SlideShare une entreprise Scribd logo
Sécurité Informatique :
le R.O.I. que vous n’attendiez pas !
Maxime ALAY-EDDINE

Cyberwatch SAS - http://www.cyberwatch.fr

v1.0 - 09/11/2015
1
Faisons connaissance !
• Maxime ALAY-EDDINE

• 24 ans, Consultant SSI

• Président de Cyberwatch SAS

• Simulations d’attaques (Pentest)

• Correcteur de vulnérabilités

• Premiers pas dans la sécurité
informatique à 12 ans
CYBERWATCH
2
- Gene Spafford (aka Spaf)
Expert SSI, membre du Cybersecurity Hall of Fame
Le seul système vraiment sécurisé est
éteint, coulé dans un bloc de béton, scellé
par une pièce recouverte de plomb et
protégée par des gardes.
3
Source lolsnaps.com
4
La sécurité absolue

n’existe pas.
Il faut viser un « niveau de risque acceptable ».
5
Il faut viser un « niveau de risque acceptable ».
R.O.I.
6
Plan
• Présentation générale

• Evolution des attaques

• R.O.I. et Sécurité informatique

• Démonstration

• Projections et réglementation

• Questions / Réponses
7
Présentation générale
Notions de base et définitions
8
Sécurité des systèmes d’information ?
9
Sécurité des systèmes d’information ?
Le système d'information représente un patrimoine
essentiel de l'organisation, qu'il convient de protéger.
La sécurité informatique consiste à garantir que les
ressources matérielles ou logicielles d'une organisation
sont uniquement utilisées dans le cadre prévu.
Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006
10
Définition plus « concrète »
Disponibilité
Intégrité Confidentialité
11
Définition plus « concrète »… avec les mains
Disponibilité
Intégrité Confidentialité
Est-ce que mon
système fonctionne ?
Est-ce que mes
données sont bonnes ? Est-ce que mon
système est privé ?
12
Objectif
Disponibilité
Intégrité Confidentialité
Situation optimale
13
Dans l’industrie, 4 grands critères
14
Des menaces multiples
S
T
R
I
D
E
poofing
ampering
epudiation
nformation Disclosure
enial of Service
levation of Privilege
Usurpation
Falsification
Répudiation
Divulgation d’informations
Déni de service
Elévation de privilèges
15
Usurpation d’identité
Le pirate se fait passer pour une entité.
16
Usurpation d’identité
Login
Mot de passe
17
Usurpation d’identité
Login
Mot de passe
Login
Mot de passe
18
Usurpation d’identité
19
Falsification de données
Le pirate modifie des données.
20
Falsification de données
21
Falsification de données
22
Falsification de données
23
Falsification de données
24
Source : https://nakedsecurity.sophos.com/2014/11/04/rugby-teams-site-defaced-to-read-i-love-you-isis/
Falsification de données
25
Répudiation
Le pirate fait croire qu’un évènement ne s’est jamais produit.
26
Répudiation
27
Répudiation
28
Répudiation
29
Répudiation
30
Divulgation d’informations
Le pirate publie des informations confidentielles.
31
Divulgation d’informations
Login
Mot de passe
32
Divulgation d’informations
Login
Mot de passe
33
Déni de service
Le pirate rend un service inaccessible.
34
Déni de service
35
Déni de service
36
Déni de service distribué
37
Déni de service distribué
38
Elévation de privilège
Le pirate obtient des droits privilégiés sur un système.
39
Elévation de privilège
40
Elévation de privilège
41
Les vecteurs sont eux-aussi multiples
Sécurité physique
Sécurité réseau
Sécurité des applications
Ingénierie sociale
…
42
Pour chaque type d’attaque, il y a une solution
Virus
Malware
IP Spoofing
Man-in-the-Middle
Injection SQL/XSS
Vulnérabilité
…
Anti-virus
Anti-malware
Anti Spoofing
Chiffrement
Filtrage
Correcteur de vulnérabilités
…
43
Source : yannarthusbertrand2.org
Les menaces

