Dossier de presse nouvelle génération réalisé pour l'ensemble des clients de l'agence Cymbioz à l'occasion des Assises de la Sécurité qui se sont déroulées du 5 au 8 octobre 2016 à Monaco.
2. Ça bulle dans les RP...
Retrouvez la dernière BD de Yann Serra sur www.cymbioz.com
3. 2016, L’ANNÉE DU RANSOMWARE
OIV - 1ERS
ARRÊTÉS PUBLIÉS : PAR OÙ COMMENCER ?
QUELLE PLACE POUR LE RSSI, À CÔTÉ DES NOUVEAUX MÉTIERS
LIÉS À LA DONNÉE ?
OUTRE LES TECHNOLOGIES, QUELS SONT LES MOYENS
DE SENSIBILISER LES UTILISATEURS DE L’ENTREPRISE À LA SÉCURITÉ ?
COMMENT PALLIER LE MANQUE DE SÉCURITÉ DES OBJETS CONNECTÉS ?
LES TECHNOLOGIES DE SÉCURITÉ DE DEMAIN
QUAND LE DANGER VIENT DU CLOUD
LE PIRE CAUCHEMAR DES RSSI EST DÉJÀ À L’INTÉRIEUR DE L’ENTREPRISE
CHIFFREMENT : JUSQU’OÙ FAUT-IL ALLER ?
LE SECTEUR DE LA FINANCE EN LIGNE DE MIRE
LA VALORISATION DES TECHNOLOGIES FRANÇAISES À L’INTERNATIONAL
04 / 05
06 / 07
08 / 09
10 / 11
12 / 13
14 / 15
16 / 17
18 / 19
20 / 21
22 / 23
24 / 25
Sommaire
4. 04
Petya, Locky, Samas, Satana, Cerber, Surprise…
Recherche charmant petit nom pour attaque infor-
matique très rentable. Ce pourrait être le titre d’une
petite annonce. Nous n’en sommes plus très loin. Les
créateurs de ransomwares ne se gênent pas pour
marketer leurs outils et se rendre visibles sur Internet
pour enrôler des volontaires prêts à diffuser leurs
ransomwares le plus largement possible.
2016,
L’ANNÉE DU RANSOMWARE|
Un minimum d’efforts pour un maximum de résultats :
c’est la tendance du ransomware-as-a-service (RaaS)
apparue en 2016 (Cerber ou Shark).
Le nombre de variantes de ransomware augmente
(Satana était une évolution de Locky qui était lui même
une évolution de Petya, lui même une évolution de
Dridex, etc.) et la technicité de ces attaques se renforce.
Les TPE/PME en première cible.
”
120 FAMILLES
DE RANSOMWARE
IDENTIFIÉES
LOCKY
CERBER
PETYA
SATANA
SURPRISE
SHARK
PAGES 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
5. 05
En France, les vagues de Locky continuent d’être mas-
sivement diffusées (notamment via le botnet Necurs),
avec des pics fin août/début septembre. Le business
Locky reste donc très lucratif pour les cybercriminels.
Malgré l’incidence croissante des attaques par ran-
somware, les entreprises ne sont pas particulièrement
au fait des pratiques des cybercriminels. Une étude
IoD and Barclays a montré que seulement 28 % des
cas de cyber extorsion sont signalés aux autorités,
soulignant ainsi que les victimes préfèrent payer des
rançons plutôt que la diffusion de données sensibles
et la mauvaise publicité associée.
Régis Benard, responsable du filtre Vade Secure pointe
du doigt une nouvelle tendance : « Des ransomware
tentent de se faire passer pour Locky pour faire peur
aux cibles visées et leur faire croire qu’elles sont obligées
de payer, sans autre solution. En réalité, ces souches
de ransomware (Bart ou PowerWare par exemple)
sont beaucoup moins dangereuses car le cryptage
peut être cassé, même avec des outils gratuits. Il
faut désormais savoir distinguer le vrai Locky, de ces
imitations ».
Lionel Goussard, responsable France SentinelOne :
« Nous voyons au moins une demi-douzaine de nouvelles
variantes de ransomware chaque semaine. La plupart
de ceux que nous avons analysé, comme les variantes
Petya ou CryptXXX par exemple, n’étaient pas si
sophistiquées et sont faciles à obtenir sur le darkweb.
Les ransomwares offrent un bon retour sur investisse-
ment, pour une dépense autour de 60 euros ».
Agenda
Regard sur les menaces détectées par F5 Labs
Jeudi 06/10 à 16h00 – F5 NETWORKS
Les objets connectés, nouvelles cibles
des ransomwares ?
Pourquoi les outils de protection ne se
sont pas adaptés à un modèle d’attaque
désormais connu ?
Décrypter les fichiers, c’est possible ?
Comment repérer les imitations, des
vrais ransomwares ?
Comment concrètement les
collaborateurs de l'entreprise sont
sensibilisés aux bonnes pratiques ?
