Ensemble fortifions la chaîne de défense

Expert sécurité, réseau et services informatiques

Ensemble fortifions la chaine de défensePatrick GHION – Brigade de Criminalité InformatiqueVincent OTTINGER- Pragm@TICMaxime FEROUL – KyosDominique CLIMENTI - Kyos

Kyos SARL

Ensemble fortifions la chaine de défense

ETAT

UTILISATEURSENTREPRISES

SECURITEPARTENAIRES

09.03.2016

Matinée Sécurité - Ensemble fortifions la chaine de défense

2


Agenda

Scénario : Du Ransomware lucratif au Cybercrime organiséDominique CLIMENTI - Kyos

- Scénario : Du Ransomware lucratif au Cybercrime organisé

- Présentation des acteurs de la chaîne de défense

- Présentation de la Brigade de Criminalité Informatique

- Pause

- Autopsie du scénario

- Boite à outils –Préconisations

- Discussion ouverte


Kyos SARL

CryptoLocker ?

“Logiciel malveillant qui prend en otage des données personnelles. Pour cefaire, il chiffre des données personnelles puis demande à leur propriétaired'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.”

Wikipedia

09.03.2016


4

Kyos SARL

RaaS – Ransomware as a Service

• Nouveau modèle économique

• Pas de frais de dossier

• Seulement %5 de taxe

• Déjà 1649 victimes• Vu à la télé!

09.03.2016


5

Kyos SARL

RaaS – Ransomware as a Service

• Facile• Rapide• Sans connaissance

technique

09.03.2016


6

Kyos SARL

Détection

• Surprise• CEO

09.03.2016


7

Kyos SARL

Réaction

• Incompréhension• Manque de

préparation• Réaction ?

09.03.2016


8

Kyos SARL

Réaction09.03.2016


9

Kyos SARL

Moyens

• Manque de traçabilité

09.03.2016


10

Kyos SARL

Enquête

• Recherche difficile• Recoupement

manuel• Perte de temps

09.03.2016


11

Kyos SARL

Remediation

• Restauration des backup

09.03.2016


12

Kyos SARL

Résultats09.03.2016


13


Agenda

Présentation des acteurs de la chaîne de défenseVincent OTTINGER – Pragm@TICMaxime FEROUL – Kyos




- Pause





Kyos SARL

L’entreprise et ses utilisateurs


ETAT

UTILISATEURS

ENTREPRISES

SECURITE

PARTENAIRES

Direction

Service IT Service X Service Y

Resp

onsa

bilit

é d’

actio

nRe

spon

sabi

lité

de g

estio

n,

form

atio

n,

sens

ibili

satio

n

09.03.2016 15

Kyos SARL

Pragm@TIC en quelques mots

• Expert en organisation des systèmes d’information, gestion de crise et continuité– expérience dans les domaines de la crise– expérience dans les domaines sensibles– du pragmatisme

• Implanté à Genève depuis novembre 2014• Société autofinancée• 3 employés

09.03.2016


16

Kyos SARL

Nos référentiels

ISO

Normes

COBIT Gouvernance

BCI MCAVousMétiers

NousExpérience

09.03.2016


17

Kyos SARL

Nos compétences

Formation & Sensibilisation

Continuité des activités

Audit sécurité

Gestion de crise

Analyse de risques

Protection des données

Gestion de projet

Analyse métier

Pragmatisme

09.03.2016


18

Kyos SARL

Le cas d’aujourd’hui

Prévention Réaction Gestion

Prod

uctio

n

Temps

100%

Analyse

Période de criseDébut de crise Retour à la normale

09.03.2016


19

Kyos SARL

Kyos en quelques mots09.03.2016

• Expert sécurité, réseau et services informatiques :– une offre de service cohérente,– une forte proximité et réactivité,– des solutions sur mesure.

• Implanté à Genève depuis novembre 2002• Société autofinancée• 30 employés


20

Kyos SARL

3 domaines, 1 signature, 1 gamme complète de services09.03.2016

Embe

dded

Sec

urity

Serv

ices

Intégration

FormationMaintenance,

support et opérations

Audit et Conseil

Expertise Sécurité

Expertise Réseau

Services Informatiques

01.05.2015 21


21

Notre signature….

