Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...Ava Axialys
Les fraudes menacent-elles la Voix sur IP ?
Chaque jour, les attaques qui visent le secteur des télécommunications peuvent engendrer des dépenses de plusieurs milliers d'euros pour les entreprises qui en sont la cible.
Si les risques sont réels, les conséquences n'en sont pas moins évitables grâce à la mise en oeuvre de moyens de protection adaptés.
Audits réguliers, encryptions des communications, limites de consommation, implication des collaborateurs... pour défendre en profondeur son système de VoIP, des mesures de sécurité sont disponibles à tous les niveaux susceptibles d'être visés par une attaque.
Découvrez une description exhaustive des risques potentiels de la VoIP, leurs enjeux managériaux ainsi que les moyens concrets de s'en protéger, de bien allouer les ressources internes de son entreprise et d'impliquer ses équipes.
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
Décrire le concept d’Intelligence Economique dans tous ses aspects en insistant sur la détection des informations sensibles dans l’entreprise. Indiquer les points de fragilité et les moyens de se protéger. Décrire le dispositif régional d’aide aux entreprises, les outils et les parties prenantes pouvant les épauler.
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
Au commencement il y avait « l’audit de sécurité » qui était très cadré et très dirigé et donc manquait de vision terrain. Nous sommes ensuite passé au « test d’intrusion », plus réaliste d’une cyberattaque car il permet une plus grande marge de manœuvre pour les consultants tout en permettant l’application des méthodes des pirates. Cependant, le test d’intrusion possède ses limites et face à la généralisation des cyberattaques certains commencent à se demander s’il ne vaudrait pas mieux faire évoluer cette méthodologie…
Le « Red Team » (qui nous vient tout droit d’outre-atlantique) serait-il LA réponse à cette problématique ? L’objectif de ce talk est donc de présenter cette nouvelle méthodologie qui petit à petit commence à faire son bout de chemin sur le vieux continent.
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
Depuis quelques années, la tendance est de déployer des APIs afin d’exposer de manière unique son backend face à des plateformes différentes : interfaces web, applications mobiles natives ou bien tout simplement d’autres scripts qui l’exploite. Les standards d’API changent régulièrement , et les technologies sont nombreuses, mais les principes de sécurité et de disponibilité autour de cette architecture de nos systèmes d’informations sont souvent identiques. Et pas toujours prises en compte.
Petit tour d’horizon des techniques et bonnes pratiques afin d’assurer l’authentification, la sécurité et bien sur la disponibilité des API, tout en conservant leur facilité d’utilisation.
Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...Ava Axialys
Les fraudes menacent-elles la Voix sur IP ?
Chaque jour, les attaques qui visent le secteur des télécommunications peuvent engendrer des dépenses de plusieurs milliers d'euros pour les entreprises qui en sont la cible.
Si les risques sont réels, les conséquences n'en sont pas moins évitables grâce à la mise en oeuvre de moyens de protection adaptés.
Audits réguliers, encryptions des communications, limites de consommation, implication des collaborateurs... pour défendre en profondeur son système de VoIP, des mesures de sécurité sont disponibles à tous les niveaux susceptibles d'être visés par une attaque.
Découvrez une description exhaustive des risques potentiels de la VoIP, leurs enjeux managériaux ainsi que les moyens concrets de s'en protéger, de bien allouer les ressources internes de son entreprise et d'impliquer ses équipes.
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
Décrire le concept d’Intelligence Economique dans tous ses aspects en insistant sur la détection des informations sensibles dans l’entreprise. Indiquer les points de fragilité et les moyens de se protéger. Décrire le dispositif régional d’aide aux entreprises, les outils et les parties prenantes pouvant les épauler.
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
Au commencement il y avait « l’audit de sécurité » qui était très cadré et très dirigé et donc manquait de vision terrain. Nous sommes ensuite passé au « test d’intrusion », plus réaliste d’une cyberattaque car il permet une plus grande marge de manœuvre pour les consultants tout en permettant l’application des méthodes des pirates. Cependant, le test d’intrusion possède ses limites et face à la généralisation des cyberattaques certains commencent à se demander s’il ne vaudrait pas mieux faire évoluer cette méthodologie…
Le « Red Team » (qui nous vient tout droit d’outre-atlantique) serait-il LA réponse à cette problématique ? L’objectif de ce talk est donc de présenter cette nouvelle méthodologie qui petit à petit commence à faire son bout de chemin sur le vieux continent.
