Upload
sebastien-gioria
View
599
Download
1
Embed Size (px)
Citation preview
Atelier Sécurité IT
Sébastien Gioria Rencontres du Numérique
Poitiers - 5 Juillet 2012
Thursday, July 5, 12
Agenda
• Introduction• Risques et Menaces
–Le vol de données–L’intrusion–Les réseaux sociaux et Internet
• Conclusion–Quelques solutions...
2
Thursday, July 5, 12
http://www.google.com/search?q=sebastien%20gioria
•OWASP France Leader & Founder - Evangéliste• OWASP Global Education Comittee Member
•Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y
@SPoint
• +15 ans d’expérience en Sécurité des Systèmes d’Information• Différents postes de manager SSI dans la banque, l’assurance et les
télécoms• Expertise Technique • PenTesting,• Secure-SDLC• Gestion du risque, Architectures fonctionnelles, Audits• Consulting et Formation en Réseaux et Sécurité
•Président CLUSIR Poitou-Charentes•Responsable du Groupe Sécurité des
Applications Web au CLUSIF
CISA && ISO 27005 Risk Manager
Thursday, July 5, 12
4
CLUSIF• Association sans but lucratif (création début des
années 80)
• > 600 membres (50% offreurs, 50% utilisateurs)• Promouvoir la sécurité de l’information• Partager
– Echanges homologues-experts, savoir-faire collectif, fonds documentaire
• Anticiper les tendances– faire connaître les attentes auprès des offreurs
• Sensibiliser les acteurs
Thursday, July 5, 12
CLUSIF - CLUSIR
• CLUSIR : – Association loi de 1901 libre de ses choix, statuts et travaux, agréé par le
CLUSIF. – S’engage à respecter le code d’éthique du CLUSIF.– Peut utiliser les moyens du CLUSIF (documents, agence de presse,
conférenciers, …).
• Le CLUSIR Poitou-Charentes : – Rompre l’isolement du RSSI/DSI– Partager les bonnes pratiques, via des groupes de travail ou non: – Informer et sensibiliser le dirigeant
Thursday, July 5, 12
Agenda
• Introduction• Risques et Menaces
–Le vol de données–L’intrusion–Les réseaux sociaux et Internet
• Conclusion–Quelques solutions...
6
Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique
4Source : Enquête 2012 du CLUSIF
Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique
4Source : Enquête 2012 du CLUSIF
Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique
4Source : Enquête 2012 du CLUSIF
Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique
4Source : Enquête 2012 du CLUSIF
Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique
4Source : Enquête 2012 du CLUSIF
Thursday, July 5, 12
La sécurité informatique , une affaire pour tous !
• Protection du savoir faire. • Protection des données
personnelles.• Protection du patrimoine de
l’entreprise.• Respect des obligations légales.
Critères de sécurité d’un
Système d’Information
Disponibilité
IntégritéConfidentialitéCONTRAINTES REGLEMENTAIRES
CNIL
DGI
SOX
LSF
PCI-DSSBALE Solvabilité 2
COMPLEXITE
8
Thursday, July 5, 12
Agenda
• Introduction• Risques et Menaces
–Le vol –L’intrusion–Les réseaux sociaux et Internet
• Conclusion–Quelques solutions...
9
Thursday, July 5, 12
Vol d’informations
• Toute donnée est bonne à exploiter : – Fichier des tarifs ou des clients.– Fichiers salariés.– Processus et savoir faire. – Proposition commerciale.– Carte Bancaire.– Des fichiers de traces techniques.
• Chaque donnée volée se vend sur Internet : – CB : moins de 1 $/numéro de carte– Les fichiers de traces : de l’ordre de 100 $
26Vol et perte d’informations
Thursday, July 5, 12
Pourquoi voler des informations ?
