SlideShare una empresa de Scribd logo

Club ies 2012

Descargar como PPTX, PDF
S
securityvibes
1 de 33
2012 Les défis de la sécurité informatique Club IES, 7 février 2012 Jérôme Saiz / SecurityVibes
Qui ?  SecurityVibes  Communauté de professionnels de la sécurité IT  Magazine  Evénements  Soutien de Philippe Courtot, Qualys  Jérôme Saiz  Journaliste, spécialiste des questions de sécurité  Geek de cœur  EPITA : « Technologies & Marché de la sécurité »  LesNouvelles.netSecurityVibes 2
Menu  La menace a évolué  Les nouveaux acteurs  Le rôle du RSSI  Contre-mesures réalistes 3
Menu La menace a évolué 4
Evolution Del’amateurau vénal  Du visible (égo)au discret (exploitation)  Exploitation = argent = professionnalisation  9 millions de $ / 49 villes US / 130 DAB / une heure (WorldPay, 2009)  6,7 millions de $ / 3 jours / DAB + virements (Postbank, 2012)  Des comptes dédiés ouverts pendant une année  Malgré 2 millions de $ de logiciels anti-fraude  Retour à l’amateur avec les hacktivistes 5
Evolution Niveau techniqueen baisse  Vrai pour le grand public  Arnaques Facebook, « badware »…  Aucun besoin de sophistication technique  L’utilisateur est (i)responsable de son infection  Moins pour l’entreprise  Attaques ciblées, social engineering, APT, Stuxnet  Kits d’infection et de copie rapide (smartphone, laptop) 6
Evolution Trois menaces 2012  Réseaux sociaux  Grand public : arnaques en hausse  Sondages&SMS surtaxés, vraies fausses vidéos virales, vol du carnet d’adresses  Entreprises : repérage, renseignement, ciblage  Mobiles  Grand public : vol de données, arnaques bancaires (appspiégées)  Entreprises : BYOD  Documents piégés  Attaques ciblées via Flash / PDF / MS Office 7
Menu De nouveaux acteurs 8
Acteurs Les Hacktivistes  « Altermondialistes numériques »  Non-violent, illégal, digital et politique  Armes : vol de données et déni de service distribué (DDoS)  Pas de consensus sur la « légitimité » de l’un ou de l’autre  DDoS = « sitting » pacifique ou acte violent de neutralisation ?  Vol de données =militantisme ou vol ? 9
Acteurs Les Hacktivistes  Pas d’objectif unique / clair  Liberté d’expression ?  Anticapitalisme ?  Nihilisme 2.0 ?  Ecologie ?  Intérêts personnels ?  Manipulation ? (PSYOP militaire)  « Psychological operations are planned operations to convey selected information and indicators to foreign audiences to influence their emotions, motives, objective reasoning, and ultimately the behavior of foreign governments, organizations, groups, and individuals »(Wikipedia) 10
Acteurs Les Hacktivistes  Des actions perçues (aussi) positivement  Développement d’outils de chiffrement (PGP)  Miroirs de sites censurés  Assistance technique anti censure  Dialogue difficile à initier  Qui est représentatif ?  Emotion vs business 11
Acteurs Les Hacktivistes  « Si vous dirigez un pays et que vous ne vous comportez pas correctement, avec les réseaux sociaux les utilisateurs ont désormais le moyen de vous faire tomber » (David Jones, DG Havas @ Davos 2012)  Vrai également pour les entreprises  « Chaque utilisateur a désormais les moyens de lancer un mouvement de masse. Mais ces cyber mouvements sociaux ne créent pas de leaders »(idem)  Débordements et réflexe de meute (ex : Orange / Free)  Dialogue rationnel difficile 12
Acteurs Les Hacktivistes  Exemple : Anonymous  Une idée plutôt qu’une organisation  La liberté d’expression, la désobéissance civile  Pas d’intérêt pour les données personnelles  Structure fluide et décentralisée  Basée sur la volonté du groupe (désignation libre des cibles + LOIC)  Héritage de 4chan  DDoS (majoritaire) et intrusions (rares)  Dissensions régulières & inévitables  Risques de dérapage  Anonymous vs Zetas  Enrôlement forcé (casPasteHTML.com) 13
Acteurs Les Hacktivistes Le défi  Veille d’actualité  Veille réseau sociaux  Matrice de risque actualité / activité de l’entreprise à développer  Communication de crise 14
Acteurs Le crime organisé  Les Sopranos sur Internet ? Pas vraiment  Le web comme soutien aux activités illégales traditionnelles  Communication, organisation, protection des données  Blanchiment d’argent (fraude transnationale)  Contrefaçon, pédopornographie, prostitution  Approche « utilitaire » des technologies 15
Acteurs Le crime organisé  La réalité : des gangs 100% virtuels  1 casse @ $1 million ou 1 million d’arnaques @ 1$ ?  Ticket d’entrée faible, risque faible, gains élevés  Gourmands, très spécialisés, très organisés  Codeur, exploiteur, « carder », associé, mule…  Ne se rencontrent (presque) jamais  Géométrie variable  Constitution de groupes ad-hoc  Communication exclusivement en ligne  Des spécialités régionales  Russie (piratage, exploits), Brésil (malwarebancaire), Chine (hébergement)… 16
Acteurs Le crime organisé  Exemple : Liberty Reserve  Monnaie parallèle  hors système bancaire international  Difficile d’atteinte  « Puisque nous sommes basés à Nevis (Costa Rica), vous devez être un meurtrier, un ravisseur ou un baron de la drogue pour nous forcer à divulguer des informations sensibles »  Structure décentralisée  Emetteur et grossistes indépendants  Opérations 100% virtuelles  Transactions via MSN, Yahoo! Messenger, ICQ vers des comptes en ligne  Pas de logs 17