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
Depuis quelques années, la tendance est de déployer des APIs afin d’exposer de manière unique son backend face à des plateformes différentes : interfaces web, applications mobiles natives ou bien tout simplement d’autres scripts qui l’exploite. Les standards d’API changent régulièrement , et les technologies sont nombreuses, mais les principes de sécurité et de disponibilité autour de cette architecture de nos systèmes d’informations sont souvent identiques. Et pas toujours prises en compte.
Petit tour d’horizon des techniques et bonnes pratiques afin d’assurer l’authentification, la sécurité et bien sur la disponibilité des API, tout en conservant leur facilité d’utilisation.
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskEmeric Kamleu Noumi
Ce document complète la présentation en powerpoint sur l'auto provisioning, la présence et le streaming sur asterisk. Elle détaille l'implémentation de tous ces services de manière détaillée.
Solutions Techso vous donne les bons outils pour communiquer en toute sérénité.
Souvent méconnu du grand public, le piratage téléphonique est un véritable fléau pour les entreprises. Voyez comment vous protéger.
Entrepreneurs & Solutions Cloud : réussir la mutation du S.IYann Dieulangard
Actes des conférences plénières, présentations des stands et des intervenants de la journée MEITO "Entrepreneurs et Solutions Cloud : réussir la mutation de son S.I." du 11/12/12
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
Les prochains Entretiens de Télécom ParisTech poseront les questions essentielles suivantes : quelles protections demain ? Pour quels modèles éthiques et sociétaux et en fonction de quelles évolutions technologiques ? Les Entretiens de Télécom ParisTech sur la Cybersécurité des mercredi 11 et jeudi 12 mars réuniront des industriels, des représentants publics, des chercheurs et des juristes.
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
En tant que Startup vous pensez que l’audit de sécurité viendra plus tard. Que nenni ! Votre premier client bancaire vous remettra dans le droit chemin !
Ce talk est un retour d’expérience du coté de l’audité. Comment faire évoluer la culture de l’entreprise sans perdre l’essence d’une startup et tomber dans les pièges des pertes de productivité que vous rencontrez chez les grands comptes dont vous commencez à partager les peines.
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
Le dirigeant est responsable de la sécurité informatique de son entreprise.
Quelles mesures les entreprises doivent-elles prendre pour être en règle ?
Comment le dirigeant peut-il se protéger ? Comment limiter les risques pour l’entreprise ?
Le cyber risque, un risque à assurer – L’assurance responsabilité civile dédiée à la cybersécurité.
Contenu connexe
Similaire à #NSD15 - Sécurité des plateformes voix
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskEmeric Kamleu Noumi
Ce document complète la présentation en powerpoint sur l'auto provisioning, la présence et le streaming sur asterisk. Elle détaille l'implémentation de tous ces services de manière détaillée.
Solutions Techso vous donne les bons outils pour communiquer en toute sérénité.
Souvent méconnu du grand public, le piratage téléphonique est un véritable fléau pour les entreprises. Voyez comment vous protéger.
Entrepreneurs & Solutions Cloud : réussir la mutation du S.IYann Dieulangard
Actes des conférences plénières, présentations des stands et des intervenants de la journée MEITO "Entrepreneurs et Solutions Cloud : réussir la mutation de son S.I." du 11/12/12
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
Les prochains Entretiens de Télécom ParisTech poseront les questions essentielles suivantes : quelles protections demain ? Pour quels modèles éthiques et sociétaux et en fonction de quelles évolutions technologiques ? Les Entretiens de Télécom ParisTech sur la Cybersécurité des mercredi 11 et jeudi 12 mars réuniront des industriels, des représentants publics, des chercheurs et des juristes.
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
En tant que Startup vous pensez que l’audit de sécurité viendra plus tard. Que nenni ! Votre premier client bancaire vous remettra dans le droit chemin !
Ce talk est un retour d’expérience du coté de l’audité. Comment faire évoluer la culture de l’entreprise sans perdre l’essence d’une startup et tomber dans les pièges des pertes de productivité que vous rencontrez chez les grands comptes dont vous commencez à partager les peines.
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
Le dirigeant est responsable de la sécurité informatique de son entreprise.
Quelles mesures les entreprises doivent-elles prendre pour être en règle ?
