Poste de Travail : Consumérisation et virtualisation
Matinée Cybercriminalité
1. le Mardi 22 Novembre 2011
Matinée 01
Cybercriminalité
Et sûreté d’entreprise
2. 9h00 – 09h20 - OUVERTURE
Cybercriminels : nouveaux visages et
nouvelles cibles
par
Commandant Rémy Février, membre de la cellule Intelligence Economique de la
Gendarmerie, commissaire général délégué du Forum International sur la
Cybercriminalité
3. 9h20 – 09h50 - TABLE RONDE PLENIERE
Pirates ou Corsaires ?
Avec
François Paget, Secrétaire Général, Clusif
Nicolas Caproni, consultant en cybercriminalité et sécurité des systèmes
d’information, Pôle Risques Opérationnels, CEIS
Laurent Heslault, Security Strategist, Symantec
4. Qui sont les Anonymous ?
Qui sont les Hacktivistes ?
Matinées 01 – mardi 22 novembre 2011
François PAGET, Secrétaire Général du CLUSIF, chercheur chez McAfee
5. L’ HACKTIVISME
Face A : Les Anonymous
• attaques en DDoS sur des sites
gouvernementaux ou
commerciaux,
• piratage,
• lvol et divulgation
d’informations personnelles
et/ou confidentielles.
CLUSIF > MATINEES 01 / PARIS 22 NOVEMBRE 2011 5
6. L’ HACKTIVISME
Face B : Les Indignés
• Loin du piratage et de certains enfantillages, d’autres protestataires utilisent
Facebook, Twitter, YouTube et Flirkr pour structurer leurs révoltes.
• En janvier 2011, Telecomix rétablit l'accès au
web en Egypte, alors que le gouvernement
Moubarak avait coupé Internet aux vingt
millions d'internautes.
• A Genève, des agents Telecomixs ont même
délivré des cours de cryptographie pour
l'ONG Reporters sans frontières.
CLUSIF > MATINEES 01 / PARIS 22 NOVEMBRE 2011 6
7. L’ HACKTIVISME
Face C : Les Cyber-Armées
• Nombreux
défacements de sites,
• Attaques DDoS sur
blogs de dissidents.
CLUSIF > MATINEES 01 / PARIS 22 NOVEMBRE 2011 7
8. 9h20 – 09h50 - TABLE RONDE PLENIERE
Pirates ou Corsaires ?
Avec
François Paget, Secrétaire Général, Clusif
Nicolas Caproni, consultant en cybercriminalité et sécurité des systèmes
d’information, Pôle Risques Opérationnels, CEIS
Laurent Heslault, Security Strategist, Symantec
9. 09h50 – 09h55 - VIDEO
Le Hack expliqué aux entreprises
par
Sanguinarius, Hacker
10. 09h55 – 10h15 - AVIS D’EXPERT
Anatomie, d’une attaque ciblée et
protection des données sensibles
par
Laurent Heslault, Sécurity Strategist, Symantec
11. Anatomie d’une attaque ciblée,
Advanced Persistent Threats (APTs)
et protection des données sensibles
Laurent Heslault – CISSP, CCSK
Directeur des stratégies de sécurité – Symantec Europe de l’Ouest
11
13. Attaques ciblées et/ou “Advanced Persistant Threats” ?
Une “APT” est toujours une attaque ciblée, mais
une attaqueTargeted Attacks pas nécessairement une APT.
ciblée n’est
Attaques
ciblées
APTs
13
14. Anatomie d’une attaque ciblée
1 2 3 4
INCURSION DECOUVERTE CAPTURE EXFILTRATION
L’attaquant s’introduit Cartographie des Accès aux données sur Les données
via un message, un réseaux et systèmes les systèmes vulnérables confidentielles sont
maliciel spécifique, envoyées vers l’équipe
des droits usurpés ou Recherche des Installation de maliciels de cybercriminels, en
une injection SQL, une données systèmes ou (rootkits) pour capturer clair, chiffrées et/ou
vulnérabilité 0-day… confidentielles les données compressées.
14
15. 1 Incursion :
But Attaques ciblées Advanced Persistent Threat
Accès aux personnes •Ingéniérie sociale, basée sur Mêmes méthodes, plus:
et/ou à l’organisation de l’information publique.
