9. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 9
LA CYBERSÉCURITÉ
UN DÉFI À ABORDER ENSEMBLE
Swisscom Connected Event – 9 octobre 2018
09/10/2018
Connected Event @EPFL
10. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 10
La cybersécurité devient la troisième plus grande menace à la stabilité
mondiale #WEF18
09/10/2018
Connected Event @EPFL
Source : WEF, Global Risks Report 2018
11. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 11
7 millions de jeux de données volées chaque jour dans le monde
09/10/2018
Connected Event @EPFL
Source :
Gemalto
Breach Level
Index
12. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 12
100’000+
09/10/2018
Connected Event @EPFL
13’000+
1’800+
750 TB+
500+
4 Mios+
POSTES DE TRAVAIL
SERVEURS
DONNEES
BASES DE DONNEES
EMAILS / JOURS
SPAMS / MOIS
Exposition numérique de l’administration
vaudoise
13. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 13
Une stratégie multi-dimensions pour l’Etat
09/10/2018
Connected Event @EPFL
14. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 14
Le SOC (Security Operation Center) de l’Administration Cantonale
Vaudoise pour lutter contre les cyber-risques
09/10/2018
Connected Event @EPFL
15. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 15
Un rôle actif pour fédérer et réunir les efforts #compétenceslocales
#ensembleplusfort
09/10/2018
Connected Event @EPFL
16. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 16
vaud.digital, portail des acteurs de l’innovation numérique
09/10/2018
Connected Event @EPFL
17. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 17
Bientôt - Une application mobile pour soutenir les PME face aux
cyber-risques
09/10/2018
Connected Event @EPFL
18. Etat de Vaud
Département des infrastructures et des ressources humaines
Page 18
MERCI DE VOTRE ATTENTION
09/10/2018
Connected Event @EPFL
19. 19
Connected Event Cybersécurité EPFL, 9 Octobre 2018
Perspective académique
Prof. Jean-Pierre Hubaux, directeur académique du C4DT
20. Growing Concern: Medical Data Breaches
Around 5 declared breaches per week, each affecting 500+ people
https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
20
22. Personalized Medicine
The massive digitalization of clinical and genomic information is providing unprecedented
opportunities for improvements in diagnosis, preventive medicine and targeted therapies
22
24. Genomic data pose special privacy
problems:
• They are inherently identifying
• They can’t be changed (as opposed to
passwords)
• They have unique statistical regularities
• They contain sensitive and personal
information (genetic diseases or
propensity to develop certain
conditions)
• Their leakage can expose individuals to
genetic discrimination
• Relatives can also be affected
What If Genomic Data Are Leaked?
24
[Naveed et al.’15]
26. Data Protection for
Personalized Health
• 5 research groups across the ETH domain
+ SDSC (Swiss Data Science Center)
• Funding: 3 Millions CHFrs
• Duration: 3 years (4/2018 - 3/2021)
• Funding Program: ETH PHRT (Personalized Health and
Related Technologies)
DPPH: Data
Protection in
Personalized
Health
LCA1: Systems
for privacy-
conscious data
sharing
DEDIS:
Distributed and
Decentralyzed
Trust
GR-JET:
Fundamental
cryptography
Fellay Group:
Medical
application
SDSC: Data
Science
Infrastructure
and Deployment
Health Ethics
and Policy: Legal
and Ethical
analysis
Project goals:
• Address the main privacy, security, scalability, and ethical challenges of data
sharing for enabling effective P4 medicine
• Define an optimal balance between usability, scalability and data protection
• Deploy an appropriate set of computing tools
DPPH.CH
E. Vayena
B. Ford
JP Hubaux
D. Jetchev
J. Fellay
O. Verscheure
27. Envisioned Nation-Wide Deployment
27
Q1: How many patients
with BRCA1 and breast
cancer?
Q2: What is the survival rate for
cancer patients undergoing a
given chemotherapy?
Year 2 & 3:
tiered
deployment,
extra
functionality
Year 1: small-
scale
prototype,
simple
queries
28. DCC: Data Coordination Center
IT
Node
IT
Node
IT
Node
IT
Node
IT
Node
DCC
DPPH – The Role of the Blockchain
28
… …
DPPH Blockchain
Inference
resistance
Provenance and
Reproducibility
Immutable Log
Big Data Platform
Distributed Access
Control
Distributed Privacy-
conscious
Processing
29. “genomeprivacy.org”
Community website
• Searchable list of publications on genome privacy and security
• News from major media (from Science, Nature, GenomeWeb, etc.)