Comment le dirigeant peut-il se protéger ? Comment limiter les risques pour l’entreprise ?
Le cyber risque, un risque à assurer – L’assurance responsabilité civile dédiée à la cybersécurité.
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...NetSecure Day
Certificate Transparency vise à renforcer la sécurité des certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. Son objectif est de faciliter la détection de certificats frauduleux ou invalides. Pour cela, les certificats sont enregistrés dans des journaux en ajout seul (append-only) et consultables par tous. Cette conférence présente Certificate Transparency d’un point de vue théorique, dans un premier temps. Ensuite un focus est fait sur son implémentation et son utilisation dans la pratique.
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
Cette présentation va nous montrer comment la communauté de hackers white hat a adapté son environnement pas toujours compréhensif avec sa démarche de remontée de vulnérabilités. Les différentes communautés de sécurité et open source autour du globe ont su adapter ou développer leurs outils à leur savoir-faire. Et inventer de nouveaux concepts tels que le Bug Bounty qui de nos jours fait beaucoup parler de lui tant pour son efficacité, que pour les relations qu’il crée entre les organisations et ces communautés.
Le Bug Bounty est, en quelque sorte, une réponse adaptée à toutes ces personnes ou organisations qui durant des années n’ont pas su fournir une réponse appropriée et un cadre non punitif à ces individus souhaitant simplement exprimer leurs talents de hackers en servant l’intérêt général, et ce, depuis les débuts du Hacking. C’est avec cette foi, mais sans loi que le Bug Bounty hunter est né. Grâce à l’émergence des plateformes qui offrent un cadre aux entreprises et aux hackers, le Bug Bounty a su se rendre accessible aux contraintes d’une approche organisationnelle qui sera évoquée lors de cette présentation.
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
Un grand nombre d’objets connectés utilisent la technologie Bluetooth Low Energy afin d’offrir une connectivité avec des smartphones. Afin d’évaluer la sécurité de ces derniers, il est nécessaire de pouvoir étudier les communications entre ces smartphones et leurs applications associées et les objets connectés, de façon fiable et pratique.
Jusqu’à peu de temps, la seule solution consistait à « sniffer » les communications à l’aide de matériel dédié, mais c’était laborieux et relativement aléatoire. Une alternative possible consiste à réaliser une interception active, avec une approche de l’homme du milieu, ou « man in the middle », mais cette approche était impossible à réaliser faute d’outil adéquat.
Cette présentation rappellera les bases du protocole Bluetooth Low Energy, les raisons des échecs rencontrés lors de l’utilisation de sniffers relativement populaires, pour enfin présenter le framework d’interception BtleJuice, permettant de mettre en œuvre une interception active reposant sur une approche man-in-the-middle. Des démonstrations live seront effectuées afin de démontrer l’efficacité et les possibilités offertes par cet outil, en les mettant en œuvre sur différents objets connectés.
Enfin, des contre-mesures adaptées seront évoquées afin de limiter ce type d’attaque et d’améliorer la sécurité des objets connectés utilisant ce protocole de communication.
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan NitotNetSecure Day
L’informatique a envahi nos vies, au point qu’il est difficile d’envisager de vivre normalement sans Google ni Facebook ni smartphone aujourd’hui. Pourtant, nous savons depuis les révélations d’Edward Snowden que la centralisation de nos données personnelles rend économiquement possible la surveillance de masse. Pouvons-nous inventer un futur informatique nous permettra d’être libres en ayant la maîtrise de nos données ? A quoi ressemblerait un tel futur ?
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...NetSecure Day
Le protocole TLS est une des solutions les plus répandues pour la protection des flux réseau, assurant la confidentialité et l’intégrité d’échanges de données applicatives. Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Les déploiements apportant le plus d’assurance en matière de sécurité dépendent de l’ajustement de plusieurs paramètres du protocole en fonction du contexte de communication.
La présentation propose un tour d’horizon des bonnes pratiques TLS, récemment déclinées dans le guide de « Recommandations de sécurité relatives à TLS » publié par l’ANSSI. Cet état de l’art est accompagné d’observations sur l’écosystème HTTPS, réalisées dans le cadre de l’observatoire de la résilience de l’Internet français.
