Sécurité Zéro Confiance

#ZeroTrust #Security #Compliance
Ce document est élaboré dans un esprit collaboratif de partage de connaissances et d’expériences de l’ISACA, Excelerate Systems et T&S Consulting. Utilisez le librement, mais n’oubliez pas de citer vos sources

Sécurité Zéro Confiance
Aadel BENYOUSSEF
Executive VP @ Excelerate Systems
Mohamed Amin
LEMFADLI
CEO @ Trust and Security Consulting
Webinaire :
Avec la participation de :
Modérateur
Sami RIFKY
Vice-Président @ ISACA Casablanca

Introduction
Sami RIFKY
Vice-Président @ ISACA Casablanca

Rapport ISACA - Etat de la Cybersécurité 2020
 Sondage de plus de 2000 professionnels de la
sécurité de l’information
 Répartis sur 5 continents, 102 pays et plus de 17
secteurs d’activités
 Dressant le panorama des menaces et les
tendances en matières de cyberattaques
 Mettant l’accent sur l’importance du staffing en
cybersécurité
 Abordant le recours à des solutions de sécurité
basées sur l’IA pour renforcer la cyber posture
https://www.isaca.org/bookstore/bookstore-wht_papers-
digital/whpsc201

digital/whpsc201

Types d’attaque
fréquentes
Variation du nombre des
cyberattaques
Acteurs de
Menaces
Actions de sécurité réalisées par les
opérations SI
digital/whpsc201

Sécurité du S.I
Mohamed Amin
LEMFADLI
CEO @ Trust and Security Consulting

POURQUOI CE SUJET ?
Nous stockons tous des données sensibles dans nos systèmes
informatiques:
- Journaux des Systèmes et des Applications de nos S.I
- Renseignements d’identification de personnes : données utilisateurs
ou clients
- Informations financières : données comptables ou de facturations
- Informations de santé : données médicales sur les patients
- et bien d’autres données de trafic web, de SEO, de marketing…etc.
La majorité de ces systèmes offrent des dispositifs de sécurité natives
ou prêtes à l'emploi,
MAIS !

Gouvernance des incidents Cyber Sécurité
• Evaluer l’impact Métiers, calcul des pertes, établir
des statistiques(*)
• Mettre à jour la cartographie des risques métiers
Risk
Management
• Respect des SLA (*) (Equipe interne / prestataires
externes
• Mise en place des mesures correctives
• Mise à jour des documents d’exploitation
• Alimentation de la KB
• Leçons à apprendre (amélioration de
l’infrastructure SI, supervision, montée en
compétences (*)
• Evaluer l’efficacité des contrôles / interventions
• Apprécier les risques résiduels
• Mettre à jour la cartographie des risques de
cyber sécurité
• Mise à jour du corpus documentaire de cyber
sécurité
• Mise à jour des indicateurs de sécurité
• Définition du plan d’action correctif
• Etablir les statistiques(*)
• Identifier les problèmes
• Activer l’audit de conformité(*)
• Mise à jour du plan d’audit « Cyber sécurité » *Audit
IT
Security
Management
Incident
Cyber
Sécurité
Supporté par :
Politiques
(catégorisation des incidents,
R&R…)
Processus , procédures, guidelines
Impact ; C I D
Accidentel /
Malveillant
Interne / Externe
Métiers / IT /
Clients…

Gouvernance des incidents Cyber Sécurité
Incident
Cyber
Sécurité
Supporté par :
Politiques
(catégorisation des incidents,
R&R…)
Processus , procédures, guidelines
Impact ; C I D
Accidentel /
Malveillant
Interne / Externe
Métiers / IT /
Clients…
• RGPD, Loi 09-08, PCI-DSS, ISO 27001
etc…
Compliance
• Gestion des compétences (*) de
l’équipe IT
(support n°1, N°2 …)
• Sensibilisation
• Reprise d’activité dans les meilleurs
délais (*) avec les moindres dégâts
• Communication interne / externe
• Gestion de la réputation (*)
Communication
HR
Business

