Cyber protection pour les entreprises - la Mobilière 2018 Ary Kokos, Manager, EY - la Mobilière
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cyber protection pour les entreprises
la Mobilière
2018
Ary Kokos, Manager, EY
Page 1 Cyber protection pour les entreprises
Agenda Les cyber menaces pour les PME - situation actuelle La cyber sécurité dans l'entreprise Cyber risques Les mesures de sécurité en pratique Questionnaire Résumé, discussions et questions Annexes Page 2 Cyber protection pour les entreprises
Speaker Ary Kokos Manager Cyber sécurité, EY Genève Speaker à des conférences nationales et internationales Page 3 Cyber protection pour les entreprises
Les cyber menaces pour les PME - situation actuelle
Les cyber menaces pour les PME - situation actuelle
Cyber attaques en temps réel
Source: http://map.norsecorp.com/
Page 5 Cyber protection pour les entreprises
Les cyber menaces pour les PME - situation actuelle
Cyber attaques : chacun de nous peut être la prochaine "victime"
Schneider Metallbau AG a été victime de la cyberattaque "Wannacry" en avril 2017.
Un employé a lu ses courriels privés pendant les heures de travail et après avoir cliqué sur un
lien, a été redirigé vers un site Web infecté, qui a arrêté tout le réseau en peu de temps.
Pendant deux semaines, tous les systèmes informatiques requis pour la fabrication des
produits métalliques ne pouvaient plus être utilisés.
L'attaquant demande une rançon de 2 Bitcoins (10’000-30’000 CHF selon le taux de change)
pour décrypter les fichiers et redonner l’accès aux données.
Qu'auriez-vous fait?
Payer Redémarrer Attendu
tous les
systèmes IT Acheter de
Informer la Informer nouveaux
police l'assurance systèmes IT
Page 6 Cyber protection pour les entreprises
Cyber menaces pour les PME - situation actuelle Cyber criminalité dans les journaux Page 7 Cyber protection pour les entreprises
Les cyber menaces pour les PME - situation actuelle
Défis et changement de paradigme
Blockchain
aujourd'hui
Analyses
avancées
Cloud
Computing Social
Gestion décentralisée Media
de données
( "Client-server")
Mobile
Gestion centralisée Computing
des données
("host")
Années 1980/1990
Gestion des données
distribuées sur Internet
("Supply Chain")
vue
Sécurité physique et Réseau (logique) et Sécurité des données Sécurité de l'identité Sécurité de
environnementale sécurité du système et de l'information des personnes l‘écosystème
Page 8 Cyber protection pour les entreprises
Cyber menaces pour les PME - situation actuelle
Les cyber menaces continuent d'évoluer
Attaques Attaques Espionnage Crime organisé Attaques Next Level
basiques (script sophistiquées industriel (réseaux financées par Threats (NLT)
kiddies) (hackers) (interne avec de criminels) l'État (menace (menace de
mauvaises persistante niveau supérieur)
intentions) avancée - APT)
Manipulation du
?
marché / avantage
Toute concurrentiel /
information objectifs
pouvant être militaires,
Vengeance / politiques
vendue ou
Risque
enrichissement
utilisée pour
personnel /
Argent / extorsion /
manipulation des
embarras / rançon : espèces,
cours boursiers /
raisons cartes de crédit,
Jeu / notoriété / avantage
politiques, identités,
malveillance concurrentiel
sociales, informations
écologiques privilégiées,
adresse IP
Années 1980/1990 Ressources et sophistication des attaquants 2020
Les attaquants ne sont pas seulement patients et sophistiqués, ils ont aussi des ressources financières importantes.
Ils ne ciblent plus seulement les failles de la technologie, mais également les employés et les processus.
Page 9 Cyber protection pour les entreprises
La cyber sécurité dans l'entreprise
La cyber sécurité dans l'entreprise
Définition de la cyber sécurité
La cyber sécurité est la combinaison de technologies, de processus
et de méthodes pour protéger les réseaux, les ordinateurs, les
programmes et les données contre les attaques, la corruption et
l'accès non autorisé par des tiers.
Par conséquent, la cybersécurité englobe l'examen holistique de
mesures pour :
► l'identification
► la protection
► la découverte
► la réaction
► la restauration
des cyber attaques.
