Grandes Tendances Cyber Sécurité 2017...Présentation détaillant le fonctionnement d’une chaîne de démarrage des systèmes BIOS (UEFI ayant été exclu du périmètre) et des

toute reproduction interdite sans l'autorisation de l'auteurtoute reproduction interdite sans l'autorisation de l'auteur

Grandes TendancesCyber Sécurité

2017

1 2 3 4

CORIIN 2017

A NE PAS RATER

HACK IT N 2017

FIC 2017

Ordre du jour Retour sur les Conférences SécuritéCORIIN 2017, FIC 2017 & Hack IT N 2017

CYBER SECURITE toute reproduction interdite sans l'autorisation de l'auteur

2 3 41

CORIIN 2017

A NE PAS RATER

Hack IT N 2017

FIC 2017


Retour sur les Conférences SécuritéCORIIN 2017, FIC 2017 & Hack IT N 2017


➢ Présentation détaillant le fonctionnement d’une chaîne de démarrage des systèmes BIOS (UEFI ayant été exclu du périmètre) et des techniques utilisées par les malwares pour s’y loger.

➢ L’intérêt pour le sujet vient des problématiques d’analyse de systèmes critiques. Les bootkits s’installant hors de l’espace partitionné d’un disque peuvent donc plus facilement échapper aux analyses.

➢ Sébastien Chapiron et Thierry Guignard y présentent chaque étape d’une séquence de démarrage, comment un malware peut s’y trouver et les techniques d’analyse possibles pour tenter de débusquer du code malveillant ou plus généralement, toute situation déviant de la normale.

➢ Chacune des méthodes d’analyse décrites a été implémentée dans un outil complet et largement documenté, publié sous licence libre sur GitHub : https://github.com/ANSSI-FR/bootcode_parser

Détection post-mortem de « bootkits »Détection post-mortem de « bootkits »Sébastien Chapiron et Thierry Guignard (ANSSI)Sébastien Chapiron et Thierry Guignard (ANSSI)

https://github.com/ANSSI-FR/bootcode_parser

https://github.com/ANSSI-FR/bootcode_parser


➢ Les problématiques sont de rechercher les traces laissées par l’utilisation de services en ligne (cloud) comme les informations accessibles dans Google doc ou depuis une session GMail ouverte : liste de contacts, contenu des e-mails, conversations de messagerie instantanée, etc.

➢ Ils ont fait une démonstration mettant en avant les artefacts liés à l’édition de documents dans Google Drive : contenu des documents, historique des versions, marques de révision, commentaires, etc.

➢ La conférence permet de se rendre compte à quel point les services en ligne génèrent des traces importantes pour les investigations numériques et la complexité des développements nécessaires pour correctement en extraire des informations exploitables.

Analyse forensique du cloud en RAMAnalyse forensique du cloud en RAMPierre Veutin et Nicolas ScherrmannPierre Veutin et Nicolas Scherrmann


➢ Présentation sur la BlockChain permettant d’appréhender les Mixers. Stéphane Bortzmeyer a commencé par rappeler les bases de l’investigation numérique : à savoir :

➢ toujours chercher à évaluer le niveau de confiance qu’on peut accorder à une source (en l’occurrence, les services d’exploration comme blockchain.info)

➢ avoir conscience des informations qu’on transmet à un tiers qui peut ne pas être de confiance.

➢ La meilleure solution étant de réaliser tous les traitements en local, il convient juste dans le cas de Bitcoin de garder un peu d’espace disque de côté (environ 100 Go en janvier 2017).

➢ Stéphane Bortzmeyer rappelle ensuite que Bitcoin n’est pas une devise véritablement anonyme et qu’il est par exemple possible de lier un wallet à l’identité d’une personne si cette dernière a effectué des transactions depuis une place de marché qui connaît sa véritable identité (pour échanger des Bitcoins contre/depuis des devises « physiques ».

➢ Stéphane Bortzmeyer présente ensuite un aperçu des techniques pour brouiller les pistes des investigations sur ces types de transactions (Mixers) qui sont finalement assez proches de celles employées pour blanchir de l’argent « physique » : division d’une somme, passage par plusieurs intermédiaires, conversions dans des devises différentes…

Investigations sur la chaîne de blocs (BlockChain)Investigations sur la chaîne de blocs (BlockChain)Stéphane Bortzmeyer (AFNIC)Stéphane Bortzmeyer (AFNIC)



3 41 2

CORIIN 2017

A NE PAS RATER

Hack IT N 2017

FIC 2017


➢ D’ici un peu plus d’un an, en mai 2018, le RGPD nouveau règlement général européen sur la protection des données entrera en vigueur.

➢ Celui-ci introduira de nouvelles obligations de responsabilité, un renforcement des droits des consommateurs et des restrictions sur les flux de données internationaux.