F5 Networks
@F5_France
Nomios
@NomiosFR
SentinelOne
@SentinelOneFR
Varonis
@VaronisFR
Vade Secure
@VadeSecure
Réflexions
Parlez-en avec eux…
Retrouver cet article sur www.cymbioz.com
7. 07
Comment les OIV peuvent-ils
mobiliser leurs dirigeants et leurs
équipes sur ces obligations ?
Où en est la qualification
et la certification des partenaires
de confiance par l’ANSSI ?
Crossing Skills
@drambaldini
F5 Networks
@F5_France
Guidance Software
@EnCase
Nomios
@NomiosFR
Prim’X
@ITSecurFeed
ThreatQuotient
@ThreatQuotient
Réflexions
Parlez-en avec eux…
Fortunato Guarino, Consultant solutions Cybercrime
et Data Protection Guidance Software livre son ana-
lyse : « Parmi les exigences définies par l’ANSSI, les
OIV ont pour obligation de surveiller et identifier les IoC
identifiés par l’ANSSI dans leur infrastructure (3000
IoC identifiés par l’ANSSI en 2015). Grâce à l’ANSSI,
les OIV ont une vraie base de travail et savent quoi
surveiller. La mission est toutefois de taille car leur
parc de machines et objets connectés est potentiel-
lement énorme et en pratique les OIV n’ont pas tous
les moyens humains et financiers pour se protéger
comme cela leur est demandé ».
La définition du périmètre sur lequel le corpus des règles
LPM va se décliner est d’ailleurs la pierre angulaire pour
nombre d’OIV. Par exemple, les entreprises collectent
des volumes considérables de données sur leurs
salariés, contenues dans les logs. D’après Balabit, les
entreprises collectent en moyenne 238 millions de logs
chaque jour alors qu’elles sont capables d’en analyser
seulement 33 %. Pour superviser de la meilleure des
façons leur sécurité, les entreprises devront déjà être
capables d’analyser ces logs pour être conscientes de
ce qu’ils contiennent.
Retrouver cet article sur www.cymbioz.com
8. 08
QUELLE PLACE POUR LE RSSI,
À CÔTÉ DES NOUVEAUX
MÉTIERS LIÉS À LA DONNÉE ?|
Les nouveaux métiers de l’innovation doivent
collaborer avec les métiers de la rationalisation,
et en premier chef, avec celui du RSSI.
C’est surtout sur les aspects organisationnels et
méthodologiques que le métier du RSSI va évoluer.
Data mining, data analytics, data science, data crunching,
data design, data wranling, les processus liés à
l’extraction, à la collecte, à l’analyse et
au traitement, ou encore à l’exploita-
tion des données se déclinent dans
toutes leurs formes et dans tout
secteur d’activité. C’est par la donnée
que beaucoup d’organisations et même
depuis peu les partis politiques, ima-
ginent et structurent leur projet d’inno-
vation et de transformation, y compris de
leurs métiers, dans cette quête sans fin de
performance.
137 000 créationsd’emplois dans la data,attendues parle gouvernementdans les 5 ans.
“
”
9. 09
Jusqu’où aller dans l’exploitation
des données ?
Comment le big data peut aider
le RSSI dans ses nouvelles fonctions ?
RSSI / DPO : comment collaborer ?
Crossing Skills
@drambaldini
Guidance Software
@EnCase
Skyhigh Networks
@SkyhighNetworks
Réflexions
Parlez-en avec eux…
C’est pourquoi dans les entreprises, sans de réelle
conviction sur la place à leur donner dans l’organi-
sation, émergent de nouveaux métiers comme les
data scientists, dont l’ingénierie consiste à manipuler
les données via des algorithmes pour en créer de
l’information utile à destination des métiers ; des Chief
Data Officer dont la vocation est plutôt de veiller les
données et de les exploiter au sens marketing du terme ;
ou encore les Data Protection Officer, nouveaux futurs
garants de la protection de la vie privée dans les trai-
tements de l’entreprise, dont le récent GDPR (General
Data Protection Regulation) va accélérer l’émergence.
Dans ce nouvel écosystème, le RSSI a non seulement
toute sa place, mais une place pivot de tous les autres
métiers. La plus grande mutation porte surtout sur
le « i » de RSSI. C’est en effet la matière première
- l’information - qui va s’entendre de façon plus large
du fait du caractère exponentiel mais également volatile
des données.
Donc si intrinsèquement, les tâches du RSSI restent
les mêmes - il doit toujours en effet veiller à la sécurité
de son système face aux risques et la superviser - le
RSSI va devoir se réapproprier le périmètre qu’il doit
protéger, et faire preuve d’imagination fertile pour
anticiper les menaces en dévoilant les convoitises que
pourraient susciter les data qu’il couvre.
« Le RSSI idéal sera capable de faire converger la DSI,
les juristes, les DPO, les métiers, et les faiseurs de
données, en assimilant leurs besoins et en leur
faisant intégrer les siens, et pourquoi pas être aussi
celuiquibénéficieradeseffetspositifsdubigdatadansla
supervision de sa sécurité » explique Diane Rambaldini,
fondatrice Crossing Skills.
