SlideShare une entreprise Scribd logo
1  sur  29
1 © Vumetric Inc. Tous droits réservés – www.vumetric.com
LA CYBERSÉCURITÉ À L’ÈRE DE
L’INFONUAGIQUE ET DE
L’INDUSTRIE 4.0
26 septembre 2018
PRESENTÉ PAR
Patrick Chevalier
CISSP, CISA, CSSLP, GIAC, CPTE, CEH
Associé, conseiller principal
www.vumetric.com
2 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Agenda
 Présentation
 Tendances en cybersécurité
 Réalité en entreprise
 Enjeux spécifiques
> Sécurité de l’infonuagique / Cloud
> Sécurité des réseaux industriels
 Recommandations
 Conclusion / Questions
3 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Qui suis-je ?
 Patrick Chevalier
> CISSP, CISA, CSSLP, GIAC, etc.
 Associé et conseiller principal @ Vumetric
 20 ans d’expérience en cybersécurité
> Consultation, Audits, Plan directeur, etc.
 Conférencier dans ses temps libres !
4 © Vumetric Inc. Tous droits réservés – www.vumetric.com
À propos de Vumetric
 Entreprise dédiée à la cybersécurité
> Québec et Montréal
> 300+ projets annuels
> À votre service depuis plus de 10 ans !
 Clientèle variée:
> Manufacturier, technologie, services financiers, énergie,
alimentation, SaaS, assurance, gouvernements, pharma, etc.
 Entreprise 100% indépendante
> Aucune activité de revente de solutions (pare-feu, antivirus, etc.)
> Approche agnostique et impartiale
5 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Offre de services
TENDANCES EN
CYBERSÉCURITÉ
7 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Augmentation générale des cyberattaques
 Sensibilisation grandissante aux enjeux de sécurité
> Augmentation de la couverture médiatique, ransomware, etc.
> Demeure un enjeu technique pour plusieurs
 Augmentation générale des investissements
 Augmentation de la reddition de compte
> Questionnaires de conformité et normes (ex: GDPR, PCI, etc.)
 Éclatement du « périmètre de sécurité »
> Mobilité, BYOD, Cloud, Télétravail, Impartition, etc.
Tendances en cybersécurité
2019-02-04
8 © Vumetric Inc. Tous droits réservés – www.vumetric.com
23 janvier 2018
Près de 100 000 clients
de Bell Canada victimes
de piratage
Augmentation des cyberattaques
7 septembre 2017
143 millions de clients
d’Équifax touchés par un
piratage
13 septembre 2018
La MRC de Mékinac est
la proie de pirates
informatiques
30 août 2018
L’application d’Air
Canada aurait été piratée
30 septembre 2016
Piratage informatique:
lourde facture pour la
CS des Appalaches
31 mars 2017
Le site d'embauche de
McDonald's Canada
piraté25 septembre 2018
Artopex victime de
pirates informatiques
1 avril 2018
La Baie d'Hudson
victime de pirates
14 septembre 2017
Un faux fournisseur
dérobe 3,3 millions à
Future Electronics
17 septembre 2018
La CS des Chênes aux
prises avec un virus
informatique
9 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Tendances des menaces
 Ingénierie sociale
 Ransomware
 Cryptomining
 Mots de passe
faibles
 Sécurité du Cloud
 Menaces internes
 BYOD
 Sécurité Webapp
 Botnets
 APT / Malware ciblé
RÉALITÉ EN
ENTREPRISE
11 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Plusieurs dépassées par les enjeux de sécurité
 Expertise généralement incomplète à l’interne
> Équipes TI déjà débordées par les opérations courantes
> Rareté des ressources en TI (et en sécurité !)
 Pas de planification stratégique / roadmap
> Plusieurs directeurs TI ont de la difficultés à justifier les
budgets requis
> Mentalité « Ça n’arrive qu’aux autres » encore présente
 Manque de visibilité (Pas de KPI)
Réalité en entreprise
12 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Réalité en entreprise
Source: IDC Canada - Determining How Much to Spend on Your IT Security The Canadian Perspective (2015)
https://www-03.ibm.com/industries/ca/en/healthcare/documents/IDC_Canada_Determining_How_Much_to_spend_on_Security_-_Canadian_Perspective_2015.pdf
13 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Plusieurs s’appuient sur des entreprises
spécialisées
> Tous veulent rentabiliser leurs investissements
 La sécurité de base est généralement en place
> Pare-feu, anti-spam, web filter, anti-virus, correctifs.
 Des solutions de sécurité… qui n’apportent pas de
solution
> Mauvaise évaluation du TCO
> …ou solution simplement mal adaptée au contexte
Réalité en entreprise
14 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Ex: Solutions antivirus…
Source: AV Comparatives – Antivirus Real-World protection Test Mar-Jun 2018
