BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust

La page est créée Matthieu Marchand
 
CONTINUER À LIRE
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
BIENVENUE À
               CYBER@HACK
                   2K16
                   Organisé par

@CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
LE MACHINE LEARNING RÉVOLUTIONNE
                 LA CYBER DE PAPI POUR DÉTECTER
                     LES NOUVELLES MENACES
                        Jean-Nicolas Piotrowski
                        PDG Fondateur de ITrust

@CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
État des lieux

                  La plupart des organisations ont mis en place

                       des frameworks pour la sécurité.

       91 %
                                                                     Le nombre de cyberattaques

                                                                  continue d’augmenter dans le monde.

                                                                                                        75 %
                      Les investissements en cybersécurité

                          ont été de 3,5 milliards Euros.

       24 %

   @CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
Le point de rupture

                     MUSCLES HUMAINS ➞ MUSCLES ARTIFICIELS

                              ” If I had asked people what they wanted,
                                  they would have said faster horses.”
                                              (Henry Ford)

                  MUSCLES ARTIFICIELS ➞ INTELLIGENCES

                                                ” When Henry Ford made cheap, reliable cars people said,
                                                           'Nah, what's wrong with a horse?'
                                                     That was a huge bet he made, and it worked. ”
                                                                     (Elon Musk)

   @CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
Le chainon manquant

                                    Protection périmétrique

                     Firewall

                                    Protection contre les attaques connues (signatures)

                  IDS & antivirus

                                    Collecte des traces et des informations
                                    Génération d’alertes statiques et manuelles
                                    Analyse manuelle

                      SIEM

                                    Chainon manquant:

   @CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
La seule vraie question

                   Quelle technologie me permettra d’éviter une attaque de type
                                     « Swift » ou « Target » ?

                             Tous les outils actuels ont échoué à détecter ces attaques.
                            Doit on prendre le risque de reproduire les mêmes erreurs ?

   @CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
Remettre en question les modèles existants

                                                                                                                   ANALYSE
                                                                                                               COMPORTEMENTALE
          TECHNOLOGIE

                                                                                                  ANALYTIQUE

                                                    SANDBOX       ENDPOINT              IDS
                                                                                                                     Protection
                                                                                                               contre les menaces
                                             SIEM                                                              inconnues pendant
                        ANTIVIRUS                                                                              toutes les étapes de
                                                                                                                  l’APT kill chain

                                                              Protection pendant une ou plusieurs étapes
                                                                           de l’APT kill chain
                                                                                                               Temps réel
                            Protection contre les
                             menaces connues

                                                                                                                 EVOLUTION

   @CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
Pourquoi les technologies actuelles ne font pas le job

                              APT Kill Chain

                                 Reconnaissance

                                   Infiltration   Phishing

                                  Persistance     Installation de malware
                                                  Communication avec le serveur C&C

                                  Espionnage      Cartographie et récolte d’informations
                                    interne

                                  Mouvement       Propagation (utilisation de credentials)
                                    latéral       Accès à l’information ciblé

                                                  Exfiltration des données ciblées
                                  Exfiltration
                                                  (but premier de l’attaque)

   @CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
Alors on fait quoi ?

                           " The world is full of obvious things
                       which nobody by any chance ever observes. "
                                   - Sherlock Holmes

    @CyberatHack
BIENVENUE À CYBER@HACK 2K16 - Organisé par @CyberatHack - ITrust
Détection d’anomalies

 C’est quoi une anomalie ?

 > Condition étrange/échantillon aberrant/déviation de la normale
 > Inconsistance dans les données non conforme au
   comportement normale (observé ou appris)

 Et comment on détecte ?