évoluent et deviennent

de plus en plus complexes.
44
You can't defend. You can't prevent. The
only thing you can do is detect and respond.
- Bruce Schneier
Expert SSI, inventeur du standard Bluefish
45
Lutter contre les cyber-menaces en pratique ?
Besoin'
d’exper-se'
Manque'
de'temps'
Coût'
très'élevé'
46
Les meilleures solutions ?
Clé$en$mains$
47
Evolution des attaques
Etude de la complexité et des
nouvelles cibles des pirates
48
La bombe logique - 1982
• Dossier Farewell (Vladimir Vetrov)
• Opération créée par la CIA contre un pipeline russe
• Code malveillant permettant de faire exploser le pipeline,
sans explosif externe
• Les dégâts causés étaient visibles depuis l’espace
49
Kevin Mitnick - 1983
• Kevin Mitnick s’introduit sur le réseau du Pentagone
• S’introduit par « défi » technique
• Ne vole pas de données, conserve un sens éthique
• Travaille désormais comme consultant SSI
50
Morris - 1988
• Créé par Robert Tappan Morris (Cornell) en 1988
• Programme conçu pour se répliquer et se propager de
proche en proche (Ver / Worm)
• Problème : le ver a rencontré une erreur et a causé des
dommages sur les ordinateurs infectés.
• Plus de 6000 ordinateurs infectés, pour $100M
d’amende.
51
Jonathan James - 1999
• Pirate la Defense Threat Reduction Agency à 15 ans
• Installe une backdoor sur un serveur, puis un sniffer, pour
finalement voler des accès à des ordinateurs militaires
• Récupère le code source d’un logiciel de la NASA utilisé
sur la Station Spatiale Internationale pour contrôler
l’environnement de vie des astronautes
• Accusé à tort d’une autre attaque, se suicide en 2008
52
MafiaBoy - 2000
• Michael Calce (aka MafiaBoy) réalise des attaques par
Déni de service distribué sur des majors (Amazon, CNN,
eBay, Yahoo!)
• Explique avoir voulu tester des attaques pour concevoir
de nouveaux dispositifs de protection
• Les dégâts sont évalués à plus de $1,2Mrds
• Reconverti dans la sécurité informatique
53
Estonie - 2007
• L’Estonie subit une attaque majeure de Déni de service
suite au retrait d’un mémorial de guerre lié à la Russie.
• Les services gouvernementaux sont stoppés
• Les services techniques parviennent à remettre en ligne
progressivement les systèmes touchés
54
Israël - 2009
• 5.000.000 d’ordinateurs réalisent une attaque de Déni de
service distribué sur les sites gouvernementaux
israéliens.
• Ces attaques sont réalisées pendant l’offensive de
Janvier 2009 sur la bande de Gaza.
• L’origine des attaques semble être liée à un ancien état
soviétique et aux organisations type Hamas/Hezbollah.
55
La Cyber-armée iranienne - 2010
• Des militants iraniens attaquent Twitter et Baidu (Google
chinois).
• Les internautes sont redirigés vers une page pirate avec
un message politique.
56
StuxNet - 2010
• Virus de très haute expertise technique visant les
machines industrielles Siemens.
• Découvert en Iran et en Indonésie.
• Sabotage logiciel contre le programme nucléaire iranien.
57
Sony Pictures Entertainment - 2014
• Vol massif de données (films notamment)
• Les données ont été diffusées sur Internet
• Perte d’exploitation majeure pour l’entreprise, chiffrée à
plus de $100M
58
Ashley Madison - 2015
• Vol massif de données (60 Go)
• > 30M de comptes utilisateurs rendus publics
• Problème : pas de surveillance du réseau, mots de passe
trop simples (Pass1234)
59
Ashley Madison - 2015
• (source Gizmodo et Dadaviz)
• Perte financière :