https://www.av-comparatives.org/enterprise/comparison/
15 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Cybersécurité de base
en 2018
Mécanismes
 Pare-feu
 Anti-Virus
 Anti-Spam
 Web Filter
 VPN
Activités
 Gestion des correctifs
 Gestion des vulnérabilités
 Inventaire
 Segmentation du réseau
 Gestion des accès
 Surveillance de la sécurité
 Gestion des sauvegardes
 Sensibilisation des employés
Notez qu'il n'y a pas d’"Intelligence artificielle" ou de
"Machine Learning" ici…
16 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Stratégie de cybersécurité
intégrée
Gens
Processus
Technologie
Politiques
SÉCURITÉ DU CLOUD /
INFONUAGIQUE
18 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Adoption en constante progression !
 La sensibilisation aux enjeux de sécurité du Cloud
est généralement adéquate
 Change les paradigmes de sécurité traditionnels
> Défense périmétrique, focus sur le réseau, etc.
 Domaine relativement récent
> Souvent des lacunes dans l’expertise disponible
> Mauvaise connaissance des fonctionnalités de sécurité
offertes (ex: Office 365)
> Mauvaise compréhension des rôles et responsabilités
Sécurité du cloud
19 © Vumetric Inc. Tous droits réservés – www.vumetric.com
“Through 2020, 80% of cloud breaches will be due to
customer misconfiguration, mismanaged credentials or
insider theft, not cloud provider vulnerabilities. ”
Neil MacDonald, Gartner
20 © Vumetric Inc. Tous droits réservés – www.vumetric.com
Cloud: Responsabilités
partagées
Client Fournisseur
On-Prem IaaS PaaS SaaS
21 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Valider les fournisseurs
> Conformité SOC1, SOC2, SSAE-16, etc.
 Intégrer la sécurité à même les projets
> Appel à expertise externe si requis
 Utiliser les fonctionnalités de sécurité natives
> Activer l’authentification multi-facteur
> Sécuriser les serveurs/composants
> Chiffrer les données
 Tester et corriger les vulnérabilités régulièrement
Cloud: Recommandations
générales
SÉCURITÉ DES
RÉSEAUX INDUSTRIELS
23 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Niveau de maturité général très faible
 Souvent une boite noire pour les équipes TI
> Aucune ou peu de visibilisé, géré par équipe distincte, etc.
 Impact sur les affaires facile à démontrer
> Perte de productivité, Arrêt de chaine de production, etc.
 Principales lacunes observées:
> Contrôles des accès
> Segmentation
Sécurité des réseaux
industriels
24 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Débuter avec un audit/bilan
> Identifier les actifs (systèmes, IP, données)
> Identifier les vulnérabilités / lacunes de sécurité
> Évaluer et quantifier les risques
 De façon générale:
> Segmenter le réseau industriel du réseau TI
> Contrôler les accès (fournisseur, support, etc.)
> Sensibiliser les équipes de production
> Adopter une stratégie de défense en profondeur
> S’aligner sur les principaux standards (NIST 800-82,
ISO/IEC-62443)
Sécurité des réseaux
industriels
RECOMMANDATIONS
GÉNÉRALES
26 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Planifier et budgétiser les dépenses de sécurité
> 8-14 % du budget TI, 1 ressource dédiée par 500 employés
> Réviser la planification sur une base annuelle
 Identifier et mesurer les KPI
> Intégrer la sécurité au niveau exécutif
 Sensibiliser les employés
> Newsletter OUCH!, test d’hameçonnage, etc.
 Considérer l’impartition pour certaines activités clés
Recommandations:
administratives
SANS Institute OUCH! Newsletter
https://www.sans.org/security-awareness-training/ouch-newsletter
27 © Vumetric Inc. Tous droits réservés – www.vumetric.com
 Identifier et focuser sur les quick-wins !
 Adopter une stratégie de défense en profondeur
> Combiner les contrôles de prévention et de détection
 Tester et corriger régulièrement les vulnérabilités
> Test d’intrusion, audit de sécurité, etc.
 Évaluer les solutions de sécurité adéquatement
> Faite abstraction des buzzwords du jour
> Sources: Gartner, NSS Labs, AV-Comparatives, etc.
> Considérer le TCO !
Recommandations:
techniques
28 © Vumetric Inc. Tous droits réservés – www.vumetric.com
" If you spend more on coffee than on IT security, you
will be hacked.
What's more, you deserve to be hacked. "
Source: Richard Clarke, White House Cyber Security Advisor
www.vumetric.com© 2018 Vumetric Inc.
MERCI DE VOTRE ATTENTION !
QUESTIONS ?
Patrick Chevalier
Associé, conseiller principal
pchevalier@vumetric.com
1-877-805-RISK