• Research groups and companies involved
• Tutorial and tools
• Events (past & future) 29
30. Collaboration Ecosystem
• 30+ EPFL laboratories
• 8+ Organizations
Blockchain
Privacy-
enhancing
technologies
Personalized
health
Smart
contracts
Cyber
security
Machine
Learning
Content
Protection
System
security
Cryptography
Software
verification
30
The Center for Digital Trust @EPFL
Reinventing trust for the digital society
• Center of expertise
• One-stop-shop
• Community
31. 31
… and more to join
Partners of Center for Digital Trust
32. 32
Digital Trust – Research at EPFL
32
C4DT Presentation | 2018
… and more to join
• Blockchain
• Cloud computing
• Cryptography
• Cyber-physical
systems
• Data mining
• Decentralized
systems
• Distributed systems &
algorithms
• Finance
• Genomics
• Image
conceptualization
• IoT
• Large-scale systems
• Machine learning
• Media Security
• Network security
• Personalized health
• Privacy enhancing
technologies
• Programming
languages
• Reliability & security
• Risk management
• Security by design
• Semantic information
• Software verification
• System security
34. 34
The Digital Trust Platform – Technologies & Applications
PRIVACY
CRYPTOGRAPHY
FINANCE&
ECONOMY DIGITAL TRUST OPEN PLATFORM (The Factory)
BLOCKCHAINS
SMART
CONTRACTS
SOFTWARE
VERIFICATION
SYSTEM SECURITY
HEALTH
GOVERNMENT&
HUMANITARIAN
CRITICAL
INFRASTRUCTURES
DIGITAL
INFORMATION
…
TRUSTWORTHY DIGITAL
PRODUCTS & SERVICES
APPLICATION
VERTICALS
TECHNOLOGY
PILLARS
3
35. Example 1 of C4DT Project:
Capital Markets and Technology Association (CMTA)
• “An independent association formed by leading actors from
Switzerland's financial, technological and legal sectors to create
common standards around issuing, distributing and trading securities
in the form of tokens using the distributed ledger technology.”
• Current project: record ownership of shares in a Swiss company on a
blockchain (Nov. ‘18)
• Without requiring changes to current Swiss law
• Swiss standard for tracking ownership in stock or bond using blockchain and
smart contracts
• Founding members:
36. Collaboration with ICRC
Humanitarian organization in Geneva
and strategic partner of EPFL
Challenges
• Identifying relevant information
sources
• Search in textual and image content
• Data of poor quality
Example 2 of C4DT Project:
Finding missing people in conflict zones
37. Face Retrieval using Deep Neural Networks
Adapting the techniques to the context (quality of images) and combining with other search modalities
38. 38
C4DT – A "virtuous circle"
1) Trusted platform
2) Collaboration hub
3) Knowledge
transfer
PARTNERS
C4DT
Needs & Foresight
Specialists & Knowledge
Data & Infrastructures
Funding
Foresight & Opportunities
Research projects
Prototypes
Collaborative platform
Dr. Olivier Crochat
Executive Director
40. Rapport au Conseil Fédéral sur la gestion et la
sécurité des données
• Groupe de 13 experts (juristes, économistes, éthiciens, informaticiens)
• 3 ans de travaux
• Rapport remis en août 2018
• 51 recommandations: recherche, formation, investissements, législation,…
• 200 pages
• Rapport transmis aux départements fédéraux pour action et rapport d’ici à
l’été 2019
• Rapport publiquement accessible:
https://www.admin.ch/gov/fr/accueil/documentation/communiques/flux-
rss/par-office/communiques-de-presse-et-discours.msg-id-72083.html
40
41. Conclusion
• Worldwide, the confidentiality of health data is in jeopardy
• Personalized medicine dramatically increases the amount of data
• Mobile devices collect more and more health-related data that need to be
properly secured
• The Data Protection for Personalized Health Project is a (Swiss) response to these