- Chantage auprès des utilisateurs du site

- Class-Action contre l’entreprise, coût estimé > $5 M
60
Constat
• Ces attaques évoluent et deviennent de plus en plus
élaborées (Morris -> StuxNet).
• Les attaques sont maintenant médiatisées (Ashley Madison,
Daesh…).
• Les plus connues concernent avant tout les grandes
entreprises et les gouvernements.
• Les techniques d’attaques s’industrialisent.
• Petit à petit, création d’un milieu « cybercriminel », avec ses
enjeux économiques.
61
Les pirates ne cherchent plus le défi
technique, mais la rentabilité économique ou
la diffusion d’idées politiques.
62
Quid des PME ? Des particuliers ?
63
Etude des solutions installées en entreprise
Source : La cybersécurité, Que sais-je ?
Sondage sur les solutions de sécurité des entreprises françaises en 2009
64
Etude des solutions installées en entreprise
• Certaines menaces sont traitées de facto
• Les pirates se sont adaptés
• Les menaces les plus « techniques » sont encore
oubliées : cas des vulnérabilités dites « connues ».
65
Rôle des autorités de SSI
• Autorités gouvernementales de la SSI
• 2 rôles majeurs : surveillance, information
66
Les vulnérabilités « connues » ou « historiques »
• Défauts publiés par les autorités, présents dans les
logiciels les plus répandus (8000 en 2014)
• CERT : Computer Emergency Response Team
• Objectif : avertir les usagers des nouvelles failles et
indiquer comment se protéger
Heartbleed Shellshock 67
Problème : qui suit ces alertes en continu ?
68
69
Résultat
• Cette liste constitue l’armurerie parfaite pour les pirates
• Les entreprises (en particulier les PME) sont encore trop
peu protégées contre ces vulnérabilités
• Il est maintenant plus intéressant pour les pirates
d’attaquer les PME que les grands groupes.
70
Source : Gartner
80% des attaques réussies utiliseront au moins
une vulnérabilité connue en 2015.
71
Les pirates cherchent à maximiser leur ROI, et
évoluent en conséquence.
Nous devons donc adapter nos mentalités et
nos moyens de défense.
72
R.O.I. et
Sécurité informatique
Faire de la cybersécurité un
investissement capable de
protéger son patrimoine tout en
créant de la valeur
73
Etude du R.O.I. - Cas classique
Poste
Dépenses Recettes
74
Etude du R.O.I. - Cas classique
Poste
Dépenses Recettes
1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10%
2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0%
3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10% 75
Et dans la Cybersécurité ?
76
Etude du R.O.I. - Cas de la cybersécurité
Sécurité
Informatique
Dépenses Recettes
Pertes
77
Etude du R.O.I. - Cas de la cybersécurité
Sécurité
Informatique
Dépenses Recettes
Pertes
Cas classique :
- Dépenses = 1000, Pertes = 0
- Dépenses = 0, Pertes = 5000
78
Etude du R.O.I. - Cas de la cybersécurité
Sécurité
Informatique
Dépenses Recettes
Pertes
Cas classique :
- Dépenses = 1000, Pertes = 0, Recettes = 0
- Dépenses = 0, Pertes = 5000, Recettes = 0
79
La sécurité informatique avec une vision
classique de R.O.I. se défend mal.
Pourtant…
80
Etude du R.O.I. - Cas de la cybersécurité
Sécurité
Informatique
Dépenses Recettes
Pertes
Cas classique :
- Dépenses = 1000, Pertes = 0, Recettes = 0
- Dépenses = 0, Pertes = 5000, Recettes = 0
81
Etude du R.O.I. - Cas de la cybersécurité
Sécurité
Informatique
Dépenses Recettes
Pertes
Cas classique :
- Dépenses = 1000, Pertes = 0, Recettes = 0
- Dépenses = 0, Pertes = 5000, Recettes = 0
Total : -1000
Total : -5000
82
La sécurité informatique

préserve la valeur de l’entreprise.
83
La sécurité informatique

préserve la valeur de l’entreprise.
On la perçoit donc comme un outil de
réduction de risque.
84
Les biais de l’approche « Réduction du risque »
• Approche classique Annualized Loss Expectancy (ALE)
• Si je connais :

- mon risque

- mes pertes potentielles
• Alors Budget ≤ Risque x Pertes
85
Les biais de l’approche « Réduction du risque »
• Approche classique Annualized Loss Expectancy (ALE)
• Si je connais :

- mon risque

- mes pertes potentielles
• Alors Budget ≤ Risque x Pertes
10% de chances d’avoir un Accident
10.000.000€ de pertes attendues si l’Accident se produit
Budget ≤ 1.000.000€ pour couvrir ce risque
Ex :
86
Les biais de l’approche « Réduction du risque »
• Difficultés pour évaluer le cyber-risque :

- Quel est ma surface d’exposition ?

- Quel est mon niveau de sécurité ?

- Quelles sont les menaces ?
• Difficultés pour évaluer les pertes :

- Quels sont mes principaux assets ?

- Quelles sont mes pertes potentielles matérielles ?

- Quelles sont mes pertes potentielles immatérielles ?
87
Les biais de l’approche « Réduction du risque »
Manque de données sur
l’environnement et ses enjeux.
88
• Difficultés pour évaluer le cyber-risque :

- Quel est ma surface d’exposition ?

- Quel est mon niveau de sécurité ?

- Quelles sont les menaces ?
• Difficultés pour évaluer les pertes :

- Quels sont mes principaux assets ?

- Quelles sont mes pertes potentielles matérielles ?

- Quelles sont mes pertes potentielles immatérielles ?
Les biais de l’approche « Réduction du risque »
• Question 1 - Que préférez-vous entre :





A : un gain certain de 100 €

B : 1 chance sur 2 de gagner 200 € (ou 0€)
89
Les biais de l’approche « Réduction du risque »
• Question 2 - Que préférez-vous entre :





A : une perte certaine de 100 €

B : 1 chance sur 2 de perdre 200 € (ou 0€)
90
Les biais de l’approche « Réduction du risque »
• Question 1 - Que préférez-vous entre :

A : un gain certain de 100 € — 72%

B : 1 chance sur 2 de gagner 200 € (ou 0€)
• Question 2 - Que préférez-vous entre :

A : une perte certaine de 100 €

B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64%
Problèmes équivalents mais humain irrationnel.
Phénomène d’aversion à la perte (Tversky, Kahneman, 1986).
91
L’approche classique ALE ne pousse pas à
assainir l’écosystème.
2 solutions :

1) Créer de la valeur avec la cybersécurité.