Contenu connexe

Tendances

Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...OpinionWay
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa   24mai2916Projets groupe cybersécurité tpa   24mai2916
Projets groupe cybersécurité tpa 24mai2916Laura Peytavin
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciRadouane Mrabet
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéAntoine Vigneron
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 

Tendances (20)

Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa   24mai2916Projets groupe cybersécurité tpa   24mai2916
Projets groupe cybersécurité tpa 24mai2916
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 

Similaire à La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)

Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecuritySerge Richard
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets siASIP Santé
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"OCTO Technology
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by designVersusmind
 
COVID-19 | Cybersécurité et d’outils de collaboration en contexte de télétravail
COVID-19 | Cybersécurité et d’outils de collaboration en contexte de télétravailCOVID-19 | Cybersécurité et d’outils de collaboration en contexte de télétravail
COVID-19 | Cybersécurité et d’outils de collaboration en contexte de télétravailSherbrooke Innopole
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)niokho
 
La gestion du risque et de la sécurité en mode Agile
La gestion du risque et de la sécurité en mode AgileLa gestion du risque et de la sécurité en mode Agile
La gestion du risque et de la sécurité en mode AgileAgile Montréal
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days
 

Similaire à La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric) (20)

Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Partner pot.pptx
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
Matinale OCTO - "Blockchain : comment s'orienter dans la désorientation"
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
COVID-19 | Cybersécurité et d’outils de collaboration en contexte de télétravail
COVID-19 | Cybersécurité et d’outils de collaboration en contexte de télétravailCOVID-19 | Cybersécurité et d’outils de collaboration en contexte de télétravail
COVID-19 | Cybersécurité et d’outils de collaboration en contexte de télétravail
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
La gestion du risque et de la sécurité en mode Agile
La gestion du risque et de la sécurité en mode AgileLa gestion du risque et de la sécurité en mode Agile
La gestion du risque et de la sécurité en mode Agile
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
 

La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)