concerns: https://dpph.ch
• EPFL’s initiative to reinvent trust in cyberspace: Center for Digital Trust
https://c4dt.org
41
42. Les enjeux de la cybersécurité
Exemples dans le monde de la santé
Philippe Vuilleumier
Head of Group Security / Chief Security Officer
Lausanne, 9.10.2018
C1 - public
43. Le monde dans lequel nous vivons….
… est de plus en plus interconnecté et génère de nouveaux besoins
Toujours en ligne
Big Data et
Business Intelligence
Travailler et se réunir à tout
moment et partout
200 millions d’appareils
connectés à Internet en Suisse
d’ici 2020
Nouvelles interfaces et
consumérisation de
l’informatique
Disponibilité et sécurité des
données: deux points essentiels
9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
43
48. 9.10.2018
48
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
WannaCry Cyber attack and the NHS
Fact & Figures
>Au total, au moins 81 des 236 hôpitaux (angl. trust) ont été touchés. 5 hôpitaux
ont du fermer leurs services d'urgences
>De plus, 603 autres organisations de soins primaires ont été infectées par
WannaCry, dont 595 cabinets de médecins généralistes
>NHS a estimé que plus de 19 500 consultations ont été annulées, dont
6 912 confirmées
>Le coût financier total de l'incident reste inconnu
Kingsley Manning, former chairman of NHS Digital, blamed a lack of time
and resources but also "frankly a lack of focus, a lack of taking it seriously"
for individual NHS organisations' failure to keep up with the cyber security
improvements.
Détails: https://www.nao.org.uk/press-release/investigation-wannacry-cyber-attack-and-the-nhs/
49. Faiblesses constatées
NIST Cyber Security Framework
Identification et inventaire
des objets à protéger et des
menaces les visant.
Réaction aux attaques et
prises de mesures rapides
avec pour but de maintenir
les activités.
Garantie d’un
rétablissement rapide des
activités normales.
Protection de l’infrastructure
technologique en matière
d’intégrité, de
confidentialité et de
disponibilité.
Surveillance systématique de
l’infrastructure
technologique par rapport à
d’éventuelles attaques et
anomalies.
Identify Protect Detect Respond Recover
Initial Response
plan developed
but not tested
Improve
Response plan
incl. clear roles
&
responsibilities
Increase
Awareness at all
levels and
implement
critical alerts
Improve
Governance (88
out of 236 trusts
showed that
none passed the
req. cybersec
standards)
9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
49
50. Les risques sont réels
Chaque mois environ...
attaques de phishing sont
détectées et bloquées2250
ordinateurs de clients privés
sont déconnectés à titre
préventif en raison d'une
infection par un logiciel
malveillant
20 000
plaintes de clients privés
pour cause de problèmes de
spam, de phishing ou de
logiciels malveillants
22 000
clients privés sont informés de façon
proactive du fait que leurs ordinateurs
sont infectés par des logiciels
malveillants
1300
clients privés sont contactés
pour cause de comptes
piratés
4800
accès à distance en provenance
de 40 pays de 16 000
utilisateurs de300 sociétés
300 000
programmes nuisibles/attaques
détectés et bloqués sur le réseau
8 000 000
atteintes à la sécurité traitées par le
CSIRT15
programmes nuisibles
identifiés et bloqués au niveau
d'endpoints de gros clients
5000
51. Comment traitons-nous ces menaces du cyberespace?
Swisscom se concentre sur trois points
1. Une base bonne et solide
Avec pour objectif: réduire les coûts, consolider les "policies" et
processus, maintenir et développer l’Information Security Management System
certifié ISO 27001, dispenser des formations, et bien plus encore
2. La sécurité doit être garantie de manière simple
Avec pour objectif: développer de nouvelles technologies de sécurité
ainsi que des processus favorisant la numérisation
3. Approche novatrice en matière de détection
Avec pour objectif: protéger l’entreprise, ses clients et la société de l’information
suisse d’attaques ciblées
9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
51
52. Quatre principes constitue la base …
… de toute stratégie de sécurité
> La sécurité est plus
qu’un coût!
> “Enabling”de concepts
informatique tels que
“Home Office-”ou
“BYOD”
> Des produits sûrs
coûtent moins chers!
