Sensibilisation aux Risques Cybersecurité - Olivier POIRIER

La page est créée Adrien Devaux
 
CONTINUER À LIRE
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
Sensibilisation aux Risques
Cybersecurité

                      Olivier POIRIER
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
Privée
                                Fraude
          Surveillance                      Réseaux Sociaux
     Secret Mot de passe
 Réseaux Confiance                              Logiciel
           SECURITE                               Phishing
    Web
 Digital
Identité

                                                Technologie
       Acces       Internet
                              Protection Détection
                           Spam             Equipements

                                       Caméra
           Vidéo

     Données              Contrôle              Réputation
                          Disponibilité

                                                              2
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
Sommaire
1.   Définitions

2.   Contexte

3.   Objectifs & Principes

4.   Menaces & Risques

5.   Vecteurs, Motivations & Tendances

6.   Mesures & Bonnes pratiques
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
Sécurité de l’information:

La sécurité de l’information se réfère au cadre de contrôle (Incluant la gouvernance, les
processus et méthodologies) défini et appliqué afin de protéger l’information quel qu'en soit
la forme (I.e. Impression, électronique…). L’application des mesures préventives et
détectives vise à garantir le caractère confidentiel, privé ou sensible des données face: aux
accès, aux usages, aux détournements, aux révélations, aux altérations (destructions et
modifications) voire à l’indisponibilité non consentis et à l’insu de leur propriétaire.

   Sécurité des Systèmes d’Information ou Sécurité Informatique:

Le système d'information est généralement défini par l'ensemble des données et des
ressources matérielles (Communication et réseau, Serveurs, Ordinateurs, Smartphones) et
logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système
d'information représente un patrimoine essentiel de l'entreprise, qu'il convient donc de protéger

   CyberSecurité (NIST) :

S’entend de la capacité à protéger le cyber-espace des potentiels cyber-attaques !

                                                                                                    4
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
Sécurité informatique et cyber-sécurité:
Juste une question de formulation?

                                           5
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
Sommaire
1.   Définitions

2.   Contexte

3.   Objectifs & Principes

4.   Menaces & Risques

5.   Vecteurs, Motivations & Tendances

6.   Mesures & Bonnes pratiques
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
 Cadre réglementaire prégnant

 Modification des comportements                                 (R)évolution technologique
                                                                                               7
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
Sommaire
1.   Définitions

2.   Contexte

3.   Objectifs & Principes

4.   Menaces & Risques

5.   Vecteurs, Motivations & Tendances

6.   Mesures & Bonnes pratiques
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
La sécurité des systèmes d’information et au sens large celle de la sécurité de l’Information
s’attache à maintenir un niveau de confiance nécessaire basé sur les critères suivants:

   La confidentialité: consistant à assurer que seules les personnes autorisées aient accès aux
   ressources ceci compris l’information

   L’intégrité : c'est-à-dire garantir que les données sont bien celles que l'on croit être. Qu’elles
   n’ont pas été modifiées, manipulées ou détruites

   La disponibilité: permettant de maintenir le bon fonctionnement du système d'information.
   Par exemple, garantir l’accessibilité de l’information ou encore la performance d’un système

Au concept d’intégrité, peuvent être associés d’autres critères:

   L’auditabilité: Visant à garantir la capacité à vérifier le bon déroulement d’un processus. Cet
   aspect est crucial en cas d’audit et d’analyse post-incident

   La non-répudiation: permettant de garantir qu'une transaction ne peut être niée

   L’authentification: consistant à assurer que seules les personnes autorisées aient accès aux
   ressources.
                                                                                                        9
Sensibilisation aux Risques Cybersecurité - Olivier POIRIER
Risques

10
Sommaire
1.   Définitions

2.   Contexte

3.   Objectifs & Principes

4.   Menaces & Risques

5.   Vecteurs, Motivations & Tendances

6.   Mesures & Bonnes pratiques
Exposition au risque
                                   =
                           Probabilité x Vul. x
I                      E        Impact
n                      x
t                      t   Risque classification
e       Actifs         e
r      Critiques       r
n                      n
e                      e       Réduction
s       Risques        s
                                Suppression
    Contrôle Interne
                                Acceptation
       Menaces
                               Transfert          12
Sommaire
1.   Définitions

2.   Contexte

3.   Objectifs & Principes

4.   Menaces & Risques

5.   Vecteurs, Motivations & Tendances

6.   Mesures & Bonnes pratiques
Espionnage 10%

      Activisme 6%

      Cyber-Warfare 7%

      Cybercriminalité 77%     Vol de données
                               confidentielles
Source Hackmagedon Aout 2017
                                                 14
QUELLE TACTIQUE?
  QUI DERRIERE LES FUITES?
                                                                              Hacking
     Attaquants externes
                                                                                                62%
                           75%                                       + moitié des fuite avec virus
impliques des acteurs internes                                                                  51%
                           25%                                       Mot de passe volés ou faibles
 Groupe assimilés à des états                                                                   81%
                           18%                                            Ingéniérie sociale
                                                                                                43%
  Implique des partenaires
                                                                          Securité physique
                            2%                                                                   8%
Implique des groupes criminels                                                 Erreurs
                           51%                                                                  14%

