Enjeux et évolutions de la sécurité informatique

Maxime ALAY-EDDINECyberwatch SAS - http://www.cyberwatch.frv1.0 - 08/10/2015

1

Faisons connaissance !

• Maxime ALAY-EDDINE

• 24 ans, Consultant SSI

• Président de Cyberwatch SAS

• 3 ans chez SAGEM (SAFRAN)

• 1 an chez SportinTown

• Commencé piratage à 12 ans

CYBERWATCH

2

- Gene Spafford (aka Spaf) Expert SSI, membre du Cybersecurity Hall of Fame

The only truly secure system is one that is powered off, cast in a block of concrete and

sealed in a lead-lined room with armed guards.

3

La sécurité absolue n’existe pas.

4

Source lolsnaps.com5

Il faut viser un « niveau de risque acceptable ».

6

Il faut viser un « niveau de risque acceptable ».

R.O.I.

7

Plan

• Présentation générale

• Evolution des attaques

• R.O.I. et Sécurité informatique

• Démonstration

• Projections et réglementation

• Questions / Réponses

8

Présentation générale

Notions de base et définitions

9

Sécurité des systèmes d’information ?

10

Sécurité des systèmes d’information ?

Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger.

La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation

sont uniquement utilisées dans le cadre prévu.

Source : JF Pillou, Tout sur les systèmes d’information, Dunod 2006

11

Définition plus « concrète »

Disponibilité

Intégrité Confidentialité

12

Définition plus « concrète »… avec les mains

Disponibilité

Intégrité Confidentialité

Est-ce que mon système fonctionne ?

Est-ce que mes données sont bonnes ? Est-ce que mon

système est privé ?

13

Objectif

Disponibilité

Intégrité Confidentialité

Situation optimale

14

Dans l’industrie, 4 grands critères

15

En pratique ?

Besoin'd’exper-se'

Manque'de'temps'

Coût'très'élevé'

16

Quelles solutions ?

Clé$en$mains$

17

Des menaces multiples

S T R I D E

poofing ampering epudiation nformation Disclosure enial of Service levation of Privilege

Usurpation Falsification Répudiation Divulgation d’informations Déni de service Elévation de privilèges

18

Usurpation d’identité

Le pirate se fait passer pour une entité.

19

Usurpation d’identité

Login Password

20

Usurpation d’identité

Login Password

Login Password

21

Usurpation d’identité

22

Falsification de données

Le pirate modifie des données.

23

Falsification de données

24

Falsification de données

25

Falsification de données

26

Falsification de données

27

Répudiation

Le pirate fait croire qu’un évènement ne s’est jamais produit.

28

Répudiation

29

Répudiation

30

Répudiation

31

Répudiation

32

Divulgation d’informations

Le pirate publie des informations confidentielles.

33

Divulgation d’informations

Login Password

34

Divulgation d’informations

Login Password

35

Déni de service

Le pirate rend un service inaccessible.

36

Déni de service

37

Déni de service

38

Déni de service distribué

39

Déni de service distribué

40

Elévation de privilège

Le pirate obtient des droits privilégiés sur un système.

41

Elévation de privilège

42

Elévation de privilège

43

Des menaces multiples… suite

Sécurité physique Sécurité réseau

Sécurité des applications Ingénierie sociale

…

44

Pour chaque menace, il y a une solution

Virus Malware IP Spoofing Man-in-the-Middle Injection SQL/XSS Vulnérabilité …

Anti-virus Anti-malware Anti Spoofing Chiffrement Filtrage Scanner de vulnérabilités …

45

Source : yannarthusbertrand2.org

Les menacesévoluent et deviennent

de plus en plus complexes.

46

You can't defend. You can't prevent. The only thing you can do is detect and respond.

- Bruce Schneier Expert SSI, inventeur du standard Bluefish

47

Evolution des attaques

Etude de la complexité et des nouvelles cibles des pirates

48

La bombe logique - 1982

• Dossier Farewell (Vladimir Vetrov)

• Opération créée par la CIA contre un pipeline russe

• Code malveillant permettant de faire exploser le pipeline, sans explosif externe

• Les dégâts causés étaient visibles depuis l’espace49

Kevin Mitnick - 1983

• Kevin Mitnick s’introduit sur le réseau du Pentagone

• S’introduit par « défi » technique

• Ne vole pas de données, conserve un sens éthique

• Travaille désormais comme consultant SSI

50

Morris - 1988

• Créé par Robert Tappan Morris (Cornell) en 1988

• Programme conçu pour se répliquer et se propager de proche en proche (Ver / Worm)

• Problème : le ver a rencontré une erreur et a causé des dommages sur les ordinateurs infectés.