Kyos SARL

Le cas d’aujourd’hui

Sensibilisation

Audit

Conseils et Intégration

Politique de sécurité

09.03.2016


Expe

rtise

Séc

urité

Etap

es &

Sol

utio

ns

• Surveillance des accès‒Conception du système‒Définition des indicateurs‒Supervision & gestion des logs

• Mobilisation d’experts sécurité (Incident Response)‒ Confirmer la gravité d’une alerte‒ Intervenir pendant la crise‒ Analyser à posteriori & améliorer le système de

défense

Gestion des Identités et des Accès

Sécurité périmétrique

et des contenus

Protection des Ends-

Points

Chiffrement

23


Agenda

Présentation de la Brigade de Criminalité InformatiquePatrick GHION – Brigade de Criminalité Informatique




- Pause





Kyos SARL Matinée Sécurité - Ensemble fortifions la chaine de défense

Pour des raisons de confidentialité, la présentation de la Brigade de Criminalité Informatique, ne peut être diffusée

La Brigade de Criminalité Informatique (section forensique et migration) enquête sur les infractions commises via les technologies nouvelles, telles celles relatives aux mœurs (traque des réseaux pédophiles notamment) ou à la finance.

En outre, elle apporte un appui aux différents services de police lorsque des supports informatiques doivent être explorés.


Agenda

Autopsie du scénarioDominique CLIMENTI – KyosVincent OTTINGER – Pragm@TIC




- Pause





Kyos SARL

RaaS – Quelques chiffres

• Temps nécessaire à se procurer un cryptolocker 2,5 minutes

• Nombre d’interventions 4

• Montant total payé à une adresse bitcoin ~ 3 M$ / mois

• Temps de réponse du « support » < 30 minutes 24/7

09.03.2016


27

Kyos SARL

Prévention

• Gestion de crise• Plan de continuité des activités• Gestion des incidents• Formation / sensibilisation• Veille

Prévention

Prod

uctio

n

Temps

100%

09.03.2016


28

Kyos SARL

La gestion de crise

Une organisation

Des processus Des moyens

09.03.2016


29

Kyos SARL

Constituer une cellule de crise09.03.2016


30

Kyos SARL

Le plan de continuité des activités

• Anticiper et maîtriser les risques opérationnels

• Analyser et réduire les impacts potentiels d'une interruption des activités

09.03.2016


31

Kyos SARL

Détection

• Centralisationdes logs

• SIEM• Remontée

d’alertes

09.03.2016


32

Kyos SARL

Détermination09.03.2016


33

Kyos SARL

Réaction

Prévention Réaction

Prod

uctio

n

Temps

100%

Période de criseDébut de crise

• Cellule de crise• Premières mesures• Diagnostique• Activation PCA

09.03.2016


34

Kyos SARL

Réaction

• Informer• S’organiser

collectivement• Garder son

sang froid

09.03.2016


35

Kyos SARL

Réaction

• Identifier la/les source(s)

• Isoler les machines corrompues

• Déconnecter les shares

09.03.2016


36

Kyos SARL

Enquête

• Comprendre ce qui c’est passé

• Mais surtout comment?

• Et pouquoi ça a étépossible?

09.03.2016


37

Kyos SARL

Moyens

• Corrélation de logs• Vecteur d’attaque

09.03.2016


38

Kyos SARL

Gestion


Prod

uctio

n

Temps

100%

Période de criseDébut de crise

• Contrôler la communication• Dérouler le PCA• Gérer les ressources

09.03.2016


39

Kyos SARL

Remédiation

• Restauration des fichiers chiffrés

09.03.2016


40

Kyos SARL

Résultats

• Informer• Sensibiliser

09.03.2016


41

Kyos SARL

Enquête (Suite)

• Niveau de sophistication

• Une attaque peut en cacher une autre

09.03.2016


42

Kyos SARL

Enquête (Suite)

• Que s’est il passé ?

09.03.2016


43

Kyos SARL

Enquête (Suite)

• Données trèssensibles

• Décision de déposerune plainte

09.03.2016


44

Kyos SARL

Analyse


Prod

uctio

n

Temps

100%

Analyse

Période de criseDébut de crise Retour à la normale

• Debriefing• Modification du PCA• Audit• Maintenir

09.03.2016


45


Agenda

Boite à outils - PréconisationDominique CLIMENTI - Kyos




- Pause





Kyos SARL

Jeu des 7 différences

• Moyens de détection• Sensibilisation des utilisateurs• Sensibilisation de l’équipe IT• Réponse à Incidents• Gestion de crise• Manque de moyen de réponse

– Ségrégation des réseaux– Gestion des logs

• Plan de continuité des activités

09.03.2016


47


Agenda

Discussion ouverte- Scénario : Du

Ransomware lucratif au Cybercrime organisé



- Pause






Contactez-nous

Kyos SARL

Chemin Frank-Thomas, 321208 Genève

Tel. : +41 22 566 76 30Fax : +41 22 734 79 03

www.kyos.ch

[email protected]

Pragm@TIC-Consulting SàRL

Av. Industrielle 141227 Carouge

Tel. : +41 79 101 20 22Tel : +41 78 899 4000

www.pragmatic-consulting.ch

[email protected]

Contactez-nous

Merci


Technology

Ensemble fortifions la chaîne de défense