La sécurité est le
nouvel argument
commercial
> Quantité et qualité en
augmentation
> De la chaine d’approvi-
sionnement au
périmètre
> Nouvelle approche
nécessaire
Nous sommes en
permanence la cible
d’attaques
> La détection pour
palier les limites de la
prévention
> Représente la base
pour une réaction
conséquente
L’intelligence est
à la base de la
détection
> Base conceptuelle et
opérationnelle stable
> Appliquer les bonnes
pratiques de sécurité
sur la durée
> Cadre réglementaire,
gouvernance
approprié
Appliquer les
Security Good
Practices
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
52
9.10.2018
53. Chief Security
Officer
CSIRTSecurity
Delivery
Security
Framework &
Governance
Physical
Security
Security
Governance
& Services
CSIRT Security
Officers
Product & Marketing
/ Sales
& Services
Enterprise
Customers
IT, Network &
Infrastructure
Group Functions,
Digital Business
La sécurité chez Swisscom
Conditions organisationnelles pour une gestion efficace de la sécurité
• Tâche à l’échelle du groupe
• Etroite collaboration avec la
Direction du groupe
• Mode opératoire
pragmatique et simple
• Sécurité physique et logique
intégrée
• Env. 60 spécialistes
• Security Officers consacrés
aux divisions operation-
nelles
Group Security
Swisscom Policy Management
• Clair et simple
• Actuel et pertinent
• Tendance au self-
service
• Doit permettre un
développement agile
de solutions TIC
9.10.2018C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
53
54. > Accepter les défis!
– Dépendances technologiques, savoir-faire, restrictions financières
> Ne pas capituler!
– Structurer, prioriser, et commencer par le début
> Appliquer les bonnes pratiques sur la durée!
– Base conceptuelle et opérationnelle stable
– Cadre réglementaire, gouvernance approprié
> Que voulez/pouvez-vous faire vous-même et que voulez-vous externaliser?
– Exemples: SOC, Threat Detection, Gouvernance
9.10.2018
54
C1,PhilippeVuilleumier,GroupSecurity,Lesenjeuxdelacybersécurité,V1.0
Et finalement…
57. Rôle
Agence de soutien à
l’innovation
- Porte d’entrée pour les
projets d’innovation
- Pour PME et start-up
- Catalyseur entre la recherche
appliquée et l’économie
Domaines prioritaires
- Sciences de la Vie
- TIC
- Industrie de Précision
- Cleantech
62. 40 % of TOP
10 are in
VAUD
TOP 100 Swiss Startups 2018
1. Ava
2. Bestmile
3. Lunaphore
4. Flyability
5. Cutiss
6. Piavita
7. Wingtra
8. Gamaya
9. Advanon
10. Versantis
24 startups in TOP 100 are in Canton de Vaud
63. Finance
FIT grant – 100k
- Prototype/mise au point
FIT seed (prêt) – 100k
- 0% intérêt
- garantie personnelle
FIT growth (prêt) – 500k
- «matching» : 1.- investi = 1.- prêté
- 5% + 5% intérêt
- pas de garantie personnelle
67. Sécurisation d’apps critiques
w Apps internes ou de tiers
w Couche de sécurité
indépendante de l’appareil
w Applications fintech
Histoire:
w Spin-off HEIG-VD / Fondation: 2010
w FIT seed
w Basée à Y-Parc
68. Plateforme de surveillance
des flux de donnée
entreprise
w Cartographie automatique
des flux de données
w Rapports et alertes
w Installation simple
Histoire:
w Lancement 2014
w Spin-off EPFL basée à
EPFL Innovation Park / Boston
69. Plateforme de stockage
sécurisé pour
cryptomonnaie
w Solution
cryptographique
hardware/software
w Clients: banques,
gestionnaires de fonds
Histoire:
w Fondée 2014
w Basée à Lausanne
70. Solution de gestion
d’identité numérique
w Reconnaissance faciale 3D
w Multiplateforme
w 3D Graphical
Authentication
Histoire:
w Basée à Lausanne
w Prêt FIT growth (2018)
71. Solution de collaboration
sécurisée pour entreprises
w Voix et messagerie
instantanée
w Environnement de travail
(documents, notes)
w Chiffrage end to end avec
authentification robuste
Histoire:
w Spin-off EPFL
w Fondation: 2007
w Basée à Morges
75. Traitement sécurisé de l'information
Digital Trust
Connected Event: CyberSécurité