• Les voleurs d’informations sont bien organisés et sont de divers milieux : – Les gouvernements– La mafia– Des entreprises– Des étudiants/particuliers
• Percer des secrets d’Etat.• Blanchir de l’argent (via le recrutement de
«mules»).• Dénigrer une société/une personne.• Augmenter sa compétitivité.
ØOu tout simplement se faire de l’argent de poche !!
27Vol et perte d’informations
Thursday, July 5, 12
Vol de portable ?
15
Thursday, July 5, 12
39
Thursday, July 5, 12
14
Thursday, July 5, 12
Ingéniérie sociale...
15
Thursday, July 5, 12
Cartes Bancaires
16
Thursday, July 5, 12
Cartes Bancaires
16
Thursday, July 5, 12
Cartes Bancaires
16
Thursday, July 5, 12
Cartes Bancaires
16
Thursday, July 5, 12
Cartes Bancaires
16
Thursday, July 5, 12
Cartes Bancaires
16
Thursday, July 5, 12
Cartes Bancaires
16
Thursday, July 5, 12
Mauvais cru 2011....
Source Panorama Clusif 2011
17
Thursday, July 5, 12
Agenda
• Introduction• Risques et Menaces
–Le vol de données–L’intrusion–Les réseaux sociaux et Internet
• Conclusion–Quelques solutions...
18
Thursday, July 5, 12
Comment se passe une intrusion informatique par Internet
• Le pirate récupère des informations sur la cible (société) :– Via les moteurs de recherche– Via le site Internet de la société– Via les informations publiques disponibles sur
Internet• Le pirate « cartographie » le réseau de la cible :
– Il envoie des informations (légitimes ou illégitimes) à destination des serveurs Internet de la société et construit la carte du réseau
Vol et perte d’informations 28
Thursday, July 5, 12
Ce que vous voyez
20
Thursday, July 5, 12
Ce que voit un pirate
Vol et perte d’informations 29
Thursday, July 5, 12
Comment se passe une intrusion informatique par Internet
• Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées.
• Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille.
• Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …)
Vol et perte d’informations 30
Thursday, July 5, 12
Comment se passe une intrusion informatique par Internet
• Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées.
• Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille.
• Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …)
Vol et perte d’informations 30
Thursday, July 5, 12
Agenda
• Introduction• Risques et Menaces
–Le vol de données–L’intrusion–Les réseaux sociaux et Internet
• Conclusion–Quelques solutions...
23
Thursday, July 5, 12
Un peu d’histoire1969
2010Début d’internet
Le premier Ver (Morris) s’attaque aux serveurs
Arrivée du Web (Mosaic, HTTP/
0.9)
Invention du protocole SSL (par
NetScape)
Début du Haut débit pour tous…
Création de Google
Le début des réseaux sociaux (facebook,
twitter, linkedin, viadeo, …)
La première cyber-attaque
Le cloud computing, la démocratisation de la
virtualisation
Aurora…
2008 20092004 20061988 1992 1997 2000
2042
Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai raté ma vie personnelle
® Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée« Les gens sont à l'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg.
® Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook
® Août 2009 : 45% des recruteurs consultent des réseaux sociaux
® Décembre 2009 : Épinglés sur Twitter pour alcool au volant
® Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville
Les réseaux sociaux comme support de l’activisme…
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
•2011 => Le phénomène Anonymous...•2012 ?
Thursday, July 5, 12
site:*.gouv.fr "index of"
26
Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle
• Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate)– Exemple : site:*.gouv.fr "index of"
• Google est le premier site amenant du trafic :– Achats de mots clés, mauvais référencement, pollution des statistiques
•Février 2012 : Google Bombing sur François Hollande
Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle
• Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate)– Exemple : site:*.gouv.fr "index of"
• Google est le premier site amenant du trafic :– Achats de mots clés, mauvais référencement, pollution des statistiques
•Février 2012 : Google Bombing sur François Hollande
Thursday, July 5, 12
Si je ne suis pas sur Internet, je ne suis pas compétitif
• Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP(Internet) : énergie, surveillances et accès, pilotage des processus industriels (SCADA), …• Détection de fumée Orange : http://mamaison.orange.fr/
• SFR HomeScope : http://www.sfr.fr/vos-services/equipements/innovations/sfr-homescope/
• Automne 2009, des chercheurs démontre que l’isolation dans le Cloud EC2 d’amazon, c’est pas si bien faite que cela.