Page 11 Cyber protection pour les entreprisesLa cyber sécurité dans l'entreprise
Faits saillants de la dernière Global Information Security Survey (2017)
Résultats
77% des entreprises 12% des entreprises
considèrent les employés disent reconnaître les cyber
négligeants comme la attaques sophistiquées.
principale cause de la cyber
attaque.
87% des entreprises
89% disent que leur
interrogées estiment qu'une
augmentation de plus de 50% fonction de cyber sécurité
du budget cyber est ne répond pas entièrement
nécessaire. à leurs besoins.
GISS 2017: L'enquête mondiale sur la sécurité examine les problèmes de cyber sécurité les plus importants auxquels les organisations sont confrontées aujourd'hui. Elle collecte
les réponses de près de 1 200 participants à travers le monde provenant de plus de 20 secteurs industriels.
Page 12 Cyber protection pour les entreprisesLa cyber sécurité dans l'entreprise Eléments clefs du Global Information Security Survey (2017-2018) Résumé Source: http://www.ey.com/gl/en/services/advisory/ey-global-information-security-survey-2017-18 Page 13 Cyber protection pour les entreprises
Cyber risques
Cyber risques
Objectifs de sécurité
C I Intégrité
Confidentialité
A
Disponibilité
Page 15 Cyber protection pour les entreprisesCyber risques
Actifs critiques
Toutes les données ne sont pas identiques ! Comprendre quelles données sont critiques est la
première étape pour les protéger correctement.
La stratégie et l'investissement cybernétiques devraient se concentrer sur l'identification des actifs
critiques les plus susceptibles d'être attaqués.
Actifs critiques
Êtes-vous conscients de...
Clé cryptographique /
… quelles sont les valeurs et les informations que mot de passe
vous détenez pour lesquelles les attaquants
pourraient être intéressés ? Documents des Conseil
d'Administration et Direction
Générale
... où ces actifs sont situés - à l'intérieur et / ou à
l'extérieur de l'entreprise ? Documents concernant
les fusions et
acquisitions
Documents de
... comment vos plans d'affaires pourraient rendre ces stratégie
actifs encore plus vulnérables ?
IP / méthodes,
algorithmes
... comment ces actifs pourraient être détruits ou CID / données
personnelles à protéger
accédés ?
... à quelle vitesse pouvez-vous détecter une attaque ou une
compromission des systèmes ?
Page 16 Cyber protection pour les entreprisesCyber risques
Violation de la confidentialité
Perte, vol de données à la suite d'une cyber attaque contre l'infrastructure informatique ou contre des personnes
Violation de la confidentialité - Exemple d’une fiduciaire
Risque : accès non autorisé aux données sensibles
Données des
Les données du client et / ou les données personnelles sensibles (par
exemple les données de base client) sont volées, volontairement
clients
retirées de l'entreprise ou divulguées par inadvertance
Des informations sensibles sur la stratégie commerciale (fusions et
d'entreprise
acquisitions, investissements, restructurations, etc.) sont diffusées
Données
(par exemple via des logiciels espions). Ce qui peut donner à des tiers
un avantage concurrentiel indésirable
Page 17 Cyber protection pour les entreprisesCyber risques
Violation de l'intégrité
Perte, vol de données à la suite d'une cyber attaque contre l'infrastructure informatique ou contre des personnes
Violation de l'intégrité - exemple d'une assurance-maladie
Risque : changement de données sensibles
Données des
Les données du client et / ou les données personnelles sensibles
(par exemple les données de santé) sont modifiées, par exemple,
pour déclencher des paiements injustifiés ou pour falsifier des
clients
médicaments et des traitements
Les informations sensibles telles que les données financières ou les
d'entreprise
flux de trésorerie sont modifiées. Cela peut signifier, par exemple,
Données
que les états financiers sont basés sur des chiffres manipulés ou que
des paiements sont effectués aux mauvais destinataires
Image Source: NTT
Page 18 Cyber protection pour les entreprisesCyber risques
Violation de la disponibilité
Perte, vol de données à la suite d'une cyber attaque contre l'infrastructure informatique ou contre des personnes
Atteinte à la disponibilité - Exemple d’une boutique en ligne
Risque : les systèmes informatiques (applications métier de
base, systèmes en ligne, passerelles de paiement, serveurs
Web, etc.) sont menacés par des cyberattaques ciblées
Données des
Si les systèmes ne sont plus fonctionnels (boutique en ligne,
formulaires de contact client en ligne, etc.), cela peut être prohibitif et
clients
nuire à la réputation de l'entreprise
Si les applications métier, les interfaces client, les systèmes de
d'entreprise
production ou l'infrastructure de bureau sont indisponibles pendant
Données
une longue période, les processus métier (par exemple la comptabilité
des salaires) peuvent être paralysés
Page 19 Cyber protection pour les entreprisesCyber risques
Cyber risque d’une chaîne de production
Production d'une table de bureau
Fabricant
Fournisseur ►Dénis de service sur les Commerce
►Violation de l'intégrité : systèmes ►Atteinte à la
Quel impact ? informatiques (CRM) confidentialité :
et des machines Quel impact ?
