Dossier de presse - Assises de la Sécurité 2016

CO N TACTS PR ESSE :

BALABIT | CHEAPSET | CROSSING SKILLS | F5 NETWORKS GUIDANCE SOFTWARE | NOMIOS | OLFEO | PRIM’X | SENTINELONE

SKYHIGH NETWORKS | THREATQUOTIENT | VADE SECURE | VARONIS

DOSSIER DE PRESSE

Laëtitia Berché :[email protected]

06 14 48 02 95

Rémi Brossard :[email protected]

06 62 70 56 50

Aurélien Rouby : [email protected]

06 70 68 49 32

Ça bulle dans les RP...Retrouvez la dernière BD de Yann Serra sur www.cymbioz.com

2016, L’ANNÉE DU RANSOMWARE

OIV - 1ERS ARRÊTÉS PUBLIÉS : PAR OÙ COMMENCER ?

QUELLE PLACE POUR LE RSSI, À CÔTÉ DES NOUVEAUX MÉTIERS LIÉS À LA DONNÉE ?

OUTRE LES TECHNOLOGIES, QUELS SONT LES MOYENS DE SENSIBILISER LES UTILISATEURS DE L’ENTREPRISE À LA SÉCURITÉ ?

COMMENT PALLIER LE MANQUE DE SÉCURITÉ DES OBJETS CONNECTÉS ?

LES TECHNOLOGIES DE SÉCURITÉ DE DEMAIN

QUAND LE DANGER VIENT DU CLOUD

LE PIRE CAUCHEMAR DES RSSI EST DÉJÀ À L’INTÉRIEUR DE L’ENTREPRISE

CHIFFREMENT : JUSQU’OÙ FAUT-IL ALLER ?

LE SECTEUR DE LA FINANCE EN LIGNE DE MIRE

LA VALORISATION DES TECHNOLOGIES FRANÇAISES À L’INTERNATIONAL

04 / 05

06 / 07

08 / 09

10 / 11

12 / 13

14 / 15

16 / 17

18 / 19

20 / 21

22 / 23

24 / 25

Sommaire

04

Petya, Locky, Samas, Satana, Cerber, Surprise… Recherche charmant petit nom pour attaque infor-matique très rentable. Ce pourrait être le titre d’une petite annonce. Nous n’en sommes plus très loin. Les créateurs de ransomwares ne se gênent pas pour marketer leurs outils et se rendre visibles sur Internet pour enrôler des volontaires prêts à diffuser leurs ransomwares le plus largement possible.

2016, L’ANNÉE DU RANSOMWARE|

Un minimum d’efforts pour un maximum de résultats : c’est la tendance du ransomware-as-a-service (RaaS) apparue en 2016 (Cerber ou Shark).

Le nombre de variantes de ransomware augmente (Satana était une évolution de Locky qui était lui même une évolution de Petya, lui même une évolution de Dridex, etc.) et la technicité de ces attaques se renforce.

Les TPE/PME en première cible.”

120 FAMILLES

DE RANSOMWARE

IDENTIFIÉES

LOCKY

CERBER

PETYA

SATANA

SURPRISE

SHARK

PAGES 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

05

En France, les vagues de Locky continuent d’être mas-sivement diffusées (notamment via le botnet Necurs), avec des pics fin août/début septembre. Le business Locky reste donc très lucratif pour les cybercriminels.

Malgré l’incidence croissante des attaques par ran-somware, les entreprises ne sont pas particulièrement au fait des pratiques des cybercriminels. Une étude IoD and Barclays a montré que seulement 28 % des cas de cyber extorsion sont signalés aux autorités, soulignant ainsi que les victimes préfèrent payer des rançons plutôt que la diffusion de données sensibles et la mauvaise publicité associée.

Régis Benard, responsable du filtre Vade Secure pointe du doigt une nouvelle tendance : « Des ransomware tentent de se faire passer pour Locky pour faire peur aux cibles visées et leur faire croire qu’elles sont obligées de payer, sans autre solution. En réalité, ces souches de ransomware (Bart ou PowerWare par exemple) sont beaucoup moins dangereuses car le cryptage peut être cassé, même avec des outils gratuits. Il faut désormais savoir distinguer le vrai Locky, de ces imitations ».

Lionel Goussard, responsable France SentinelOne : « Nous voyons au moins une demi-douzaine de nouvelles variantes de ransomware chaque semaine. La plupart de ceux que nous avons analysé, comme les variantes Petya ou CryptXXX par exemple, n’étaient pas si sophistiquées et sont faciles à obtenir sur le darkweb. Les ransomwares offrent un bon retour sur investisse-ment, pour une dépense autour de 60 euros ».

AgendaRegard sur les menaces détectées par F5 Labs Jeudi 06/10 à 16h00 – F5 NETWORKS

Les objets connectés, nouvelles cibles des ransomwares ?

Pourquoi les outils de protection ne se sont pas adaptés à un modèle d’attaque désormais connu ?

