Cybercriminalité,  personne  n'est  à  l'abri  !  Jeudi  22  Mars  2012  -­‐  Niort  

Les risques émergents : Cloud et mobilité

Nicolas Caproni

CEIS

Consultant en cybersécurité

Cybercriminalité, personne n’est à l’abri !

Plan de l’intervention

@ Présentation de CEIS @ Retour sur l’Intelligence Economique @ Cloud et sécurité de l’information @ La mobilité « non maîtrisée » @ Conclusion

20/04/13

2

Cybercriminalité, personne n’est à l’abri !

Présentation de CEIS

@ CEIS est une société de conseil en stratégie et en management des risques, créée en 1997 par Olivier Darrason.

@ CEIS est composé de 4 pôles d’activité : ü  Management des Risques

ü  Etudes et Solutions Stratégiques

ü  Innovation 128

ü  Affaires Publiques et Communication 20/04/13

3

Cybercriminalité, personne n’est à l’abri !

Présentation de CEIS

@ Une équipe cybersécurité ü  6 consultants avec des profils différents

(technique, généraliste, géostratégique, juriste)

@ Une offre cybersécurité ü  Conseil en sécurité des systèmes d’information

ü  Market Intelligence

ü  Veille cybercriminalité et Black Market

ü  Etude stratégiques sur les enjeux du cyberespace

20/04/13

4

Cybercriminalité, personne n’est à l’abri !

L’intelligence économique

@ Définition (imparfaite) @ Quelques idées reçues… @ Respect d’un cadre légal et éthique

20/04/13

5

Collecte, analyse et exploitation de l’information utile

Influence, valorisation et défense de ses intérêts

Protection du patrimoine (savoir- faire, brevets...)

Cybercriminalité, personne n’est à l’abri !

L’intelligence économique

@ Ce que n’est pas l’IE ü  Espionnage industriel, un métier…

ü  Exemples : les affaires EDF/Greenpeace, Areva…

@ Une démarche de bon sens

@ Une démarche d’entreprise

@ Un des enjeux : la protection des informations stratégiques

20/04/13

6

Cybercriminalité, personne n’est à l’abri !

L’intelligence économique

@ Le Cloud et la mobilité dans tout ça ?

@ Un nouveau vecteur d’attaques contre le patrimoine informationnel des entreprises

@ De nouveaux usages entrainant de nouveaux risques techniques, organisationnels, humains et juridiques

20/04/13

7

Cybercriminalité, personne n’est à l’abri !

Le Cloud Computing @ Définitions : les différents types de Cloud

ü  IaaS, PaaS, SaaS… Public, Privé

@ De nombreux acteurs, des opportunités

20/04/13

8

Cybercriminalité, personne n’est à l’abri !

Risques & Cloud

@ Confidentialité des données ? @ Où se trouvent mes données ? @ Les pannes, un risque à ne pas négliger.

ü Exemple : Microsoft, Amazon.

@ Exemples

20/04/13

9

Cybercriminalité, personne n’est à l’abri !

Cloud & souveraineté

@ Le Cloud : enjeu national / européen

@ Des initiatives françaises et européennes

@ Les risques liés au Patriot Act

@ Données personnelles, Cloud et CNIL

20/04/13

10

Cybercriminalité, personne n’est à l’abri !

Quelles solutions ?

@ Evaluer les risques !

@ Classifier les données

@ Bétonner les contrats avec les prestataires

@ Chiffrer et gérer les identités

20/04/13

11

Cybercriminalité, personne n’est à l’abri !

La mobilité

@ Explosion du nombre de smartphones et des tablettes ü 425 millions de smartphones vendus en 2011

ü 100 millions de tablettes en 2012 selon Gartner

@ La mobilité c’est également les traditionnels ordinateurs portables

@ Incontournable aujourd’hui en entreprise 20/04/13

12

Cybercriminalité, personne n’est à l’abri !

La mobilité (2)

@ Hétérogéité des plateformes : iOS, Android, BlackBerry OS, Windows Phone, Symbian, Bada…

@ Facteur de productivité (apprécié des entreprises…)

@ Boom des applications

20/04/13

13

Cybercriminalité, personne n’est à l’abri !

Risques & Mobilité

@ De nouveaux risques ?

@ Vols / pertes => fuite de données ü 1,3 millions de téléphones volés chaque année

@ Cloud ?

@ Rapport de l’ENISA

@ Malwares / applications malveillantes 20/04/13

14

Cybercriminalité, personne n’est à l’abri !

Malwares mobiles

@ Les cybercriminels s’adaptent aux plateformes mobiles

@ Android comme cible principale (appel surtaxé, chevaux de Troie…)

@ Malwares bancaires : Zeus / SpyEye ont leurs versions mobiles

20/04/13

15

Cybercriminalité, personne n’est à l’abri !

Risques & Mobilité

@ Les risques liés à la mobilité pas encore assez pris en compte

@ Pas assez maîtrisés ? Manque de

maturité

@ Imposés par les utilisateurs / VIP

@ BYOD : terminaux personnels dans le monde personnel (2/3 en France)

20/04/13

16

Cybercriminalité, personne n’est à l’abri !

Quelles solutions ?

@ Interdire… impossible

@ Cloisonner les usages perso / perso

@ Sensibiliser les utilisateurs / DSI / VIP

20/04/13

17

Cybercriminalité, personne n’est à l’abri !

Quelles solutions ?

@ Le Mobile Device Management ü  Gérer des flottes hétérogènes ü  Appliquer la politique de sécurité aux terminaux mobiles

@ Implémenter des règles de sécurité : ü  Blocage et suppression des données à distance ü  Verrouillage des terminaux par mot de passe (autres que 1234) ü  Chiffrer les données

20/04/13

18

Cybercriminalité, personne n’est à l’abri !

Conclusion

@ L’IE dans tout ça ?

@ Une démarche d’entreprise pour sécuriser les informations en situation d’externalisation / mobilité

@ Prendre en compte les nouveaux risques liés aux nouveaux usages

20/04/13

19

Cybercriminalité, personne n’est à l’abri !

Conclusion

@ Classifier les informations !

@ Analyser les risques de l’externalisation / mobilité

@ Les intégrer à la PSSI

20/04/13

20

Cybercriminalité, personne n’est à l’abri !

Conclusion

@ Le Cloud et la mobilité ne sont pas le mal

@ Interdire ne servira à rien

@ Ces nouveaux usages apportent des opportunités à l’entreprise

@ Il est indispensable que la sécurité en prenne compte et s’adapte

20/04/13

21