La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
3. Le sujet traité est très sensible : faillites
d’entreprises, pertes financières, suicides…
Nous adopterons volontairement un ton libre…voire
provocateur!
Il ne faudra pas prendre nos propos au premier degré : c’est
un moyen de susciter des réactions… indignées.
Notre objectif est d’alerter les usagers sur l’urgence qu’il y a
de prendre la cybercriminalité au sérieux : cessons de croire
qu’elle se limite à quelques actions de « ransomware ».
C’est aussi le moment d’avoir un peu d’humour…
Avertissement
4.
5. La sécurité est généralement mal abordée dans les entreprises.
Si vous avez des problèmes à cet égard, c’est de votre faute dans 95 % des cas!
5 domaines clés que nous allons détailler :
1. Il n’y a pas de prise de conscience claire du problème
2. La cybercriminalité est une sorte de « spectacle » dont la presse se fait l’écho
3. Les techniques de protection sont inadaptées
4. Les entreprises sont mal organisées face à la cybercriminalité
5. On ne met pas les bonnes personnes en face des cybercriminels
C’est de votre faute
6. SERVEURS CENTRAUX
Pas de chiffrement des données sensibles
Failles dans les couches de virtualisation
Sauvegardes anarchiques et non contrôlées
Mauvaise administration des patchs
Applications mal écrites
Failles OS et API
Services inutiles installés par défaut
Délégation de « comptes de circonstances »
Pas de solutions de PCA/PRA
UnTI ouvert aux quatre vents…
7. DMZ
Détections d’intrusions inadaptées (IDS)
Pas d’analyse des logs (SIEM)
Règles de filtrage aux pare-feux inadaptées
Pourriels malicieux non bloqués
UnTI ouvert aux quatre vents…
8. RÉSEAU
Déni de service réseau trop simple
Protections insuffisantes contre mascarade
Mauvaise gestion des mots de passe, pas de
provisionnement général
UnTI ouvert aux quatre vents…
9. POSTE DETRAVAIL
Mise à jour non centralisée, avec logiciels
non contrôlés
Pas d’écrans de veille et machines en
session laissées sans surveillance
Droits administrateurs inutiles attribués
aux cadres
« Buddy punching »
Failles applicatives (JavaScript)
UnTI ouvert aux quatre vents…
10. UTILISATEURS
Prise de conscience insuffisante (pas de
charte de sécurité)
Pas de sauvegardes des données critiques
Pas de chiffrement des données sensibles
UnTI ouvert aux quatre vents…
12. Pas de prise de conscience claire du problème
La sécurité informatique, c’est avant tout un problème technique.
Ignorer le danger n’exclut pas le danger. Ça n’arrive pas qu’aux autres.
Le temps n’est plus des pirates « au grand cœur », lesArsène Lupin modernes.
L’écossais Gary McKinnon : pénètre 97 ordinateurs de la NASA, US Army, armée de
terre, le Pentagone, le ministère de la Défense… : il cherchait seulement à établir
l'existence de vaisseaux spatiaux d'origine extraterrestre!
Les seules motivations en 2016, c’est l’argent et le terrorisme.
Gary McKinnon
13. Le CA mondial de la cybercriminalité, tout compris, avec les anti-malwares qui ne servent pas à
grand-chose, est supérieur à celui de la drogue : plus de 400 G$.
La cybercriminalité est une arme qui ne nécessite pas de gros investissements.
Les écoles djihadistes forment des cybercriminels qui vont s’attaquer aux ressources sensibles des pays
dont ils combattent le mode de vie.
Les gouvernements se préoccupent plus de la protection des données personnelles que des vrais
problèmes de cybercriminalité.
Les services chargés de protéger les ressources publiques sont le plus souvent dérisoires.
Dans la plupart des pays, le cadre juridique n’est plus adapté.