2) Réglementer l’écosystème.
92
Créer de la valeur avec la cybersécurité
• Faire de la sécurité informatique un argument commercial :

« Notre système d’information a été audité pendant 5 jours
par une équipe d’experts en sécurité. Avec nous, vos
données sont protégées. »
• Inclure des solutions de sécurité dans ses produits :

- Voitures vendues avec des alarmes en option.

- Infogéreurs vendent des serveurs infogérés avec une
option sécurité.
93
Créer de la valeur avec la cybersécurité
• La sécurité informatique augmente alors la valeur perçue
par le client, en termes de qualité.
• Le fait d’embarquer des solutions permet d’apporter en
plus du confort et de la simplicité.
• Ces approches réduisent le risque informatique, et
en déportent le coût sur le client final.
94
Réglementer l’écosystème
• Approche de l’assurance :

- Tout conducteur doit avoir souscrit une assurance auto.

- Tout salarié cotise à l’assurance chômage.
• Depuis 2013, Loi de Programmation Militaire :

- Fixe des obligations comme l’interdiction de connecter
certains systèmes à Internet ;

- Met en place de systèmes de détections par des prestataires
labélisés par l’Etat ;

- Vérifie le niveau de sécurité des SI critiques à travers un
système d’audit ;

- Et en cas de crise majeure, de peut imposer les mesures
nécessaires aux opérateurs.
Source cyberstrategie.org
95
Réglementer l’écosystème
• La LPM s’applique aux Opérateurs d’Importance Vitale :

- Transport ;

- Energie ;

- Télécommunications…
• Les OIV doivent notifier les attaques informatiques à
l’Agence Nationale de la Sécurité des Systèmes
d’Information.
• Au niveau européen, directives votées en 2014 permettent
à chaque Etat d’avertir le public d’une attaque sur OIV…
96
Démonstration
Attaque par injection XSS

Visite d’un site du Darkweb
97
Projections et
réglementation
Projections sur l’écosystème et
réglementation en cours
98
Evolution globale de la sécurité
DétectionGuérison
Bruce Schneier au FIC 2015
Présent
99
Evolution globale de la sécurité
CorrectionDétectionGuérison
Bruce Schneier au FIC 2015
Présent
100
De la guérison à la prévention
• Guérison : suite à une attaque, opérations de remise en
service du système d’information.
• Détection : pendant une attaque, opérations de blocage
des tentatives d’intrusion.
• Correction : mise en place des barrières techniques lors
de chaque nouvelle menace, avant même que les pirates
ne puissent les exploiter.
101
Evolutions réglementaires
• Transposition des directives européennes en France ?
• Extension progressive de la réglementation imposée aux
OIV à l’ensemble des entreprises françaises ?
• Vers une assurance Cyber-Risques obligatoire ?
Objectif : Atteindre la « Cyber-Résilience » européenne
102
103
Les menaces sont multiples, complexes.
Les technologies de protection deviennent
de plus en plus mûres et automatisées.
Nous passons d’une stratégie d’action en aval
à une stratégie d’action en amont.
Conclusion
104
Notre avis sur l’avenir ?
L’assainissement de l’écosystème passe par
des solutions de sécurité embarquées,
automatisées et économiques, et supportées
par des évolutions réglementaires.
105
Merci pour votre attention !
Questions / Réponses
106
CYBERWATCHCybersecurity as a Service
Protéger - Détecter - Corriger
contact@cyberwatch.fr
http://www.cyberwatch.fr
107

Contenu connexe

Tendances

Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Priyanka Aash
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
Leandre Cof's Yeboue
 
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScanHow to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
ControlScan, Inc.
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
Thibault Tim
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Hanen Bensaad
 
Cyber+incident+response+ +generic+ransomware+playbook+v2.3
Cyber+incident+response+ +generic+ransomware+playbook+v2.3Cyber+incident+response+ +generic+ransomware+playbook+v2.3
Cyber+incident+response+ +generic+ransomware+playbook+v2.3
UnioGeek
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Vumetric
 
Building an effective Information Security Roadmap
Building an effective Information Security RoadmapBuilding an effective Information Security Roadmap
Building an effective Information Security Roadmap
Elliott Franklin
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Cyber security in power sector
Cyber security in power sectorCyber security in power sector
Cyber security in power sector
P K Agarwal
 
Cyber Security Awareness Session for Executives and Non-IT professionals
Cyber Security Awareness Session for Executives and Non-IT professionalsCyber Security Awareness Session for Executives and Non-IT professionals
Cyber Security Awareness Session for Executives and Non-IT professionals
Krishna Srikanth Manda
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
Lisa Lombardi
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jain
Suvrat Jain
 