• Septembre 2009 : PME Française de VPC, vol de la base de données SQL via un fichier servant a la sauvegarde qui a été « oublié » sur le serveur Web. ⇒ Mailling des voleurs aux clients pour les informer…
• Janvier 2010 : un hacker diffuse des scènes pornographiques sur des panneaux de publicité en Russie….
Thursday, July 5, 12
29
Thursday, July 5, 12
Agenda
• Introduction• Risques et Menaces
–Le vol de données–L’intrusion–Les réseaux sociaux et Internet
• Conclusion–Quelques solutions...
30
Thursday, July 5, 12
Comment sécuriser son système d’informations
• S’assurer d’avoir mis en place des outils de sécurité tels des anti-virus, des firewalls, ….
• S’assurer que les données sont bien sauvegardées régulièrement et qu’il est possible de les restaurer !
• Etre attentif à tout comportement anormal sur un poste informatique.
9
Thursday, July 5, 12
Comment sécuriser son système d’informations
• Vérifier régulièrement qu’il n’y a pas eu d’altération de tout ou partie des applications métiers et de leurs bases associées.
• Fournir à tout salarié une charte de bon comportement informatique.
• Sensibiliser l’ensemble du personnel à la sécurité !
• Tester régulièrement sa sécurité (physique, logique et humaine !)
10
Thursday, July 5, 12
« Si vous trouvez que l'Education coûte trop cher, essayez l'ignorance ! »
Abraham LINCOLN33
Thursday, July 5, 12
Annexes
34
Thursday, July 5, 12
Risques et solutionsRisque Conséquences Parade à considérer
Destruction de la salle informatique
•Perte d’informations et de services
•Site de secours•Sauvegarde externalisée•Plan de reprise formalisé
Destruction de la médiathèque
•Perte d’archives•Perte de sauvegardes•Perte de données applicatives
•Externalisation des archives et des sauvegardes•Copie sur disque des donnéesDestruction/Arrêt de
la climatisation•Arrêt de serveurs•Altération des supports•Indisponibilité de l’immeuble ou de la salle
•Redondance des climatiseurs•Plans et moyens de secours pour les serveurs
Destruction/Coupure de l’alimentation électrique
•Panne de disques et détérioration de données•Arrêt de serveurs•Altération des supports
•Batteries et Onduleurs régulièrement testés•Dédoublement des arrivées électriques
Continuité et reprise d’activité 21
Thursday, July 5, 12
Risques et solutionsSystème Très Haute Disponibilité Moyenne Disponibilité Faible disponibilité
Serveurs Stratégiques
•Serveurs de secours dédiés situés sur un autre site en état de fonctionnement•Solutions de type Cluster/LoadBalancing
•Serveurs de secours dédiés situés sur un autre site. •Copie régulière des bases et des données
•Serveurs de secours situés sur un autre site, pouvant être mutualisés avec d’autres tâches
Réseau Local
•Redondance des équipements•Doublement des rocades de câblage
•Matériel et rocade de secours
•Matériel de secours•Kit de câblage volant.