  • 1. 1 © Vumetric Inc. Tous droits réservés – www.vumetric.com LA CYBERSÉCURITÉ À L’ÈRE DE L’INFONUAGIQUE ET DE L’INDUSTRIE 4.0 26 septembre 2018 PRESENTÉ PAR Patrick Chevalier CISSP, CISA, CSSLP, GIAC, CPTE, CEH Associé, conseiller principal www.vumetric.com
  • 2. 2 © Vumetric Inc. Tous droits réservés – www.vumetric.com Agenda  Présentation  Tendances en cybersécurité  Réalité en entreprise  Enjeux spécifiques > Sécurité de l’infonuagique / Cloud > Sécurité des réseaux industriels  Recommandations  Conclusion / Questions
  • 3. 3 © Vumetric Inc. Tous droits réservés – www.vumetric.com Qui suis-je ?  Patrick Chevalier > CISSP, CISA, CSSLP, GIAC, etc.  Associé et conseiller principal @ Vumetric  20 ans d’expérience en cybersécurité > Consultation, Audits, Plan directeur, etc.  Conférencier dans ses temps libres !
  • 4. 4 © Vumetric Inc. Tous droits réservés – www.vumetric.com À propos de Vumetric  Entreprise dédiée à la cybersécurité > Québec et Montréal > 300+ projets annuels > À votre service depuis plus de 10 ans !  Clientèle variée: > Manufacturier, technologie, services financiers, énergie, alimentation, SaaS, assurance, gouvernements, pharma, etc.  Entreprise 100% indépendante > Aucune activité de revente de solutions (pare-feu, antivirus, etc.) > Approche agnostique et impartiale
  • 5. 5 © Vumetric Inc. Tous droits réservés – www.vumetric.com Offre de services
  • 7. 7 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Augmentation générale des cyberattaques  Sensibilisation grandissante aux enjeux de sécurité > Augmentation de la couverture médiatique, ransomware, etc. > Demeure un enjeu technique pour plusieurs  Augmentation générale des investissements  Augmentation de la reddition de compte > Questionnaires de conformité et normes (ex: GDPR, PCI, etc.)  Éclatement du « périmètre de sécurité » > Mobilité, BYOD, Cloud, Télétravail, Impartition, etc. Tendances en cybersécurité 2019-02-04
  • 8. 8 © Vumetric Inc. Tous droits réservés – www.vumetric.com 23 janvier 2018 Près de 100 000 clients de Bell Canada victimes de piratage Augmentation des cyberattaques 7 septembre 2017 143 millions de clients d’Équifax touchés par un piratage 13 septembre 2018 La MRC de Mékinac est la proie de pirates informatiques 30 août 2018 L’application d’Air Canada aurait été piratée 30 septembre 2016 Piratage informatique: lourde facture pour la CS des Appalaches 31 mars 2017 Le site d'embauche de McDonald's Canada piraté25 septembre 2018 Artopex victime de pirates informatiques 1 avril 2018 La Baie d'Hudson victime de pirates 14 septembre 2017 Un faux fournisseur dérobe 3,3 millions à Future Electronics 17 septembre 2018 La CS des Chênes aux prises avec un virus informatique
  • 9. 9 © Vumetric Inc. Tous droits réservés – www.vumetric.com Tendances des menaces  Ingénierie sociale  Ransomware  Cryptomining  Mots de passe faibles  Sécurité du Cloud  Menaces internes  BYOD  Sécurité Webapp  Botnets  APT / Malware ciblé
  • 11. 11 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Plusieurs dépassées par les enjeux de sécurité  Expertise généralement incomplète à l’interne > Équipes TI déjà débordées par les opérations courantes > Rareté des ressources en TI (et en sécurité !)  Pas de planification stratégique / roadmap > Plusieurs directeurs TI ont de la difficultés à justifier les budgets requis > Mentalité « Ça n’arrive qu’aux autres » encore présente  Manque de visibilité (Pas de KPI) Réalité en entreprise
  • 12. 12 © Vumetric Inc. Tous droits réservés – www.vumetric.com Réalité en entreprise Source: IDC Canada - Determining How Much to Spend on Your IT Security The Canadian Perspective (2015) https://www-03.ibm.com/industries/ca/en/healthcare/documents/IDC_Canada_Determining_How_Much_to_spend_on_Security_-_Canadian_Perspective_2015.pdf
  • 13. 13 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Plusieurs s’appuient sur des entreprises spécialisées > Tous veulent rentabiliser leurs investissements  La sécurité de base est généralement en place > Pare-feu, anti-spam, web filter, anti-virus, correctifs.  Des solutions de sécurité… qui n’apportent pas de solution > Mauvaise évaluation du TCO > …ou solution simplement mal adaptée au contexte Réalité en entreprise
  • 14. 14 © Vumetric Inc. Tous droits réservés – www.vumetric.com Ex: Solutions antivirus… Source: AV Comparatives – Antivirus Real-World protection Test Mar-Jun 2018 https://www.av-comparatives.org/enterprise/comparison/