Cyber Security 101: Training, awareness, strategies for small to medium sized...
Cyber Security 101: Training, awareness, strategies for small to medium sized...Cyber Security 101: Training, awareness, strategies for small to medium sized...
Cyber Security 101: Training, awareness, strategies for small to medium sized...
Stephen Cobb
 

Tendances (20)

Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScanHow to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
How to Spot and Combat a Phishing Attack - Cyber Security Webinar | ControlScan
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
Cyber+incident+response+ +generic+ransomware+playbook+v2.3
Cyber+incident+response+ +generic+ransomware+playbook+v2.3Cyber+incident+response+ +generic+ransomware+playbook+v2.3
Cyber+incident+response+ +generic+ransomware+playbook+v2.3
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Building an effective Information Security Roadmap
Building an effective Information Security RoadmapBuilding an effective Information Security Roadmap
Building an effective Information Security Roadmap
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Cyber security in power sector
Cyber security in power sectorCyber security in power sector
Cyber security in power sector
 
Cyber Security Awareness Session for Executives and Non-IT professionals
Cyber Security Awareness Session for Executives and Non-IT professionalsCyber Security Awareness Session for Executives and Non-IT professionals
Cyber Security Awareness Session for Executives and Non-IT professionals
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jain
 
Cyber Security 101: Training, awareness, strategies for small to medium sized...
Cyber Security 101: Training, awareness, strategies for small to medium sized...Cyber Security 101: Training, awareness, strategies for small to medium sized...
Cyber Security 101: Training, awareness, strategies for small to medium sized...
 

En vedette

La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
Olivier DUPONT
 
Think Like a Hacker - Database Attack Vectors
Think Like a Hacker - Database Attack VectorsThink Like a Hacker - Database Attack Vectors
Think Like a Hacker - Database Attack Vectors
Mark Ginnebaugh
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographique
Maxime ALAY-EDDINE
 
Oracle Database 12c Attack Vectors
Oracle Database 12c Attack VectorsOracle Database 12c Attack Vectors
Oracle Database 12c Attack Vectors
Martin Toshev
 
Return on Security Investment
Return on Security InvestmentReturn on Security Investment
Return on Security Investment
Conferencias FIST
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 

En vedette (6)

La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
 
Think Like a Hacker - Database Attack Vectors
Think Like a Hacker - Database Attack VectorsThink Like a Hacker - Database Attack Vectors
Think Like a Hacker - Database Attack Vectors
 
Soutenance séminaire bibliographique
Soutenance séminaire bibliographiqueSoutenance séminaire bibliographique
Soutenance séminaire bibliographique
 
Oracle Database 12c Attack Vectors
Oracle Database 12c Attack VectorsOracle Database 12c Attack Vectors
Oracle Database 12c Attack Vectors
 
Return on Security Investment
Return on Security InvestmentReturn on Security Investment
Return on Security Investment
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 

Similaire à Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas

Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
Net4All
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
OPcyberland
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
OPcyberland
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
OPcyberland
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
Patrick Bouillaud
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
ssuserc72852
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Normandie Web Xperts
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
OPcyberland
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
Net4All
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
Evenements01
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
COMPETITIC
 

Similaire à Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas (20)

Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite   24 janvier 2018Conference fep cybersecurite   24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
Hackfest @ WAQ2011
Hackfest @ WAQ2011Hackfest @ WAQ2011
Hackfest @ WAQ2011
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Evolution du paysage sécurité
Evolution du paysage sécuritéEvolution du paysage sécurité
Evolution du paysage sécurité
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 

Plus de Maxime ALAY-EDDINE

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best Practices
Maxime ALAY-EDDINE
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Maxime ALAY-EDDINE
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Maxime ALAY-EDDINE
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Maxime ALAY-EDDINE
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Maxime ALAY-EDDINE
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
Maxime ALAY-EDDINE
 

Plus de Maxime ALAY-EDDINE (7)

Introduction to Software Security and Best Practices
Introduction to Software Security and Best PracticesIntroduction to Software Security and Best Practices
Introduction to Software Security and Best Practices
 
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachésInternet : Comprendre les opportunités et les dangers des réseaux cachés
Internet : Comprendre les opportunités et les dangers des réseaux cachés
 
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
Powerpoint - Comment optimiser la stratégie d’un établissement au travers des...
 
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
Comment optimiser la stratégie d’un établissement au travers des MOOCs ?
 
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
Identité numérique, identités numériques - Soutenance Master Affaires Publiqu...
 
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
La neutralité du net - Etat et révolution numérique - Sciences Po Master Affa...
 