Décrypter les fichiers, c’est possible ? Comment repérer les imitations, des vrais ransomwares ?

Comment concrètement les collaborateurs de l'entreprise sont sensibilisés aux bonnes pratiques ?

F5 Networks @F5_France

Nomios@NomiosFR

SentinelOne @SentinelOneFR

Varonis@VaronisFR

Vade Secure @VadeSecure

Réflexions

Parlez-en avec eux…

Retrouver cet article sur www.cymbioz.com

06

La mise en place des dispositions réglementaires relatives à la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) se poursuit, comme prévu. Six nouveaux arrêtés sectoriels ont été publiés le 25 août au Journal Officiel. Ils fixent « les règles de sécurité, à la fois organisationnelles et techniques, s’appliquant aux systèmes d’information d’importance vitale (SIIV) et les modalités de décla-ration des systèmes d’information d’importance vitale et des incidents de sécurité ». Il s’agit des activités d’approvisionnement en énergie électrique, en gaz naturel et en hydrocarbures pétroliers ainsi que des transports terrestres, maritime, fluvial, et aérien. Ces arrêtés entrent en vigueur le 1er octobre 2016. Ils font suite aux premiers arrêtés sectoriels (eau, alimentation, santé) qui ont tous trait à la protection des citoyens, entrés en vigueur le 1er juillet dernier.

OIV - 1ERS ARRÊTÉS PUBLIÉS : PAR OÙ COMMENCER ?|

Dès l’entrée en vigueur des arrêtés, tous les OIV seront tenus de déclarer à l’ANSSI leurs incidents de sécurité. Les règles auxquelles sont soumis les OIV traitent les aspects liés à la gouvernance du SI, à la maîtrise des risques, à la maîtrise du SI, à la gestion des incidents de sécurité et à la protection des systèmes.

CHAQUE OIV DEVRA ÊTRE CONFORME À 20 RÈGLES DE SÉCURITÉ :

© S

olu

com

07

Comment les OIV peuvent-ils mobiliser leurs dirigeants et leurs équipes sur ces obligations ?

Où en est la qualification et la certification des partenaires de confiance par l’ANSSI ?

Crossing Skills @drambaldini


Guidance Software @EnCase

Nomios@NomiosFR

Prim’X @ITSecurFeed

ThreatQuotient@ThreatQuotient

Réflexions


Fortunato Guarino, Consultant solutions Cybercrime et Data Protection Guidance Software livre son ana-lyse : « Parmi les exigences définies par l’ANSSI, les OIV ont pour obligation de surveiller et identifier les IoC identifiés par l’ANSSI dans leur infrastructure (3000 IoC identifiés par l’ANSSI en 2015). Grâce à l’ANSSI, les OIV ont une vraie base de travail et savent quoi surveiller. La mission est toutefois de taille car leur parc de machines et objets connectés est potentiel-lement énorme et en pratique les OIV n’ont pas tous les moyens humains et financiers pour se protéger comme cela leur est demandé ».

La définition du périmètre sur lequel le corpus des règles LPM va se décliner est d’ailleurs la pierre angulaire pour nombre d’OIV. Par exemple, les entreprises collectent des volumes considérables de données sur leurs salariés, contenues dans les logs. D’après Balabit, les entreprises collectent en moyenne 238 millions de logs chaque jour alors qu’elles sont capables d’en analyser seulement 33 %. Pour superviser de la meilleure des façons leur sécurité, les entreprises devront déjà être capables d’analyser ces logs pour être conscientes de ce qu’ils contiennent.


08

QUELLE PLACE POUR LE RSSI, À CÔTÉ DES NOUVEAUX

MÉTIERS LIÉS À LA DONNÉE ?|

Les nouveaux métiers de l’innovation doivent collaborer avec les métiers de la rationalisation, et en premier chef, avec celui du RSSI.

C’est surtout sur les aspects organisationnels et méthodologiques que le métier du RSSI va évoluer.

Data mining, data analytics, data science, data crunching, data design, data wranling, les processus liés à

l’extraction, à la collecte, à l’analyse et au traitement, ou encore à l’exploita-tion des données se déclinent dans toutes leurs formes et dans tout secteur d’activité. C’est par la donnée que beaucoup d’organisations et même depuis peu les partis politiques, ima-

ginent et structurent leur projet d’inno-vation et de transformation, y compris de leurs métiers, dans cette quête sans fin de performance.

137 000 créations d’emplois dans la data, attendues par le gouvernement dans les 5 ans.

“

”

09

Jusqu’où aller dans l’exploitation des données ?

Comment le big data peut aider le RSSI dans ses nouvelles fonctions ?

RSSI / DPO : comment collaborer ?