  QUI SONT LES VICTIMES?                                                FACTEURS COMMUNS
   Organismes Financiers                                                Propagations via Email
                         24%                                                                    66%
           Santé                                                      Fuites motivées par le gain
                         15%                                                                    73%
       Secteur Public                                               Fuites motivées par espionnage
                         12%                                                                    21%
        Distribution                                                    Détection par des Tiers
                                 Source Data Breach Investigatins
                         15%     report 2017 Verizon                                            27%
                                                                                                      15
Vol de données: priorité des hackers

 61% des fuites de données concernent des organisations de moins de
  1.000 employés
 Impact de réputation et financiers (ex résiliations de contrats) ont un
  coût médian estimé (PME et collectivités publiques) à ~10.000 €. Le
  maximum encouru s’évalue à 4% du chiffre d’affaire ou du
  budget.

L’utilisateur: cible privilégiée

 4 Milliards de personnes exposées en 2020
 67% visent les employés

Des coûts liés à la cybercriminalité croissants

 5 Milliards d’euros en 2020
 ~ 87 % nécessite des consultants en sécurité, des avocats ou encore
  des cabinets-conseils spécialisés dans la gestion du risque
 Un coût médian de 10.000€ au sein des PME et petites collectivités
  pour faire face à la dégradation de réputation et l’impact financier
1             2              3              4             5             6               7
    Ciblage    Phishing     Compromission    Backdoor     Mouvement      Collecte      Exfiltration

                                La cible
              L’attaquant     ouvre les                                 L’attaquant     L’attaquant
                                            L’attaquant   L’attaquant
L’attaquant      envoi         emails et                                collecte les    exfiltre les
                                             accède au     élève ses
 cible une     quelques       les pièces                                  données       données ou
                                            système de       droits
  victime     emails à la       jointes:                                 confiden-       crypte les
                                              la cible      d’accès
                 cible         virus en                                    tielles        données
                                 place
Le service

CV!!

          Le Prix
Septembre, 2016
     Plus 1 milliard de comptes Yahoo volés !

                                                                                    Juillet, 2017
                                                                                    Les mots de passe, adresses e-mail et les
                                                                                    numéros de téléphone d’un demi-million de
                                                                                    patients belges ont été volés par un hacker.
                                                                                    WachtKamer: 85k€ réclamés à l’institution
2017
Procédure     déposée   par   un    client
institutionnel contre une banque belge
pour avoir accepté des retraits avec une
identité volée.

                                                2017
                                                Equifax: 143millions de données clients
                                                volées. PDG licencié

  *Source: Risk.net, sur la base d'une série d'entretiens qui ont eu lieu en novembre et décembre 2016
Sommaire
1.   Définitions

2.   Contexte

3.   Objectifs & Principes

4.   Menaces & Risques

5.   Vecteurs, Motivations & Tendances

6.   Mesures & Bonnes pratiques
Mise en place d’un cadre de contrôle (par exemple ISO27002)
  114 points de contrôles ventilés dans 18 thèmes:
            contrôles liés à l’informatique : 36.84%
            contrôles liés à l’organisation et à la documentation : 35.96%
            contrôles de sécurité physique (et environnementale) : 13.16%
            protection légale : 4.39%
            contrôles relatifs aux relations avec les fournisseurs/les clients : 4.39%
            contrôles portant sur la gestion des ressources humaines : 5.26%

Appliquer un certain nombre de principes « d’Hygiène » de base
         Sensibiliser et former;
         Connaître son système d’information;
         Authentifier et contrôler;
         Sécuriser postes de travail, réseau et système d’Administration;
         Gérer la mobilité et Maintenir ses systèmes à jour;
         Superviser, contrôler, auditer.

      ! RAPPEL: LA SECURITE EST L’AFFAIRE DE TOUS !
                                                                                          21
Ne pas aborder de sujet          Utiliser des supports de
confidentiel dans les endroits   stockages amovibles
publics ou les médias sociaux    encryptés

                                 Cloisonner les courriers
Verrouiller sont PC              et adresses
Sécuriser son PC                 professionnelles et
                                 personnelles

Sécuriser l’information          Identifier et
confidentielle: « Bureau         accompagner les
propre » et verrous              visiteurs

                                 Comportement
Vigilance vis-à-vis des          approprié: En cas de
documents confidentiels          doute, sollicitez les
laissés sans surveillance        instances responsable de
                                 la sécurité
                                 Ne pas cliquer par
Détruire les documents           « défaut » sur les pièces
(très)confidentiels (Shredder)   jointes et liens dans les
                                 emails

                                 Alerter et rapporter les
User d’un mot de passe
                                 incidents ou
robuste : Ne JAMAIS le
                                 comportement
divulguer
                                 suspicieux                  22
Merci
Vous pouvez aussi lire