S’il était déjà fortement conseillé de requérir les
compétences d’un RSSI à l’aisance relationnelle
développée avec les métiers, c’est aujourd’hui à un
facilitateur et un animateur né, doté d’un leadership
puissant, et capable de sponsorship dans l’entreprise
que le RSSI devra ressembler.
Formidable effet de levier pour ce métier, la grande
nouvelle au fond, c’est que le RSSI ne mangera plus
tout seul à la cantine.
Agenda
Le RSSI doit se digitaliser ou disparaître ?
Mercredi 05/10 à 17h00 – CESIN
La SSI est-elle réellement un sujet de Comex ?
Vendredi 07/10 à 15h00 – CIGREF
Retrouver cet article sur www.cymbioz.com
10. 010
OUTRE LES TECHNOLOGIES,
QUELS SONT LES MOYENS
DE SENSIBILISER LES
UTILISATEURS DE L’ENTREPRISE
À LA SÉCURITÉ ?|
L’entreprise ne parvient pas à capter l’attention
de ses utilisateurs, à rendre l’idée même de cette
sensibilisation intéressante à leurs yeux.
Pourtant, sans captation d’attention, pas d’écoute,
pas de mémorisation.
L’entreprise ne parvient pas à rendre les
utilisateurs acteurs de cette sensibilisation,
et encore moins « héros » d’une situation
critique que la systématisation de leurs bonnes
pratiques pourrait régler.
Il n’est pas question de revenir sur toutes, mais de
nombreuses études révèlent que si les entreprises
sont beaucoup plus conscientes et engagées sur le
thème de la sécurité des systèmes d’Information, la
sensibilisation de leurs utilisateurs n’a pas encore les
résultats escomptés.
Et pourtant, certaines n’ont pas ménagé leurs efforts :
Serious games, vidéos, … Même le marché de la cyber-
sécurité a vu émerger des offreurs spécialisés dans la
sensibilisation.
La sensibilisation
en cybersécurité
ne fait pas exception.
Sur une même activité,
le temps maximal
de concentration
du cerveau est
de 3 minutes.
le saviez-vous ?
“
”
< 3mn
11. 11
S’il est évident que les technologies offrent aujourd’hui
et à moindre coût des modules de sensibilisation
(MOOC, vidéos interactives, etc.) à tous les profils, il
n’en demeure pas moins que le schéma reste le même :
un humain face à un écran, ce qui accentue encore
davantage le rapport Homme / Machine, au moment
même où dans un rapport plus équilibré, c’est l’Homme
qui devrait dicter à l’Homme, la façon de contrôler la
machine. Si ces outils sont déjà une forte avancée, que
le sujet monte dans les préoccupations de l’entreprise,
il conviendrait toutefois de les compléter.
“L’image du RSSI isolé dans l’entreprise prouve à
quel point sa fonction est encore très méconnue.
Pour une fonction transverse comme la sienne, c’est
presque inacceptable. Et c’est presque vrai de tous
les services informatiques. La sensibilisation des uti-
lisateurs se fera de façon beaucoup plus fluide le jour
où l’ensemble du personnel connaîtra le RSSI et sa
responsabilité. Les utilisateurs seront réceptifs quand
ils connaîtront la réalité de ce à quoi leur entreprise
échappe ou est confrontée au quotidien. C’est un
partage d’informations que doivent organiser le RSSI,
les métiers et qui doit être sponsorisé par la direction
générale” explique Diane Rambaldini, fondatrice
Crossing Skills.
On oublie souvent que systématiser de bonnes pratiques
au quotidien, c’est d’abord les mémoriser. Impliquer
l’utilisateur dans la sécurité de son entreprise ne peut
passer nécessairement que par une sensibilisation qui
lui parle de LUI dans sa sphère globale, c’est-à-dire
aussi bien professionnelle que privée, et le place
comme un maillon central de cette chaîne. S’adresser
au collaborateur comme au bon père de famille est
donc primordial pour l’apprentissage. Par ailleurs,
faire part aux utilisateurs de leur progression quant
à l’adoption des bonnes pratiques ne peut qu’être
qu’une source de motivation supplémentaire.
Si la sensibilisation des utilisateurs suscite discussions,
débats et réflexions profondes sur les impacts de
leurs comportements numériques, alors c’est un pari
gagnant pour l’entreprise.
Comment mixer les outils
de sensibilisation dans l’entreprise
pour parler à tous les cerveaux ?
Comment faire adopter une charte
utilisateur autrement pour de meilleurs
résultats ?
La sensibilisation a t-elle su adapter
son discours à tous les niveaux
de maturité présents dans l’entreprise ?
Crossing Skills
@drambaldini
Olfeo
@olfeo
Vade Secure
@VadeSecure
Réflexions
Parlez-en avec eux…
Retrouver cet article sur www.cymbioz.com
12. 12
Les piratages à répétition ne tendent pas vers la
confiance des entreprises : caméras de surveillance
connectées piratées pour créer un réseau botnet et
mener des attaques DDoS, piratage de voitures,
d’armes, etc. Les cybercriminels innovent et
nombreux sont les experts à pointer du
doigt le fait que la sécurité n’est pas une prio-
rité suffisante pour les concepteurs d’objets
connectés.