Fonctionnement du web
Fonctionnement du webFonctionnement du web
Fonctionnement du web
 

Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas

  • 1. Sécurité Informatique : le R.O.I. que vous n’attendiez pas ! Maxime ALAY-EDDINE Cyberwatch SAS - http://www.cyberwatch.fr v1.0 - 09/11/2015 1
  • 2. Faisons connaissance ! • Maxime ALAY-EDDINE • 24 ans, Consultant SSI • Président de Cyberwatch SAS • Simulations d’attaques (Pentest) • Correcteur de vulnérabilités • Premiers pas dans la sécurité informatique à 12 ans CYBERWATCH 2
  • 3. - Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame Le seul système vraiment sécurisé est éteint, coulé dans un bloc de béton, scellé par une pièce recouverte de plomb et protégée par des gardes. 3
  • 4. Source lolsnaps.com 4 La sécurité absolue
 n’existe pas.
  • 5. Il faut viser un « niveau de risque acceptable ». 5
  • 6. Il faut viser un « niveau de risque acceptable ». R.O.I. 6
  • 7. Plan • Présentation générale • Evolution des attaques • R.O.I. et Sécurité informatique • Démonstration • Projections et réglementation • Questions / Réponses 7
  • 8. Présentation générale Notions de base et définitions 8
  • 9. Sécurité des systèmes d’information ? 9
  • 10. Sécurité des systèmes d’information ? Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006 10
  • 12. Définition plus « concrète »… avec les mains Disponibilité Intégrité Confidentialité Est-ce que mon système fonctionne ? Est-ce que mes données sont bonnes ? Est-ce que mon système est privé ? 12
  • 14. Dans l’industrie, 4 grands critères 14
  • 15. Des menaces multiples S T R I D E poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges 15
  • 16. Usurpation d’identité Le pirate se fait passer pour une entité. 16
  • 18. Usurpation d’identité Login Mot de passe Login Mot de passe 18
  • 20. Falsification de données Le pirate modifie des données. 20
  • 24. Falsification de données 24 Source : https://nakedsecurity.sophos.com/2014/11/04/rugby-teams-site-defaced-to-read-i-love-you-isis/
  • 26. Répudiation Le pirate fait croire qu’un évènement ne s’est jamais produit. 26
  • 31. Divulgation d’informations Le pirate publie des informations confidentielles. 31
  • 34. Déni de service Le pirate rend un service inaccessible. 34
  • 37. Déni de service distribué 37
  • 38. Déni de service distribué 38
  • 39. Elévation de privilège Le pirate obtient des droits privilégiés sur un système. 39
  • 42. Les vecteurs sont eux-aussi multiples Sécurité physique Sécurité réseau Sécurité des applications Ingénierie sociale … 42
  • 43. Pour chaque type d’attaque, il y a une solution Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité … Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Correcteur de vulnérabilités … 43
  • 44. Source : yannarthusbertrand2.org Les menaces
 évoluent et deviennent
 de plus en plus complexes. 44
  • 45. You can't defend. You can't prevent. The only thing you can do is detect and respond. - Bruce Schneier Expert SSI, inventeur du standard Bluefish 45
  • 46. Lutter contre les cyber-menaces en pratique ? Besoin' d’exper-se' Manque' de'temps' Coût' très'élevé' 46
  • 47. Les meilleures solutions ? Clé$en$mains$ 47
  • 48. Evolution des attaques Etude de la complexité et des nouvelles cibles des pirates 48
  • 49. La bombe logique - 1982 • Dossier Farewell (Vladimir Vetrov) • Opération créée par la CIA contre un pipeline russe • Code malveillant permettant de faire exploser le pipeline, sans explosif externe • Les dégâts causés étaient visibles depuis l’espace 49
  • 50. Kevin Mitnick - 1983 • Kevin Mitnick s’introduit sur le réseau du Pentagone • S’introduit par « défi » technique • Ne vole pas de données, conserve un sens éthique • Travaille désormais comme consultant SSI 50
  • 51. Morris - 1988 • Créé par Robert Tappan Morris (Cornell) en 1988 • Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm) • Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés. • Plus de 6000 ordinateurs infectés, pour $100M d’amende. 51
  • 52. Jonathan James - 1999 • Pirate la Defense Threat Reduction Agency à 15 ans • Installe une backdoor sur un serveur, puis un sniffer, pour finalement voler des accès à des ordinateurs militaires • Récupère le code source d’un logiciel de la NASA utilisé sur la Station Spatiale Internationale pour contrôler l’environnement de vie des astronautes • Accusé à tort d’une autre attaque, se suicide en 2008 52
  • 53. MafiaBoy - 2000 • Michael Calce (aka MafiaBoy) réalise des attaques par Déni de service distribué sur des majors (Amazon, CNN, eBay, Yahoo!) • Explique avoir voulu tester des attaques pour concevoir de nouveaux dispositifs de protection • Les dégâts sont évalués à plus de $1,2Mrds • Reconverti dans la sécurité informatique 53
  • 54. Estonie - 2007 • L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie. • Les services gouvernementaux sont stoppés • Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés 54
  • 55. Israël - 2009 • 5.000.000 d’ordinateurs réalisent une attaque de Déni de service distribué sur les sites gouvernementaux israéliens. • Ces attaques sont réalisées pendant l’offensive de Janvier 2009 sur la bande de Gaza. • L’origine des attaques semble être liée à un ancien état soviétique et aux organisations type Hamas/Hezbollah. 55
