Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Sensibilisation aux Risques
Cybersecurité
Olivier POIRIER
Privée
Fraude
Surveillance Réseaux Sociaux
Secret Mot de passe
Réseaux Confiance Logiciel
SECURITE Phishing
Web
Digital
Identité
Technologie
Acces Internet
Protection Détection
Spam Equipements
Caméra
Vidéo
Données Contrôle Réputation
Disponibilité
2
Sommaire 1. Définitions 2. Contexte 3. Objectifs & Principes 4. Menaces & Risques 5. Vecteurs, Motivations & Tendances 6. Mesures & Bonnes pratiques
Sécurité de l’information:
La sécurité de l’information se réfère au cadre de contrôle (Incluant la gouvernance, les
processus et méthodologies) défini et appliqué afin de protéger l’information quel qu'en soit
la forme (I.e. Impression, électronique…). L’application des mesures préventives et
détectives vise à garantir le caractère confidentiel, privé ou sensible des données face: aux
accès, aux usages, aux détournements, aux révélations, aux altérations (destructions et
modifications) voire à l’indisponibilité non consentis et à l’insu de leur propriétaire.
Sécurité des Systèmes d’Information ou Sécurité Informatique:
Le système d'information est généralement défini par l'ensemble des données et des
ressources matérielles (Communication et réseau, Serveurs, Ordinateurs, Smartphones) et
logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système
d'information représente un patrimoine essentiel de l'entreprise, qu'il convient donc de protéger
CyberSecurité (NIST) :
S’entend de la capacité à protéger le cyber-espace des potentiels cyber-attaques !
4
Sécurité informatique et cyber-sécurité:
Juste une question de formulation?
5
Sommaire 1. Définitions 2. Contexte 3. Objectifs & Principes 4. Menaces & Risques 5. Vecteurs, Motivations & Tendances 6. Mesures & Bonnes pratiques
Cadre réglementaire prégnant
Modification des comportements (R)évolution technologique
7
Sommaire 1. Définitions 2. Contexte 3. Objectifs & Principes 4. Menaces & Risques 5. Vecteurs, Motivations & Tendances 6. Mesures & Bonnes pratiques
La sécurité des systèmes d’information et au sens large celle de la sécurité de l’Information
s’attache à maintenir un niveau de confiance nécessaire basé sur les critères suivants:
La confidentialité: consistant à assurer que seules les personnes autorisées aient accès aux
ressources ceci compris l’information
L’intégrité : c'est-à-dire garantir que les données sont bien celles que l'on croit être. Qu’elles
n’ont pas été modifiées, manipulées ou détruites
La disponibilité: permettant de maintenir le bon fonctionnement du système d'information.
Par exemple, garantir l’accessibilité de l’information ou encore la performance d’un système
Au concept d’intégrité, peuvent être associés d’autres critères:
L’auditabilité: Visant à garantir la capacité à vérifier le bon déroulement d’un processus. Cet
aspect est crucial en cas d’audit et d’analyse post-incident
La non-répudiation: permettant de garantir qu'une transaction ne peut être niée
L’authentification: consistant à assurer que seules les personnes autorisées aient accès aux
ressources.
9
Risques 10
Sommaire 1. Définitions 2. Contexte 3. Objectifs & Principes 4. Menaces & Risques 5. Vecteurs, Motivations & Tendances 6. Mesures & Bonnes pratiques
Exposition au risque
=
Probabilité x Vul. x
I E Impact
n x
t t Risque classification
e Actifs e
r Critiques r
n n
e e Réduction
s Risques s
Suppression
Contrôle Interne
Acceptation
Menaces
Transfert 12Sommaire 1. Définitions 2. Contexte 3. Objectifs & Principes 4. Menaces & Risques 5. Vecteurs, Motivations & Tendances 6. Mesures & Bonnes pratiques
Espionnage 10%
Activisme 6%
Cyber-Warfare 7%
Cybercriminalité 77% Vol de données
confidentielles
Source Hackmagedon Aout 2017
14QUELLE TACTIQUE?
QUI DERRIERE LES FUITES?
