratage à 12 ans
CYBERWATCH
2
3. - Gene Spafford (aka Spaf)
Expert SSI, membre du Cybersecurity Hall of Fame
The only truly secure system is one that is
powered off, cast in a block of concrete and
sealed in a lead-lined room with armed guards.
3
11. Sécurité des systèmes d’information ?
Le système d'information représente un patrimoine
essentiel de l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les
ressources matérielles ou logicielles d'une organisation
sont uniquement utilisées dans le cadre prévu.
Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006
11
13. Définition plus « concrète »… avec les mains
Disponibilité
Intégrité Confidentialité
Est-ce que mon
système fonctionne ?
Est-ce que mes
données sont bonnes ? Est-ce que mon
système est privé ?
13
44. Des menaces multiples… suite
Sécurité physique
Sécurité réseau
Sécurité des applications
Ingénierie sociale
…
44
45. Pour chaque menace, il y a une solution
Virus
Malware
IP Spoofing
Man-in-the-Middle
Injection SQL/XSS
Vulnérabilité
…
Anti-virus
Anti-malware
Anti Spoofing
Chiffrement
Filtrage
Scanner de vulnérabilités
…
45
47. You can't defend. You can't prevent. The
only thing you can do is detect and respond.
- Bruce Schneier
Expert SSI, inventeur du standard Bluefish
47
49. La bombe logique - 1982
• Dossier Farewell (Vladimir Vetrov)
• Opération créée par la CIA contre un pipeline russe
• Code malveillant permettant de faire exploser le pipeline,
sans explosif externe
• Les dégâts causés étaient visibles depuis l’espace
49
50. Kevin Mitnick - 1983
• Kevin Mitnick s’introduit sur le réseau du Pentagone
• S’introduit par « défi » technique
• Ne vole pas de données, conserve un sens éthique
• Travaille désormais comme consultant SSI
50
51. Morris - 1988
• Créé par Robert Tappan Morris (Cornell) en 1988
• Programme conçu pour se répliquer et se propager de
proche en proche (Ver / Worm)
• Problème : le ver a rencontré une erreur et a causé des
dommages sur les ordinateurs infectés.
• Plus de 6000 ordinateurs infectés, pour $100M
d’amende.
51
52. Jonathan James - 1999
• Pirate la Defense Threat Reduction Agency à 15 ans
• Installe une backdoor sur un serveur, puis un sniffer, pour
finalement voler des accès à des ordinateurs militaires
• Récupère le code source d’un logiciel de la NASA utilisé
sur la Station Spatiale Internationale pour contrôler
l’environnement de vie des astronautes
• Accusé à tort d’une autre attaque, se suicide en 2008
52
53. MafiaBoy - 2000
• Michael Calce (aka MafiaBoy) réalise des attaques par
Déni de service distribué sur des majors (Amazon, CNN,
eBay, Yahoo!)
• Explique avoir voulu tester des attaques pour concevoir
de nouveaux dispositifs de protection
• Les dégâts sont évalués à plus de $1,2Mrds
• Reconverti dans la sécurité informatique
53
54. Estonie - 2007
• L’Estonie subit une attaque majeure de Déni de service
suite au retrait d’un mémorial de guerre lié à la Russie.
• Les services gouvernementaux sont stoppés
• Les services techniques parviennent à remettre en ligne
progressivement les systèmes touchés
54
55. Operation Aurora - 2009
• Google China est victime d’une attaque majeure de la
part du gouvernement chinois
• Objectif : récupérer des données sur des activistes de la
lutte pour les droits de l’Homme
55
56. Israël - 2009
• 5.000.000 d’ordinateurs réalisent une attaque de Déni de
service distribué sur les sites gouvernementaux
israéliens.
• Ces attaques sont réalisées pendant l’offensive de
Janvier 2009 sur la bande de Gaza.
• L’origine des attaques semble être liée à un ancien état
soviétique et aux organisations type Hamas/Hezbollah.
56
57. La Cyber-armée iranienne - 2010
• Des militants iraniens attaquent Twitter et Baidu (Google
chinois).
• Les internautes sont redirigés vers une page pirate avec
un message politique.
57
58. StuxNet - 2010
• Virus de très haute expertise technique visant les
machines industrielles Siemens.
