SlideShare une entreprise Scribd logo
Etat des lieux de la sécurité en Suisse
perception du risque cyber par des entreprises suisses
et motivations des hackers
Enrico Viganò
Clusis - www.clusis.ch
Association suisse de la sécurité de l'information
3.10.2017 – Swiss Grade – Net4All
L'association suisse de la sécurité de l'information
• Association à but non lucratif créée en 1989
• Environ 400 membres
• Présente dans les 3 régions linguistiques suisses
• Réseau d'associations partenaires (Canada, Bélgique,
France, Italie et Luxembourg)
2
Agenda
• Etat des lieux
• Objectifs de l'étude menée par OPRISKO
• Contexte de la cybercriminalité
• Motivations du Hacker
• Les entreprises face à la cybercriminalité
• Attentes des entreprises face à l'Etat
• Conclusion
3
Etat des lieux
Selon une étude récente de l’assureur Zurich, la conscience
du danger augmente au sein des PME en Suisse, mais
seulement 2,5% des 200 entreprises sondées déclarent
disposer d’une protection fonctionnelle à ce jour.
4
OBJECTIFS DE L’ÉTUDE MENEE PAR
L’OBSERVATOIRE DES RISQUES OPÉRATIONNELS
• Définir « la cybercriminalité ».
• Comprendre qui sont les hackers, leurs
motivations, comment sont sélectionnées les entreprises
ciblées par des attaques ainsi que le mode opératoire des
attaquants.
• Comprendre les principaux risques pour les
organisations, les menaces actuelles et mesures de
défense.
• Rôle attendu de l’état du point de vue de l’entreprise.
5
MÉTHODOLOGIE DE RECHERCHE ET
POPULATION SONDÉE
• Définition du sujet 2017 d’intérêt public : cybercriminalité
• Méthode de recherche encadrée par du personnel
académique et enquête de terrain menée par Oprisko.
• Méthodologie qualitative de recherche par interviews.
• Distribution de 2 types de questionnaires :
1 pour les entreprise / 1 pour les hackers.
• 26 entreprises suisses et 7 hackers sondés.
• Codage et analyse des données qualitatives.
• Rédaction d’un rapport (en cours d’élaboration).
6
Cybercriminalité - Contexte
• Marché de plus de USD 445 milliard profits
illégaux.
• Supérieur au produit intérieur brut de UAE (Abou Dabi,
Ajman, Charjah, Dubaï, Fujaïrah, Ras el Khaïmah et
Oumm al Qaïwaïn) ou l'Irlande, ou la Finlande (Caleb
Barlow, Vice-president IBM Security, 2016)
7
DEFINITION DE LA CYBERCRIMINALITE
i. « Ensemble des agissements malveillants commis à l’aide de
moyens informatiques et d’un réseau de télécommunication. »
ii. Un répondant hacker liste les infractions commises à l’aide
d’un ordinateur :
« Accès non autorisé aux systèmes d’information et aux réseaux,
vol, revente de comptes et d’informations personnelles,
espionnage industriel et blanchiment d'argent. »
iii. Le secteur industriel spécifie le type d’infraction : vol de
propriété intellectuelle, espionnage industriel, sabotage.
8
Selon nos répondants :
DEFINITION DU HACKER
Epistémologie :
A l’origine, un hacker manipule un instrument informatique avec génie
pour résoudre des problèmes à l’aide de cet outil. (JH. Morin)
« une personne qui, par jeu, goût du défi ou souci de notoriété, cherche à
contourner les protections d'un logiciel, à s'introduire frauduleusement
dans un système ou un réseau informatique ». (Larousse)
Le hacker s’auto-définit comme « quelqu’un de curieux qui souhaite
connaître le fonctionnement des systèmes en général, afin d’en
comprendre les rouages et in fine de les maîtriser ». Nombre de nos
répondants pensent que le hacker est avant tout quelqu’un de passionné.
9
MOTIVATIONS DU HACKER
a) Hacker white hat
Les hackers interviewés pensent que les « white hats » sont curieux,
aiment comprendre les systèmes, bricoler, détourner des
produits, services, ou systèmes de leur usage premier et mettent à profit
leurs compétences au service de l’industrie.
b) Hacker black hat
Ceux qui violent les systèmes d'information, avec ou sans avantage
personnel. Ils sont rassemblés sur le «mauvais» côté, traversant la ligne de
démarcation claire entre «l'amour pour le piratage» et l'exécution délibérée
des actions criminelles. Pour ces acteurs, c'est normal de violer un système
d'information et de le pénétrer son méandre le plus secret, en volant des
informations et, compte tenu du profil de leur pirate informatique, les
revendre.
10
Selon nos répondants :
COMMENT UN WHITE HAT DEVIENT BLACK HAT
Have your motivations for hacking ever changed over time?
« At the very beginning it was all about curiosity and learning. Then I
decided to step forward into the real world, where people pay you