12

Sécurité Zéro Confiance
13
Aadel BENYOUSSEF
Executive VP @ Excelerate Systems

Les infrastructures modernes
- Architectures distribuées « BigData »
- Hadoop, Spark… etc
- Bases de données « structurées, semi structurées et
non structurées »
- MangoDB, Cassandra, HBase…etc
- Moteurs de recherches, Crowler
- Elasticsearch, Solr, Nutch
Ces systèmes n’offrent pas de dispositifs de
sécurité natifs.
MAIS !
Les réponses font peur..

Comment sécurisez-vous
vos
installations Informatiques ?

DONNÉES
SENSIBLES
Je ne sais pas
!
Firewall VPN & Firewall
LES RÉPONSES

LE PÉRIMÈTRE DE SÉCURITÉ
HTTPS
INTERNET
PAS ou PEU
FIABLE
DATA LAKE
DONNÉES SENSIBLES
INTRANET
PÉRIMÈTRE DE CONFIANCE
HTTPS

1. On ne peut pas faire confiance au trafic venant de
l'extérieur
2. La circulation des données à l'intérieur du périmètre
est digne de confiance
3. L'accès au périmètre interne peut être contrôlé.
HYPOTHÈSES

Nous assumons tous ces convictions !
→Que les VPN, les Pare-Feu et les Proxy sont suffisants
→Qu’à tout moment, nous savons qui a accès aux
données.
→Que le trafic à l'intérieur du VPN n'a pas besoin d'être
chiffré de bout en bout
→et finalement : que les intrusions seront détectées !
HYPOTHÈSES

Est-ce que ces mécanismes de sécurité fonctionnent ?
Si cela fonctionne, pourquoi
assistons-nous à des fuites de
données ?
LA RÉALITÉ

@ Exactis : Près de 340 millions de dossiers personnels ont fait l'objet
de fuites
 Une banque de données de 2 To qui stockait près de 340 millions de dossiers individuels
• Cluster Elasticsearch accessible au public
• Aucune Sécurité du Périmètre
https://siecledigital.fr/2018/07/02/exactis-expose-environ-340-millions-de-donnees-personnelles-sur-internet/
@ Yves Rocher : Les données de 2,5 millions de clients exposées
 6 millions de commandes exposées : « Un événement était organisé chez Yves Rocher il y a quelques jours. Pour
l’occasion, on a ouvert un serveur d’intégration pour procéder à des tests, qui n’était pas assez protégé »
• Cluster Elasticsearch non sécurisé mis en place / opéré par Aliznet
https://www.20minutes.fr/high-tech/2594891-20190902-yves-rocher-donnees-25-millions-clients-exposes-pendant-heures-cause-faille-informatique
@ Apple : Brèche dans la protection des données Apple
 Accès aux données internes accordé aux partenaires commerciaux. Les données clients volées dans
la base de données interne d'Apple par 22 entreprises travaillant comme distributeurs en Chine et
vendues sur le marché noir chinois pour 7 millions USD
• Attaquant à l'intérieur du périmètre
LA RÉALITÉ

@ Best Western : 179 Go de détails des réservations des clients. Les données des
plates-formes clients externes sont également exposées.
 Cluster Elasticsearch non sécurisé, hébergé sur AWS
• Comment définit-on le périmètre ? https://siliconangle.com/2019/10/21/customer-data-best-western-hotels-exposed-massive-data-breach/
@OneLogin : Plate-forme de gestion des mots de passe et des identités
 L'attaquant a obtenu les clés de la plate-forme hébergée sur AWS "d'un hôte intermédiaire".
L'attaquant a probablement pu déchiffrer certaines informations
• Il a suffit de voler une seule clé
https://www.zdnet.com/article/onelogin-security-chief-new-details-data-breach/
@People Data Labs et OxyData : des DataBrookers ! 4To de données, accessibles à
tous par un simple Navigateur Web à l’adresse http://35.1XX.X8.1X5:9200
 Les données de plus de 1,2 milliard de personnes uniques. (des noms, des adresses e-mail, des numéros de
téléphone et des informations de profil Facebook et/ou LinkedIn.)
 Cluster Elasticsearch non sécurisé, hébergé sur AWS et GPC
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/
LA RÉALITÉ

« Je ne pense pas que c'était
intentionnel,
c’est une erreur humaine »
…nous disent à chaque fois les responsables.
VRAIMENT ?