COMMENT PALLIER
LE MANQUE DE SÉCURITÉ
DES OBJETS CONNECTÉS ?|
Le principal
frein du marché
de l’IoT
dans les entreprises
est la sécurité
pour 40 %
des professionnels
(Source GFK 2015)
”
“
Les cas de piratage d’objets connectés se multiplient :
caméras de surveillance, jouets, automobiles, etc.
29 % des entreprises ont des projets liés à l’IoT,
mais seuls 10 % ont commencé à les mettre en œuvre
(source GFK 2015).
L’enjeu est double : la protection des données
personnelles et la crainte d’attaques majeures sur
les réseaux des entreprises.
le saviez-vous ?
13. 13
Arnaud Cassagne, Directeur des Opérations de
l’intégrateur Newlode livre sa vision sur le sujet : « La
sécurité est souvent considérée comme un centre
de coût important alors que les fabricants sont soumis
à des contraintes économiques et à la nécessité de
commercialiser leurs produits le plus rapidement
possible. La sécurité, si elle vient à être prise en
compte, n’apparaît concrètement dans le cahier des
charges, qu’une fois le projet lancé sur le marché et
déjà financièrement viable ».
Quelques règles de base pour éviter l’intrusion de
malware via les objets connectés ou bien pour garantir
la sécurité de ses données et de celles des utilisateurs :
Mises à jour régulières des logiciels sous-jacents aux
objets connectés.
Mesures de protection permettant d’adresser la
problématique des objets déjà corrompus, afin
de réduire la probabilité qu’ils infectent d’autres
équipements, qu’ils aient le temps de recueillir des
informations critiques ou qu’ils servent de cheval
de Troie pour d’autres attaques (firewalls, antivirus,
proxy et IPS).
Solutions dédiées à la sécurité des objets connectés
et permettant de contrôler leurs accès vers le
monde extérieur.
Côté protection, le marché émergent de l’Endpoint
Detection Response apporte une réponse concrète
au challenge majeur de la sécurité des objets connectés,
en permettant de détecter les indices de compromis-
sion en temps réel sur chacun des endpoints présents
sur le réseau de l’entreprise.
Agenda
La face cachée des véhicules intelligents
Vendredi 07/10 à 15h00
Face à l’ampleur du développement
de l’IoT, faut-il imposer des règles ?
Quelle prise en compte de la sécurité
par les entreprises dans le cadre
de leurs projets IoT ?
Faut-il craindre les attaques
de ransomware ciblant les objets
connectés dont les premiers cas
viennent d’éclore ?
Qu’attendre des initiatives AllJoyn
ou Internet IIC ?
Guidance Software
@EnCase
Newlode / Cheapset
@newlode / @CheapsetFR
Nomios
@NomiosFR
Réflexions
Parlez-en avec eux…
Retrouver cet article sur www.cymbioz.com
14. 14
Analyse comportementale
Basée sur des algorithmes de machine learning, l’UBA
permet de créer l’empreinte digitale de ses employés
- à privilèges par exemple - pour détecter les compor-
tements anormaux en temps réel. Balazs Scheidler,
co-fondateur et CTO de Balabit : « Le comportement
doit devenir la nouvelle authentification des utilisa-
teurs. Le mot de passe est facile à compromettre alors
que l’habitude comportementale propre à un individu
est impossible à copier ».
L'analyse du comportement des entités et des utili-
sateurs (UEBA - User and Entity Behavior Analytics)
assure la sécurité via un profilage statistique et une
détection des anomalies basés sur l’apprentissage
machine. La technologie UEBA peut analyser un large
éventail de données brutes, notamment une action,
des objets, le nombre d’octets téléchargés ou trans-
férés, le nombre d’accès à un service, le taux ou l’heure
Les cyber criminels ont un avantage
technologique considérable sur les
technologies actuelles, qu’ils soient
groupusculaires ou gouvernementaux.
L’affaire du vol d’outils perpétré par le groupe
de hackers Shadow Brokers contre la NSA,
révèle un peu plus la sophistication
des outils d’attaque aujourd’hui utilisés
par les cybercriminels… et donc également
par les États eux-mêmes.
Les éditeurs de sécurité tentent
de suivre le rythme, mais le gap entre
les protections en place et le niveau
technique des attaques est important.
LES TECHNOLOGIES
DE SÉCURITÉ DE DEMAIN|
15. 15
d’accès, etc. À partir de cette masse d’informations,
l’UEBA aide les entreprises à élaborer des modèles
comportementaux et à surveiller en permanence tout
comportement ou évènement qui s’écarterait, même
de manière subtile, de la norme.
Renseignement sur la menace
Mettre l’information au cœur de la sécurité, c’est ce
que proposent les feeds d’information sur les menaces
aux solutions de Threat Intelligence, pour automatiser
la détection des IoC, dans les SOC, CERT, et mieux
connaître ses adversaires. Le Gartner prévoit un taux
de pénétration des solutions de Threat Intelligence de
50 % dans les SOC d’ici à 2018.