money because they don’t know how to play as I do. Right now it’s just
money. People can hire me, I do the job, get the money, and
disappear»
What is your main aspiration ?
“Stop working in 2 or 3 years, retiring, giving money to my family,
buy my own house.”
• Propos recueillis par Raoul Chiesa en coordination avec
11
QUI SONT LES HACKERS ?
12
Profil des hackers selon UNICRI :
96% d'hommes
Niveau d’éducation:
40% université
29% maturité
Age:
80% ont <30 ans
Personnalité:
Curieux
Heureux
Paresseux
Passionné
COMMENT SONT DÉSIGNÉES LES ENTREPRISES ATTAQUÉES ?
«Je vais faire une réponse simple à cette question : souvent par hasard.»
«Ce n’est pas forcement simple d’attaquer directement une entreprise. Il existe
3 façons pour qu’une entreprise soit attaquée :
i. À cause d’une faille informatique (serveur ou ordinateur non mis à jour
par exemple) ou humaine (mot de passe non sécurisé). Attaque directe.
Rare.
ii. Parce qu’un espion informatique (troyen) a été intentionnellement installé
par quelqu’un qui a eu accès au réseau interne de l’entreprise. Attaque
directe. Très Rare.
iii. Parce qu’au moins un ordinateur de l’entreprise a été victime d’un
malware (ou certain type de virus, ou Troyens) à large spectre. C’est le
plus courant des cas.»
13
BUDGET DES ENTREPRISES FACE A LA CYBERCRIMINALITE
• Les entreprises relèvent que la cybercriminalité est sous-estimée, ou
que le risque est accepté car peu investissent réellement. Certains
suggèrent de se doter de ressources externes pour gérer le risque
cyber.
• « cela n’est pas pris au sérieux donc peu, voire pas de budget, les
entreprises ne veulent pas investir continuellement dans les
technologies car elle évolue vite » « organizations are not investing
enough money, thus most of their measures are at the basic level »
14
EVOLUTION PROBABLE DU RISQUE CYBER POUR LES
ENTREPRISES 1/2
Nos entreprises interviewées pensent :
i. Que la problématique cyber est un risque IT et non un risque
d’entreprise.
ii. Que seules les entreprises d’envergure ont déployé des moyens pour
se prémunir de la cybercriminalité.
iii. Que le risque cyber est en augmentation. Les menaces se
complexifient et ne sont pas prises au sérieux par les PME.
15
EVOLUTION PROBABLE DU RISQUE CYBER POUR LES
ENTREPRISES 2/2
Une personne interviewée déclare :
«Le risque va clairement augmenter dans les banques. Il
fait référence à une étude qui dit que les banques sont 300
fois plus ciblées que les autres entreprises. Il pense qu’au
niveau bancaire il s’agit en tout premier lieu protéger le
trafic des paiements, et améliorer les moyens de détection
pour réagir vite à une attaque.»
16
Avec la disparition du secret fiscal. Les données
des clients privés sont maintenant moins
intéressantes. Par contre, avec la banque
numérique ce qui est attrayant maintenant
c’est les applications bancaires pour détourner
de l’argent.
ATTENTES DES ENTREPRISES SONDÉES VIS-À-VIS DE L’ETAT.
• Communiquer sur les mesures punitives.
• Mise en place d’une help-line étatique pour les entreprises victimes
d’attaques.
• En cas d’inculpation, prononcer des peines lourdes.
• Etre contrôlée : exemple des contrôles d’hygiène dans les restaurants,
chaque entreprise devrait pouvoir démontrer un programme
cybercriminalité.
• Etendre les compétences des employés : définir une politique de
formation étatique.
• Coordonner la réponse face à des incidents globaux.
17
Une réponse timide du national
Footer Text 18
Swiss Made Security
• Une alternative ?
www.swissmadesecurity.org
Footer Text 19
Conclusion Cybercriminalité
• L’état de préparation à une attaque diverge d’une entreprise à une
autre, en fonction du secteur ou de la taille.
• La réglementation se limite aux infrastructures critiques (médicales,
financières, énergétiques, de télécommunications, transports) et
impose des obligations en matière de contrôles de sécurité et de
notification d’incidents.
• Les hackers “white hat” contribuent positivement à améliorer
l’environnement en décelant des failles dans les organisations et les
systèmes.
• Le partage d’information entre les entreprises et l’Etat est clé pour
mieux faire face aux cybercriminels. Les canaux de partage
d’information doivent être utilisés d’avantage.
• Les conditions-cadre ne proposent rien en matière de cybersécurité.
20
Merci pour votre attention et
Remerciements à :
• Net4All
• Les membres d’Oprisko qui ont contribué activement à cette
présentation
21