➢ Cela impliquera notamment : ➢ Accountability : obligation de mettre en œuvre des mécanismes et procédures internes

permettant de démontrer le respect des règles relatives à la protection des données ➢ Privacy by default & by design : obligation de déployer des process permettant de tenir

compte de la protection des données dès la conception et par défaut ➢ Obligation de sécurité renforcée (pour les responsables de traitements et les sous-

traitants) et gestion des failles de sécurité

➢ En cas de non-respect de la réglementation, les administrations ou associations contrevenantes s’exposent à des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, pour une entreprise privé, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

GDPR, GDPR, General Data Protection RegulationGeneral Data Protection Regulation, RGPD, , RGPD, Règlement Règlement général sur la protection des donnéesgénéral sur la protection des données, et l’avènement du , et l’avènement du DPODPO le le CIL de demainCIL de demain


➢ Habituellement une société voulant tester la sécurité de son SI fait appel à une SSII pour une prestation de PenTest. Mais le pentesting est une opération ponctuelle qui fait appel à des ressources humaines limitées. D’autre part les scans automatiques remontent beaucoup de faux positifs et ne fournissent pas de scénarios d’exploitation.

➢ Un Bug Bounty consiste à faire appel à une plate-forme d’experts indépendants pour identifier des failles de sécurité dans son système d’information et à ne les payer que quand ils en découvrent.

➢ En somme on passe d’une obligation de moyen, à une obligation de résultat.➢ Aujourd'hui, le marché du Bug Bounty se scinde en deux approches.

➢ Le modèle public est celui dans lequel l'entreprise cliente fait appel à toute personne intéressée via un appel sur Internet. Sur ce terrain, les initiatives les plus récentes ont par exemple été lancées par Tesla pour hacker ses voitures connectées en 2015, ou encore par le Département de la Défense des États-Unis - via un programme de mise à l'épreuve de sa cybersécurité en mars dernier. Certains grands acteurs proposent des programmes de Bug Bounty permanents comme Microsoft, Facebook, ou encore Google (via son programme Vulnerability Reward).

➢ Le modèle privé du Bug Bounty repose sur un contrat entre une entreprise intermédiaire et ses clients. C'est ce modèle qui émerge actuellement, car il présente quelques garanties, aussi bien pour les clients que pour les chasseurs de failles. Des jeunes pousses se sont lancées ces dernières années avec pour but de servir d'intermédiaires entre chasseurs de failles et clients potentiels.

BUG BOUNTYBUG BOUNTY


➢ En France, il y a trois sociétés qui se sont positionnées sur ce créneau avec des modèles un peu différents :

➢ Yogosha (dont NYSTEK est partenaire),➢ Bug Bounty Zone,➢ Bounty Factory.

➢ Frédéric fera une présentation du Bug Bounty au prochain Afterwork du CLUSIR Aquitaine le 14 Février 2017.

BUG BOUNTYBUG BOUNTY


BLOCKCHAINSBLOCKCHAINS


IOTIOT

Hack IT N 2017

4

xx

1 2 3

CORIIN 2017

A NE PAS RATERFIC 2017




➢ Intervention détaillant l’anonymisation et la pseudonymisation des données personnelles pour être en règle avec la CNIL et la RGPD

➢ Jean-Philippe Gaultier nous expliquant qu’ il est possible, même sans outils spéciaux, d’anonymiser des données personnelles en créant des scripts sql :

➢ avec suppression d’une colonne d’une table,➢ Hmac d’une colonne dans une table (md5,sha1…etc) (substitution),➢ mélanger les champs d’une colonne (conservation))

Besoin d'anonymisation chez un opérateur d'importance vitaleBesoin d'anonymisation chez un opérateur d'importance vitaleJean-Philippe Gaulier CISO Group OrangeJean-Philippe Gaulier CISO Group Orange


➢ Le cadre législatif et réglementaire dont la RGPD

➢ Quelque soit le périmètre d'activité, l'aspect réglementaire de la cybersécurité est de plus en plus contraignant. L'époque où les entreprises cherchaient uniquement à renforcer leur sécurité informatique suite à une attaque est - quasiment - révolue. Désormais, les DSI doivent s'adapter à la réglementation et s'adressent pour cela de plus en plus souvent en amont à des prestataires qui maîtrisent celle-ci parfaitement bien. Cela nécessite de pouvoir adapter facilement ses services, ses produits et leurs applications à une nouvelle législation.

➢ En Europe, la culture de la protection des données est bien plus forte que dans le reste du monde et les entreprises doivent s'adapter à ces disparités.

➢ Les géants l'ont bien compris et commencent à s'adapter au marché européen : c'est le cas de Microsoft, qui a décidé, en septembre dernier, d'ouvrir deux infrastructures dédiées à Azure, sa plate-forme de Cloud computing, en Allemagne. Et ainsi rassurer les autorités réglementaires européennes sur la localisation des données du géant américain.

