© 2012 IBM Corporation IBM Security Systems 1 © 2013 IBM Corporation Le contexte de la cybersécurité Notre environnement devient-il plus sécuritaire? Stewart

  • Published on
    03-Apr-2015

  • View
    105

  • Download
    2

Embed Size (px)

Transcript

  • Page 1
  • 2012 IBM Corporation IBM Security Systems 1 2013 IBM Corporation Le contexte de la cyberscurit Notre environnement devient-il plus scuritaire? Stewart Wolfe, CISSP, CISM, CISA (certifications en vrification et en gestion de la scurit informationnelle) Concepteur principal en scurit Services mondiaux de scurit IBM stewartw@ca.ibm.com Septembre 2013
  • Page 2
  • IBM Corporation 2013 Services de scurit IBM Scurit IBM Le contexte de la cyberscurit Services technologiques mondiaux IBM Concepteur principal en scurit, Services de scurit IBM (Canada) Stewart Wolfe compte 20 ans d'exprience en TI, dans le cadre de la conception et de la mise en uvre de solutions pour des entreprises clientes. Il est concepteur principal en scurit chez IBM Canada et offre des services-conseils aux clients dans de nombreux secteurs varis, traitant d'un large ventail de sujets concernant la scurit, de la consultation jusqu' la mise en uvre. Confrencier de la sance d'aujourd'hui Au cours de la dernire anne, l'espace de la scurit informatique a maintes fois fait la manchette des journaux. Qu'il s'agisse de la dcouverte de trousses d'outils complexes affubles de noms aussi inquitants que Flame (flamme) ou de vulnrabilits multiplateformes inconnues (de type jour zro), les consommateurs et les entreprises ont t inonds de conseils et d'alertes concernant de nouvelles menaces. La frquence des atteintes la protection des donnes et des incidents connexes, ayant dj franchi un nouveau sommet en 2011, a poursuivi sa trajectoire ascendante. 2
  • Page 3
  • 2012 IBM Corporation IBM Security Systems 3 2013 IBM Corporation La dynamique changeante de la protection de l'entreprise
  • Page 4
  • 2013 IBM Corporation IBM Security Services 2011 : L'anne de l'attaque cible Source : Rapport 2011 de l'quipe de recherche X-Force d'IBM sur les tendances et les risques Services de mise en march Jeux en ligne Gouvernement central Jeux Services Internet Jeux en ligne Services en ligne Jeux en ligne Scurit informatique Secteur bancaire Scurit informatique Services-conseils du gouvernement Scurit informatique Tl- communicat ions Diver- tissement lectronique grand public Agriculture Vtements Assurances Services-conseils lectronique grand public Services Internet Gouv. central Type d'attaque Injection SQL Altration d'URL Harponnage Logiciels de tiers Dni de service distribu SecureID Programmes de Troie Inconnue La taille du cercle tablit approximativement l'incidence relative des violations en fonction des frais qu'elle impose l'entreprise jan.fv.maravr.maijuinjuil.aotsept.oct.nov.dc. Divertissement Dfense lectronique grand public Gouvernement central lectronique grand public Police nationale Police provinciale Police Jeux March financier Services en ligne Services- conseils Dfense Industrie lourde Divertissement Secteur bancaire chantillonnage des incidents lis la scurit en 2011 par type d'attaque, selon la priode et l'incidence Les hypothses formules l'gard de l'incidence relative des violations sont fondes sur de l'information communique publiquement concernant des informations divulgues et des pertes financires MenacesScurit oprationnelle Nouvelles tendances 4
  • Page 5
  • 2013 IBM Corporation IBM Security Services 5 2012 : Le volume exponentiel de violations se poursuit! Source : Rapport 2012 de l'quipe de recherche X-Force dIBM sur les tendances et les risques chantillonnage des incidents lis la scurit en 2012 par type d'attaque, selon la priode et l'incidence Les hypothses formules l'gard de l'incidence relative des violations sont fondes sur de l'information communique publiquement concernant des informations divulgues et des pertes financires Type d'attaque Injection SQL Altration d'URL Harponnage Logiciels de tiers Dni de service distribu SecureID Programmes de Troie Inconnue La taille du cercle tablit approximativement l'incidence relative des violations en fonction des frais qu'elle impose l'entreprise jan.fv.maravr.maijuinjuil.aotsept.oct.nov.dc.
  • Page 6
