On ne se protège bien que contre ce que l'on connaît... Cette présentation retrace les évolutions de la sécurité informatique, et les nouvelles tendances à venir sur le sujet. Identifiez les points majeurs à surveiller chez vos prestataires !

1. Les Assises de la Sécurité 2016
EXPERT en TRES HAUTE SECURITE
LEADER en INFOGERANCE ECOMMERCE
WWW.NBS-SYSTEM.COM
EVALUER ET CONTROLER LA SECURITÉ DE SES
PRESTATAIRES CLOUD, PaaS et SaaS
Intervenants
Thibault Koechlin
Emile Heitor

2. 1990 – 2016: 50 Nuances d’hébergement
‘90 « datacenter » on-premise
‘00 « SI internalisé & Liaison DC »
‘10 « SI minimaliste & Déporté en DC »
‘15 « SaaS, plus de SI »

3. Legacy: 1990 - 2000
Le règne du On-Premise
Aka l’informatique-à-papa

4. Self-hosted
• Serveurs contrôlés par l’IT interne
– Faible industrialisation
– Faible sensibilisation
• Politique de patching inexistante
• Robustesse des prestataires peu regardée
– Menaces locales
• Disquettes
• Collaborateur malveillant
• Pirates
– Début des accès à l’Internet
• Workstations souvent en DMZ
• Peu ou pas de filtrage
4

5. Self-hosted
• Point de vue « attaque »
– Attaques ciblées, souvent par ingénierie sociale
– L’exploitation reste un domaine émergeant (phrack : 85)
• Point de vue « défense et évaluation »
– Pratiquement inexistant
5

6. Quand l’hybridation
n’était pas encore un buzzword
2000 Bubbles

7. L’Internet ou le cheval de Troie
• Liaisons et ouverture sur le monde
• Avènement des DataCenters
– Faiblement sécurisés et normalisés
– Infrastructure publique
– Protocoles d’administration en clair
– Liaisons On-Premise ➡ DC
• Méthodologies de développement
– Versionning trop peu utilisé
– Revues de code pratiquement inexistantes
7

8. Premier shift de paradigme
• Le tournant :
– Internet accessible
• Point de vue « attaque »
– L’ère de l’exploitation de failles mémoire
– Engouement des mafias limité
• Et la défense ?
– L’analyse du risque d’intrusion reste balbutiant
– On évalue autant la robustesse des infrastructures que la qualité des
systèmes
8

9. La virtualisation ouvre la voie
à l’infrastructure logicielle
2010-2016 : Dématérialisation

10. VMware, Xen, KVM…
• Technologies de virtualisation éprouvées
– Explosion du nombre de machines fantômes
– Dématérialisation, déploiement accessible à tous
• Fin des problématiques d’infrastructure et de casse matérielle
– On l’a échangé contre la gestion de la sécurité des hyperviseurs, dont les patchs
coutent « cher » en downtime.
• Extension du domaine de la lutte
– OVH, online, Hetzner : le nouveau temporaire qui dure
– Les faibles coûts aidant, augmentation exponentielle
10

11. Maturité Défensive
• Externalisation partielle des problématiques d’infra :
– Mieux maitrisées ou déléguées
– Echange contre du contrôle d’exposition publique
– Démocratisation du VPS généralise aussi les DDoS
• Sécurité des solutions de virtualisation : encore peu travaillé, les
attaques bluepill/redpill restent des fantasmes techniques.
– Début de XEN : 2003
– Rachat de XEN par Citrix : 2007
– Première XSA : 2011 (dernière XSA : 190)
11

12. Maturité Attaquants
• Bien que les SQLi existent depuis ~2000, cette époque voit leur
popularisation :
– De plus en plus complexe pour les attaquants de se baser juste sur des bugs de
corruption de mémoire :
• les mises à jour se font plus régulièrement,
• certaines solutions de hardening apparaissent.
– Vulnérabilités « web » beaucoup plus accessibles
• création d’exploit fonctionnel et stable
• Temps de création passe de jours/semaines à quelques heures/minutes
• Démocratisation des attaques
– Augmentation de la surface d’attaque
12

13. Comment évaluer ses prestataires ?
• PSSI :
– « Politique de patch »
– Audit réel des prestataires
– Augmentation d’applications web customs développe les tests
d’intrusions et audit de code source.
• Avoir un WAF/IDS/IPS est encore rare
13

14. Deuxième shift de paradigme
• Shift :
– Je sème mes machines virtuelles à tous vents
• Point de vue attaquant
– L’ère du « OR 1=1 » : Exploitation de failles web.
– Audit et création d’exploits beaucoup plus triviales.
– Mafias « classiques » s’emparent du sujets : l’éco-système se met doucement
en place (vente des kits de phisihing, mais commerce des DDoS reste modéré)
• Et la défense ?
– Analyse du risque d’intrusion mature : PSSI et de patching policy
– Périmètre partiel : la virtualisation encore laissée à l’écart.
14

15. « On peut configurer 1000
microservices 1 fois… non »
2016 : l’agilité au service du chaos

16. Who needs a sysadmin !
16

17. CI : la constitution du container
• De bonnes habitudes sont apparues
– Intégration continue
– Code repositories
– Orchestration & industrialisation
– Plus grande coopération communautaire
• De fausses idées se sont installées
– Plus besoin d’expert système
– Grace aux machines éphémères, plus besoin de veille
• Ainsi que de mauvais réflexes
– Des centaines de milliers de containers fantômes
– Architecture au rabais, au mépris de la pérennité
– Nouvelle forme de shadow-IT : le container devient la nouvelle boite de Schrodinger
17

18. But wait, there’s more !
18

19. Réversibilité et pérennité
• Dans quelle mesure le prestataire et/ou la solution proposée est elle réversible ou
100% dépendante de telle ou telle technologie d’un provider de cloud public.
• L’application web Serverless tout en fonction lambda développé pourrait-elle
fonctionner sans API Gateway et les buckets S3 ?
• Technologies donnant l’illusion de l’isolation : passerelle directe vers toute
l’infrastructure
– Nécessité d’un grand contrôle des accès
– Revues de code plus importantes que jamais
• Dépendance aux API et modifications du fournisseur
19

20. Réversibilité et pérennité
Build
Check
Run
20

21. Un nouveau contexte
21
Pass****

22. Evaluer la sécurité du prestataire ?
• Disponibilité :
– Plus aucun contrôle sur les opérations d’infrastructure (maintenance, MàJ…)
– Nécessité de prendre en compte une infrastructure volatile, éphémère
– Auto-scalabilité : Nécessité pour le prestataire de réévaluer ses méthodologies
• Confidentialité :
– Quel médias sont utilisés pour le stockage ? Sont-ils chiffrés ? Qui détient les clés privées ?
– Les droits sur les composants sont-ils audités à intervalle régulier ?
• Intégrité :
– Le découpage des utilisateurs et groupes est-il suffisamment fin (root account car « plus facile » )
– A partir de quel niveau de privilèges les utilisateurs disposent de la 2FA ?
• Traçabilité :
– Reporting automatique ?
– Audit récurrent automatisé sur les droits / filtrage (ie. Scout)
22

23. DON’T PANIC
Et du coup?

24. Contact
NBS System
8 rue Bernard Buffet,
75017 Paris
+33.1.58.56.60.80
contact@nbs-system.com
24
Présenté par
Emile HEITOR
&
Thibault KOECHLIN
Retrouvez-nous sur notre
stand n°36