Arnaque via une InsideAttack
https://www.lebigdata.fr/trend-micro-employe-traitre
https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-
consumer-customers/
« un employé a vendu les données de
120 000 clients du géant de la cybersécurité »
Trend Micro annonce un ” incident de sécurité ”
ayant mené au vol de données personnelles de
près de 120 000 clients par un ancien employé.
Ces informations auraient été extraites d’une base
de données du service client, sans qu’un hack
extérieur n’ait été perpétré.

→ Partenaires, consultants, pigistes, entrepreneurs à temps
partiel, etc.
→ Bureaux distants / Espaces de coworking/ Travailleurs à
distance, télétravail
→Appareils / BYOD
Ordinateurs portables, smartphones, tablettes
QU'EST-CE QUI A CHANGÉ ?

→Cloud computing
→Stockage en ligne (Drive, OneDrive, iCloud…)
→Microservices
→SaaS / PaaS / IaaS
→Containerisation
→Docker, Kubernetes etc.
Comment appliquer la sécurité sur IP des Systèmes /
clusters décentralisés / Internet des objets…etc.Comment faire face aux
menaces?
QU'EST-CE QUI A CHANGÉ ?

OÙ EST LE PÉRIMÈTRE MAINTENANT ?

PÉRIMÈTRE DE SÉCURITÉ REVISITÉ !

Sécurité Zéro
Confiance

→Les entreprises n'ont plus le contrôle total
→ Explosion d'appareils et de possibilités de travail à distance
→ Les données et les services se déplacent vers le cloud
→ Internet des objets
→Les attaques internes ne cessent d'augmenter
→ 60% des attaques proviennent de l'intérieur (étude ISACA 2020)
→ Augmentation des attaques par le biais de l'ingénierie sociale (étude ISACA
2020)
→Perméabilité entre l’environnement numérique
personnel et professionnel
FACT CHECK !

31,000 Clusters ELK en libre accès !
Excelerate Systems
Cyber Security Labs

Excelerate Systems
Cyber Security Labs

DATACENTERS HÉBERGEANT LES STACKS ELK (NON SÉCURISÉS) !
Excelerate Systems
Cyber Security Labs

Quelques Scénarii
d’Attaques !

Non - SSO
TRAFFIC NON CHIFFRÉ: ACCÈS CLIENTS
Internet / Office / …
HTTPS
Data Lake
Elasticsearch
HTTP
Proxy / Loadbalancer
Terminates TLS

HTTPS
Data Lake
Elasticsearch
HTTPS
Proxy
TLS Passthrough
Implements ACL
URL based
Index Alias
Wildcard index names
Date math index names
Bulk API
Multi Get / Multi Search
https://sgssl-0.example.com:9200/mydata-*/_search
https://sgssl-0.example.com:9200/mydata/_search
CONTRÔLE D’ACCES EN DEHORS DU DATASTORE
Non - SSO

23.
Node 1
Elasticsearch
Elasticsearch
Elasticsearch
Node 2
Node 3
HTTPS
Proxy / Loadbalancer
TLS Passthrough
HTTPS
Traffic non chiffré : inter-nodes/clusters

Node 1
Elasticsearch
Elasticsearch
Elasticsearch
Node 2
Node 3
Elasticsearch
Evil Node
Data Replication
Data Replication
Evil node
n’importe quel nœud peut
rejoindre le cluster
Sans authentification.