  • 2013 IBM Corporation IBM Security Services Les menaces (acteurs) sont plus subtiles et volues Nom de la menace Acteur involontaireOpportunisteHacktivisteMenace pousse, persistante ou mercenaire Types Travailleurs en place - employs, fournisseurs (entrepreneurs), sous- traitants Auteurs de ver informatique et de virus Pirates adolescents Agents de scurit informatique et pirates informatiques Protecteurs des liberts sur Internet Gouvernements nationaux Crime organis Espions industriels Cellules terroristes % des incidents attribuables 60 % 20 % =< 10 % Profil de la menace Inexpriment Aucun financement Cause du tort par inadvertance en introduisant involontairement (accidentellement) des virus ou en affichant, envoyant ou perdant des donnes sensibles Augmentation de la frquence en raison des nouvelles formes d'accs mobile Inexpriment Financement restreint Comportement opportuniste Cible les vulnrabilits connues Utilise les virus, les vers, les programmes de Troie rudimentaires, les robots Agit pour les sensations fortes, par vantardise Facile dtecter Comptences allant de l'inexprience une trs grande exprience Cible les vulnrabilits connues Prfre les attaques par dni de service, MAIS utilise un maliciel comme moyen d'intrusion dans des outils plus volus Dtectable, mais difficile attribuer Augmentation de la frquence Mthodes raffines Organismes trangers du renseignement, groupes appartenant au crime organis Bon financement Cible tant la technologie que l'information Agissant souvent dans une perspective lucrative Cible et exploite les donnes prcieuses tablit une prsence discrte sur les rseaux sensibles Difficile dtecter Augmentation de la frquence 6
  • Page 7
  • 2013 IBM Corporation IBM Security Services Les types de cyberpirates et les motivations demeurent les mmes Presque tous les incidents lis la scurit en 2012 ont t provoqus par des cyberpirates qui visaient une cible trs tendue en utilisant des outils prts l'emploi (voir en haut gauche) L'injection SQL et les attaques par dni de service constituent toujours des mthodes d'attaque prouves Les cyberpirates sont opportunistes, mais ce ne sont pas toutes les menaces pousses et persistantes et appuyes par l'tat qui exploitent un maliciel et les vulnrabilits inconnues MenacesScurit oprationnelle Nouvelles tendances 7
  • Page 8
  • 2013 IBM Corporation IBM Security Services Raffinement oprationnel ne rime pas toujours avec complexit technologique MenacesScurit oprationnelle Nouvelles tendances 8
  • Page 9
  • 2013 IBM Corporation IBM Security Services 9 On demande de plus en plus aux chefs du service de l'information d'offrir une valeur commerciale transformatrice en utilisant moins de ressources des sites web populaires et des 500 grandes entreprises indiques par Fortune sont vulnrables2 40 % Risque plus lev des chefs du service de l'information jugent l'informatique en nuage essentielle leurs plans5 60 % Innovation dans le nuage de la moyenne du budget en TI sont consacrs aux oprations courantes4 71 % Contraintes budgtaires 71 % des centres de donnes ont plus de 7 ans1 Infrastructure vieillissante des entreprises utilisent les mdias sociaux aujourd'hui pour communiquer avec leurs clients7 74 % Entreprise rseaute des organisations prendront en charge les applications d'entreprise sur les appareils personnels d'ici 20146 90 % Mobilit au sein de l'entreprise de contenu numrique en 2012, une croissance de 50 % par rapport 20113 2,7 Zo Croissance excessive des donnes Sources : 1Le chef du service de linformation : un acteur essentiel, tude mondiale ralise auprs des chefs du service de l'information, mai 2011, 2Rapport de mi-anne de X-Force MD d'IBM sur les tendances et les risques en 2011, septembre 2011, 3IDC, IDC Predictions 2012: Competing for 2020 de Frank Gens, dcembre 2011, IDC no 231720, volume 1, 4Bas sur Recherche IBM, 5McKinsey, How IT is managing new demands, 2011, 6Gartner prvoit que d'ici 2014, 90 % des organisations prendront en charge les applications d'entreprise sur les appareils personnels, 7Forrsights, sondage men auprs des dcideurs d'entreprise, T4, 2011
  • Page 10
  • 2013 IBM Corporation IBM Security Services 10 81 % des fonctions assures par le chef de la scurit des informations font ou ont fait l'objet d'une rorganisation au cours des six derniers mois. tude du conseil excutif du risque li l'information du Conseil de direction, juillet 2012 sont en mesure de trouver les personnes possdant les bonnes comptences dnoncent l'incapacit de mesurer l'efficacit des efforts actuels dploys envers la scurit sont aux prises avec une quipe de TI en sous effectif Les comptences en scurit sont difficiles attirer et conserver
  • Page 11
  • IBM Security Services 2013 IBM Corporation11 Le fondement de notre approche en matire de protection de l'entreprise
  • Page 12
  • IBM Security Services 2013 IBM Corporation 12 Proactive Automatise Manuelle Ractive Efficace lmentai re Optimise Approche base sur la maturit 7. Prendre en charge les nouvelles complexits de l'informatique en nuage et de la virtualisation 6. Contrler l'accs au rseau et favoriser la rsilience 1. Btir une culture d'entreprise et un systme de gestion conscients des risques 2. Grer de manire plus intelligente les incidents lis la scurit 3. Dfendre les lieux de travail mobiles et sociaux 5. Automatiser la sant en matire de scurit 4. Offrir des services hautement scuriss ds la conception 10.Grer le cycle de vie de l'identit 9. Assurer la protection des donnes et des renseignements personnels 8. Grer la conformit des tierces parties en matire de scurit Cycle de vie des programmes Renseignements de scurit Le chemin vers un niveau de scurit optimal commence par les dix pratiques essentielles d'IBM
  • Page 13