  • 56. La Cyber-armée iranienne - 2010 • Des militants iraniens attaquent Twitter et Baidu (Google chinois). • Les internautes sont redirigés vers une page pirate avec un message politique. 56
  • 57. StuxNet - 2010 • Virus de très haute expertise technique visant les machines industrielles Siemens. • Découvert en Iran et en Indonésie. • Sabotage logiciel contre le programme nucléaire iranien. 57
  • 58. Sony Pictures Entertainment - 2014 • Vol massif de données (films notamment) • Les données ont été diffusées sur Internet • Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M 58
  • 59. Ashley Madison - 2015 • Vol massif de données (60 Go) • > 30M de comptes utilisateurs rendus publics • Problème : pas de surveillance du réseau, mots de passe trop simples (Pass1234) 59
  • 60. Ashley Madison - 2015 • (source Gizmodo et Dadaviz) • Perte financière :
 - Chantage auprès des utilisateurs du site
 - Class-Action contre l’entreprise, coût estimé > $5 M 60
  • 61. Constat • Ces attaques évoluent et deviennent de plus en plus élaborées (Morris -> StuxNet). • Les attaques sont maintenant médiatisées (Ashley Madison, Daesh…). • Les plus connues concernent avant tout les grandes entreprises et les gouvernements. • Les techniques d’attaques s’industrialisent. • Petit à petit, création d’un milieu « cybercriminel », avec ses enjeux économiques. 61
  • 62. Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou la diffusion d’idées politiques. 62
  • 63. Quid des PME ? Des particuliers ? 63
  • 64. Etude des solutions installées en entreprise Source : La cybersécurité, Que sais-je ? Sondage sur les solutions de sécurité des entreprises françaises en 2009 64
  • 65. Etude des solutions installées en entreprise • Certaines menaces sont traitées de facto • Les pirates se sont adaptés • Les menaces les plus « techniques » sont encore oubliées : cas des vulnérabilités dites « connues ». 65
  • 66. Rôle des autorités de SSI • Autorités gouvernementales de la SSI • 2 rôles majeurs : surveillance, information 66
  • 67. Les vulnérabilités « connues » ou « historiques » • Défauts publiés par les autorités, présents dans les logiciels les plus répandus (8000 en 2014) • CERT : Computer Emergency Response Team • Objectif : avertir les usagers des nouvelles failles et indiquer comment se protéger Heartbleed Shellshock 67
  • 68. Problème : qui suit ces alertes en continu ? 68
  • 69. 69
  • 70. Résultat • Cette liste constitue l’armurerie parfaite pour les pirates • Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités • Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes. 70
  • 71. Source : Gartner 80% des attaques réussies utiliseront au moins une vulnérabilité connue en 2015. 71
  • 72. Les pirates cherchent à maximiser leur ROI, et évoluent en conséquence. Nous devons donc adapter nos mentalités et nos moyens de défense. 72
  • 73. R.O.I. et Sécurité informatique Faire de la cybersécurité un investissement capable de protéger son patrimoine tout en créant de la valeur 73
  • 74. Etude du R.O.I. - Cas classique Poste Dépenses Recettes 74
  • 75. Etude du R.O.I. - Cas classique Poste Dépenses Recettes 1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10% 2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0% 3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10% 75
  • 76. Et dans la Cybersécurité ? 76
  • 77. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes 77
  • 78. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0 - Dépenses = 0, Pertes = 5000 78
  • 79. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 79
  • 80. La sécurité informatique avec une vision classique de R.O.I. se défend mal. Pourtant… 80
  • 81. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 81
  • 82. Etude du R.O.I. - Cas de la cybersécurité Sécurité Informatique Dépenses Recettes Pertes Cas classique : - Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0 Total : -1000 Total : -5000 82
  • 83. La sécurité informatique
 préserve la valeur de l’entreprise. 83
  • 84. La sécurité informatique
 préserve la valeur de l’entreprise. On la perçoit donc comme un outil de réduction de risque. 84
  • 85. Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 85
  • 86. Les biais de l’approche « Réduction du risque » • Approche classique Annualized Loss Expectancy (ALE) • Si je connais :
 - mon risque
 - mes pertes potentielles • Alors Budget ≤ Risque x Pertes 10% de chances d’avoir un Accident 10.000.000€ de pertes attendues si l’Accident se produit Budget ≤ 1.000.000€ pour couvrir ce risque Ex : 86
  • 87. Les biais de l’approche « Réduction du risque » • Difficultés pour évaluer le cyber-risque :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Difficultés pour évaluer les pertes :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ? 87
  • 88. Les biais de l’approche « Réduction du risque » Manque de données sur l’environnement et ses enjeux. 88 • Difficultés pour évaluer le cyber-risque :
 - Quel est ma surface d’exposition ?
 - Quel est mon niveau de sécurité ?
 - Quelles sont les menaces ? • Difficultés pour évaluer les pertes :
 - Quels sont mes principaux assets ?
 - Quelles sont mes pertes potentielles matérielles ?
 - Quelles sont mes pertes potentielles immatérielles ?
  • 89. Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 
 