« Les sources professionnelles de Threat Intelligence,
proposent des mises à jour de marqueurs différenciés
par prédateurs (adversaires), par victimes (cibles) et
par zones géographiques » précise Cyrille Badeau,
directeur Europe du Sud ThreatQuotient.
La réponse aux incidents
Le marché émergent de l’Endpoint Detection
Response - EDR a pour vocation d’offrir une visibilité
complète et à 360° sur les très nombreux terminaux
(postes de travail, et mieux encore désormais les
objets connectés…), pour améliorer les capacités de
détection des activités malicieuses de l’entreprise, et
simplifier la réponse aux incidents.
Agenda
RGPD : comment se préparer au plus tôt
à être conforme au nouveau règlement
Jeudi 06/10 à 11h00 – GUIDANCE SOFTWARE
Les solutions technologiques de demain
Jeudi 06/10 à 17h00 – NEWLODE GROUP
L’analyse comportementale pour détecter
les attaques internes et externes
Vendredi 07/10 à 10h00 – BALABIT IT SECURITY
Sécurité nouvelle-génération en action
Live démo avec SentinelOne
Vendredi 07/10 à 12h00 – SENTINELONE
Retour d'expérience
Implémentation de la notion de Threat Intelligence
au sein des opérations de sécurité
Vendredi 07/10 à 11h00 – THREATQUOTIENT
Les cyber criminels auront-ils toujours
un temps d’avance ?
Comment optimiser le travail
et l’efficacité des analystes sécurité ?
Les CERT, SOC, SOC managés
sont-ils destinés à se généraliser ?
Balabit
@balabit
Guidance Software
@EnCase
Newlode / Cheapset
@newlode / @CheapsetFR
SentinelOne
@SentinelOneFR
ThreatQuotient
@ThreatQuotient
Varonis
@VaronisFR
Réflexions
Parlez-en avec eux…
Retrouver cet article sur www.cymbioz.com
16. 16
QUAND LE DANGER
VIENT DU CLOUD|
Parmi les types d'applications cloud les plus
fréquemment utilisées figurent les services
de travail collaboratif et de partage de fichiers.
D'ici à 2020, 85 % des grandes entreprises utiliseront
un produit CASB pour leurs services cloud,
alors qu’on en compte moins de 5 % aujourd'hui ».
Les RSSI doivent suivre de près le référentiel
Secure Cloud de l’ANSSI pour évaluer
les prestataires de Cloud.
Selon Skyhigh Networks, 500 à 600 applications
Cloud en moyenne sont utilisées dans les entreprises
sans que la DSI n’en soit informée. Pour répondre à
la problématique du shadow IT, l’entreprise doit tout
d’abord réaliser l’inventaire des applications dans le
Cloud en interrogeant les utilisateurs. Cette démarche
5 %
des servicescloud utilisésau seinde l’entreprisesont connusde l’IT(Cloud Adoption Risk Report
de Skyhigh Networks, 2016)
“
”
17. 17
Comment les RSSI peuvent-ils obtenir
une visibilité sur les services cloud
utilisés au sein de leur entreprise ?
Comment protéger les données avant
qu’elles ne partent dans le Cloud ?
Combien de services Cloud une
entreprise utilise t-elle en moyenne ?
Cheapset
@CheapsetFR / @newlode
Nomios
@NomiosFR
Skyhigh Networks
@SkyhighNetworks
Réflexions
Parlez-en avec eux…
permettra notamment de faire adhérer les utilisa-
teurs aux projets menés par l’IT (pourquoi l’entreprise
utilise un service de partage de données, plutôt que
celui utilisé par les employés de manière autonome),
comprendre les besoins spécifiques des utilisateurs
pour lancer de nouveaux projets (plutôt que de les
laisser recourir à leurs propres solutions dans le Cloud),
et enfin sensibiliser les utilisateurs à la sécurité.
Quatre recommandations pour traiter les besoins
de sécurité du cloud :
Demander au département informatique une
évaluation des services cloud utilisés par les
employés, montrant leur utilisation, le volume des
données transférées et l’estimation des risques
pour chaque fournisseur de cloud.
Créer une équipe d’intégration d u cloud au sein
de l’entreprise allouant une place pour les employés
de plusieurs services : risques, IT, finances, RH,
juridique…
Définir des politiques en matière de services cloud,
par quels moyens les utilisateurs peuvent
demander l’accès à de nouveaux services
et les critères de décision à prendre en compte
pour ajouter au catalogue les services validés.
Informer les employés des risques de pertes
de données, des dangers inhérents au cloud
et des procédures à respecter.
« Le nerf de la guerre consiste à disposer d’une console
unique pour suivre la sécurité de chaque infrastruc-
ture au service de l’organisation. On peut pousser une
politique de sécurité jusqu’au niveau de la VM, qu’elle
tourne sur un Cloud privé ou public. Cela exige une
coopération technique approfondie et des partenariats
forts entre éditeurs et prestataires Cloud », explique
Romain Quinat, responsable marketing et communica-
tion Nomios.