CNC (disponibilité)
https://hackaday.com/2017/05/04/industrial-robots-hacking-and-sabotage/
Page 20 Cyber protection pour les entreprisesLes mesures de sécurité en pratique
Les mesures de sécurité en pratique
Gestion des risques informatiques
Identifier les risques en
effectuant une évaluation des
Les domaines à risque (ex. projets, risques par rapport aux
initiatives, applications, actifs) ont été contrôles, lignes directrices et
identifiés et entrés dans le «cycle de vie des normes existants
risques» Identifier
Effectuer une analyse des
tendances et surveiller l'état Surveiller Analyser les risques
des risques ouverts et des identifiés en utilisant des
mesures d'atténuation Analyser critères d'évaluation des
risques pour déterminer la
classe de risque appropriée
Documenter
Fournir des évaluations de Gérer Gestion des risques par définition et
risques globales et ciblées pour mise en œuvre des stratégies de risque
appuyer les décisions (accepter, minimiser, transférer, éviter
stratégiques de gestion ou ignorer)
Les activités de gouvernance des risques définissent la stratégie et les processus, méthodes, risques et contrôles
standard requis pour amener le risque technologique à un niveau acceptable
Page 22 Cyber protection pour les entreprisesLes mesures de sécurité en pratique Checklist Configuration sécurisée des systèmes informatiques (PC, serveur, réseau, PC industriel, etc.). Installation d'un logiciel antivirus et s’assurer de sa mise à jour et exécution régulière. Les mises à jour du système et du programme sont régulièrement installées -> le système informatique est à jour. Gestion des accès (données et systèmes), c'est-à-dire utiliser uniquement des utilisateurs nominatifs et des mots de passe complexes et les modifier régulièrement, utiliser l'authentification avancée (2FA) si possible -> implémenter un accès basé sur les rôles. Sauvegarde de données (en ligne et hors ligne) -> tests périodiques Sécurisation des appareils mobiles (par exemple les téléphones mobiles) Mettre en œuvre des mesures liées à l'application ou aux processus (séparation des compétences, par exemple pour les paiements) Voir aussi: brochure: https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html Page 23 Cyber protection pour les entreprises
Les mesures de sécurité en pratique Checklist Créer un plan d’action d'urgence : que faire en cas d'urgence (accident informatique). Prévoir un plan de communication. Enregistrer le trafic et l'activité du système (conserver les fichiers journaux centralisés et s’assurer qu'ils ne peuvent pas être supprimés). Créer un inventaire et classer les systèmes et les données ; quantifier les données sensibles. Pour un e-banking sécurisé, se référer aux instructions de votre banque. Déterminer les responsables de la sécurité de l'information. Évaluer les risques informatiques / cybernétiques. Formation / sensibilisation. Voir aussi: brochure: https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html Page 24 Cyber protection pour les entreprises