  • IBM Security Services 2013 IBM Corporation 13 Pratique essentielle 1 : Btir une culture d'entreprise et un systme de gestion conscients des risques. La culture de votre entreprise impose-t- elle des comportements adquats en matire de risque et en assure-t-elle le suivi? Lorsqu'il utilise la technologie, chaque employ d'une entreprise est susceptible d'infecter le systme informatique, soit en cliquant sur une pice jointe douteuse ou en ngligeant d'installer un correctif de scurit sur un tlphone intelligent. Btir une culture d'entreprise consciente des risques exige de dterminer les risques et les buts ainsi que de les communiquer l'ensemble de l'entreprise. Le personnel de gestion doit sans relche communiquer ce changement vers les niveaux hirarchiques infrieurs, tout en mettant en place des outils de suivi des progrs. Dvelopper la mission de scurit de l'entreprise et l'tendre de l'quipe des TI la gestion des risques en matire de scurit dans toute l'entreprise, et ce, sous la direction d'un gestionnaire possdant une vision stratgique de l'ensemble de l'entreprise. Concevoir une structure organisationnelle et un modle de gouvernance qui permettent l'identification et la gestion des risques de manire plus proactive. Communiquer avec le personnel et le former afin de le sensibiliser aux cyberrisques potentiels. Concevoir un systme de gestion qui s'appuie sur des politiques, des mesures et des outils appropris et assimilables. Gouvernance et conception organisationnelle valuation de la gestion des risques et laboration de programme valuation et dfinition des mesures de scurit Dveloppement de politiques Programme de sensibilisation en matire de scurit Chefs de la scurit de l'information la demande Conception de l'architecture de scurit de l'entreprise Offres d'IBM Mesures prendre pour y parvenir :
  • Page 14
  • IBM Security Services 2013 IBM Corporation 14 Pratique essentielle 2 : Grer de manire plus intelligente les incidents lis la scurit. Comment utiliser les renseignements de scurit au profit de votre entreprise? Imaginez que deux incidents lis la scurit similaires se produisent, l'un au Brsil et l'autre, Pittsburgh. Ils pourraient tre relis. Mais sans renseignements de scurit pour tablir un lien entre eux, un important schma pourrait passer inaperu. Des efforts doivent tre dploys l'chelle de l'entreprise pour mettre en uvre une analytique intelligente et des capacits de rponse automatises. La cration d'un systme automatis et unifi permet une entreprise de mieux contrler ses oprations et ainsi, ragir plus rapidement. Mettre sur pied une quipe qualifie responsable de grer les incidents et d'y rpondre, disposant des ressources suffisantes pour mener les investigations informatiques ncessaires. laborer une politique et une procdure unifies en matire de gestion des incidents. Tirer parti d'outils et de renseignements de scurit cohrents pour mener bien la gestion des incidents et les investigations informatiques. laboration d'un programme de rponse aux incidents Services d'intervention Mise en uvre de solutions d'investigation informatique Renseignements sur la scurit et gestion des vnements (SIEM) Service d'analyse des menaces X-Force d'IBM Mesures prendre pour y parvenir : Offres d'IBM
  • Page 15
  • IBM Security Services 2013 IBM Corporation Pratique essentielle 2 : Renseignements de scurit : intgration des donnes dans l'ensemble des silos TI dans le but d'engendrer de l'information exploitable Sources de donnes tendues Renseignements approfondis Connaissances extrmement prcises et exploitables += Corrlation des vnements tablissement d'une base de rfrence d'activits et dtection des anomalies Journaux Flux Rputation des adresses IP Emplacement gographique Activits des utilisateurs Activits des bases de donnes Activits des applications Activit rseau Activits des bases de donnes Serveurs et htes Activits des utilisateurs Information sur la vulnrabilit Information sur la configuration Identification des infractions Crdibilit Gravit Pertinence Dispositifs de scurit Activit rseau et virtuelle Activits des applications Infractions priorit leve
  • Page 16
  • IBM Security Services 2013 IBM Corporation De quel type d'attaque s'agissait-il? qui peut-on l'attribuer? Combien de cibles taient vises? L'attaque a-t- elle russi? O les trouve- t-on? Parmi ces cibles, certaines sont- elles vulnrables? Quelle est la valeur de ces cibles pour l'entreprise? O trouve-t-on les preuves? Pratique essentielle 2 : Transmission claire, prcise et complte de donnes pertinentes :
  • Page 17
  • IBM Security Services 2013 IBM Corporation Pratique essentielle 2 : Rgles et rapports de conformit Modles prts l'emploi axs sur des rglementations et des pratiques exemplaires particulires : Lois et normes suivantes : COBIT, SOX (Sarbanes-Oxley), GLBA, NERC, FISMA, PCI, HIPAA et UK GCSx Modles volutifs permettant d'intgrer de nouvelles rglementations et pratiques exemplaires, au besoin
  • Page 18
  • IBM Security Service...

Recommended

View more >