La sécurité, cette branche de notre domaine dont le devoir est de protéger le système d'information, revient très souvent comme un point de douleur dans toutes les étapes du cycle de vie d'un projet. Pourtant, malgré une nécessité réelle, un bon nombre des mesures prises sont incomplètes, voire inutiles. Des politiques de mot de passe aberrantes au proxy ne limitant en pratique que peu de choses, ce slot tentera de démystifier les principes clés de la sécurité et d'expliquer pourquoi un certain nombre des mesures courantes dans les entreprises n'ont en réalité qu'un effet placebo. Par Jonathan Raffre, Technical Architect chez Xebia Toutes les informations sur xebicon.fr

1. @Xebiconfr #Xebicon18 @nekonyuu42
Build the future
La sécurité, une douce illusion même en 2018
Jonathan Raffre
Technical Architect
1

2. @Xebiconfr #Xebicon18 @nekonyuu42
Qui sommes-nous ?
Jonathan Raffre
Technical Architect
@nekonyuu42
2

3. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - pourquoi ?
3

4. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité, pourquoi ?
4

5. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - Objectifs
●
●
●
●
●
●
5

6. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - How ?
●
●
●
6

7. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - How ?
●
●
●
7

8. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - How ?
● User eXperience
● Education des utilisateurs
8

9. @Xebiconfr #Xebicon18 @nekonyuu42
Bad Cybersecurity UX
9

10. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersecurity UX done wrong
● Persona - Directeur commercial d'un grand éditeur logiciel
● Objectifs de sécurité
○ Authentification : identifier un utilisateur
○ Non-répudiation : s'assurer que l'identité d'un utilisateur ne peut être falsifiée
● Solutions
○ Politique de mot de passe (préconisations NIST)
■ 8 caractères, 1 chiffre, 1 symbole, moins de 12 caractères, …
■ Expire tous les 30 jours
■ "J'ai mon mot de passe sur un post-it sous mon clavier !"
10

11. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersecurity UX done wrong
xkcd.com/936/
11

12. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersecurity done wrong
● Persona - Responsable des services généraux
● Objectifs de sécurité
○ Traçabilité : journalisation des accès Internet
○ Inspection des communications
● Solutions
○ Proxy avec liste blanche
■ Sites de transfert de données interdits
■ Sites fournisseurs bloqués car inconnus
○ Filtrage de messagerie
■ E-mails avec des fichiers compressés refusés
■ E-mails avec des documents Word refusés
■ ...
12

13. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersecurity done wrong
13

14. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersecurity done wrong
14

15. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - How-to do it right ?
● Intégrer
● Intégrer l'UX
● Mesurer
● Se protéger et contre ses conséquences
● Éduquer
15

16. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - UX
● Besoins
○
○
● Réponse
○
○
■ Protection transparente pour l'utilisateur
16

17. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - UX
● Besoins
○
○
● Réponse
○
○
■ No Expiration + MFA recommandés !
NIST:
17

18. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - Analyse du risque
●
●
●
●
● Approches d'analyse Octave (US), EBIOS (ANSSI)
18

19. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - Protection
●
○ En prenant en compte l'UX !
○
○ compréhensible
● Equilibre coût risque ⇔ coût protection ⇔ coût attaquant
19

20. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité - Expliquer et accompagner !
●
●
●
○
● Tout le monde est responsable de la sécurité !
○ Effort de groupe !
20

21. @Xebiconfr #Xebicon18 @nekonyuu42
Cybersécurité en 2018 - Take Away
●
●
●
●
●
○
21

22. @Xebiconfr #Xebicon18 @nekonyuu42
Crédits
●
●
●
Thanks for coming !
22