Table ronde sur les enjeux de la Cyber SécuritéTable ronde sur les enjeux de la Cyber Sécurité


➢ Le paradoxe de l'agilité

➢ "Votre entreprise doit être agile, mais elle doit être sécurisée". Cette schizophrénie professionnelle ne date pas d'hier, mais elle constitue un casse-tête encore non résolu par beaucoup de DSI.

➢ D'un côté, une entreprise doit être à l'écoute de ses nouveaux clients, être en mesure d'accélérer son développement, surveiller les innovations de son secteur, s'adapter aux évolutions de celui-ci et, le plus souvent, dans un laps de temps très court.

➢ De l'autre, les clients et interlocuteurs, mais aussi les moyens de communiquer avec eux sont de plus en plus nombreux, le risque de menaces informatiques potentielles est donc croissant. Pour répondre à cette double exigence, l'entreprise doit fluidifier les échanges et la connaissance mutuelle entre les équipes métiers et les équipes informatiques C’est ce qui s’appelle le DEVOPS ou plutôt le SECDEVOPS / DEVOPSSEC

➢ Par exemple, de nouveaux rôles transversaux apparaissent dans les organisations comme les Chief Data Officer (directeur des données) dont l'une des principales missions consiste à garantir de la protection des données personnelles.



➢ Faire des infrastructures des atouts et non des faiblesses

➢ Considérer les infrastructures comme un simple tuyau dans la problématique de la cybersécurité est une erreur, car elles connectent tout et permettent de consolider la protection des données. L'avènement de l'IoT accentue cette tendance. Il est impératif de sécuriser ces objets connectés, mais également leurs usages et les applications qui permettent de les utiliser.

➢ Pour éviter de transformer ses nouveaux objets tous connectés en zombies, il eut fallu par exemple les cartographier et les auditer, écarter les constructeurs négligents, patcher les systèmes de protection, cloisonner et protéger les réseaux, mais aussi protéger le système de gestion de l'ensemble des terminaux connectés, etc. Autant d'étapes cruciales qui sont le plus souvent négligées.



➢ La sensibilisation, encore et toujours

➢ Après 25 ans de cybersécurité, la priorité reste la sensibilisation des utilisateurs et des entreprises aux risques encourus. Les vulnérabilités sont de plus en plus nombreuses et les pirates de plus en plus malins. La sensibilisation à ces menaces doit constituer un message continu et prioritaire. De nouvelles vulnérabilités apparaissent constamment et la veille figure bien sûr parmi les tâches de base d'un responsable de la sécurité.

➢ Cependant, il est primordial de garder l'utilisateur dans la boucle de la veille de sécurité : formations, messages informatifs, explications sur les différents accès et la sécurisation des mots de passe, autant de points à ne pas négliger pour assurer la cybersécurité de l'entreprise. L'adhésion de l'élément humain dans la chaîne de vulnérabilité est indispensable pour la protection des données dans le cadre professionnel et si ces pratiques progressent, elles ne sont pas encore suffisantes pour réduire les risques.

➢ Malgré les nombreux experts en sécurité, les certifications développées pour protéger les entreprises et les solutions mises en place, la problématique de la sécurité des données n'a jamais été aussi présente. Cependant, la vulnérabilité viendra toujours de l'Homme, voilà pourquoi il est indispensable d'intégrer la compétence et les comportements humains au coeur des problématiques de sécurité en entreprise. C'est par ce biais que la lutte contre la cybersécurité prendra un virage stratégique. Et qui sait, inversera la tendance en 2017 ?


1 2 3 4

CORIIN 2017

A NE PAS RATER

Hack IT N 2017

FIC 2017




➢ GDPR (General Data Protection Regulation) en Français RGPD (Règlement général sur la protection des données) et l’avènement du DPO (le CIL de demain)

➢ Bug Bounty

➢ Sécurité des IOT

➢ BlockChain

➢ Malware / RansomWare

Sujets Cyber Sécurité à ne pas rater en 2017Sujets Cyber Sécurité à ne pas rater en 2017

1 2 3

CORIIN 2017

A NE PAS RATER

Hack IT N 2017

FIC 2017



4PROCHAINES ÉTAPES...

Nous serions ravis de vous rencontrer

pour en discuter davantage


Quelles sont vos disponibilités ?


NYSTEK vous accompagne dans la réalisation de vos projets CYBER SÉCURITÉ


NYSTEK Éditions – Paris 238 Route de l’Empereur 92500 Rueil-MalmaisonTel : 06 09 17 80 44Mail : [email protected]

NYSTEK Consulting – Bordeaux 38 Rue Corniche de la Meyjande

Carreyre33680 Lacanau

Tel : 06 09 17 80 44Mail : [email protected]

NYSTEK – Montréal 1455, rue Drummond Bureau 2BMontréal (Québec) H3G 1W3 CanadaTel : (+1) 514.447.2150Mail : [email protected]

Contactez-nous


Documents

Grandes Tendances Cyber Sécurité 2017...Présentation détaillant le fonctionnement d’une chaîne de démarrage des systèmes BIOS (UEFI ayant été exclu du périmètre) et des