 > Utilisation des technologies de Machine Learning
 > Constitution de profil de comportements normaux
 > Identification de déviation de la norme

    @CyberatHack
Fini la sécurité de papi

               “ L’analyse comportementale est la solution la
              plus plausible pour detecter les virus inconnus. ” -
                             NSA President, 2012

                                                         “L'avenir de la sécurité informatique réside dans la
                                                                combinaison des solutions basées sur
                                                         la reconnaissance des modèles comportementaux
                                                                 et sur l’analyse de grands volumes
                                                                     de données en temps réel. ”
                                                                  - PricewaterhouseCoopers, 2016

    @CyberatHack
Reveelium - Principe

                  Reveelium est une plateforme complète de détection d’anomalie et de prévention :

             > S’appuie sur vos infrastructures existantes (« Plug and play »)

             > Détecte automatiquement, analyse et priorise les anomalies avec une note du risque

             > Prédit des problèmes de sécurité en utilisant les technologies de machine learning.

   @CyberatHack
Reveelium - Architecture logique

   @CyberatHack
Reveelium - Architecture logique

                              LE SYSTÈME
                            D’INFORMATION
                          D’UNE ENTREPRISE

                                                            RÉSEAU D’ENTREPRISE

                                                                                              ADMINISTRATION RÉSEAU
                                                                   LAPTOP

                                                                                              Active
                                                          PC                                 Directory
                                                                             IMPRIMANTE

                                                                                              SIEM

                               DMZ
                               Proxy
                              serveur                                                         Console
                                                                                               Admin
                                                                                                            ÉVÉNEMENTS
                     DNS                   Web
                    serveur             application
                                         serveur

                                                       SANDBOX                   IDS

                                                                                          INTERNET
                                                                  FIREWALL                SCENARIO 1 DONNÉES D’ENTRÉE (SANS LE SIEM)
                                                                                          SCENARIO 2 DONNÉES D’ENTRÉE (AVEC LE SIEM)
                                                      OUTILS TRADITIONNELS DE SÉCURITÉ

                                                               RÉSEAU PUBLIC

                                                                 WWW

   @CyberatHack
Reveelium - Architecture logique

   @CyberatHack
Reveelium - Les clés de la réussite

    S’appuyer sur les éléments en place                          ✗   Endpoint et
                                                                     analyseurs de trames
        Collecte des journaux souvent existante                      ont un impact fort et
        SIEM : Agrégation et indexation des sources de données       des effets de bords

                                                                     Coûts de
                                                                 ✗   maintenance et
    Technologie Big Data                                             exploitation

                                                                     Coûts d’acquisition
        Diversité des données, des entités et des relations
        Scalabilité : augmentation du volume de données
                                                                 ✗
                                                                 ✗   Capacité à traiter 100
                                                                     MBPS

    Analyse statistique et Machine Learning                      ✗   Analyse statistique

        Analytique & apprentissage                               ✗   Laisse passer les flux
                                                                     ou APT
        Détection d’anomalie

   @CyberatHack
Un algorithme hybride unique au monde

  Les composants logiques du réseau sont extraits pour construire les modèles.

      >   Modélisation des entités du réseau
      >   Extraction des features d’une entité à partir des données
      >   ML & analyse statistique utilisés pour apprendre les comportements
      >   Détection de comportements déviants du modèle

                             Horaire                  Pays

                                                                                    DNS             Pays

                       Service                           DNS

                                                                               IP                     Flux
                                       UTILISATEUR

                                                                                          SERVEUR

    @CyberatHack
Un algorithme hybride unique au monde

  Analyse multidimensionnelle : enrichissement de l’analyse dans un contexte réseau

      >   Corrélation temporelle et évènementielle
      >   Analyse de popularité
      >   Création d’un réseau de relations (entre utilisateurs, serveurs, applications…)
      >   Analyse d’impact dans ce réseau

                               Horaire                     Pays

                                                                                                 DNS             Pays

                        Service                               DNS

                                                                                            IP                     Flux
                                          UTILISATEUR

                                                                                                       SERVEUR

   @CyberatHack
Reveelium - Proposition de valeurs

                                                                   MOINS de faux positifs
                                                                   en utilisant Reveelium
   > Protège vos infrastructures contre les APT, virus et
     attaques inconnues                                     20 x

   > Détecte les comportements malveillants au sein de
     votre SI                                                                                   Temps de detection diminue
                                                                                                  de 12 mois a 1 semaine
   > Identifie les signaux faibles pour anticiper des
     problèmes de performance, mais aussi des attaques
                                                                                                                             7j
     furtives