Crossing Skills @drambaldini


Skyhigh Networks @SkyhighNetworks

Réflexions


C’est pourquoi dans les entreprises, sans de réelle conviction sur la place à leur donner dans l’organi-sation, émergent de nouveaux métiers comme les data scientists, dont l’ingénierie consiste à manipuler les données via des algorithmes pour en créer de l’information utile à destination des métiers ; des Chief Data Officer dont la vocation est plutôt de veiller les données et de les exploiter au sens marketing du terme ; ou encore les Data Protection Officer, nouveaux futurs garants de la protection de la vie privée dans les trai-tements de l’entreprise, dont le récent GDPR (General Data Protection Regulation) va accélérer l’émergence.

Dans ce nouvel écosystème, le RSSI a non seulement toute sa place, mais une place pivot de tous les autres métiers. La plus grande mutation porte surtout sur le « i » de RSSI. C’est en effet la matière première - l’information - qui va s’entendre de façon plus large du fait du caractère exponentiel mais également volatile des données. Donc si intrinsèquement, les tâches du RSSI restent les mêmes - il doit toujours en effet veiller à la sécurité de son système face aux risques et la superviser - le RSSI va devoir se réapproprier le périmètre qu’il doit protéger, et faire preuve d’imagination fertile pour anticiper les menaces en dévoilant les convoitises que pourraient susciter les data qu’il couvre.

« Le RSSI idéal sera capable de faire converger la DSI, les juristes, les DPO, les métiers, et les faiseurs de données, en assimilant leurs besoins et en leur faisant intégrer les siens, et pourquoi pas être aussi celui qui bénéficiera des effets positifs du big data dans la supervision de sa sécurité » explique Diane Rambaldini, fondatrice Crossing Skills.

S’il était déjà fortement conseillé de requérir les compétences d’un RSSI à l’aisance relationnelle développée avec les métiers, c’est aujourd’hui à un facilitateur et un animateur né, doté d’un leadership puissant, et capable de sponsorship dans l’entreprise que le RSSI devra ressembler. Formidable effet de levier pour ce métier, la grande nouvelle au fond, c’est que le RSSI ne mangera plus tout seul à la cantine.

AgendaLe RSSI doit se digitaliser ou disparaître ? Mercredi 05/10 à 17h00 – CESIN

La SSI est-elle réellement un sujet de Comex ? Vendredi 07/10 à 15h00 – CIGREF


010

OUTRE LES TECHNOLOGIES, QUELS SONT LES MOYENS

DE SENSIBILISER LES UTILISATEURS DE L’ENTREPRISE

À LA SÉCURITÉ ?|

L’entreprise ne parvient pas à capter l’attention de ses utilisateurs, à rendre l’idée même de cette sensibilisation intéressante à leurs yeux. Pourtant, sans captation d’attention, pas d’écoute, pas de mémorisation.

L’entreprise ne parvient pas à rendre les utilisateurs acteurs de cette sensibilisation, et encore moins « héros » d’une situation critique que la systématisation de leurs bonnes pratiques pourrait régler.

Il n’est pas question de revenir sur toutes, mais de nombreuses études révèlent que si les entreprises sont beaucoup plus conscientes et engagées sur le thème de la sécurité des systèmes d’Information, la sensibilisation de leurs utilisateurs n’a pas encore les résultats escomptés. Et pourtant, certaines n’ont pas ménagé leurs efforts : Serious games, vidéos, … Même le marché de la cyber-sécurité a vu émerger des offreurs spécialisés dans la sensibilisation.

La sensibilisation en cybersécurité

ne fait pas exception. Sur une même activité,

le temps maximal de concentration

du cerveau est de 3 minutes.

le saviez-vous ?

“

”< 3 mn

11

S’il est évident que les technologies offrent aujourd’hui et à moindre coût des modules de sensibilisation (MOOC, vidéos interactives, etc.) à tous les profils, il n’en demeure pas moins que le schéma reste le même : un humain face à un écran, ce qui accentue encore davantage le rapport Homme / Machine, au moment même où dans un rapport plus équilibré, c’est l’Homme qui devrait dicter à l’Homme, la façon de contrôler la machine. Si ces outils sont déjà une forte avancée, que le sujet monte dans les préoccupations de l’entreprise, il conviendrait toutefois de les compléter.

“L’image du RSSI isolé dans l’entreprise prouve à quel point sa fonction est encore très méconnue. Pour une fonction transverse comme la sienne, c’est presque inacceptable. Et c’est presque vrai de tous les services informatiques. La sensibilisation des uti-lisateurs se fera de façon beaucoup plus fluide le jour où l’ensemble du personnel connaîtra le RSSI et sa responsabilité. Les utilisateurs seront réceptifs quand ils connaîtront la réalité de ce à quoi leur entreprise échappe ou est confrontée au quotidien. C’est un partage d’informations que doivent organiser le RSSI, les métiers et qui doit être sponsorisé par la direction générale” explique Diane Rambaldini, fondatrice Crossing Skills.