#NSD16 - Et si on parlait d'authentification forte - Nicolas GlonduNetSecure Day
L’authentification par simple identifiant et mot de passe est insuffisante pour protéger un compte utilisateur. Les campagnes de phishing pullulent sur le net et cela fait quelques années que l’on voit régulièrement dans l’actualité que les bases données de grandes entreprises ont fuité.
Face à cette insuffisance, il existe toutefois un procédé qui n’est pas réservé aux géants du net : l’authentification forte.
Dans cette conférence, je ferai un tour d’horizon de ce qu’est l’authentification forte et de différentes implémentations existantes.
Lancement de l'événement #NSD14 en présence de :
Me. Mélanie MAMMERI, Conseillère Régionale déléguée à l'accompagnement des entreprises et au numérique.
M. Fanch DANIEL, Responsable ORETIC et Conseiller en Technologies de l'Information et de la Communication à la CCI Normandie.
M. Clément MICHEL, Président et Co-Fondateur de l'association NetSecure Day
Plus d'informations à l'adresse suivante : http://www.netsecure-day.fr/nsd14-lancement-evenement
2. Préambule : présentation …
- Rouen 2015 -
Consulting TIME est une société de conseil, d’ingénierie et de stratégie en
télécommunications, outils et solutions de communication numérique, fondée
en 2011 par Lamine TALAKELA ingénieur/chef de projet télécom de formation.
8 ans d’experience télécom & T.I.C
Références grands comptes essentiellement
(Bouygues Telecom, La Poste, Technicolor, LG-Ericsson, Fiducial,
Caisse des dépôts et consignations, groupe Numericable, …)
Plus de 130 000 utilisateurs des solutions préconnisées ou
intégrées par Consulting TIME depuis 2011 tels que :
- téléphonie sur IP/cloud
- convergence fixe-mobile, et mobile centrex
- communications unifiées
- stratégie opérateur et R&D
- Formation
- outils TIC pour la communication
- … etc
Lancement de l’activité internationale en janvier 2014 (Europe/MENA)
Promoteur
d’innovation
et créateur de
richesse
3. 3
Introduction : quelles plateformes voix pour les
entreprises ?
Les entreprises de toutes tailles ont de + en + des besoins forts en téléphonie
pour leurs activités :
- 30% sont des TPE (1 à 10 personnes)
- 60% sont des PME (50 à 500 personnes)
- 10% sont des grandes entreprises … voir très grandes (de 500 à plusieurs
dizaines de milliers)
Il y a plusieurs types de solutions voix, nous allons distinguer 2 types de
plateformes :
- Les plateformes voix internalisées (PABX/IPBX, propriétaire/open source)
- Les plateformes voix externalisées (cloud, solutions opérateurs, mobile)
Des différences notoires côté fournisseur de services (opérateur) pour les
plateformes, mais du point de vue client beaucoup de similitudes.
=> Complexité & vigilance !
- Rouen 2015 -
4. 4
Sommaire
Introduction : Quelles plateformes voix pour les entreprises ?
Quelles sont les menaces ?
Les conséquences et responsabilités
Comment se prémunir ?
Conseils techniques et nouveaux points de vigilance
5. 5
Quelles sont les menaces ?
Typologies des principales menaces :
Usage interne mal-intentionné
Le détournement des accès téléphoniques
Exploitation de failles du système téléphonique
- Rouen 2015 -
6. 6
Quelles sont les menaces ?
Usage interne mal-intentionné :
Ecoute illégale/espionnage (utilisation abusive des fonctions
d’écoute silencieuses, accès frauduleux aux messageries vocales,
enregistrements de conversations)
Usurpations d’identités
- Rouen 2015 -
7. 7
Quelles sont les menaces ?
Le détournement des accès téléphoniques :
Fraude téléphonique dans le but de passer des appels
gratuitement
Renvoyer les appels vers des numéros surtaxés
Faire de la revente de communications à des tiers
- Rouen 2015 -
8. 8
Quelles sont les menaces ?
Exploitation de failles du système téléphonique :
Faire du deni de service (attaque pour dénaturer/saturer/saboter
le comportement du système téléphonique)
Intrusion pour pirater l’entreprise ou créer des connexions
clandestines (brouillage de pistes, revente de communications, …)
- Rouen 2015 -
9. 9
Sommaire
Introduction : Quelles plateformes voix pour les entreprises ?
Quelles sont les menaces ?
Les conséquences et responsabilités
Comment se prémunir ?