Hacking
Attaquants externes
62%
75% + moitié des fuite avec virus
impliques des acteurs internes 51%
25% Mot de passe volés ou faibles
Groupe assimilés à des états 81%
18% Ingéniérie sociale
43%
Implique des partenaires
Securité physique
2% 8%
Implique des groupes criminels Erreurs
51% 14%
QUI SONT LES VICTIMES? FACTEURS COMMUNS
Organismes Financiers Propagations via Email
24% 66%
Santé Fuites motivées par le gain
15% 73%
Secteur Public Fuites motivées par espionnage
12% 21%
Distribution Détection par des Tiers
Source Data Breach Investigatins
15% report 2017 Verizon 27%
15Vol de données: priorité des hackers 61% des fuites de données concernent des organisations de moins de 1.000 employés Impact de réputation et financiers (ex résiliations de contrats) ont un coût médian estimé (PME et collectivités publiques) à ~10.000 €. Le maximum encouru s’évalue à 4% du chiffre d’affaire ou du budget. L’utilisateur: cible privilégiée 4 Milliards de personnes exposées en 2020 67% visent les employés Des coûts liés à la cybercriminalité croissants 5 Milliards d’euros en 2020 ~ 87 % nécessite des consultants en sécurité, des avocats ou encore des cabinets-conseils spécialisés dans la gestion du risque Un coût médian de 10.000€ au sein des PME et petites collectivités pour faire face à la dégradation de réputation et l’impact financier
1 2 3 4 5 6 7
Ciblage Phishing Compromission Backdoor Mouvement Collecte Exfiltration
La cible
L’attaquant ouvre les L’attaquant L’attaquant
L’attaquant L’attaquant
L’attaquant envoi emails et collecte les exfiltre les
accède au élève ses
cible une quelques les pièces données données ou
système de droits
victime emails à la jointes: confiden- crypte les
la cible d’accès
cible virus en tielles données
placeLe service
CV!!
Le PrixSeptembre, 2016
Plus 1 milliard de comptes Yahoo volés !
Juillet, 2017
Les mots de passe, adresses e-mail et les
numéros de téléphone d’un demi-million de
patients belges ont été volés par un hacker.
WachtKamer: 85k€ réclamés à l’institution
2017
Procédure déposée par un client
institutionnel contre une banque belge
pour avoir accepté des retraits avec une
identité volée.
2017
Equifax: 143millions de données clients
volées. PDG licencié
*Source: Risk.net, sur la base d'une série d'entretiens qui ont eu lieu en novembre et décembre 2016Sommaire 1. Définitions 2. Contexte 3. Objectifs & Principes 4. Menaces & Risques 5. Vecteurs, Motivations & Tendances 6. Mesures & Bonnes pratiques
Mise en place d’un cadre de contrôle (par exemple ISO27002)
114 points de contrôles ventilés dans 18 thèmes:
contrôles liés à l’informatique : 36.84%
contrôles liés à l’organisation et à la documentation : 35.96%
contrôles de sécurité physique (et environnementale) : 13.16%
protection légale : 4.39%
contrôles relatifs aux relations avec les fournisseurs/les clients : 4.39%
contrôles portant sur la gestion des ressources humaines : 5.26%
Appliquer un certain nombre de principes « d’Hygiène » de base
Sensibiliser et former;
Connaître son système d’information;
Authentifier et contrôler;
Sécuriser postes de travail, réseau et système d’Administration;
Gérer la mobilité et Maintenir ses systèmes à jour;
Superviser, contrôler, auditer.
! RAPPEL: LA SECURITE EST L’AFFAIRE DE TOUS !
21Ne pas aborder de sujet Utiliser des supports de
confidentiel dans les endroits stockages amovibles
publics ou les médias sociaux encryptés
Cloisonner les courriers
Verrouiller sont PC et adresses
Sécuriser son PC professionnelles et
personnelles
Sécuriser l’information Identifier et
confidentielle: « Bureau accompagner les
propre » et verrous visiteurs
Comportement
Vigilance vis-à-vis des approprié: En cas de
documents confidentiels doute, sollicitez les
laissés sans surveillance instances responsable de
la sécurité
Ne pas cliquer par
Détruire les documents « défaut » sur les pièces
(très)confidentiels (Shredder) jointes et liens dans les
emails
Alerter et rapporter les
User d’un mot de passe
incidents ou
robuste : Ne JAMAIS le
comportement
divulguer
suspicieux 22Merci
Vous pouvez aussi lire