Contenu connexe

Tendances

Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevenslecointe666
 
La cybercriminalité: Enjeux et Pespectives
 La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives
wallace04
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
EuraTechnologies
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
GOTIC CI
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
OPcyberland
 
Cybermed ia2020
Cybermed ia2020Cybermed ia2020
Cybermed ia2020
OPcyberland
 
Cybercriminalité, experience judiciaire ivoirienne
Cybercriminalité, experience judiciaire ivoirienneCybercriminalité, experience judiciaire ivoirienne
Cybercriminalité, experience judiciaire ivoirienne
GOTIC CI
 
ID FORUM - FIC2020
ID FORUM - FIC2020ID FORUM - FIC2020
ID FORUM - FIC2020
OPcyberland
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?
GOTIC CI
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMC
M-Paloma
 
Omc201409
Omc201409Omc201409
Omc201409
tfares1
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et parades
Antoine Vigneron
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
Commonwealth Telecommunications Organisation
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
COMPETITIC
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
Serrerom
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
OPcyberland
 
Rapport Norton sur l'impact de la Cybercriminalité
Rapport Norton sur l'impact de la CybercriminalitéRapport Norton sur l'impact de la Cybercriminalité
Rapport Norton sur l'impact de la Cybercriminalité
Judith Sautereau
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
SOCIALware Benelux
 

Tendances (20)

Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevens
 
La cybercriminalité: Enjeux et Pespectives
 La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
Cybermed ia2020
Cybermed ia2020Cybermed ia2020
Cybermed ia2020
 
Cybercriminalité, experience judiciaire ivoirienne
Cybercriminalité, experience judiciaire ivoirienneCybercriminalité, experience judiciaire ivoirienne
Cybercriminalité, experience judiciaire ivoirienne
 
ID FORUM - FIC2020
ID FORUM - FIC2020ID FORUM - FIC2020
ID FORUM - FIC2020
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMC
 
Omc201409
Omc201409Omc201409
Omc201409
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et parades
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
Rapport Norton sur l'impact de la Cybercriminalité
Rapport Norton sur l'impact de la CybercriminalitéRapport Norton sur l'impact de la Cybercriminalité
Rapport Norton sur l'impact de la Cybercriminalité
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
 