On oublie souvent que systématiser de bonnes pratiques au quotidien, c’est d’abord les mémoriser. Impliquer l’utilisateur dans la sécurité de son entreprise ne peut passer nécessairement que par une sensibilisation qui lui parle de LUI dans sa sphère globale, c’est-à-dire aussi bien professionnelle que privée, et le place comme un maillon central de cette chaîne. S’adresser au collaborateur comme au bon père de famille est donc primordial pour l’apprentissage. Par ailleurs, faire part aux utilisateurs de leur progression quant à l’adoption des bonnes pratiques ne peut qu’être qu’une source de motivation supplémentaire.

Si la sensibilisation des utilisateurs suscite discussions, débats et réflexions profondes sur les impacts de leurs comportements numériques, alors c’est un pari gagnant pour l’entreprise.

Comment mixer les outils de sensibilisation dans l’entreprise pour parler à tous les cerveaux ?

Comment faire adopter une charte utilisateur autrement pour de meilleurs résultats ?

La sensibilisation a t-elle su adapter son discours à tous les niveaux de maturité présents dans l’entreprise ?

Crossing Skills@drambaldini

Olfeo@olfeo


Réflexions



12

Les piratages à répétition ne tendent pas vers la confiance des entreprises : caméras de surveillance connectées piratées pour créer un réseau botnet et mener des attaques DDoS, piratage de voitures,

d’armes, etc. Les cybercriminels innovent et nombreux sont les experts à pointer du doigt le fait que la sécurité n’est pas une prio-rité suffisante pour les concepteurs d’objets connectés.

COMMENT PALLIER LE MANQUE DE SÉCURITÉ

DES OBJETS CONNECTÉS ?|

Le principal frein du marché

de l’IoT dans les entreprises

est la sécurité pour 40 %

des professionnels (Source GFK 2015) ”

“Les cas de piratage d’objets connectés se multiplient : caméras de surveillance, jouets, automobiles, etc.

29 % des entreprises ont des projets liés à l’IoT, mais seuls 10 % ont commencé à les mettre en œuvre (source GFK 2015).

L’enjeu est double : la protection des données personnelles et la crainte d’attaques majeures sur les réseaux des entreprises.

le saviez-vous ?

13

Arnaud Cassagne, Directeur des Opérations de l’intégrateur Newlode livre sa vision sur le sujet : « La sécurité est souvent considérée comme un centre de coût important alors que les fabricants sont soumis à des contraintes économiques et à la nécessité de commercialiser leurs produits le plus rapidement possible. La sécurité, si elle vient à être prise en compte, n’apparaît concrètement dans le cahier des charges, qu’une fois le projet lancé sur le marché et déjà financièrement viable ».

Quelques règles de base pour éviter l’intrusion de malware via les objets connectés ou bien pour garantir la sécurité de ses données et de celles des utilisateurs :

Mises à jour régulières des logiciels sous-jacents aux objets connectés.

Mesures de protection permettant d’adresser la problématique des objets déjà corrompus, afin de réduire la probabilité qu’ils infectent d’autres équipements, qu’ils aient le temps de recueillir des informations critiques ou qu’ils servent de cheval de Troie pour d’autres attaques (firewalls, antivirus, proxy et IPS).

Solutions dédiées à la sécurité des objets connectés et permettant de contrôler leurs accès vers le monde extérieur.

Côté protection, le marché émergent de l’Endpoint Detection & Response apporte une réponse concrète au challenge majeur de la sécurité des objets connectés, en permettant de détecter les indices de compromis-sion en temps réel sur chacun des endpoints présents sur le réseau de l’entreprise.

AgendaLa face cachée des véhicules intelligentsVendredi 07/10 à 15h00

Face à l’ampleur du développement de l’IoT, faut-il imposer des règles ?

Quelle prise en compte de la sécurité par les entreprises dans le cadre de leurs projets IoT ?

Faut-il craindre les attaques de ransomware ciblant les objets connectés dont les premiers cas viennent d’éclore ? Qu’attendre des initiatives AllJoyn ou Internet IIC ?


Newlode / Cheapset @newlode / @CheapsetFR

Nomios@NomiosFR

Réflexions



14

Analyse comportementaleBasée sur des algorithmes de machine learning, l’UBA permet de créer l’empreinte digitale de ses employés - à privilèges par exemple - pour détecter les compor-tements anormaux en temps réel. Balazs Scheidler, co-fondateur et CTO de Balabit : « Le comportement doit devenir la nouvelle authentification des utilisa-teurs. Le mot de passe est facile à compromettre alors que l’habitude comportementale propre à un individu est impossible à copier ».

L'analyse du comportement des entités et des utili-sateurs (UEBA - User and Entity Behavior Analytics) assure la sécurité via un profilage statistique et une détection des anomalies basés sur l’apprentissage machine. La technologie UEBA peut analyser un large éventail de données brutes, notamment une action, des objets, le nombre d’octets téléchargés ou trans-férés, le nombre d’accès à un service, le taux ou l’heure

Les cyber criminels ont un avantage technologique considérable sur les technologies actuelles, qu’ils soient groupusculaires ou gouvernementaux.