• Découvert en Iran et en Indonésie.
• Semble viser le programme nucléaire iranien.
58
59. Red October - 2012
• Kaspersky découvre un virus en activité depuis 2007
• Le virus a dérobé des informations confidentielles dans
des entités gouvernementales et des entreprises sur des
systèmes critiques.
• Utilise des vulnérabilités dans Word et Excel
59
60. Sony Pictures Entertainment - 2014
• Vol massif de données (films notamment)
• Les données ont été diffusées sur Internet
• Perte d’exploitation majeure pour l’entreprise, chiffrée à
plus de $100M
60
61. Ashley Madison - 2015
• Vol massif de données (60 Go)
• > 30M de comptes utilisateurs rendus publics
• Problème : pas de surveillance du réseau, mots de passe
trop simples (Pass1234)
61
62. Ashley Madison - 2015
• (source Gizmodo et Dadaviz)
• Perte financière :
- Chantage auprès des utilisateurs du site
- Class-Action contre l’entreprise, coût estimé > $5 M
62
63. Constat
• Ces attaques évoluent et deviennent de plus en plus
élaborées (Morris -> StuxNet).
• Les attaques sont maintenant médiatisées (Ashley Madison,
Daesh…).
• Les plus connues concernent avant tout les grandes
entreprises et les gouvernements.
• Les techniques d’attaques s’industrialisent.
• Petit à petit, création d’un milieu « cybercriminel », avec ses
enjeux économiques.
63
64. Les pirates ne cherchent plus le défi
technique, mais la rentabilité économique ou
la diffusion d’idées politiques.
64
66. Etude des solutions installées en entreprise
Source : La cybersécurité, Que sais-je ?
Sondage sur les solutions de sécurité des entreprises françaises en 2009
66
67. Etude des solutions installées en entreprise
• Certaines menaces sont traitées de facto
• Les menaces les plus « techniques » sont encore
oubliées.
• Cas des vulnérabilités informatiques dites « connues ».
67
68. Rôle des autorités de SSI
• Autorités gouvernementales de la SSI
• 2 rôles majeurs : surveillance, information
68
69. Les vulnérabilités connues ou « historiques »
• Vulnérabilités publiées par les autorités (8000 en 2014)
• CERT : Computer Emergency Response Team
• Objectif : avertir les usagers des nouvelles failles pour se
protéger en temps réel
Heartbleed Shellshock
69
72. Résultat
• Cette liste constitue l’armurerie parfaite pour les pirates
• Les entreprises (en particulier les PME) sont encore trop
peu protégées contre ces vulnérabilités
• Il est maintenant plus intéressant pour les pirates
d’attaquer les PME que les grands groupes.
72
73. Source : Gartner
80% des attaques réussies utiliseront au moins
une vulnérabilité connue en 2015.
73
74. Les pirates évoluent, nous devons adapter nos
mentalités et nos moyens de défense.
74
87. Les biais de l’approche « Réduction du risque »
• Approche classique Annualized Loss Expectancy (ALE)
• Si je connais :
- mon risque
- mes pertes potentielles
• Alors Budget ≤ Risque x Pertes
87
88. Les biais de l’approche « Réduction du risque »
• Approche classique Annualized Loss Expectancy (ALE)
• Si je connais :
- mon risque
- mes pertes potentielles
• Alors Budget ≤ Risque x Pertes
10% de chances d’avoir un Accident
10.000.000€ de pertes attendues si l’Accident se produit
Budget ≤ 1.000.000€ pour se protéger
Ex :
88
89. Les biais de l’approche « Réduction du risque »
• Risque de la sécurité informatique :
- Quel est ma surface d’exposition ?
- Quel est mon niveau de sécurité ?
- Quelles sont les menaces ?
• Pertes liées à la sécurité informatique :
- Quels sont mes principaux assets ?
- Quelles sont mes pertes potentielles matérielles ?
- Quelles sont mes pertes potentielles immatérielles ?
89
90. Les biais de l’approche « Réduction du risque »
• Risque de la sécurité informatique :
- Quel est ma surface d’exposition ?
- Quel est mon niveau de sécurité ?
- Quelles sont les menaces ?
• Pertes liées à la sécurité informatique :
- Quels sont mes principaux assets ?
- Quelles sont mes pertes potentielles matérielles ?