• Plus de 6000 ordinateurs infectés, pour $100M d’amende.

51

Jonathan James - 1999

• Pirate la Defense Threat Reduction Agency à 15 ans

• Installe une backdoor sur un serveur, puis un sniffer, pour finalement voler des accès à des ordinateurs militaires

• Récupère le code source d’un logiciel de la NASA utilisé sur la Station Spatiale Internationale pour contrôler l’environnement de vie des astronautes

• Accusé à tort d’une autre attaque, se suicide en 200852

MafiaBoy - 2000

• Michael Calce (aka MafiaBoy) réalise des attaques par Déni de service distribué sur des majors (Amazon, CNN, eBay, Yahoo!)

• Explique avoir voulu tester des attaques pour concevoir de nouveaux dispositifs de protection

• Les dégâts sont évalués à plus de $1,2Mrds

• Reconverti dans la sécurité informatique

53

Estonie - 2007

• L’Estonie subit une attaque majeure de Déni de service suite au retrait d’un mémorial de guerre lié à la Russie.

• Les services gouvernementaux sont stoppés

• Les services techniques parviennent à remettre en ligne progressivement les systèmes touchés

54

Operation Aurora - 2009

• Google China est victime d’une attaque majeure de la part du gouvernement chinois

• Objectif : récupérer des données sur des activistes de la lutte pour les droits de l’Homme

55

Israël - 2009

• 5.000.000 d’ordinateurs réalisent une attaque de Déni de service distribué sur les sites gouvernementaux israéliens.

• Ces attaques sont réalisées pendant l’offensive de Janvier 2009 sur la bande de Gaza.

• L’origine des attaques semble être liée à un ancien état soviétique et aux organisations type Hamas/Hezbollah.

56

La Cyber-armée iranienne - 2010

• Des militants iraniens attaquent Twitter et Baidu (Google chinois).

• Les internautes sont redirigés vers une page pirate avec un message politique.

57

StuxNet - 2010

• Virus de très haute expertise technique visant les machines industrielles Siemens.

• Découvert en Iran et en Indonésie.

• Semble viser le programme nucléaire iranien.

58

Red October - 2012

• Kaspersky découvre un virus en activité depuis 2007

• Le virus a dérobé des informations confidentielles dans des entités gouvernementales et des entreprises sur des systèmes critiques.

• Utilise des vulnérabilités dans Word et Excel

59

Sony Pictures Entertainment - 2014

• Vol massif de données (films notamment)

• Les données ont été diffusées sur Internet

• Perte d’exploitation majeure pour l’entreprise, chiffrée à plus de $100M

60

Ashley Madison - 2015

• Vol massif de données (60 Go)

• > 30M de comptes utilisateurs rendus publics

• Problème : pas de surveillance du réseau, mots de passe trop simples (Pass1234)

61

Ashley Madison - 2015

• (source Gizmodo et Dadaviz)

• Perte financière :- Chantage auprès des utilisateurs du site - Class-Action contre l’entreprise, coût estimé > $5 M

62

Constat

• Ces attaques évoluent et deviennent de plus en plus élaborées (Morris -> StuxNet).

• Les attaques sont maintenant médiatisées (Ashley Madison, Daesh…).

• Les plus connues concernent avant tout les grandes entreprises et les gouvernements.

• Les techniques d’attaques s’industrialisent.

• Petit à petit, création d’un milieu « cybercriminel », avec ses enjeux économiques.

63

Les pirates ne cherchent plus le défi technique, mais la rentabilité économique ou

la diffusion d’idées politiques.

64

Quid des PME ? Des particuliers ?

65

Etude des solutions installées en entreprise

Source : La cybersécurité, Que sais-je ?

Sondage sur les solutions de sécurité des entreprises françaises en 2009

66

Etude des solutions installées en entreprise

• Certaines menaces sont traitées de facto

• Les menaces les plus « techniques » sont encore oubliées.

• Cas des vulnérabilités informatiques dites « connues ».