Retour d'expérience
Etihad Group
Vendredi 07/10 à 12h00 – SKYHIGH NETWORKS
Retrouver cet article sur www.cymbioz.com
18. 18
LE PIRE CAUCHEMAR DES
RSSI EST DÉJÀ À L’INTÉRIEUR
DE L’ENTREPRISE|
en plus régulièrement des cas de vol ou de fuite de
données qui ne résultent pas forcément d’un pirate
situé à l’extérieur de l’entreprise mais d’un employé ou
d’un partenaire ou prestataire bénéficiant de certains
accès. On parle alors de menace interne.
La menace interne a plusieurs visages : l’employé
maladroit qui déplace un fichier par erreur, l’employé
démissionnaire qui décide de partir avec des fichiers,
l’employé malintentionné qui vend des informations
confidentielles ou le lanceur d’alerte qui découvre et
révèle des données confidentielles sur des actes de
son entreprise.
Target - accès d’un prestataire temporaire
resté ouvert.
Mutuelle Générale de la Police - vol d’une base
de données interne par un employé en conflit
avec sa hiérarchie.
FDIC - un ancien employé quitte l'agence en
emportant par erreur les données de 44 000 clients.
Les entreprises ont pendant longtemps dressé des
murailles pour protéger leur système d’informa-
tion des attaques provenant de l’extérieur. Pourtant
depuis plusieurs années l’actualité relate de plus
62 % des utilisateurs
finaux indiquent
avoir accès à des données
de l’entreprise qu’ils
ne devraient probablement
pas pouvoir consulter
(Varonis - sept 2016)
“
”
70 % desprofessionnelsde sécuritéconsidèrentles menacesinternes commeles plus risquées(Balabit - oct. 2015)
“
”
19. 19
Comment les RSSI peuvent-ils s’assurer
que seules les personnes habilitées
sont en mesure de consulter un fichier ?
Comment détecter certains
comportements anormaux :
déplacement inhabituel de données,
téléchargement d’un grand volume
d’informations, consultations répétées
par un employé de données peu
ou pas consultées dans le passé ?
Comment les solutions de contrôle
et de suivi des accès en temps
réel et d’outils d’UBA (User Behavioral
Analytics) ou d’analyse comportemen-
tale des utilisateurs peuvent permettre
d’éviter les attaques internes ?
BalaBit
@BalaBit
Olfeo
@olfeo
Skyhigh Networks
@SkyhighNetworks
Varonis
@VaronisFR
Réflexions
Parlez-en avec eux…
L’utilisation personnelle de la connexion internet reste
une tendance forte au sein des organisations françaises
(Le surf personnel représente 58 % du temps passé
sur internet, soit 1h15 par jour, selon Olfeo). Outre
un impact sur la productivité ou la bande passante,
le surf personnel est également synonyme de risque
informatique, notamment par le téléchargement de
fichiers malicieux. Le filtrage et la maitrise de l’utilisation
d’internet au sein de l’entreprise est donc un réel besoin.
Agenda
L’analyse comportementale pour détecter
les attaques internes et externes
Vendredi 07/10 à 10h00 – BALABIT IT SECURITY
Comment maîtriser les enjeux juridiques d’Internet
face aux nouveaux usages ?
Vendredi 07/10 à 11h00 – OLFEO
Retour d'expérience
Etihad Group
Vendredi 07/10 à 12h00 – SKYHIGH NETWORKS
ADP
Vendredi 07/10 à 12h00 – VARONIS
Retrouver cet article sur www.cymbioz.com
20. 20
CHIFFREMENT :
JUSQU’OÙ FAUT-IL ALLER ?|
Interdire le chiffrement de bout en bout ou imposer une
backdoor sous contrôle de l’éditeur, la question n’a pas
fini d’engendrer des prises de positions argumentées.
Alors que le gouvernement français penche plutôt
pour la seconde option, l’ANSSI défend un avis
contraire, en défendant ouvertement le chiffrement.
Un avis que partage également la CNIL.
Une personne dispose
en moyenne de 26 comptes
internet différents pour
se connecter de façon
quotidienne ou
hebdomadaire aux
réseaux sociaux, aux sites
Web de son entreprise,
ou pour des opérations
de banque en ligne.
L'ANSSI affirme ainsi que vouloir à tout prix garantir
l'accès aux données chiffrées, par exemple au moyen
d'une backdoor, « aurait pour effet désastreux d'imposer
auxconcepteursdeproduitsetdeservicesdesécuritéun
affaiblissement des mécanismes cryptographiques ».
Il serait d'ailleurs impossible de s'assurer que ces
portes ne seront pas utilisées par des tiers.
« Par définition, utiliser le Cloud c’est mettre ses données
en danger. Pourtant, certaines solutions - comme les
ERP par exemple - ne seront bientôt plus accessibles
que par le Cloud. Le chiffrement permettra de sécuriser
les données mais il faudra concilier les défis liés à
la fois à l’utilisation du chiffrement par les héber-
geurs, les fournisseurs d’applications et l’entreprise
elle-même. » Serge Binet, PDG et fondateur de Prim’X
Technologies.