• Reconnaissance pointue; utilisation de
• “Spear phishing”, “whaling” sources “non publiques”
APT :
Création d’une “tête de • vulnérabilités connues •Technique d’ingéniérie sociales
pont” d’où lancer les innovantes
prochaines “campagnes” • kits d’attaque
•Des vulnérabilités 0-day
• automatisation possible
•Jamais automatisé
Contre-mesures :
• Éducation des personnes à risque
• Surveillance de sources externes
• Évaluation du niveau de vulnérabilité
• Application des correctifs
• Détection de maliciels « uniques »
15
16. 2 Découverte :
But Attaques ciblées Advanced Persistent Threat
Identifier les systèmes, • Exploiter les données Mêmes méthodes, plus :
localiser les informations, systèmes exposées à tort
éviter la détection •Examen en profondeur des systèmes
• Tirer parti des réseaux infectés
APT : non ou mal contrôlés •Exploitation de vulnérabilités
S’assurer du succès de •Récupération de mots de passe et autres
l’opération •Ainsi que des mots de références
passe trop faibles… • Déploiement de plusieurs menaces et
“chaines de commande”
• Enracinement et furtivité
Contre-mesures :
• Surveillance des sources internes
• Validation des politiques de sécurité (mots de passe, ACL…)
• Détection des incidents de sécurité récurrents
• Corrélation et remédiation
16
17. 3 Capture :
But Attaques ciblées Advanced Persistent Threat
Sélectionner les cibles en se • Exploitation de données Mêmes méthodes, plus :
basant sur la valeur des confidentielles stockées de
données et les mesures de manière inappropriée ou •Évaluation et capture permanente
sécurité en place sans contrôle en place •Analyse manuelle des données
APT :
•Occupation à long terme
•Perturbation d’opérations
physiques
Contre-mesures :
• Localisation et classification de l’information sensible
• Chiffrement (conditionnel)
• Détection des maliciels “uniques”
• Elimination des “rootkits”
17
18. 4 Exfiltration :
But Attaques ciblées Advanced Persistent Threat
Extraire rapidement les •Messagerie Mêmes méthodes, plus :
données de l’organisation •FTP
visée •Réseaux P2P •Applications de type TOR
•Périphériques USB
APT: •“Clear text” •Chiffrement
Maintenir le contrôle •Wifi
jusqu’à la fin de la “mission” •Stéganographie
Contre-mesures :
• Surveillance/blocage des communications sortantes
• Détection des flux atypiques
• Filtrage des contenus sortants
18
20. “Security Assessments”
• Des informations confidentielles quittent- Data Loss
elles mon organisation ? Assessment
• Quel est le niveau de vulnérabilité de mes Vulnerability
systèmes critiques ? Assessment
• Certains de mes ordinateurs sont-ils Malicious Activity
contrôlés depuis l’extérieur ? Assessment
• Des maliciels très ciblés ont-ils infecté des Targeted Attack
postes sensibles ? Assessment
• Mes politiques de sécurité sont-elles bien Compliance
appliquées ? Assessment
• Que voit-on de mon réseau et de mes sites Custom Intelligence
web depuis l’extérieur ? Report
20
21. Assessments :
Data Loss
Vulnerability
Malicious Activity
Targeted Attack
Compliance
Custom Intelligence
21
22. Solutions Symantec
1 2 3 4
INCURSION DECOUVERTE CAPTURE EXFILTRATION
•Symantec Security •Symantec DeepSight •Symantec Data Loss •Symantec Web
Awareness Program •Symantec Control Prevention Gateway
•Symantec DeepSight Compliance suite •Symantec Data •Symantec Data Loss
•Symantec Endpoint •Symantec Security Insight Protection
Protection Incident Manager •Symantec PGP •Symantec Security
•Symantec •Symantec Managed •Symantec Endpoint Incident Manager
Vulnerability Manager Security Services Protection •Symantec Managed
•Symantec Endpoint •Symantec Verisign •Symantec Critical Security Services
Management Identity Protection System Protection
•Symantec Web •Symantec Network
Gateway Access Control
Symantec Protection Center
22
23. Estimer la perte potentielle ?
www.databreachcalculator.com
• Donne la possibilité d’estimer dans
quelle mesure une attaque ciblée
réussie pourrait impacter une
organisation
• Basé sur des données d’études portant
sur 6 ans (Ponemon Institute)
• Il calcule par exemple :
– La probabilité que l’organisation soit
victime d’une brèche dans les 12
prochains mois
– Le coût global ou par document d’une
perte ou d’un vol d’informations
confidentielles
23
26. 10h15 – 10h30 - INTERVIEW, TEMOIGNAGE
Globalisation, gestion des risques et
sureté d’entreprise
par
Bénédicte Huot de Luze, Directeur Scientifique, Responsable AMRAE Formation
(Association pour le management des risques et des assurances de l’entreprise)
27. Association pour le Management des
Risques et des Assurances de l’Entreprise
Alerte rouge
Mardi 22 novembre 2011
Globalisation, Gestion des risques et sureté d’entreprise :
Etat, Entreprise même combat ?