Similaire à État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS

Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
COMPETITIC
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
ITrust - Cybersecurity as a Service
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
Net4All
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
ColloqueRISQ
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
OpinionWay
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
Patrick Bouillaud
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
LA GESTION DE CRIME NUMÉRIQUE
LA GESTION DE CRIME NUMÉRIQUELA GESTION DE CRIME NUMÉRIQUE
LA GESTION DE CRIME NUMÉRIQUE
TelecomValley
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
Bpifrance
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Crossing Skills
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Web-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESWeb-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUES
mcperthuis
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012
François Sopin, CISSP
 
Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
NRC
 
Csc kit-social-engineering-ppt-fr
Csc kit-social-engineering-ppt-frCsc kit-social-engineering-ppt-fr
Csc kit-social-engineering-ppt-fr
Julien Marteel
 

Similaire à État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS (20)

Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Risque cyber
Risque cyberRisque cyber
Risque cyber
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
LA GESTION DE CRIME NUMÉRIQUE
LA GESTION DE CRIME NUMÉRIQUELA GESTION DE CRIME NUMÉRIQUE
LA GESTION DE CRIME NUMÉRIQUE
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Web-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESWeb-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUES
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012
 
Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
Webinar ATN+ symantec
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
Csc kit-social-engineering-ppt-fr
Csc kit-social-engineering-ppt-frCsc kit-social-engineering-ppt-fr
Csc kit-social-engineering-ppt-fr
 

Plus de Net4All

Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup GenèveKubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Net4All
 
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
Net4All
 
Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...
Net4All
 
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Net4All
 
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Net4All
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Net4All
 

Plus de Net4All (6)

Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup GenèveKubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup Genève
 
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
 
Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...
 