Conseils techniques et nouveaux points de vigilance
10. 10
Quelles solutions ? Que faire de manière préventive ?
Politique de sécurité de l’entreprise
Avoir une politique de sécurité et l’appliquer
Avoir des rapports d’état et des tableaux de bords (comme pour le système
d’information)
Avoir une journalisation de l’activité / logs
Protéger ses équipements
Faire réaliser des audits régulièrement
Surveiller l’activité (modifs de config et fonctions sensibles, facturation)
Sécuriser l’accès aux équipements (physique et réseau)
Protéger le réseau téléphonique
Configuration LAN, interco WAN, analyse du trafic (entrant et sortant, usages)
Sécurisation particulière de certains terminaux (sécurité renforcée, isolement
réseau/VLAN)
Pour l’entreprise, comment se prémunir ?
- Rouen 2015 -
11. 11
De la même manière … et plus encore !
Le fournisseur de service est responsable de l’acheminement correct du trafic
voix dans le cadre d’un usage légal.
Il doit particulièrement :
Se protéger des attaques, des failles et usages frauduleux (équipements
spécifiques, précautions particulières)
Dispose d’une traçabilité complète des appels sur son réseau sur 1 an (en
théorie), avec obligation de fournir ces informations pour les autorités sur
demandes (écoutes légales, traçabilités, …)
Comment se prémunir ? …
… focus opérateur
- Rouen 2015 -
12. 12
Sommaire
Introduction : Quelles plateformes voix pour les entreprises ?
Quelles sont les menaces ?
Les conséquences et responsabilités
Comment se prémunir ?
Conseils techniques et nouveaux points de vigilance
13. 13
Conséquences et responsabilités
En cas de menace et fraude avérée, qu’elles peuvent être les
conséquences ?
Conséquences financières (facturation, système de téléphonie,
autres systèmes de l’entreprise, fonctionnement de l’entreprise,
productivité, concurrence, vie privée, …)
Conséquences sur la notoriété de l’entreprise (image, clients, …)
Conséquences pénales pour le(s) dirigeants de l’entreprises
- Rouen 2015 -
14. 14
Conséquences et responsabilités
L’entreprise utilisant un système de téléphonie pour ses besoins est en
1er lieu responsable de son usage.
=> Nécessité de prouver la fraude (interne ou extérieure) …
Sinon :
- Considéré comme une négligence
- Obligation de régler les frais liés à la fraude (factures, équipement(s)
endommagé(s), …)
- Porter plainte contre X … procédure très longue
L’importance de disposer d’une couverture dans son contrat
d’assurance pro.
- Rouen 2015 -
15. 15
Conséquences et responsabilités
En résumé, en amont :
- Sensibiliser vos collaborateurs, et mettre en place une politique de
sécurité
- Protéger ses équipements et ses réseaux, et les auditer régulièrement
- Souscrire à une assurance pro couvrant ce type de risques
… lorsqu’il y a fraude :
- Être capable de prouver la fraude rapidement ou démontrer que la
fraude ne peut venir de chez soi (l’opérateur doit vérifier chez lui, ou le
constructeur du/des équipements)
- Rouen 2015 -
16. 16
Sommaire
Introduction : Quelles plateformes voix pour les entreprises ?
Quelles sont les menaces ?
Les conséquences et responsabilités
Comment se prémunir ?
Conseils techniques et nouveaux points de vigilance
17. 17
Quelques conseils et points de vigilance
Configurer des alertes du système et des interfaces (si possible) ou
service opérateur (?)
Mots de passe sur les téléphones, code de numérotation, mot de
passe sur l’accès au service (messagerie)
Sécuriser les terminaux ayant accès au réseau voix et au système
téléphonique (couple profilTéléphone/adressePhysique)
Configurer des restrictions (blacklists/whitelists)
Demander la mise en place des protocoles de sécurité
Vigilance particulière des terminaux utilisants des softphones et de la
bureautique (frontière de plus en plus mince avec l’usage des
mobiles) … => Attention à la téléphonie mobile
- Rouen 2015 -
18. 18
Consulting Time – contactez-nous
Consulting TIME : “it’s time to communicate”
Promoteur d’innovation, créateur de richesse
contact@consultingtime.fr
www.consultingtime.fr
www.facebook.com/consultingtime
twitter.com/consultingtime
plus.google.com/+consultingtimeFR