Questionnaire
Questionnaire
1. Q: Quel type et quantité de données sensibles sont stockées / traitées dans votre entreprise?
R: a. Données personnelles
b. Informations sur les cartes de paiement
c. Données de santé
d. Propriété intellectuelle
2. Q: Les services d'externalisation sont-ils utilisés?
R: a. Oui
b. Non
3. Q: Utilisez-vous un antivirus, un antispyware ou une protection antimalware équivalente?
R: a. Oui
b. Non
4. Q: Corrigez-vous et mettez-vous à jour vos systèmes informatiques et logiciels rapidement?
R: a. Non
b. Partiellement (best effort)
c. Oui, notification automatique (si disponible), la mise en œuvre prend 30 jours ou moins
5. Q: Effectuez-vous des exercices réguliers de sensibilisation à la sécurité informatique de vos employés?
R: a. Oui
b. Non
Page 26 Cyber protection pour les entreprisesQuestionnaire
6. Q: Est-il obligatoire de changer le mot de passe périodiquement dans les systèmes informatiques? Si oui, à
quelle fréquence devez-vous changer votre mot de passe?
R: a. Non
b. Tous les 60 jours
c. Tous les 90 jours
d. Tous les 120 jours
e. Plus de 120 jours
7. Q: Testez-vous régulièrement vos backups pour vous assurer que les données critiques de l'entreprise
peuvent être mises à disposition rapidement en cas d'urgence?
R: a. Oui
b. Non
8. Q: Avez-vous créé un plan d'urgence qui réglemente la gestion d'un incident informatique (comme le
phishing, les logiciels malveillants, les attaques DDoS, etc.)?
R: a. Oui
b. Non
9. Q: Dans votre entreprise qui est responsables de l'informatique et de la sécurité informatique?
R: a. CISO/IT Security Officer
b. CIO
c. Propriétaire/CEO
d. Ces responsabilités n'ont pas été assignées / ne sont pas clairement définies
e. Fournisseur de services informatiques
Page 27 Cyber protection pour les entreprisesTest de phishing https://www.ebas.ch/phishingtest Page 28 Cyber protection pour les entreprises
Résumé, discussions et questions
Résumé, discussions et questions Tendances du risque informatique: une augmentation est attendue L'augmentation des risques informatiques provient notamment des facteurs suivants : ► Changements dans le comportement des clients ► Nouveaux modèles d'affaires ► Transformation des processus métier ► Numérisation et automatisation ► Augmentation du nombre d'écosystèmes ► Remplacement de l'infrastructure informatique existante ► Externalisation et Cloud ► Augmentation de la complexité informatique, augmentation de la connectivité (IoT) Page 30 Cyber protection pour les entreprises
Résumé, discussions et questions
Augmentation de la complexité IT et de la connectivité - cas d'IoT
Les machines
connectées
deviennent une
source d'analyse Smart Parking permet aux
des données clients de trouver des
volumineuses, espaces de stationnement
telles que plus rapidement et plus
l'analyse des facilement.
données
démographiques
La technologie
portable améliore
l'efficacité de
l'authentification Samsung
Family Hub 2.0
peut déjà
commander
des aliments
auprès de LiDL
Smart Supply Chain
Technologies (S2CT) permet la
La technologie IBeacon permet mise en place d'une chaîne de
aux clients d'avoir une valeur intelligente
expérience personnalisée dans
les magasins
Page 31 Cyber protection pour les entreprisesRésumé, discussions et questions
La cyber criminalité est maintenant un risque majeur.
Actuellement, les cyber criminels sont :
• professionnellement organisé et plus seulement des opportunistes
• sont largement financés (motivation et moyens financiers)
• ils sont patients et extrêmement habiles (facteur temps).
La cyber criminalité est un problème au niveau de l'entreprise
• Les attaquants exploitent les vulnérabilités dans l'entreprise, y compris les
processus et les employés
• Pour les attaquants, il suffit d'effectuer une seule action efficace pour réussir.
Au contraire, l'entreprise attaquée doit se protéger constamment.