Pas de prise de conscience claire du problème
Gary McKinnon
14. La cybercriminalité s’est organisée :
Tarifs, prestations, prestataires
100 000 délinquants qui constituent une
véritable économie
Globalement, les usagers ont trop
confiance dans Internet et n’appliquent pas
les règles élémentaires de protection :
10 % de la totalité des contenus Internet
sont jugés pollués et inutilisables
Pas de prise de conscience claire du problème
15. 1Pas de prise de conscience claire du problème
Les entreprises maintiennent des versions dépassées de navigateurs
Ces versions nécessitent des greffons pour s’adapter aux besoins modernes… ce qui est des
plus dangereux!
Les internautes se croient en sécurité sur Facebook et les réseaux sociaux : erreur!
Ce sera la cible n°1 des criminels qui ne peuvent pas ignorer 1,3 milliard d’usagers peu soucieux
de protection.
On se trompe souvent de cibles :
Les vers et les virus représentent moins de 10 % des menaces
Le vrai problème, ce sont les chevaux deTroie et les portes dérobées (backdoors) dans les
systèmes et applications
16. La cible des mobiles remplace celle des PC.
On s’attend à ce qu’il y ait 100 000 nouveaux logiciels malveillants (malwares) par
jour (50 000 pour les PC au mieux de leur forme).
Les industriels n’ont pas conscience du problème (car ils n’y ont jamais été
confrontés). Ils ignorent que leurs structures sont fragiles.
L’attaque Stuxnet sur les automates iraniens dans les centrales nucléaires, l’attaque
sur les centrales thermiques en Ukraine…
C’est dans ce domaine qu’il faudra être le plus vigilant… si les plateformes
industrielles partagent les mêmes réseaux de transport que les autres départements.
Pas de prise de conscience claire du problème
17. Pas de prise de conscience claire du problème
La cyberguerre est déjà commencée et
les pessimistes pensent qu’elle est déjà
perdue.
Rôle très ambigu joué par la Russie
et la Chine
Ces 2 pays ont institutionnalisé des
structures affectées au
cyberespionnage… tout comme les
États-Unis, le Canada et l’Europe!!!
18.
19. Salons où sont invités les pirates : Hackfest…
La presse qui relate avec «gourmandise» les exploits des cybercriminels
Dans l’entreprise, sentiment diffus que le piratage informatique est une forme de
contestation, dont les employés sont inconsciemment complices : syndrome de la
grève qui pourrit la vie des usagers, mais «que l’on comprend…»
La cybercriminalité s’est organisée, avec ses tarifs et ses prestataires
La cybercriminalité est un spectacle…
et un business!
La presse s’est extasiée devant les
exploits de ce parfait abruti qu’est
le jeune Sebastian Gruber, un
Autrichien de 15 ans, qui a
attaqué 259 entreprises en 3
mois, soit 3 par jour : défaçage,
divulgations de données, etc.
22. Ne jamais payer
Faire de la prévention : sauvegardes, restaurations, contrôle des supports…
Le rançongiciel ou «ransomware»
23. Charte de sécurité
Inexistante ou trop touffue
De 5 à 8 points fondamentaux à respecter
La charte doit être présentée avec fermeté
et formalité (cérémonie…)
Motivation du personnel
Présenter les conséquences du non-respect
de la charte
Prévoir des sanctions dissuasives
Insouciance des usagers
10 % des malwares sont véhiculés par des
clés USB
L’organisation n’est pas (plus) adaptée
24. Les protocoles Internet n’ont pas été conçus pour supporter 3
milliards d’internautes et 600 millions de serveursWeb
TCP, IP, DNS, SMTP, ICP, SSL… sont des incitations au crime
Il est sans doute trop tard pour faire machine arrière
Protections périmétriques insuffisantes ou inadaptées
Applications remplies de failles
Failles dans les OS et les API
Boîte à outils insuffisante
Folie du BYOD
Les techniques de protection sont
souvent inadaptées
LeTI est une passoire…
… et les protocoles
Internet, une plaisanterie
douteuse!