   > Evite l’extraction de données                                  Divise par 50 le temps
                                                                   consacre a la surveillance
   > Evite la saturation des ressources des SI              1/2

   @CyberatHack
Reveelium - Proposition de valeurs

                             Un framework global compatible avec différents use cases
                  Possibilité de développer d’autres use cases bases sur l’analyse comportementale
                                      FINTECH, E-SANTE, TELECOM, FRAUDE

   @CyberatHack
Success stories récentes

                      Ces 2 derniers mois nous avons détectés
                  2 APT au sein de 2 organisations bancaires
                  majeures là où aucune autre technologie ne les
                                  avait détectés.

                                 Dans 95%                  des tests et POC réalisés
                                   nous avons détecté des anomalies et attaques.

   @CyberatHack
Reveelium Checklist

                  >   Use Case APT via DNS : 20 fois moins de faux positifs, réduction de 12 mois du temps de
                      détection…

                  >   Approche innovante qui permet de reprendre l’initiative sur les attaquants

                  >   Une plateforme évolutive qui est sans cesse enrichie par de nouveaux Use Case, des
                      nouvelles capacités d’analyse et de détection

                  >   Une architecture orientée Big Data qui s’adapte à toutes les tailles de réseau et qui
                      grandit avec lui

   @CyberatHack
CYBER@HACK
                   2K16
                  Organisé par

@CyberatHack
MANAGEMENT DES CYBER-RISQUES :
                  QUANTIFIER POUR DÉCIDER
                            Denis ZANDVLIET
                            Associé VALU€360
                 Membre du Groupe Quantification de l’AMRAE

@CyberatHack
Des constats

                                                                 Le contre-exemple :
                                                         •   Organisme de 280 personnes
                                                             de gestion de retraites B2B
                                                         •   Projet d’un plan de
                                                             continuité pour 3 M€
                                                         •   Chute totale du SI pendant
                                                             48 heures
                                                         •   Coût constaté a posteriori :
                                                             500 K€
                                                         •   Décision ?

   @CyberatHack
                  (*) : source NTT Com Security - 2016
La problématique

  Constats de dégâts majeurs
  Faiblesse fréquente des entreprises dans la
   gouvernance des risques
  Sensibilité particulière quant aux logiciels (gestion, …,
   embarqué, …, connecté, …)
  Absence fréquente d’approche de quantification et
   économique
  Reluctance des experts et des managers
 Or le savoir-faire en gouvernance et en quantification
 économique des risques existe depuis des décennies !

   @CyberatHack
Quelques Questions

  Pourquoi de tels constats alors que les informations et les outils pour
   anticiper existent ?
  Les dires d’experts peuvent-ils être aussi pertinents que l’actuariat ?
  La synergie entre MOE et MOA est-elle suffisante ?
  Les assureurs vont-ils toujours suivre ?
  Comment sont assumées les obligations réglementaires (provisions) ?
  Pourquoi une telle reluctance des managers ?

   @CyberatHack
Méthodologie proposée

  Référentiel ISO 31000-31010
  Evaluer les conséquences potentielles des risques numériques sur
   les métiers, avec l’implication des MOA
  Intégrer les données opérationnelles avec l’économique et le
   financier
  Impliquer les fournisseurs
  Approche en « Minimum – Meilleur Estimé – Maximum »
  Calculs de quantification global avec un outil stochastique : Monte
   Carlo, voire Bayésien
  Changement de culture de la MOE à la MOA

   @CyberatHack
Le terrain : de l’industrie au numérique
        Hors du numérique :
               TOTAL                      TECHNIP                          EGIS                    SUBSEA 7    LEGO

        Des applications très diverses (Go/NoGo, négociations , réserves financières, provisions comptables)

          Banques & Assurances : changement pointu d’organisation pour répondre aux risques
           d’image dans le Numérique / réseaux sociaux
          Coca Cola : concours de geysers avec les pastilles Mentos sur les réseaux sociaux
          PME : révision à la baisse du coût du plan SI de continuité de 3 M€ à 0,4 M€