28. Les enjeux de l’Etat sur la sécurité
économique
Politique publique d’intelligence économique :
a pour finalité de contribuer à la croissance de
l’économie,
ainsi qu’à la préservation et à la création
d’emplois sur le territoire national.
Source : Portail du gouvernement (www.gouvernement .fr)
28
29. Mise en œuvre de la politique publique
d’intelligence économique
mener une veille stratégique sur les évolutions et les
défis auxquels est confrontée l’économie française ;
renforcer la sécurité économique des entreprises et
des établissements de recherche face aux menaces qui
peuvent peser sur eux, par exemple en matière de
propriété intellectuelle ;
contribuer au soutien de la compétitivité de l’économie
française, notamment dans ses aspects de valorisation
de la recherche publique, de développement de
l’influence de la France dans les organisations
internationales et les enceintes de normalisation et
d’aide aux exportations.
Source : Portail du gouvernement (www.gouvernement .fr)
29
30. Les enjeux de l’entreprise
Définir une stratégie, telle que:
Servir un marché, des clients
Répondre à une demande
Réaliser, développer une technique
Gagner de l’argent…
…et l’atteindre
Disposer de moyens humains, financiers,
matériels et/ou immatériels suffisant
Prendre des risques maîtrisés
30
31. Vulnérabilité des cyber-risques de l’entreprise
Risques Risques R&D Risques Pays Risques Intég. & Risques
stratégiques Ethique Environnement.
Fusion Brevet, Systémique Fraude interne, Pollution,
acquisition, innovations, réseaux sociaux, Indicateurs
Marketing, formules fuite
Business model d’information
Risques Frs & Risques Bat & Risques log. & Risques clients Risques
Partenaires industriels transport juridiques
Défaillance, Carence Transports (rail, Canaux Propriété
Contrats d’énergie, aérien), stocks distribution, intellectuelle,
équipement (niveaux, lieux) fraude externe, licences,
critique, données clients publicité
fabrication, mensongère,
sécurité bat. contrats
Risques RH & Risques Risques de Risques Systèmes d’Information
Sociaux financiers communication
photos, injures, Informations Réputation, Intrusion, Pollution de données…
CNIL, financières, plans de gestion
organigramme détournement de crise
31
32. L’organisation et les acteurs dans l’entreprise
Direction
Intelligence économique
Commu-
SI
nication
Fournisseurs Risk Clients
Manager
Sécurité Juridique
RH
Sous-traitants
32
33. Etat & Entreprises :
quelle organisation ?
Rôle régalien en matière de sureté /
sécurité
Communication et saisie
Législation et « évangélisation »
« S’il n’y a plus de menace aux frontières,
il n’y a plus de frontière aux menaces »
Hervé Seyriex.
33
35. 11h00 – 11h30 - TABLE RONDE
eRéputation, un risque majeur
Par
Albéric Guigou, co-fondateur, RéputationSquad
Pascal Lointier, Président, Clusif
Charles Nouyrit, CEO, Myid.is
36. 11h30 – 12h00 - TABLE RONDE
Piratage d’Ipbx : des attaques
exponentielles
avec
Ely de Travieso, Dirigeant, Phonesec
Guy Tétu, Secrétaire Général, FICOME
Anne Souvira, Commissaire Divisionnaire, Brigade d’Enquêtes sur les Fraudes
aux Technologies de l’Information (BEFTI)
37. 12h00 – 12h30 - TABLE RONDE, RETOURS D’EXPERIENCES
Lutter contre la fuite des données
internes
par
Jean-Christophe Dugalleix, Ingénieur formateur CESI – Expert Judiciaire C.A. Pau
Laurent Heslault, Sécurity Strategist, Symantec
Olivier de Courcel, Avocat, Cabinet Féral Schul / Sainte-Marie
38. 12h30 – 12h40 - AVIS D’EXPERT
L’ordonnance n°2011-1012 : enjeux et bonnes pratiques
Se préparer et anticiper la notification obligatoire des
violations de données à caractère personnel
par
Julien Rambeau – Responsable Sûreté Informatique –Technip
Joanna Fortaine – Correspondant Informatique et Libertés et Juriste NTIC –Technip
39. 12h40 – 12h55 - CONCLUSION DES DEBATS
Révolution arabe, les aspects vertueux de l’Hacktivisme
par
Fabrice Epelboin, Professeur à Sciences Po et au Celsa, consultant sur le risque
informationnel