Le 09 octobre 2018
Blaise Vonlanthen, Chef de Section Romandie
Lucile Van Kerrebroeck, Consultante Senior
AWK Group
Anleitung zum Einfügen eines Fotos:
• Folienmaster anzeigen (Ansicht à
Folienmaster)
• Weisse Abdeckform beiseite ziehen
• Quadratisches Foto auf dieses graue Quadrat
legen (mind. 12×12cm) und bei Bedarf
zuschneiden
• Weisse Abdeckform über Foto schieben, so
dass Abdeckform bündig zu linkem und oberem
Rand liegt
Anleitung zum Einfügen eines Fotos:
• Folienmaster anzeigen (Ansicht à
Folienmaster)
• Weisse Abdeckform selektieren und kopieren
• Masteransicht schliessen
• Auf Titelfolie die weisse
Abdeckform einfügen
• Weisse Abdeckform beiseite schieben
• Quadratisches Foto auf dieses graue Quadrat
legen (mind. 12×12cm) und bei Bedarf
zuschneiden
• Weisse Abdeckform über Foto schieben, so
dass Abdeckform bündig zu linkem und
oberem Rand liegt
Anleitung zum Einfügen eines Fotos:
• Folienmaster anzeigen (Ansicht à
Folienmaster)
• Weisse Abdeckform beiseite ziehen
• Quadratisches Foto auf dieses graue Quadrat
legen (mind. 12×12cm) und bei Bedarf
zuschneiden
• Weisse Abdeckform über Foto schieben, so
dass Abdeckform bündig zu linkem und oberem
Rand liegt
76. Tendance I : professionnalisation de la cybercriminalité organisée
Cyber Crime as a Service : une entreprise florissante !
77. Tendance II : digitalisation
Assurer la sécurité de l'information tout au long de la chaîne de valeur
ProducteursFournisseurs Distributeurs Installateurs
Acteurs
Gestion du stock des
mat. premières
Chaîne de montage /
assemblage
Contrôle qualité
Gestion du stock des
produits finis
Publicité du produit
fini
Gestion des ventes
Installation
Service Après
Vente
Chaîne de valeur simplifiée d'une entreprise
Fabrication
Logistique de
commercialisation
Marketing et ventes Services
Logistique
d’approvisionnement
Digital TrustDigital TrustDigital Trust
Distribution des
produits finis
Distribution des mat.
premières
Clients
Force de
vente
RéparateursContrôleursDistributeurs
Responsable
d’entrepôts
78. 78
Digital Trust
4 étapes dans l’établissement d'une confiance numérique
Analyse der internen
Unternehmensressourcen
Digital
Trust
Identifier
● Comprendre l’environnement
de l’entreprise et identifier ses
fonctions critiques au niveau
de ses données, processus,
personnes et compétences
Réagir
● Cette étape comprend les
activités de réaction face à un
incident de sécurité ainsi que
les activités de continuité
business.
Protéger
● Définition et mise en place de
mesures de sécurité appropriées
pour protéger les fonctions
critiques identifiées au préalable.
Détecter
● Élaboration et mise en place de
mesures appropriées pour
détecter des incidents de
sécurité.
79. 79
Digital Trust : sécurité de l'information : approche de gestion intégrée
Interaction de la technologie, de l'organisation et des processus
Identifier Protéger Détecter Réagir
Information Security Management System ISMS
Security Incident
& Event Management
Business Continuity
Management
Identity & Access Management
Post Incident Audits
Information Security
Architecture
IT Forensics
Operational Security Assurance
Network Security
Audits préventifs
IT Service Continuity
Logging
Monitoring
Gestion des risques
Awareness Training
Breach Containment
Asset / Data / Process
Inventory
Vulnerability / Update
Management
Incident Management
80. 80
L’importance de la sensibilisation
Laptop1:
─ Sans surveillance
─ Sans protection avec un mot de passe
68%
PMEs dans le canton VD n’ont pas encore mis en place
de formations à la sécurité informatique2.
1 Photo prise dans le train entre Berne et Lausanne le 3 octobre 2018
2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf
81. 81
● Données clients
● Données personnelles
● Informations stratégiques sur l'entreprise
● Propriété intellectuelle
Connaissez-vous vos fonctions critiques ?