Page 32 Cyber protection pour les entreprisesAnnexes
Annexe : introduction aux cyber risques
Le darknet
► Surface Web : la partie du Web qui peut être recherchée par les
moteurs de recherche standards est ouvert au public
► Deep Web : la partie du Web qui n'est pas indexée par les
moteurs de recherche standards. Contient des pages, par
exemple, qui nécessitent un accès, telles que le webmail, les
services bancaires en ligne et d'abonnement ou les pages qui ne
sont pas liées à d'autres sites
► Darknet : réseaux peer-to-peer qui utilisent Internet mais
requièrent des logiciels spécifiques, des configurations ou des
autorisations d'accès. Le plus grand réseau de ce type est Tor
► Dark Web : le contenu Web existant sur darknet
► Le darknet offre une protection de la vie privée grâce à
l'anonymat. Par exemple, pour les journalistes et blogueurs qui
écrivent dans des zones de crise humanitaire ou pour des
militants des droits de l'homme vivant dans des pays sans liberté
de presse ou opinion.
https://www.youtube.com/watch?v=IIfK41NTsxU
Page 34 Cyber protection pour les entreprisesAnnexe : qu'est-ce qu'une crypto-monnaie ?
Les ressources numériques comme moyen d'échange cryptographique
Une crypto-monnaie est un moyen
d'échange qui utilise des technologies
cryptographiques pour assurer des
transactions sécurisées
Une monnaie décentralisée contre les systèmes bancaires centralisés
• Les crypto-monnaies sont un sous-ensemble de devises alternatives, en particulier les
monnaies numériques.
• Habituellement non liées à une banque ou à un gouvernement, les crypto-monnaies
permettent des transactions instantanées et un transfert de propriété illimité, ainsi qu'un
degré d'anonymat différent.
• Le mécanisme de contrôle distribué est souvent basé sur la technologie blockchain (par
exemple Bitcoin) en tant que base de données transactionnelle dans le rôle d'un registre
distribué.
Page 35 Cyber protection pour les entreprisesAnnexe : comment fonctionnent les Bitcoins?
Le processus d'achat d'une crypto-monnaie
Une fois que l'infrastructure est configurée, les transactions avec crypto-monnaie sont rapides et
sécurisées. Le temps de transaction moyen d'un bloc à confirmer est de 30 minutes, ce qui est
particulièrement rapide dans le monde des institutions financières.
Ouverture d'un compte Une fois le compte Bitcoin Bitcoin Exchange convertit Le Bitcoin acheté est retiré
Bitcoin: la plateforme Bitcoin approuvé, le transfert vers la devise légale en Bitcoin dans un compte Bitcoin
Exchange exécute le le compte Exchange sécurisé (portefeuille
processus KYC (Know Your commence dans la devise numérique) référencé par la
Customer) pour le nouveau légale locale clé publique
compte
La devise légale sera Bitcoin Exchange convertit Le Bitcoin est retiré d'un
transférée sur le compte Bitcoin en monnaie légale portefeuille numérique en
utilisant une clé privée
Page 36 Cyber protection pour les entreprisesAnnexe : principaux avantages des crypto-monnaies
Le Bitcoin est la première application blockchain réussie, une monnaie numérique qui occupe
une place importante dans ce spectre. Les capacités technologiques des crypto-monnaies sont
accompagnées d'une structure d'incitation soigneusement équilibrée.
Faibles coûts de
transaction et
visibilité en temps Transférabilité et
réel convertibilité
transfrontalière Échange en toute
La technologie de crypto-
monnaie vous permet de Toutes les transactions de
confiance
confirmer les transactions crypto-monnaie peuvent Les nouveaux blocs sont
Pseudo anonymat
directement dans la être échangées ajoutés sur la base d'un Le manque d'informations
blockchain, ce qui signifie internationalement et consensus qui incite Exemption de
personnelles et la
qu'aucun frais de converties en monnaie
courtage ou d'utilisation légale à un coût minime
économiquement les confusion des l'influence du
nœuds malhonnêtes à transactions permettent
d'une chambre de participer honnêtement et l'anonymat dans le
système bancaire
compensation sont à éliminer le risque d'abus réseau. Cependant, cela Contrairement aux
nécessaires. Le système de confiance. peut conduire au systèmes bancaires
de comptabilité distribuée
blanchiment d'argent et traditionnels, certaines
vous permet également
au financement d'activités crypto-monnaies sont une
de voir toutes les
illégales. monnaie alternative qui
informations en temps
réel. n'est pas contrôlée par
une seule entité.
Page 37 Cyber protection pour les entreprisesVous pouvez aussi lire