L’affaire du vol d’outils perpétré par le groupe de hackers Shadow Brokers contre la NSA, révèle un peu plus la sophistication des outils d’attaque aujourd’hui utilisés par les cybercriminels… et donc également par les États eux-mêmes.

Les éditeurs de sécurité tentent de suivre le rythme, mais le gap entre les protections en place et le niveau technique des attaques est important.

LES TECHNOLOGIES DE SÉCURITÉ DE DEMAIN|

15

d’accès, etc. À partir de cette masse d’informations, l’UEBA aide les entreprises à élaborer des modèles comportementaux et à surveiller en permanence tout comportement ou évènement qui s’écarterait, même de manière subtile, de la norme.

Renseignement sur la menaceMettre l’information au cœur de la sécurité, c’est ce que proposent les feeds d’information sur les menaces aux solutions de Threat Intelligence, pour automatiser la détection des IoC, dans les SOC, CERT, et mieux connaître ses adversaires. Le Gartner prévoit un taux de pénétration des solutions de Threat Intelligence de 50 % dans les SOC d’ici à 2018. « Les sources professionnelles de Threat Intelligence, proposent des mises à jour de marqueurs différenciés par prédateurs (adversaires), par victimes (cibles) et par zones géographiques » précise Cyrille Badeau, directeur Europe du Sud ThreatQuotient.

La réponse aux incidentsLe marché émergent de l’Endpoint Detection & Response - EDR a pour vocation d’offrir une visibilité complète et à 360° sur les très nombreux terminaux (postes de travail, et mieux encore désormais les objets connectés…), pour améliorer les capacités de détection des activités malicieuses de l’entreprise, et simplifier la réponse aux incidents.

AgendaRGPD : comment se préparer au plus tôt à être conforme au nouveau règlement Jeudi 06/10 à 11h00 – GUIDANCE SOFTWARE

Les solutions technologiques de demainJeudi 06/10 à 17h00 – NEWLODE GROUP

L’analyse comportementale pour détecter les attaques internes et externesVendredi 07/10 à 10h00 – BALABIT IT SECURITY

Sécurité nouvelle-génération en action Live démo avec SentinelOneVendredi 07/10 à 12h00 – SENTINELONE

Retour d'expérienceImplémentation de la notion de Threat Intelligence au sein des opérations de sécuritéVendredi 07/10 à 11h00 – THREATQUOTIENT

Les cyber criminels auront-ils toujours un temps d’avance ?

Comment optimiser le travail et l’efficacité des analystes sécurité ?

Les CERT, SOC, SOC managés sont-ils destinés à se généraliser ?

Balabit@balabit


Newlode / Cheapset @newlode / @CheapsetFR

SentinelOne@SentinelOneFR


Varonis@VaronisFR

Réflexions



16

QUAND LE DANGER VIENT DU CLOUD|

Parmi les types d'applications cloud les plus fréquemment utilisées figurent les services de travail collaboratif et de partage de fichiers.

D'ici à 2020, 85 % des grandes entreprises utiliseront un produit CASB pour leurs services cloud, alors qu’on en compte moins de 5 % aujourd'hui ».

Les RSSI doivent suivre de près le référentiel Secure Cloud de l’ANSSI pour évaluer les prestataires de Cloud.

Selon Skyhigh Networks, 500 à 600 applications Cloud en moyenne sont utilisées dans les entreprises sans que la DSI n’en soit informée. Pour répondre à la problématique du shadow IT, l’entreprise doit tout d’abord réaliser l’inventaire des applications dans le Cloud en interrogeant les utilisateurs. Cette démarche

5 % des services cloud utilisés au sein de l’entreprise sont connus de l’IT (Cloud Adoption & Risk Report de Skyhigh Networks, 2016)

“

”

17

Comment les RSSI peuvent-ils obtenir une visibilité sur les services cloud utilisés au sein de leur entreprise ?

Comment protéger les données avant qu’elles ne partent dans le Cloud ?

Combien de services Cloud une entreprise utilise t-elle en moyenne ?

Cheapset @CheapsetFR / @newlode

Nomios@NomiosFR


Réflexions


permettra notamment de faire adhérer les utilisa-teurs aux projets menés par l’IT (pourquoi l’entreprise utilise un service de partage de données, plutôt que celui utilisé par les employés de manière autonome), comprendre les besoins spécifiques des utilisateurs pour lancer de nouveaux projets (plutôt que de les laisser recourir à leurs propres solutions dans le Cloud), et enfin sensibiliser les utilisateurs à la sécurité.

Quatre recommandations pour traiter les besoins de sécurité du cloud :

Demander au département informatique une évaluation des services cloud utilisés par les employés, montrant leur utilisation, le volume des données transférées et l’estimation des risques pour chaque fournisseur de cloud.

Créer une équipe d’intégration d u cloud au sein de l’entreprise allouant une place pour les employés de plusieurs services : risques, IT, finances, RH, juridique…

Définir des politiques en matière de services cloud, par quels moyens les utilisateurs peuvent demander l’accès à de nouveaux services et les critères de décision à prendre en compte pour ajouter au catalogue les services validés.