21. 21
Faut-il imposer aux fournisseurs
de logiciels de communication
électronique les mêmes obligations
que les opérateurs de communications
électroniques (FAI, opérateurs
mobiles) ?
Quid des éditeurs de logiciels
de messageries qui échapperaient
à la législation française ?
F5 Networks
@F5_France
Prim’X
@ITSecurFeed
Skyhigh Networks
@SkyhighNetworks
Réflexions
Parlez-en avec eux…
Alors que la protection des données personnelles est
au cœur des débats, seule la possibilité de fournir les
clés de chiffrement aux autorités si besoin, semble
appropriée. Les citoyens, fervents défenseurs de la
protection de leur vie privée, doivent veiller à l’utilisa-
tion faite de leurs données tout en étant confrontés
aux nombreux piratages d’acteurs avec lesquels ils
les partagent, et les entreprises sont contraintes de
mettre en œuvre des règlementations, dont le GDPR.
« Les experts en sécurité conviennent que le chiffrement
des données dans le cloud en utilisant les clés contrôlées
par l'entreprise est une fonctionnalité importante
pour protéger les données sensibles et répondre aux
exigences de sécurité et de conformité » ajoute Joël
Mollo, directeur Europe du Sud, Skyhigh Networks.
Laurent Pétroque, expert anti-fraude F5 Networks
complète « Pour lutter contre la fraude en ligne, le
chiffrement des identifiants à la source, c’est-à-dire
dans le navigateur ou l’application mobile empêche le
malware de les récupérer en clair ».
Pour Guillaume Poupard, directeur général de l’ANSSI
« Il faudrait privilégier la coopération avec les acteurs du
numérique, ou développer des techniques d'intercep-
tion et d'intrusion informatique légales si nécessaire ».
Agenda
Comment aborder un projet de chiffrement ?
Points clés et retour d’expérience
Mercredi 05/10 à 16h00 – PRIM’X
Retrouver cet article sur www.cymbioz.com
22. 22
LE SECTEUR DE LA FINANCE
EN LIGNE DE MIRE|
Swift a révélé fin août que de nouvelles banques
avaient été victimes malgré les conseils de sécurité
délivrés par Swift à ses clients quelques semaines
auparavant. Une petite surprise pour les experts.
Les entreprises, tous secteurs confondus, ont du mal
à se protéger de la gamme de vecteurs d'attaques
extérieures potentiels. Sans aucun doute, les organismes
financiers de la région EMEA sont les plus exposés.
Ces entreprises sont la première cible des cybercri-
minels et exposent le plus de données sensibles sur
Internet (ex : les millions de comptes courants des
clients pour chacune des banques). Pour cette raison,
le secteur financier sera toujours une priorité pour les
hackers qui cherchent à tirer profit des vulnérabilités.
Près de la moitié (48 %) des clients citent
les attaques informatiques comme une raison
de changer de banque (KPMG).
Partager les détails des incidents et la façon
dont ils se sont déroulés est bénéfique sur
le long terme, car l'industrie en question peut
apprendre des nouvelles formes de cyber attaques
et des meilleures pratiques plus rapidement.
Le piratage du réseau interbancaire Swift a particuliè-
rement bousculé le monde de la finance cette année.
Après les piratages à grande échelle de trois grandes
banques (dont la Banque Centrale du Bangladesh qui
a perdu pas moins de 81 millions de dollars), le réseau
Pour 73 % des organismes
financiers, les atteintes
à la réputation sont considérées
comme la principale
préoccupation liée aux
menaces de fraude en ligne
(F5 Networks, 2015)
“
”
23. 23
Quelles sont les meilleures pratiques
en terme de protection contre
de futures attaques ciblées ?
Le mécanisme de détection
d’opérations frauduleuses annoncé
par Swift sera-t-il suffisant ?
Fraude en ligne, fraude au président,
ransomware… à quoi doivent
s’attendre les banques ?
BalaBit
@BalaBit
F5 Networks
@F5_France
ThreatQuotient
@ThreatQuotient
Réflexions
Parlez-en avec eux…
« Comme la banque en ligne et les transactions numé-
riques sont devenues la forme la plus courante de la
gestion de l'argent et des paiements, les techniques
de cyber sécurité ont évolué en lien avec ces chan-
gements. Les solutions actuelles incluent la protection
contre les logiciels malveillants, anti-phishing, le
chiffrement des données en temps réel, ainsi que les
attaques man-in-the-browser, permettant aux institutions
financières de couvrir tout le paysage des menaces »
explique Laurent Pétroque, expert fraude en ligne
F5 Networks.
Cyrille Badeau, Directeur Europe du Sud de
ThreatQuotient, éditeur d’une plateforme de threat
intelligence ajoute : « Les entreprises commencent
à se regrouper au sein de leur industrie pour faciliter
le partage d’intelligence sur les menaces qu’elles
observent. Aux Etats-Unis, c’est par exemple le cas
dans la finance, ou dans la santé, avec les I-SAC (FS
ISAC – Financial Services, Information Sharing and
Analysis Center ; NH ISAC pour National Healthcare, etc.).