- Quelles sont mes pertes potentielles immatérielles ?
Manque de données sur
l’environnement et ses enjeux.
90
91. Les biais de l’approche « Réduction du risque »
• Question 1 - Que préférez-vous entre :
A : un gain certain de 100 €
B : 1 chance sur 2 de gagner 200 € (ou 0€)
91
92. Les biais de l’approche « Réduction du risque »
• Question 2 - Que préférez-vous entre :
A : une perte certaine de 100 €
B : 1 chance sur 2 de perdre 200 € (ou 0€)
92
93. Les biais de l’approche « Réduction du risque »
• Question 1 - Que préférez-vous entre :
A : un gain certain de 100 € — 72%
B : 1 chance sur 2 de gagner 200 € (ou 0€)
• Question 2 - Que préférez-vous entre :
A : une perte certaine de 100 €
B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64%
Problèmes équivalents mais humain irrationnel.
Phénomène d’aversion à la perte (Tversky, Kahneman, 1986).
93
94. L’approche classique ALE ne pousse pas à
assainir l’écosystème.
2 solutions :
1) Créer de la valeur avec la cybersécurité.
2) Réglementer l’écosystème.
94
95. Créer de la valeur avec la cybersécurité
• Faire de la sécurité informatique un argument commercial :
« Notre système d’information a été audité pendant 5 jours
par une équipe d’experts en sécurité. Avec nous, vos
données sont protégées. »
• Inclure des solutions de sécurité dans ses produits :
- Voitures vendues avec des alarmes en option.
- Infogéreurs vendent des serveurs infogérés avec une
option sécurité.
95
96. Créer de la valeur avec la cybersécurité
• La sécurité informatique augmente alors la valeur perçue
par le client, en termes de qualité.
• Le fait d’embarquer des solutions permet d’apporter en
plus du confort et de la simplicité.
• Ces approches réduisent le risque informatique, et
en déportent le coût sur le client final.
96
97. Réglementer l’écosystème
• Approche de l’assurance :
- Tout conducteur doit avoir souscrit une assurance auto.
- Tout salarié cotise à l’assurance chômage.
• Depuis 2013, Loi de Programmation Militaire :
- Fixe des obligations comme l’interdiction de connecter
certains systèmes à Internet ;
- Met en place de systèmes de détections par des prestataires
labélisés par l’Etat ;
- Vérifie le niveau de sécurité des SI critiques à travers un
système d’audit ;
- Et en cas de crise majeure, peut imposer les mesures
nécessaires aux opérateurs.
Source cyberstrategie.org
97
98. Réglementer l’écosystème
• LPM s’applique aux Opérateurs d’Importance Vitale :
- Transport ;
- Energie ;
- Télécommunications…
• Les OIV doivent notifier les attaques informatiques à
l’Agence Nationale de la Sécurité des Systèmes
d’Information.
• Au niveau européen, directives votées en 2014 permettent
à un Etat d’avertir le public d’une attaque sur OIV…
98
101. Evolution globale de la sécurité
DétectionGuérison
Bruce Schneier au FIC 2015
Présent
101
102. Evolution globale de la sécurité
CorrectionDétectionGuérison
Bruce Schneier au FIC 2015
Présent
102
103. De la guérison à la prévention
• Guérison : suite à une attaque, opérations de remise en
service du système d’information.
• Détection : pendant une attaque, opérations de blocage
des tentatives d’intrusion.
• Correction : mise en place des barrières techniques lors
de chaque nouvelle menace, avant même que les pirates
ne puissent les exploiter.
103
104. Evolutions réglementaires
• Transposition des directives européennes en France ?
• Extension progressive de la réglementation imposée aux
OIV à l’ensemble des entreprises françaises ?
• Vers une assurance Cyber-Risques obligatoire ?
Objectif : Atteindre la « Cyber-Résilience » européenne
104
106. Les menaces sont multiples, complexes.
Les technologies de protection deviennent
de plus en plus mûres et automatisées.
Nous passons d’une stratégie d’action en aval
à une stratégie d’action en amont.
Conclusion
106
107. Notre avis sur l’avenir ?
L’assainissement de l’écosystème passe par
des solutions de sécurité embarquées,
automatisées et économiques, et supportées
par des évolutions réglementaires.
107