25. Les chevaux deTroie et les portes
dérobées (backdoors)
Les programmes malveillants les plus répandus
LesTrojware : chevaux deTroie qui ne peuvent pas se
démultiplier seuls
Les portes dérobées, outils de dissimulation d’activités,
et tous les chevaux deTroie ont progressé de 119,7 % (ils
représentent 89,45 % du total)
Ce sont des exécutables qui attendent d’être activés
par un évènement : une date, un anniversaire… qui les
déclenchera
Très difficiles à détecter, car rien a priori ne les
distingue d’un autre exécutable.
26. Les chevaux deTroie et les portes
dérobées (backdoors)
Les parades sont difficiles à mettre en œuvre, parmi
lesquelles, toutefois :
l’analyse des signatures
la recherche de séquences en code machine
le calcul et contrôle des empreintes
la cartographie des exécutables comparée à une carte déjà
enregistrée (whitelisting)
l’analyse du comportement de la machine de l’utilisateur, en
espérant pouvoir anticiper sur les dégradations
Les backdoors sont une vieille pratique, dont se sont
(toujours) servis les constructeurs et éditeurs : IBM,
Microsoft…
27. Dan Kaminsky
L’énorme faille DNS
Dan Kaminsky dévoile à l’été 2008
une faille importante du protocole
DNS qui permet de contaminer le
cache des serveurs DNS.
Le pirate peut ainsi, sous son
contrôle, rediriger une navigation
et des courriers vers des domaines
qu’il contrôle.
À la fin 2008, sur les 12 millions de
serveurs DNS recensés, 44 %
n’avaient pas encore été corrigés :
c’était une incitation au crime…
Le gouvernement américain a
lancé une étude pour la refonte du
protocole, ce qui se traduit par une
mise à jour très importante.
30. La mécanique d’une attaque APT
Advanced : les techniques les plus sophistiquées sont utilisées
Persistent : le but n’est pas le gain financier immédiat, il y a une cible et
un objectif bien précis
Threat : les opérations structurées et coordonnées sont menées par des
pirates compétents
Le termeAPT (Advanced PersistentThreats) correspond à un enchaînement d’attaques par
des moyens divers, en vue d’effectuer une opération délictueuse
31. Le vol de données se propage sans que personne ne s’en émeuve vraiment…
En 2016, c’est par dizaines de millions que les données sont piratées : Home Depot,TJX, etc.
Le problème du vol de données
24 millions de comptes
piratés chez Zappos,
boutique en ligne de
chaussures et de vêtements,
filiale d’Amazon.
134 millions de cartes de crédit volées
chez Heartland, via une injection SQL qui
a permis d’installer un logiciel espion
(spyware) dans le système Heartland
ESTsoft : les informations
personnelles de 35 millions de
Sud-Coréens sont volées
grâce à une faille de sécurité
chez un important
distributeur de logiciels
58 millions de cartes
compromises chez
Home Depot
Le fichier national non chiffré du
«Department ofVeteranAffairs» est
volé (26 millions de personnes) : noms,
numéros de sécurité sociale, états de
service et nombreuses informations
confidentielles
Vol d’informations concernant
40 millions de personnes chez
RSA. La technique utilisée fait
encore débat. RSA affirme que
deux groupes distincts de
pirates sont intervenus par
hameçonnage, avec l’aide d’un
gouvernement étranger…
94 millions de cartes volées chezTJX du fait
de l’absence de pare-feu.AlbertGonzalez,
coupable présumé de l’attaque, est
condamné à 40 ans de prison.
Un pirate revendique le vol de
150 000 dossiers clientsAdobe
et a publié les informations
confidentielles de 230 de ces
clients.Yahoo serait le
prochain sur la liste.
33. Ressources humaines absentes
On fait de l’administration de la sécurité, mais pas
de prévention
Il faut mettre en face des cybercriminels les
mêmes… mais honnêtes, si possible
Il faut accepter que ces spécialistes de la sécurité
soient des marginaux vis-à-vis de l’entreprise
Ils ne respectent pas les horaires : ils travaillent la
nuit ou quand ça leur chante…
Ils connaissent les forums des pirates, là où
l’information est diffusée
Ils fréquentent les communautés criminelles,
comme une « taupe », et s’informent
Profil inadéquat du personnel