67

Rôle des autorités de SSI

• Autorités gouvernementales de la SSI

• 2 rôles majeurs : surveillance, information

68

Les vulnérabilités connues ou « historiques »

• Vulnérabilités publiées par les autorités (8000 en 2014)

• CERT : Computer Emergency Response Team

• Objectif : avertir les usagers des nouvelles failles pour se protéger en temps réel

Heartbleed Shellshock69

Problème : qui suit ces alertes en continu ?

70

71

Résultat

• Cette liste constitue l’armurerie parfaite pour les pirates

• Les entreprises (en particulier les PME) sont encore trop peu protégées contre ces vulnérabilités

• Il est maintenant plus intéressant pour les pirates d’attaquer les PME que les grands groupes.

72

Source : Gartner

80% des attaques réussies utiliseront au moins une vulnérabilité connue en 2015.

73

Les pirates évoluent, nous devons adapter nos mentalités et nos moyens de défense.

74

R.O.I. et Sécurité informatique

Faire de la cybersécurité un investissement créateur de valeur

75

Etude du R.O.I. - Cas classique

Poste

Dépenses Recettes

76

Etude du R.O.I. - Cas classique

Poste

Dépenses Recettes

1. Si Dépenses = 1000 et Recettes = 1100, R.O.I. = +10%

2. Si Dépenses = 1000 et Recettes = 1000, R.O.I. = 0%

3. Si Dépenses = 1000 et Recettes = 900, R.O.I. = -10%77

Et dans la Cybersécurité ?

78

Etude du R.O.I. - Cas de la cybersécurité

Sécurité Informatique

Dépenses Recettes

Pertes

79

Etude du R.O.I. - Cas de la cybersécurité

Sécurité Informatique

Dépenses Recettes

PertesCas classique :

- Dépenses = 1000, Pertes = 0 - Dépenses = 0, Pertes = 5000

80

Etude du R.O.I. - Cas de la cybersécurité

Sécurité Informatique

Dépenses Recettes

PertesCas classique :

- Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0

81

La sécurité informatique avec une vision classique de R.O.I. se défend mal.

Pourtant…

82

Etude du R.O.I. - Cas de la cybersécurité

Sécurité Informatique

Dépenses Recettes

PertesCas classique :

- Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0

83

Etude du R.O.I. - Cas de la cybersécurité

Sécurité Informatique

Dépenses Recettes

PertesCas classique :

- Dépenses = 1000, Pertes = 0, Recettes = 0 - Dépenses = 0, Pertes = 5000, Recettes = 0

Total : -1000 Total : -5000

84

La sécurité informatiquepréserve la valeur de l’entreprise.

85

La sécurité informatiquepréserve la valeur de l’entreprise.

On la perçoit donc comme un outil de réduction de risque.

86

Les biais de l’approche « Réduction du risque »

• Approche classique Annualized Loss Expectancy (ALE)

• Si je connais :- mon risque- mes pertes potentielles

• Alors Budget ≤ Risque x Pertes

87

Les biais de l’approche « Réduction du risque »

• Approche classique Annualized Loss Expectancy (ALE)

• Si je connais :- mon risque- mes pertes potentielles

• Alors Budget ≤ Risque x Pertes

10% de chances d’avoir un Accident 10.000.000€ de pertes attendues si l’Accident se produit

Budget ≤ 1.000.000€ pour se protéger

Ex :

88

Les biais de l’approche « Réduction du risque »

• Risque de la sécurité informatique :- Quel est ma surface d’exposition ? - Quel est mon niveau de sécurité ? - Quelles sont les menaces ?

• Pertes liées à la sécurité informatique :- Quels sont mes principaux assets ?- Quelles sont mes pertes potentielles matérielles ? - Quelles sont mes pertes potentielles immatérielles ?

89

Les biais de l’approche « Réduction du risque »

• Risque de la sécurité informatique :- Quel est ma surface d’exposition ? - Quel est mon niveau de sécurité ? - Quelles sont les menaces ?

• Pertes liées à la sécurité informatique :- Quels sont mes principaux assets ?- Quelles sont mes pertes potentielles matérielles ? - Quelles sont mes pertes potentielles immatérielles ?

Manque de données sur l’environnement et ses enjeux.