 A : un gain certain de 100 €
 B : 1 chance sur 2 de gagner 200 € (ou 0€) 89
  • 90. Les biais de l’approche « Réduction du risque » • Question 2 - Que préférez-vous entre :
 
 
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) 90
  • 91. Les biais de l’approche « Réduction du risque » • Question 1 - Que préférez-vous entre :
 A : un gain certain de 100 € — 72%
 B : 1 chance sur 2 de gagner 200 € (ou 0€) • Question 2 - Que préférez-vous entre :
 A : une perte certaine de 100 €
 B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64% Problèmes équivalents mais humain irrationnel. Phénomène d’aversion à la perte (Tversky, Kahneman, 1986). 91
  • 92. L’approche classique ALE ne pousse pas à assainir l’écosystème. 2 solutions :
 1) Créer de la valeur avec la cybersécurité.
 2) Réglementer l’écosystème. 92
  • 93. Créer de la valeur avec la cybersécurité • Faire de la sécurité informatique un argument commercial :
 « Notre système d’information a été audité pendant 5 jours par une équipe d’experts en sécurité. Avec nous, vos données sont protégées. » • Inclure des solutions de sécurité dans ses produits :
 - Voitures vendues avec des alarmes en option.
 - Infogéreurs vendent des serveurs infogérés avec une option sécurité. 93
  • 94. Créer de la valeur avec la cybersécurité • La sécurité informatique augmente alors la valeur perçue par le client, en termes de qualité. • Le fait d’embarquer des solutions permet d’apporter en plus du confort et de la simplicité. • Ces approches réduisent le risque informatique, et en déportent le coût sur le client final. 94
  • 95. Réglementer l’écosystème • Approche de l’assurance :
 - Tout conducteur doit avoir souscrit une assurance auto.
 - Tout salarié cotise à l’assurance chômage. • Depuis 2013, Loi de Programmation Militaire :
 - Fixe des obligations comme l’interdiction de connecter certains systèmes à Internet ;
 - Met en place de systèmes de détections par des prestataires labélisés par l’Etat ;
 - Vérifie le niveau de sécurité des SI critiques à travers un système d’audit ;
 - Et en cas de crise majeure, de peut imposer les mesures nécessaires aux opérateurs. Source cyberstrategie.org 95
  • 96. Réglementer l’écosystème • La LPM s’applique aux Opérateurs d’Importance Vitale :
 - Transport ;
 - Energie ;
 - Télécommunications… • Les OIV doivent notifier les attaques informatiques à l’Agence Nationale de la Sécurité des Systèmes d’Information. • Au niveau européen, directives votées en 2014 permettent à chaque Etat d’avertir le public d’une attaque sur OIV… 96
  • 97. Démonstration Attaque par injection XSS Visite d’un site du Darkweb 97
  • 98. Projections et réglementation Projections sur l’écosystème et réglementation en cours 98
  • 99. Evolution globale de la sécurité DétectionGuérison Bruce Schneier au FIC 2015 Présent 99
  • 100. Evolution globale de la sécurité CorrectionDétectionGuérison Bruce Schneier au FIC 2015 Présent 100
  • 101. De la guérison à la prévention • Guérison : suite à une attaque, opérations de remise en service du système d’information. • Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion. • Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter. 101
  • 102. Evolutions réglementaires • Transposition des directives européennes en France ? • Extension progressive de la réglementation imposée aux OIV à l’ensemble des entreprises françaises ? • Vers une assurance Cyber-Risques obligatoire ? Objectif : Atteindre la « Cyber-Résilience » européenne 102
  • 103. 103
  • 104. Les menaces sont multiples, complexes. Les technologies de protection deviennent de plus en plus mûres et automatisées. Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont. Conclusion 104
  • 105. Notre avis sur l’avenir ? L’assainissement de l’écosystème passe par des solutions de sécurité embarquées, automatisées et économiques, et supportées par des évolutions réglementaires. 105
  • 106. Merci pour votre attention ! Questions / Réponses 106
  • 107. CYBERWATCHCybersecurity as a Service Protéger - Détecter - Corriger contact@cyberwatch.fr http://www.cyberwatch.fr 107