Informer les employés des risques de pertes de données, des dangers inhérents au cloud et des procédures à respecter.

« Le nerf de la guerre consiste à disposer d’une console unique pour suivre la sécurité de chaque infrastruc-ture au service de l’organisation. On peut pousser une politique de sécurité jusqu’au niveau de la VM, qu’elle tourne sur un Cloud privé ou public. Cela exige une coopération technique approfondie et des partenariats forts entre éditeurs et prestataires Cloud », explique Romain Quinat, responsable marketing et communica-tion Nomios.

Retour d'expérienceEtihad Group Vendredi 07/10 à 12h00 – SKYHIGH NETWORKS


18

LE PIRE CAUCHEMAR DES RSSI EST DÉJÀ À L’INTÉRIEUR

DE L’ENTREPRISE|

en plus régulièrement des cas de vol ou de fuite de données qui ne résultent pas forcément d’un pirate situé à l’extérieur de l’entreprise mais d’un employé ou d’un partenaire ou prestataire bénéficiant de certains accès. On parle alors de menace interne.

La menace interne a plusieurs visages : l’employé maladroit qui déplace un fichier par erreur, l’employé démissionnaire qui décide de partir avec des fichiers, l’employé malintentionné qui vend des informations confidentielles ou le lanceur d’alerte qui découvre et révèle des données confidentielles sur des actes de son entreprise.

Target - accès d’un prestataire temporaire resté ouvert.

Mutuelle Générale de la Police - vol d’une base de données interne par un employé en conflit avec sa hiérarchie.

FDIC - un ancien employé quitte l'agence en emportant par erreur les données de 44 000 clients.

Les entreprises ont pendant longtemps dressé des murailles pour protéger leur système d’informa-tion des attaques provenant de l’extérieur. Pourtant depuis plusieurs années l’actualité relate de plus

62 % des utilisateurs finaux indiquent

avoir accès à des données de l’entreprise qu’ils

ne devraient probablement pas pouvoir consulter

(Varonis - sept 2016)

“

”

70 % des professionnels de sécurité considèrent les menaces internes comme les plus risquées (Balabit - oct. 2015)

“

”

19

Comment les RSSI peuvent-ils s’assurer que seules les personnes habilitées sont en mesure de consulter un fichier ?

Comment détecter certains comportements anormaux : déplacement inhabituel de données, téléchargement d’un grand volume d’informations, consultations répétées par un employé de données peu ou pas consultées dans le passé ?

Comment les solutions de contrôle et de suivi des accès en temps réel et d’outils d’UBA (User Behavioral Analytics) ou d’analyse comportemen-tale des utilisateurs peuvent permettre d’éviter les attaques internes ?

BalaBit @BalaBit

Olfeo@olfeo


Varonis@VaronisFR

Réflexions


LE PIRE CAUCHEMAR DES RSSI EST DÉJÀ À L’INTÉRIEUR

DE L’ENTREPRISE|

L’utilisation personnelle de la connexion internet reste une tendance forte au sein des organisations françaises (Le surf personnel représente 58 % du temps passé sur internet, soit 1h15 par jour, selon Olfeo). Outre un impact sur la productivité ou la bande passante, le surf personnel est également synonyme de risque informatique, notamment par le téléchargement de fichiers malicieux. Le filtrage et la maitrise de l’utilisation d’internet au sein de l’entreprise est donc un réel besoin.

AgendaL’analyse comportementale pour détecter les attaques internes et externes Vendredi 07/10 à 10h00 – BALABIT IT SECURITY

Comment maîtriser les enjeux juridiques d’Internet face aux nouveaux usages ? Vendredi 07/10 à 11h00 – OLFEO

Retour d'expérienceEtihad Group Vendredi 07/10 à 12h00 – SKYHIGH NETWORKS

ADPVendredi 07/10 à 12h00 – VARONIS


20

CHIFFREMENT : JUSQU’OÙ FAUT-IL ALLER ?|

Interdire le chiffrement de bout en bout ou imposer une backdoor sous contrôle de l’éditeur, la question n’a pas fini d’engendrer des prises de positions argumentées.

Alors que le gouvernement français penche plutôt pour la seconde option, l’ANSSI défend un avis contraire, en défendant ouvertement le chiffrement. Un avis que partage également la CNIL.

Une personne dispose

en moyenne de 26 comptes

internet différents pour

se connecter de façon

quotidienne ou

hebdomadaire aux

réseaux sociaux, aux sites

Web de son entreprise,

ou pour des opérations

de banque en ligne.

L'ANSSI affirme ainsi que vouloir à tout prix garantir l'accès aux données chiffrées, par exemple au moyen d'une backdoor, « aurait pour effet désastreux d'imposer aux concepteurs de produits et de services de sécurité un affaiblissement des mécanismes cryptographiques ». Il serait d'ailleurs impossible de s'assurer que ces portes ne seront pas utilisées par des tiers.