Joyaux de la couronne
● Connaitre sa tolérance de risque
● Etablir des mesures de protection afin de réduire le risque à un niveau acceptable
Prochaines étapes
Identifier Identifier Protéger Détecter Réagir
83. La fin de la sécurité périmétrique
83
● Définir une politique de sécurité et ses standards
● S’assurer que toutes les ressources soient accessibles de manière sécurisées
● Authentification
● Chiffrement des transmissions
● Accorder uniquement l'accès sur la base du «need-to-know» et «least privilege»
● Ségrégation du réseau, centré sur la protection des ressources/données critiques
Zero Trust Model
Identifier Protéger Détecter RéagirSécurité réseau 2.0
84. 84
UBS (2011)
● Détournement de 2 milliards de dollars
● Cause: contrôle préventif applicatif non
configuré pour effectuer certaines
transactions de paiement
Cela s’applique également aux PMEs
pour leur application d’e-banking1!
● Principe du double contrôle
● Désactiver les transactions non nécessaires
● Accès à l’e-banking depuis un ordinateur
spécifique
1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
85. 85
Nestlé (2014)
● Le compte Twitter de Nestlé Crunch pour la branche
mexicaine a été utilisé dans le but de nuire à la marque1.
● Cause: Gestion des accès privilégiés non contrôlée.
96%
PMEs dans le canton VD n’imposent pas de complexité
et de changement régulier des mots de passe2.
1 https://www.20min.ch/ro/news/monde/story/Etudiants-massacres--la-blague-douteuse-de-Nestle-14085746?httpredirect
2 https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf
86. Security Operation Center
86
Sur toutes les lèvres
«Assume breach» & «Security Operation Center» (SOC)
Security Information and
Event Management
Threat
Intelligence
Gestion des
vulnérabilités
Surveillance des
systèmes clés
● Le risque zéro n’existe pas malgré les contrôles
● Le modèle «Assume breach» permet de garder à l’esprit qu’il faut être
capable de détecter les incidents de sécurité
Objectifs
● Détecter et analyser les incidents, les attaques, les intrusions
dans les systèmes clés
● Veille technologique
● Effectuer des tests de pénétration en environnement
équivalent à la production
Les prérequis d'un SOC
● Fonctions critiques connues
● Systèmes permettant de générer des «audit logs»
● Processus de gestion des incidents
Identifier Protéger Détecter Réagir
87. 87
NSA (2013)
● 1,7 millions de documents dérobés par une
personne autorisée à avoir accès à ces
données classés secrètes (accès
administrateur).
● Cause: Manque de contrôle détectif sur les
accès distants et sur des documents classés
«secret» avec des comptes à hauts
privilèges.
Cela s’applique également aux PMEs,
contrôle détectifs essentiels pour
analyser un incident1
● Systèmes sensibles doivent tenir des fichiers
journaux («log files»).
● Sauvegarder ces fichiers au moins 6 mois.
1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
88. Limiter les impacts d’un incident
88
Assurer une réactivité en cas d'incident
4ème objectif du SOC : adresser les incidents
● S’assurer que l’incident est contenu dans une certaine zone («breach containement»)
● Determiner les mesures adéquates afin d’éviter que cela se reproduise
● Coordonner l’implémentation des différents correctifs de sécurité
La gestion des sauvegardes et d’un DRP (Disaster Recovery Plan):
● Sauvegarder régulièrement ses données et les placer à différents endroits
● S’assurer qu’un site de secours informatique est à disposition
● Prioritiser le recouvrement: Définition des Recovery Time Ojective / Recovery Point Objective
Identifier Protéger Détecter Réagir
89. 89
MAERSK (2017)
● L’attaque informatique Petya a touché l’ensemble du
système informatique causant la perte de 300 millions
de dollars sur son chiffre d’affaire.
● Cause: Manque de processus de recouvrement face à
une cyber attaque paralysant entièrement le système.
● Impact: Ses partenaires ont été indirectement touchés
par cette paralysie
91%
des PMEs VD reconnaissent ne pas effectuer de
sauvegarde externe ou à plusieurs endroits (la
base d’un plan de recouvrement des activités)1.