             Repose sur la réalité des incertitudes et aléas, fréquents dans le Numérique
             En cohérence totale avec l’urbanisation des SI (approche systémique, …)
             Approche flux donne de nombreuses quantifications, au-delà des volumétries statiques
             Estimations : réutilisation de méthodes de points de fonctions
             Intègre les évolutions très rapides du Numérique
   @CyberatHack
De la méthode au terrain : Mise en œuvre
                                        Modélisation des incertitudes
                        Quantification des critères              Probabilité %
                 Meilleur estimé            110                                  Min        Meilleur estimé            Max      Ressources
               Min                     90
                                 Max                      180
                     Confiance                    90%                                                                                       Qtté

                 Meilleur estimé                    150                          Min     Meilleur estimé           Max          Productions
               Min                     80
                                 Max                      200
                     Confiance                    90%                                                                                       Qtté

                                                            Monte Carlo                                   Révision
                                                                                                            Evaluationconcertée
                                                                                                                       des Réserves pour  etAléas
                                                                                                                                               motivée          du budget
                                                                                                                                                     et Incertitudes
                                                                                                                      Provisions pour Risques et Incertitudes
                                                                                        Probabilité                                                Prise en compte des Risques
                                                                                        0,1800
                                                                                                          100 M€                   114 M€

          Prise en compte des aléas                                                     0,1600

                                                                                        0,1400                                                                       131 M€
                                                                                                                                       Plan d'Actions
          • Changements spécifications : 70%                                            0,1200

                                                                                                                                      90% de                                     Après Actions
                                                                                        0,1000

          • Panne d’exploitation : 2 / an                                               0,0800 Provision pour
                                                                                                                                     certitude                                   Avant Actions

                                                                                                                                                                                 Investissements hors Risques
                                                                                                  Risques et
          • Bugs résiduels : 5%                                                         0,0600   Incertitudes

          • Sources non actuelles : 0,1%
                                                                                        0,0400                          14 M€

                                                                                        0,0200

          • Attaques : 15 / an                                                          0,0000
                                                                                                                                                                                                                M€

          • …
   @CyberatHack                                                                  La provision financière (14 M€) est                                       La méthode de Monte-Carlo permet
                                                                                       objectivement motivée                                             d’exprimer des phénomènes spécifiques
Exemple d’application

   PME en e-commerce B2B
   30 commandes/jour ; CA de 15 M€

                                                          Données opérationnelles       Valeur (K€)         Totaux coûts (K€)
         Analyse Conséquences - 1 jour d'arrêt
                                                           min estimé max           min estimé max         min estimé max
  Arrêt d'exploitation   Absence directe   Nb Cmdes           15      30       45       1       2     10      15      60      450
  Maintenance            Logiciels         charge (J)          5      10       30     0,5     0,7   0,95       3       7       29
  Communication          Divers média      charge (J)          3       5       10    0,75    0,95    1,2       2       5       12
  Perte d'image          Absence générée   Nb Cmdes           30      60     300        1       2     10      30     120 3 000
                                            Totaux (K€)                                                       50     192 3 491
   Coût total max : valeur aberrante …
   Coût total médian : 310 K€ qui est un enjeu raisonnable de l’incident

   @CyberatHack
Apports managériaux

    Répondre aux exigences des normes IFRS, Bâle, Solvency, … pour les Risques
     opérationnels
    Faire prendre conscience de l’importance des risques numériques pour l’entreprise
    Passer du mode budgétaire « justification du consommé » au mode
     « engagement de résultats » (SLA, …)
    Améliorer significativement les résultats Performances / Coûts / Délais des projets,
                                                                                                Q
     et plus généralement de toute activité
                                                                                                R
                                                                                                    C
    Réduction du stress des collaborateurs et/ou des experts                               D

    Réduction de la rétention d’information
    Implication forte des MOA
    Pouvoir manager les responsables de projets et d’activités MOE et MOA de façon
     très factuelle, opérationnelle et sans biais
    Gouvernance plus objective

   @CyberatHack
CYBER@HACK
                   2K16
                  Organisé par

@CyberatHack
Vous pouvez aussi lire