« Par définition, utiliser le Cloud c’est mettre ses données en danger. Pourtant, certaines solutions - comme les ERP par exemple - ne seront bientôt plus accessibles que par le Cloud. Le chiffrement permettra de sécuriser les données mais il faudra concilier les défis liés à la fois à l’utilisation du chiffrement par les héber-geurs, les fournisseurs d’applications et l’entreprise elle-même. » Serge Binet, PDG et fondateur de Prim’X Technologies.

21

Faut-il imposer aux fournisseurs de logiciels de communication électronique les mêmes obligations que les opérateurs de communications électroniques (FAI, opérateurs mobiles) ?

Quid des éditeurs de logiciels de messageries qui échapperaient à la législation française ?




Réflexions


Alors que la protection des données personnelles est au cœur des débats, seule la possibilité de fournir les clés de chiffrement aux autorités si besoin, semble appropriée. Les citoyens, fervents défenseurs de la protection de leur vie privée, doivent veiller à l’utilisa-tion faite de leurs données tout en étant confrontés aux nombreux piratages d’acteurs avec lesquels ils les partagent, et les entreprises sont contraintes de mettre en œuvre des règlementations, dont le GDPR.

« Les experts en sécurité conviennent que le chiffrement des données dans le cloud en utilisant les clés contrôlées par l'entreprise est une fonctionnalité importante pour protéger les données sensibles et répondre aux exigences de sécurité et de conformité » ajoute Joël Mollo, directeur Europe du Sud, Skyhigh Networks.

Laurent Pétroque, expert anti-fraude F5 Networks complète « Pour lutter contre la fraude en ligne, le chiffrement des identifiants à la source, c’est-à-dire dans le navigateur ou l’application mobile empêche le malware de les récupérer en clair ».

Pour Guillaume Poupard, directeur général de l’ANSSI « Il faudrait privilégier la coopération avec les acteurs du numérique, ou développer des techniques d'intercep-tion et d'intrusion informatique légales si nécessaire ».

AgendaComment aborder un projet de chiffrement ? Points clés et retour d’expérience Mercredi 05/10 à 16h00 – PRIM’X


22

LE SECTEUR DE LA FINANCE EN LIGNE DE MIRE|

Swift a révélé fin août que de nouvelles banques avaient été victimes malgré les conseils de sécurité délivrés par Swift à ses clients quelques semaines auparavant. Une petite surprise pour les experts.

Les entreprises, tous secteurs confondus, ont du mal à se protéger de la gamme de vecteurs d'attaques extérieures potentiels. Sans aucun doute, les organismes financiers de la région EMEA sont les plus exposés. Ces entreprises sont la première cible des cybercri-minels et exposent le plus de données sensibles sur Internet (ex : les millions de comptes courants des clients pour chacune des banques). Pour cette raison, le secteur financier sera toujours une priorité pour les hackers qui cherchent à tirer profit des vulnérabilités.

Près de la moitié (48 %) des clients citent les attaques informatiques comme une raison de changer de banque (KPMG).

Partager les détails des incidents et la façon dont ils se sont déroulés est bénéfique sur le long terme, car l'industrie en question peut apprendre des nouvelles formes de cyber attaques et des meilleures pratiques plus rapidement.

Le piratage du réseau interbancaire Swift a particuliè-rement bousculé le monde de la finance cette année. Après les piratages à grande échelle de trois grandes banques (dont la Banque Centrale du Bangladesh qui a perdu pas moins de 81 millions de dollars), le réseau

Pour 73 % des organismes financiers, les atteintes

à la réputation sont considérées comme la principale

préoccupation liée aux menaces de fraude en ligne

(F5 Networks, 2015)

“

”

23

Quelles sont les meilleures pratiques en terme de protection contre de futures attaques ciblées ?

Le mécanisme de détection d’opérations frauduleuses annoncé par Swift sera-t-il suffisant ?

Fraude en ligne, fraude au président, ransomware… à quoi doivent s’attendre les banques ?

BalaBit @BalaBit



Réflexions


LE SECTEUR DE LA FINANCE EN LIGNE DE MIRE|

« Comme la banque en ligne et les transactions numé-riques sont devenues la forme la plus courante de la gestion de l'argent et des paiements, les techniques de cyber sécurité ont évolué en lien avec ces chan-gements. Les solutions actuelles incluent la protection contre les logiciels malveillants, anti-phishing, le chiffrement des données en temps réel, ainsi que les attaques man-in-the-browser, permettant aux institutions financières de couvrir tout le paysage des menaces » explique Laurent Pétroque, expert fraude en ligne F5 Networks.