90

Les biais de l’approche « Réduction du risque »

• Question 1 - Que préférez-vous entre :A : un gain certain de 100 € B : 1 chance sur 2 de gagner 200 € (ou 0€)

91

Les biais de l’approche « Réduction du risque »

• Question 2 - Que préférez-vous entre :A : une perte certaine de 100 €B : 1 chance sur 2 de perdre 200 € (ou 0€)

92

Les biais de l’approche « Réduction du risque »

• Question 1 - Que préférez-vous entre :A : un gain certain de 100 € — 72% B : 1 chance sur 2 de gagner 200 € (ou 0€)

• Question 2 - Que préférez-vous entre :A : une perte certaine de 100 €B : 1 chance sur 2 de perdre 200 € (ou 0€) — 64%

Problèmes équivalents mais humain irrationnel. Phénomène d’aversion à la perte (Tversky, Kahneman, 1986).

93

L’approche classique ALE ne pousse pas à assainir l’écosystème.

2 solutions : 1) Créer de la valeur avec la cybersécurité.

2) Réglementer l’écosystème.

94

Créer de la valeur avec la cybersécurité

• Faire de la sécurité informatique un argument commercial :« Notre système d’information a été audité pendant 5 jours par une équipe d’experts en sécurité. Avec nous, vos données sont protégées. »

• Inclure des solutions de sécurité dans ses produits : - Voitures vendues avec des alarmes en option. - Infogéreurs vendent des serveurs infogérés avec une option sécurité.

95

Créer de la valeur avec la cybersécurité

• La sécurité informatique augmente alors la valeur perçue par le client, en termes de qualité.

• Le fait d’embarquer des solutions permet d’apporter en plus du confort et de la simplicité.

• Ces approches réduisent le risque informatique, et en déportent le coût sur le client final.

96

Réglementer l’écosystème

• Approche de l’assurance :- Tout conducteur doit avoir souscrit une assurance auto.- Tout salarié cotise à l’assurance chômage.

• Depuis 2013, Loi de Programmation Militaire : - Fixe des obligations comme l’interdiction de connecter certains systèmes à Internet ;- Met en place de systèmes de détections par des prestataires labélisés par l’Etat ;- Vérifie le niveau de sécurité des SI critiques à travers un système d’audit ;- Et en cas de crise majeure, peut imposer les mesures nécessaires aux opérateurs.

Source cyberstrategie.org97

Réglementer l’écosystème

• LPM s’applique aux Opérateurs d’Importance Vitale :- Transport ;- Energie ; - Télécommunications…

• Les OIV doivent notifier les attaques informatiques à l’Agence Nationale de la Sécurité des Systèmes d’Information.

• Au niveau européen, directives votées en 2014 permettent à un Etat d’avertir le public d’une attaque sur OIV…

98

Démonstration

Attaque par injection XSS sur un site connuVisite d’un site du Darkweb

99

Projections et réglementation

Projections sur l’écosystème et réglementation en cours

100

Evolution globale de la sécurité

DétectionGuérison

Bruce Schneier au FIC 2015

Présent

101

Evolution globale de la sécurité

CorrectionDétectionGuérison

Bruce Schneier au FIC 2015

Présent

102

De la guérison à la prévention

• Guérison : suite à une attaque, opérations de remise en service du système d’information.

• Détection : pendant une attaque, opérations de blocage des tentatives d’intrusion.

• Correction : mise en place des barrières techniques lors de chaque nouvelle menace, avant même que les pirates ne puissent les exploiter.

103

Evolutions réglementaires

• Transposition des directives européennes en France ?

• Extension progressive de la réglementation imposée aux OIV à l’ensemble des entreprises françaises ?

• Vers une assurance Cyber-Risques obligatoire ?

Objectif : Atteindre la « Cyber-Résilience » européenne

104

105

Les menaces sont multiples, complexes.

Les technologies de protection deviennent de plus en plus mûres et automatisées.

Nous passons d’une stratégie d’action en aval à une stratégie d’action en amont.

Conclusion

106

Notre avis sur l’avenir ?

L’assainissement de l’écosystème passe par des solutions de sécurité embarquées,

automatisées et économiques, et supportées par des évolutions réglementaires.

107

Merci pour votre attention !

Questions / Réponses

108

CYBERWATCHCybersecurity as a Service

Protéger - Détecter - Corriger

contact@cyberwatch.fr http://www.cyberwatch.fr

109