  • 15. 15 © Vumetric Inc. Tous droits réservés – www.vumetric.com Cybersécurité de base en 2018 Mécanismes  Pare-feu  Anti-Virus  Anti-Spam  Web Filter  VPN Activités  Gestion des correctifs  Gestion des vulnérabilités  Inventaire  Segmentation du réseau  Gestion des accès  Surveillance de la sécurité  Gestion des sauvegardes  Sensibilisation des employés Notez qu'il n'y a pas d’"Intelligence artificielle" ou de "Machine Learning" ici…
  • 16. 16 © Vumetric Inc. Tous droits réservés – www.vumetric.com Stratégie de cybersécurité intégrée Gens Processus Technologie Politiques
  • 17. SÉCURITÉ DU CLOUD / INFONUAGIQUE
  • 18. 18 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Adoption en constante progression !  La sensibilisation aux enjeux de sécurité du Cloud est généralement adéquate  Change les paradigmes de sécurité traditionnels > Défense périmétrique, focus sur le réseau, etc.  Domaine relativement récent > Souvent des lacunes dans l’expertise disponible > Mauvaise connaissance des fonctionnalités de sécurité offertes (ex: Office 365) > Mauvaise compréhension des rôles et responsabilités Sécurité du cloud
  • 19. 19 © Vumetric Inc. Tous droits réservés – www.vumetric.com “Through 2020, 80% of cloud breaches will be due to customer misconfiguration, mismanaged credentials or insider theft, not cloud provider vulnerabilities. ” Neil MacDonald, Gartner
  • 20. 20 © Vumetric Inc. Tous droits réservés – www.vumetric.com Cloud: Responsabilités partagées Client Fournisseur On-Prem IaaS PaaS SaaS
  • 21. 21 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Valider les fournisseurs > Conformité SOC1, SOC2, SSAE-16, etc.  Intégrer la sécurité à même les projets > Appel à expertise externe si requis  Utiliser les fonctionnalités de sécurité natives > Activer l’authentification multi-facteur > Sécuriser les serveurs/composants > Chiffrer les données  Tester et corriger les vulnérabilités régulièrement Cloud: Recommandations générales
  • 23. 23 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Niveau de maturité général très faible  Souvent une boite noire pour les équipes TI > Aucune ou peu de visibilisé, géré par équipe distincte, etc.  Impact sur les affaires facile à démontrer > Perte de productivité, Arrêt de chaine de production, etc.  Principales lacunes observées: > Contrôles des accès > Segmentation Sécurité des réseaux industriels
  • 24. 24 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Débuter avec un audit/bilan > Identifier les actifs (systèmes, IP, données) > Identifier les vulnérabilités / lacunes de sécurité > Évaluer et quantifier les risques  De façon générale: > Segmenter le réseau industriel du réseau TI > Contrôler les accès (fournisseur, support, etc.) > Sensibiliser les équipes de production > Adopter une stratégie de défense en profondeur > S’aligner sur les principaux standards (NIST 800-82, ISO/IEC-62443) Sécurité des réseaux industriels
  • 26. 26 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Planifier et budgétiser les dépenses de sécurité > 8-14 % du budget TI, 1 ressource dédiée par 500 employés > Réviser la planification sur une base annuelle  Identifier et mesurer les KPI > Intégrer la sécurité au niveau exécutif  Sensibiliser les employés > Newsletter OUCH!, test d’hameçonnage, etc.  Considérer l’impartition pour certaines activités clés Recommandations: administratives SANS Institute OUCH! Newsletter https://www.sans.org/security-awareness-training/ouch-newsletter
  • 27. 27 © Vumetric Inc. Tous droits réservés – www.vumetric.com  Identifier et focuser sur les quick-wins !  Adopter une stratégie de défense en profondeur > Combiner les contrôles de prévention et de détection  Tester et corriger régulièrement les vulnérabilités > Test d’intrusion, audit de sécurité, etc.  Évaluer les solutions de sécurité adéquatement > Faite abstraction des buzzwords du jour > Sources: Gartner, NSS Labs, AV-Comparatives, etc. > Considérer le TCO ! Recommandations: techniques
  • 28. 28 © Vumetric Inc. Tous droits réservés – www.vumetric.com " If you spend more on coffee than on IT security, you will be hacked. What's more, you deserve to be hacked. " Source: Richard Clarke, White House Cyber Security Advisor
  • 29. www.vumetric.com© 2018 Vumetric Inc. MERCI DE VOTRE ATTENTION ! QUESTIONS ? Patrick Chevalier Associé, conseiller principal pchevalier@vumetric.com 1-877-805-RISK