La threat intelligence a pour objectif de connaître ses
adversaires et d’intégrer dans ses mécanismes de
défense les indicateurs de compromission connus.
Le secteur de la finance est l’un des secteurs les
plus ciblés par les cybercriminels du fait de la valeur
importante et immédiatement financière potentielle
des attaques. Un partage d’informations facilité à
l’échelle mondiale aurait par définition beaucoup de
sens dans cette industrie ».
Retour d'expérience
SwissLife
Jeudi 06/10 à 10h00 – NOMIOS Retrouver cet article sur www.cymbioz.com
24. 24
La France est reconnue comme étant une championne
des technologies de sécurité grâce à un riche écosys-
tème de grands groupes, de PME et de start-up de
pointe, capables de proposer des solutions de haute
qualité, innovantes, sûres, avec le Label très bien perçu
« Made in France » (développement, hébergement et
support). Ces technologies sont sollicitées par les plus
grandes entreprises mondiales. Les start-up et les
talents français s’exportent ainsi de mieux en mieux.
Pour conjuguer leurs forces, les acteurs nationaux se
regroupent au sein de collectifs tels que Hexatrust.
« L’Etat français bénéficie d’une bonne image en
matière de sécurité à l’étranger. Un rapport de PwC
En avance sur ses voisins européens, la France
a d’ores et déjà adopté le projet de loi pour une
République numérique, en phase avec les
principes fondamentaux du règlement européen
relatif à la protection des données personnelles.
Groupement de 19 PME et start-up, Hexatrust
a pour objectif d’améliorer la visibilité
de l’offre française en matière de cybersécurité
à l’international.
Le BPI a annoncé la création d’un premier
fonds d’investissement spécialisé dans
le domaine de la cybersécurité en 2017.
LA VALORISATION
DES TECHNOLOGIES
FRANÇAISES
À L’INTERNATIONAL|
25. 25
montre que si les incidents de cybersécurité ont
progressé de 38 % au niveau mondial en 2015, ils ont
augmenté de 51 % dans le même temps en France.
Alors quand l’Etat français investit dans des solutions
locales et résiste efficacement malgré cette multipli-
cation des attaques, cela représente un signal fort en
faveur de nos industries auprès d’autres pays. Le choix
de ces solutions, validées par l’ANSSI est un gage de
confiance indéniable », Serge Binet, PDG et fondateur
de Prim’X.
Adrien Gendre, Directeur de Vade Secure aux État-Unis
témoigne de l’implantation réussie de sa société
grâce au programme Ubi I/O de Business France
et BpiFrance et des spécificités à connaître pour
éviter une vraie déconvenue : « La difficulté pour une
entreprise aux États-Unis, comme ailleurs, ce sont les
différences culturelles et d’approche du business.
Grâce à un programme d’accompagnement nous
avons pu bénéficier de nombreux réseaux, d’experts
marketing, business, d’avocats, pour obtenir un maxi-
mum de conseils sur le marché et la manière de l’aborder.
En deux ans, nous avons énormément bénéficié de
cette implantation réussie. Notre présence en Californie
nous a donné une image de pouvoir, et a même para-
doxalement changé notre image positivement auprès
de nos clients français et européens. Sans oublier les
opportunités business que nous avons générées, avec
d’importants contrats tels que Cisco ».
Au début de l’année 2016, l’éditeur Prim’X Technologies,
éditeur français de solutions de chiffrement pour la
sécurité des données s’est fait remarqué sur le marché
de la cybersécurité en annonçant la signature d’un
important contrat avec l’État, pour équiper tous les
ministères, les administrations centrales et leurs services
déconcentrés (préfectures, rectorats, etc.).
Ce développement fort à l’international a tout de même
des contreparties, régulièrement soulevées par les
spécialistes. À défaut de voir des investisseurs fran-
çais s’intéresser ou oser parier sur leurs technologies,
nos start-up finissent souvent par être rachetées par
des investisseurs étrangers prêts à mettre les moyens
pour leur permettre de franchir un nouveau cap. Pour
la France, le manque à gagner est important et dans
ces conditions, il est difficile d’envisager l’émergence
de nouveaux géants de la cybersécurité français.
Le fonds d’investissement de la BPI
va t-il suffire à sauver nos pépites
de la cybersécurité ?
Comment expliquer que la France soit
capable de lancer et de financer des
startup au moment de leur création,
mais plus dans leur phase de développe-
ment et de conquête des marchés?
Que peut-on attendre du plan d’action
de l’UE, pour promouvoir la compétitivité
du secteur de la cybersécurité ?
À quel point a t-on sous-estimé la
délicate question de l’interopérabilité
des solutions ?
Olfeo
@olfeo
Prim’X
@ITSecurFeed
Vade Secure
@VadeSecure
Réflexions
Parlez-en avec eux…
Retrouver cet article sur www.cymbioz.com
26. 31, rue des Petits-Champs - 75001 Paris
www.cymbioz.com
@cymbiozrp
Création:www.rodolpherrera.fr