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
 
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
 

État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS

  • 1. Etat des lieux de la sécurité en Suisse perception du risque cyber par des entreprises suisses et motivations des hackers Enrico Viganò Clusis - www.clusis.ch Association suisse de la sécurité de l'information 3.10.2017 – Swiss Grade – Net4All
  • 2. L'association suisse de la sécurité de l'information • Association à but non lucratif créée en 1989 • Environ 400 membres • Présente dans les 3 régions linguistiques suisses • Réseau d'associations partenaires (Canada, Bélgique, France, Italie et Luxembourg) 2
  • 3. Agenda • Etat des lieux • Objectifs de l'étude menée par OPRISKO • Contexte de la cybercriminalité • Motivations du Hacker • Les entreprises face à la cybercriminalité • Attentes des entreprises face à l'Etat • Conclusion 3
  • 4. Etat des lieux Selon une étude récente de l’assureur Zurich, la conscience du danger augmente au sein des PME en Suisse, mais seulement 2,5% des 200 entreprises sondées déclarent disposer d’une protection fonctionnelle à ce jour. 4
  • 5. OBJECTIFS DE L’ÉTUDE MENEE PAR L’OBSERVATOIRE DES RISQUES OPÉRATIONNELS • Définir « la cybercriminalité ». • Comprendre qui sont les hackers, leurs motivations, comment sont sélectionnées les entreprises ciblées par des attaques ainsi que le mode opératoire des attaquants. • Comprendre les principaux risques pour les organisations, les menaces actuelles et mesures de défense. • Rôle attendu de l’état du point de vue de l’entreprise. 5
  • 6. MÉTHODOLOGIE DE RECHERCHE ET POPULATION SONDÉE • Définition du sujet 2017 d’intérêt public : cybercriminalité • Méthode de recherche encadrée par du personnel académique et enquête de terrain menée par Oprisko. • Méthodologie qualitative de recherche par interviews. • Distribution de 2 types de questionnaires : 1 pour les entreprise / 1 pour les hackers. • 26 entreprises suisses et 7 hackers sondés. • Codage et analyse des données qualitatives. • Rédaction d’un rapport (en cours d’élaboration). 6
  • 7. Cybercriminalité - Contexte • Marché de plus de USD 445 milliard profits illégaux. • Supérieur au produit intérieur brut de UAE (Abou Dabi, Ajman, Charjah, Dubaï, Fujaïrah, Ras el Khaïmah et Oumm al Qaïwaïn) ou l'Irlande, ou la Finlande (Caleb Barlow, Vice-president IBM Security, 2016) 7
  • 8. DEFINITION DE LA CYBERCRIMINALITE i. « Ensemble des agissements malveillants commis à l’aide de moyens informatiques et d’un réseau de télécommunication. » ii. Un répondant hacker liste les infractions commises à l’aide d’un ordinateur : « Accès non autorisé aux systèmes d’information et aux réseaux, vol, revente de comptes et d’informations personnelles, espionnage industriel et blanchiment d'argent. » iii. Le secteur industriel spécifie le type d’infraction : vol de propriété intellectuelle, espionnage industriel, sabotage. 8 Selon nos répondants :
  • 9. DEFINITION DU HACKER Epistémologie : A l’origine, un hacker manipule un instrument informatique avec génie pour résoudre des problèmes à l’aide de cet outil. (JH. Morin) « une personne qui, par jeu, goût du défi ou souci de notoriété, cherche à contourner les protections d'un logiciel, à s'introduire frauduleusement dans un système ou un réseau informatique ». (Larousse) Le hacker s’auto-définit comme « quelqu’un de curieux qui souhaite connaître le fonctionnement des systèmes en général, afin d’en comprendre les rouages et in fine de les maîtriser ». Nombre de nos répondants pensent que le hacker est avant tout quelqu’un de passionné. 9
  • 10. MOTIVATIONS DU HACKER a) Hacker white hat Les hackers interviewés pensent que les « white hats » sont curieux, aiment comprendre les systèmes, bricoler, détourner des produits, services, ou systèmes de leur usage premier et mettent à profit leurs compétences au service de l’industrie. b) Hacker black hat Ceux qui violent les systèmes d'information, avec ou sans avantage personnel. Ils sont rassemblés sur le «mauvais» côté, traversant la ligne de démarcation claire entre «l'amour pour le piratage» et l'exécution délibérée des actions criminelles. Pour ces acteurs, c'est normal de violer un système d'information et de le pénétrer son méandre le plus secret, en volant des informations et, compte tenu du profil de leur pirate informatique, les revendre. 10 Selon nos répondants :
  • 11. COMMENT UN WHITE HAT DEVIENT BLACK HAT Have your motivations for hacking ever changed over time? « At the very beginning it was all about curiosity and learning. Then I decided to step forward into the real world, where people pay you money because they don’t know how to play as I do. Right now it’s just money. People can hire me, I do the job, get the money, and disappear» What is your main aspiration ? “Stop working in 2 or 3 years, retiring, giving money to my family, buy my own house.” • Propos recueillis par Raoul Chiesa en coordination avec 11
  • 12. QUI SONT LES HACKERS ? 12 Profil des hackers selon UNICRI : 96% d'hommes Niveau d’éducation: 40% université 29% maturité Age: 80% ont <30 ans Personnalité: Curieux Heureux Paresseux Passionné