Cyrille Badeau, Directeur Europe du Sud de ThreatQuotient, éditeur d’une plateforme de threat intelligence ajoute : « Les entreprises commencent à se regrouper au sein de leur industrie pour faciliter le partage d’intelligence sur les menaces qu’elles observent. Aux Etats-Unis, c’est par exemple le cas dans la finance, ou dans la santé, avec les I-SAC (FS ISAC – Financial Services, Information Sharing and Analysis Center ; NH ISAC pour National Healthcare, etc.). La threat intelligence a pour objectif de connaître ses adversaires et d’intégrer dans ses mécanismes de défense les indicateurs de compromission connus. Le secteur de la finance est l’un des secteurs les plus ciblés par les cybercriminels du fait de la valeur importante et immédiatement financière potentielle des attaques. Un partage d’informations facilité à l’échelle mondiale aurait par définition beaucoup de sens dans cette industrie ».

Retour d'expérienceSwissLife Jeudi 06/10 à 10h00 – NOMIOS Retrouver cet article sur www.cymbioz.com

24

La France est reconnue comme étant une championne des technologies de sécurité grâce à un riche écosys-tème de grands groupes, de PME et de start-up de pointe, capables de proposer des solutions de haute qualité, innovantes, sûres, avec le Label très bien perçu « Made in France » (développement, hébergement et support). Ces technologies sont sollicitées par les plus grandes entreprises mondiales. Les start-up et les talents français s’exportent ainsi de mieux en mieux. Pour conjuguer leurs forces, les acteurs nationaux se regroupent au sein de collectifs tels que Hexatrust.

« L’Etat français bénéficie d’une bonne image en matière de sécurité à l’étranger. Un rapport de PwC

En avance sur ses voisins européens, la France a d’ores et déjà adopté le projet de loi pour une République numérique, en phase avec les principes fondamentaux du règlement européen relatif à la protection des données personnelles.

Groupement de 19 PME et start-up, Hexatrust a pour objectif d’améliorer la visibilité de l’offre française en matière de cybersécurité à l’international.

Le BPI a annoncé la création d’un premier fonds d’investissement spécialisé dans le domaine de la cybersécurité en 2017.

LA VALORISATION DES TECHNOLOGIES

FRANÇAISES À L’INTERNATIONAL|

25

montre que si les incidents de cybersécurité ont progressé de 38 % au niveau mondial en 2015, ils ont augmenté de 51 % dans le même temps en France. Alors quand l’Etat français investit dans des solutions locales et résiste efficacement malgré cette multipli-cation des attaques, cela représente un signal fort en faveur de nos industries auprès d’autres pays. Le choix de ces solutions, validées par l’ANSSI est un gage de confiance indéniable », Serge Binet, PDG et fondateur de Prim’X.

Adrien Gendre, Directeur de Vade Secure aux État-Unis témoigne de l’implantation réussie de sa société grâce au programme Ubi I/O de Business France et BpiFrance et des spécificités à connaître pour éviter une vraie déconvenue : « La difficulté pour une entreprise aux États-Unis, comme ailleurs, ce sont les différences culturelles et d’approche du business. Grâce à un programme d’accompagnement nous avons pu bénéficier de nombreux réseaux, d’experts marketing, business, d’avocats, pour obtenir un maxi-mum de conseils sur le marché et la manière de l’aborder. En deux ans, nous avons énormément bénéficié de cette implantation réussie. Notre présence en Californie nous a donné une image de pouvoir, et a même para-doxalement changé notre image positivement auprès de nos clients français et européens. Sans oublier les opportunités business que nous avons générées, avec d’importants contrats tels que Cisco ».

Au début de l’année 2016, l’éditeur Prim’X Technologies, éditeur français de solutions de chiffrement pour la sécurité des données s’est fait remarqué sur le marché de la cybersécurité en annonçant la signature d’un important contrat avec l’État, pour équiper tous les ministères, les administrations centrales et leurs services déconcentrés (préfectures, rectorats, etc.).

Ce développement fort à l’international a tout de même des contreparties, régulièrement soulevées par les spécialistes. À défaut de voir des investisseurs fran-çais s’intéresser ou oser parier sur leurs technologies, nos start-up finissent souvent par être rachetées par des investisseurs étrangers prêts à mettre les moyens pour leur permettre de franchir un nouveau cap. Pour la France, le manque à gagner est important et dans ces conditions, il est difficile d’envisager l’émergence de nouveaux géants de la cybersécurité français.

Le fonds d’investissement de la BPI va t-il suffire à sauver nos pépites de la cybersécurité ?

Comment expliquer que la France soit capable de lancer et de financer des startup au moment de leur création, mais plus dans leur phase de développe-ment et de conquête des marchés? Que peut-on attendre du plan d’action de l’UE, pour promouvoir la compétitivité du secteur de la cybersécurité ?

À quel point a t-on sous-estimé la délicate question de l’interopérabilité des solutions ?

Olfeo@olfeo



Réflexions



31, rue des Petits-Champs - 75001 Paris

www.cymbioz.com

@cymbiozrp Cré

atio

n : w

ww

.rodo

lphe

rrer

a.fr

Technology

Dossier de presse - Assises de la Sécurité 2016