Accès réseau externe
•Au moins deux arrivées séparées sur plusieurs points d’entrées, voire plusieurs sites•Maillage du réseau d’entreprise
•Nœud de secours externeContrat prévoyant l’intervention de l’opérateur avec engagement de résultats
•Engagement d’intervention du fournisseur avec obligation de résultats
Continuité et reprise d’activité 22
Thursday, July 5, 12
Risques et solutionsSystème Très Haute Disponibilité Moyenne Disponibilité Faible disponibilité
Téléphonie •Doublement de l’autocommutateur dans un local distant et bascule automatique des communications
•Contrat prévoyant le transfert d’appels par le fournisseur vers un site de secours prêt à réceptionner les appels
•Autocommutateur de secours.•Mise en place d’un message pré-enregistré.•Transfert des appels par le fournisseur sur le site de secours.Accès
Internet•Double connexion Internet sur tous les sites avec des fournisseurs différents •Mise en place du protocole réseau BGP4
•Connexion Internet sur le site de secours avec basculement manuel•Connexion Internet sur le site de secours avec basculement manuel
Continuité et reprise d’activité 23
Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger
31Vol et perte d’informations
Méthode employée
But poursuivi Difficulté pour l’aLaquant
Défense
Pourriels (SPAM)
•Envoi de courrier non sollicité à un internaute
•Vol de Numéro de CB, Installation de Logiciel Espion, …
•Aucune. Les sites internet regorgent d’adresses mails
•Un bon anti-spam•Contrôler la diffusion de son e-mail
Logiciel espion (spyware)
•Installation d’un logiciel sur le poste de l’internaute
•Obtenir les informations saisies par l’internaute sur tous les sites consultés •Obtenir des informations Internes à la société
•Faible : Il est très simple d’installer un logiciel en jouant sur la sensibilité de l’Internaute
•Disposer d’un logiciel anti-espion•N’installer que des logiciels dont la provenance est vérifiée.
Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger
32Vol et perte d’informations
Méthode employée But poursuivi Difficulté pour l’aLaquant
Défense
Hameçonnage (Phishing)
•Envoi d’un pourriel très bien fait et ressemblant à un vrai courriel du fournisseur
•Redirection vers un site qui ressemble à celui ciblé (souvent des sites bancaires ou assimilés)
•Obtenir les informations de connexion pour effectuer des transactions malicieuses
•Moyen à Fort
•Disposer de logiciel anti-hameçonnage•Ne pas faire confiance aux liens situés dans un courriel, surtout si ils redirigent vers un site qui «ressemble» au site officiel
Réseau de Robots/Mules (BotNet)
•Installation de logiciel à distance via des sites Internet ou le téléchargement de fichiers sur Internet
•Mettre en place un réseaux de machines permettant de lancer des attaques de grande envergure (déni de service, spam, …)
•Simple à Complexe :•Il suffit d’appâter les internautes avec des vidéos « inédites »
•Ne pas télécharger de «vidéos» inédites, ni de «logiciels» pour lesquels on n’est pas sûr de la source
Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger
33Vol et perte d’informations
Méthode employée But poursuivi Difficulté pour l’aLaquant
Défense
L’Intrusion informatique
•Recrutement d’une personne spécialisée pour « passer » outre les contrôles de sécurité
•Récupérer un fichier, détruire des données, modifier des données
•Simple à Complexe
•Auditer régulièrement sa sécurité informatique par des tests d’intrusions
Le vol de matériel
•Récupérer dans un lieu public ou non du matériel ou des documents
•Améliorer sa compétitivité, découvrir des secrets de fabrication
•Simple à Complexe
•Sensibiliser le personnel à la sécurité•Mettre en place des procédés de «chiffrement de données», des verrous logiciels ou matériel pour tout ce qui est sensible.•Broyeurs de documents.
Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger
34Vol et perte d’informations
Méthode employée But poursuivi Difficulté pour l’aLaquant
Défense
L’ ingénierie sociale
•Recrutement d’une personne se faisant «passer» pour un technicien de la société Vendée-NET qui doit : - Réparer le PC du PDG - Accéder à la salle de réunion pour vérifier la climatisation…
•Améliorer sa compétitivité, découvrir des secrets de fabrication
•Simple •Sensibiliser les salariés à la sécurité
Thursday, July 5, 12