  • 13. COMMENT SONT DÉSIGNÉES LES ENTREPRISES ATTAQUÉES ? «Je vais faire une réponse simple à cette question : souvent par hasard.» «Ce n’est pas forcement simple d’attaquer directement une entreprise. Il existe 3 façons pour qu’une entreprise soit attaquée : i. À cause d’une faille informatique (serveur ou ordinateur non mis à jour par exemple) ou humaine (mot de passe non sécurisé). Attaque directe. Rare. ii. Parce qu’un espion informatique (troyen) a été intentionnellement installé par quelqu’un qui a eu accès au réseau interne de l’entreprise. Attaque directe. Très Rare. iii. Parce qu’au moins un ordinateur de l’entreprise a été victime d’un malware (ou certain type de virus, ou Troyens) à large spectre. C’est le plus courant des cas.» 13
  • 14. BUDGET DES ENTREPRISES FACE A LA CYBERCRIMINALITE • Les entreprises relèvent que la cybercriminalité est sous-estimée, ou que le risque est accepté car peu investissent réellement. Certains suggèrent de se doter de ressources externes pour gérer le risque cyber. • « cela n’est pas pris au sérieux donc peu, voire pas de budget, les entreprises ne veulent pas investir continuellement dans les technologies car elle évolue vite » « organizations are not investing enough money, thus most of their measures are at the basic level » 14
  • 15. EVOLUTION PROBABLE DU RISQUE CYBER POUR LES ENTREPRISES 1/2 Nos entreprises interviewées pensent : i. Que la problématique cyber est un risque IT et non un risque d’entreprise. ii. Que seules les entreprises d’envergure ont déployé des moyens pour se prémunir de la cybercriminalité. iii. Que le risque cyber est en augmentation. Les menaces se complexifient et ne sont pas prises au sérieux par les PME. 15
  • 16. EVOLUTION PROBABLE DU RISQUE CYBER POUR LES ENTREPRISES 2/2 Une personne interviewée déclare : «Le risque va clairement augmenter dans les banques. Il fait référence à une étude qui dit que les banques sont 300 fois plus ciblées que les autres entreprises. Il pense qu’au niveau bancaire il s’agit en tout premier lieu protéger le trafic des paiements, et améliorer les moyens de détection pour réagir vite à une attaque.» 16 Avec la disparition du secret fiscal. Les données des clients privés sont maintenant moins intéressantes. Par contre, avec la banque numérique ce qui est attrayant maintenant c’est les applications bancaires pour détourner de l’argent.
  • 17. ATTENTES DES ENTREPRISES SONDÉES VIS-À-VIS DE L’ETAT. • Communiquer sur les mesures punitives. • Mise en place d’une help-line étatique pour les entreprises victimes d’attaques. • En cas d’inculpation, prononcer des peines lourdes. • Etre contrôlée : exemple des contrôles d’hygiène dans les restaurants, chaque entreprise devrait pouvoir démontrer un programme cybercriminalité. • Etendre les compétences des employés : définir une politique de formation étatique. • Coordonner la réponse face à des incidents globaux. 17
  • 18. Une réponse timide du national Footer Text 18
  • 19. Swiss Made Security • Une alternative ? www.swissmadesecurity.org Footer Text 19
  • 20. Conclusion Cybercriminalité • L’état de préparation à une attaque diverge d’une entreprise à une autre, en fonction du secteur ou de la taille. • La réglementation se limite aux infrastructures critiques (médicales, financières, énergétiques, de télécommunications, transports) et impose des obligations en matière de contrôles de sécurité et de notification d’incidents. • Les hackers “white hat” contribuent positivement à améliorer l’environnement en décelant des failles dans les organisations et les systèmes. • Le partage d’information entre les entreprises et l’Etat est clé pour mieux faire face aux cybercriminels. Les canaux de partage d’information doivent être utilisés d’avantage. • Les conditions-cadre ne proposent rien en matière de cybersécurité. 20
  • 21. Merci pour votre attention et Remerciements à : • Net4All • Les membres d’Oprisko qui ont contribué activement à cette présentation 21

Notes de l'éditeur

  1. Pas totalement d’accord avec cette citation. Je classerai plutôt les catégories de cyber-attack ainsi: Attaque générique externe (campagnes larges de malware, ddos) – Fréquence: Commune Attaque ciblée externe (targeted attack, Advanced Persistent Threat, zero-day), il s’agit d’attaques plus sophistiquées. – Fréquence: Très rare Insider threat – Fréquence: Rare
  2. Commentaires additionnels: Commentaire Opriko : Avec la disparition du secret fiscal. Les données des clients privés sont maintenant moins intéressantes. Par contre, avec la banque numérique ce qui est attrayant maintenant c’est les applications bancaires pour détourner de l’argent.
  3. La nouvelle directive européenne impose uniquement aux opérateurs d’importance une obligation de sécurité (des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leur activité) et de notification des incidents (chaque opérateur devra notifier à l’autorité compétente sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services). Les obligations en matière de contrôle et de notification d’incidents peuvent être assimilés à ceux imposés par le nouveau règlement sur la protection des données personnelles.