1 https://www.melani.admin.ch/dam/melani/fr/dokumente/2018/04/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf.download.pdf/180525_MerkBlatt-Info-Sicherheit-KMU-fr.pdf
90. 90
Digital Trust : un facteur de succès de votre transformation numérique
Renforcer la confiance dans
vos processus digitaux
Digital Trust
91. Trust by design
« Inspiration from
Latitude 59° N e-Estonia »
Connected Event
October 9, 2018
Philippe Thevoz
Philippe Gillet
Enabling trust
92. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 92
TRUST by DESIGN
93. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 93
NOTARY DOCUMENTS : FROM PAPER TO DIGITAL
e-Notary
94. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 94
MY DIGITAL MEDICAL RECORDS
95. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 95
E-BANKING
96. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 96
DIPLOMA LEGALIZATION PROCESS
98. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 98
TRUST ENABLERS IN DIGITAL
oProcess & Device
integrity (Hardware & Software)
o System Resilience
o Data Integrity & Security
o Immutability
o Anti-Tampering
o Anti-Counterfeiting
o Traceability
o Auditability
o Accountability
o Confidentiality
o Privacy & Consent
o Data Sovereignty
99. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 99
HOW TO GENERATE TRUST IN DIGITAL ?
Blockchain
Cloud
Databases
Cybersecurity
Blockchain
TRUSTinDigitalServices
SecureIT
100. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 100
HOW TO GENERATE TRUST IN DIGITAL ?
Digital ID
Data privacy &
sovereignty
Physical –
Digital Link
Secure
marking
Encryption
Artificial Intell.
Blockchain
Cloud
Databases
Cybersecurity
Dataintegrity
&Security
TRUSTinDigitalServices
SecureIT
101. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 101
BLOCKCHAIN – ONLY A TECHNOLOGY, NOT A FULL SOLUTION
Integrity
Digital ID
Data privacy &
sovereignty
Physical –
Digital Link
Secure
marking
Encryption
Artificial Intell.
Blockchain
Cloud
Databases
Cybersecurity
AI
Sover-
eignty
Phys-
Dig Link
Marking
Encry-
ption
Digital
ID
Block-
chain
102. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 102
SECURE IMMUTABLE REGISTRIES
Indisputable tamper evidenceData Integrity
Real-time intrusion detectionData Security
Render data unusable and
unbreakable by any intruder
Confidentiality
Privacy
How can I prove my good faith,
independently from the system
Digital
Sovereignty
How to prove that the data have been
generated through the right process
Process
Integrity
Undisputable proof of who did
what and when on which data
Auditability
Accountability
104. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 104
The example of e-Estonia
Last year
Last month
Last week
Yesterday
HOW TO SECURE MILLION OF DIGITAL TRANSACTIONS?
Today
Tax Authority Land registry People registry …
105. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 105
TIMESTAMP PROOF
I am very pleased to be
present today at this
conference.
Philippe – May 3, 2018
How can I prove in 10 years
that I wrote that statement on May 3, 2018 ?
106. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 106
PUBLISH THE DOCUMENT IN A NEWSPAPER
I am very pleased to be
present today at this
conference.
Philippe – May 3, 2018
May 4, 2018
107. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 107
PUBLISH THE HASH OF THE DOCUMENT
3f0c8709cf75272beb1de9a
96a4c6c343f2fe4a263a868
e8e2d3f97cbe901da7
May 4, 2018
108. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 108
PUBLISH THE TOP HASH OF THE MERKLE TREE
c775e7b757ede630cd0aa1
113bd102661ab38829ca52
a6422ab782862f268646
May 4, 2018
109. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 109
I am very pleased to be
present today at this
conference.
Philippe – May 3, 2018
HOW CAN I PROVE IN 10 YEARS FROM NOW THAT THE
FOLLOWING DOCUMENT IS IMMUTABLE ?
+
110. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 110
KSI BLOCKCHAIN – ONE HASH PER SECOND
FOR THE WHOLE WORLD
US
Corp1
US Corp2
Estonia
SICPA
US
Administration
C775e7b757ede630c
d0aa1113bd1026…
KSI-Blockchain
111. Copyright 2018 – SICPA - Philippe Thevoz / Philippe Gillet p. 111
DIGITAL INTEGRITY: IN THE HEART OF e-ESTONIA
Terabytes of Data are secured every
second on the KSI Blockchain since 2008.
In full operation since 2012