25.
Node 1
Elasticsearch
Elasticsearch
Elasticsearch
Node 2
Node 3
Evil Employee
https://sgssl-0.example.com:9200/logs/_search
Quelles données ont été consultées ?
Quand y a-t-il eu accès ?
Qui y a accédé ?
Pas de journalisation ou monitoring !

25.
Node 1
Elasticsearch
Elasticsearch
Elasticsearch
Node 2
Node 3
Evil Employee
https://sgssl-0.example.com:9200/*/_search
Quelles données ont été consultées ?
Quand y a-t-il eu accès ?
Qui y a accédé ?
Moindre privilège

Rétablir la
Confiance

→Aucun trafic réseau n'est digne de confiance
→ Indépendamment de l'appareil à partir duquel on accède à
l’informatique de l’entreprise.
→Aucune IP / Port / Application n'est digne de
confiance
→ Cloud, Conteneurs, IoT
→ L'approche traditionnelle de pare-feu ou VPN est imparfaite
→Aucun utilisateur n'est digne de confiance
→ Méfiez-vous des attaques intérieures
NOUVEAU PARADIGME !

→Déplacer la sécurité à l'endroit où vivent les
données
→ Pas de services non garantis
→ Pas même dans un VPN
→Pas de trafic non chiffré, où que ce soit
→ Pas même dans un VPN
→Supposer que les attaquants soient déjà à
l’intérieur du périmètre
→ Ne jamais faire confiance, toujours vérifier
→Appliquer les stratégies du moindre privilège
→Inspecter et consigner tout le trafic
NOUVEAU PARADIGME ? – RESOLUTIONS !

Aucune sécurité
Communication en claire entre les Nodes
Cluster ELK
Sécurité ELK en bref !

Cluster ELK
Sécurité ELK en bref !

Sécurité pour
Elasticsearch !
ZeroTrustSecurit

Si Open Source, assurez vous que l’intégralité du code
est accessible publiquement.
Son code a fait l’objet de multiples audits
• Par la communauté
• Par des experts en sécurité et des spécialistes
dépêchés par les clients
• Il est certifié Veracode par exemple
Sécurité = OPEN
SOURCE ?

Ne faire confiance à
personne !
Supposer que l'attaquant
est
déjà à l’intérieur

LES ENTREPRISES NE SAVENT MÊME PAS QUE LEURS DONNÉES S

Excelerate Systems
Cyber Security Labs
LES ENTREPRISES NE SAVENT MÊME PAS QUE LEURS DONNÉES SO

Ce document est élaboré dans un esprit collaboratif de partage de connaissances et d’expériences de l’ISACA, Excelerate Systems et T&S Consulting. Utilisez le librement, mais n’oubliez pas de citer vos sourceshttps://www.zdnet.fr/actualites/cyberattaques-66-des-pme-ciblees-au-cours-de-l-annee-ecoulee-39891887.htm
FACT CHECK !

RÉSOLUTION !

RÉSOLUTIONS !
https://reports.exodus-privacy.eu.org/fr/

https://reports.exodus-
privacy.eu.org/fr/reports/com.royalairmaroc.app/l
atest/
RÉSOLUTIONS !

privacy.eu.org/fr/reports/com.airfrance.android.dinamo
prd/latest/
Des pirates utilisent Google Analytics
pour contourner la sécurité du Web et
voler des numéros de cartes de crédit
« Les attaquants ont injecté un code
malveillant dans les sites, qui ont
recueilli toutes les données saisies par
les utilisateurs et les ont ensuite
envoyées via Analytics »
« En conséquence, les attaquants
pouvaient accéder aux données volées
dans leur compte Google Analytics ».
https://thehackernews.com/2020/06
/google-analytics-hacking.html

privacy.eu.org/en/reports/com.univbordeaux.ume/latest/

Sécurité Zéro Confiance

Contenu connexe

Tendances

Similaire à Sécurité Zéro Confiance

Plus de Excelerate Systems

Dernier

Sécurité Zéro Confiance

Notes de l'éditeur