Acteurs Le crime organisé Le défi  Contrôles internes / fraude interne  Protection des clients  Moyens de paiement, achats, escroqueries en ligne  Conformité réglementaire  (un défi à part entière !) 18
Acteurs Les Etats  Cyberguerre ≠ espionnage  Guerre = opérations militaires, dégâts matériels, victimes  = Cyber-sabotage  Confusion  N’importe qui peut se joindre à la bataille  Attaque Russe contre la Géorgie, Estonie : nationalistes ? Hacktivistes ?  Attaques contre le cyber ou attaque avec des armes cyber ?  Contre : détruire l’infrastructure SI (armes cyber ou physiques)  Avec : utiliser des armes cyber pour provoquer des dégâts physiques 19
Acteurs Les Etats  Le cyber comme nouveau théâtre d’opération  Terre, Air, Mer, Espace et Cyber (US)  Attaques cyber : « un acte de guerre » (US)  Des armes opérationnelles  Stuxnet  Opération Orchard (Israël), tests Aurora (US)  Des Etats organisés  ANSSI (France), US Cyber Command (US), Grande Bretagne (GCHQ), ENISA (EU), KKL (Estonie) + Russie, Chine, Israël, Corée(s), Iran ? 20
Acteurs Les Etats  Mais encore beaucoup (trop) de questions  Nature des armes cyber ?  Armes de dissuasion ? Armes « e-bactériologiques » ? Armes tactiques ?  Quid de la couche radio ? (GPS Jammer ?)  Doctrines d’utilisation ?  Quels objectifs ? (Perturbations civiles ? Sabotage d’infrastructures critiques ? Neutralisation d’objectifs militaires ?)  Quelle réponse ? « Do we do it by going back over the network ? Would it be easier to send a group of special forces in and blow the servers up ? » (Michael Chertoff, ex-directeur US homeland security)  Attribution ?  Dissémination & contrôle ? 21
Acteurs Les Etats + d’info « Nature des armes cybernétiques et stabilité du système international » Guy-Philippe Goldstein Sur SecurityVibes : http://goo.gl/1nGeD 22
Acteurs Les Etats Le défi  Se rapprocher de votre agence nationale  Redondance, protection des données, PCA/PRA  Sensibiliser les utilisateurs  Cyber-espionnage plutôt que cyberguerre 23
Menu Le rôle du RSSI 24
RSSI Le rôle du RSSI  Plus seulement un technicien  SMSI, gestion du risque, organisation… (si maturité suffisante de l’entreprise)  Communiquant / manager / politique  Et désormais aussi un peu juriste  Obligations de conformité réglementaire (CNIL & métiers)  Montée dans le nuage = contrats & responsabilités  Et surtout visionnaire  Technologies et pratiques émergentes : quel impact ?  BYOD, mobilité, SaaS, télétravail, recrutement, mini-sites… 25
RSSI Le rôle du RSSI + d’info « Le RSSI : un schizophrène en évolution ? » Jean-François Louapre, RSSI AG2R – La Mondiale Sur SecurityVibes : http://www.securityvibes.com/docs/DOC-1448 26
RSSI Le rôle du RSSI Le défi  De nouveaux camarades de jeu  CNIL = CIL  Risque = Risk Manager  De nouvelles pratiques  Les métiers accèdent aux offres SaaS directement  La protection de l’information dépasse le cadre du SI  Collaboration avec le responsable IE 27
Menu Contre-mesures réalistes 28
Contre-mesures Les contre-mesures réalistes « Back to basics » (*) http://goo.gl/Bwfou * Retour aux fondamentaux 29
Contre-mesures Les contre-mesures réalistes  « Back to basics » (retour aux fondamentaux)  Si pas encore fait : inutile d’aller plus loin  Si déjà fait : vous savez le chemin qui reste à parcourir.  Et n’avez pas besoin de mes conseils ;) 30
Contre-mesures Les contre-mesures réalistes Le défi  Retour aux fondamentaux  Reprenez le contrôle !  Sensibilisez  Observez ! 31
Etmaintenant ? Restons en contact ! http://fr.linkedin.com/in/jsaiz http://twitter.com/securityvibesfr http://www.facebook.com/secvibes 32
Merci ! Place aux questions 33

Recomendados

Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfensencaproni
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Jeannette kawas honduras
Jeannette kawas hondurasJeannette kawas honduras
Jeannette kawas honduraspropio
 
2lesionesdeportivas 140412091633-phpapp01
2lesionesdeportivas 140412091633-phpapp012lesionesdeportivas 140412091633-phpapp01
2lesionesdeportivas 140412091633-phpapp01mariateresagarcia2
 
Recette_de_bonheur_a_bas_prix
Recette_de_bonheur_a_bas_prixRecette_de_bonheur_a_bas_prix
Recette_de_bonheur_a_bas_prixourbothy
 
Colegio nacional de educación profesional técnica
Colegio nacional de educación profesional técnicaColegio nacional de educación profesional técnica
Colegio nacional de educación profesional técnicaEsa Silv:3
 
Roma
RomaRoma
RomaLuis Enrique Gonzalez
 

Recomendados

Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfensencaproni
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Jeannette kawas honduras
Jeannette kawas hondurasJeannette kawas honduras
Jeannette kawas honduraspropio
 
2lesionesdeportivas 140412091633-phpapp01
2lesionesdeportivas 140412091633-phpapp012lesionesdeportivas 140412091633-phpapp01
2lesionesdeportivas 140412091633-phpapp01mariateresagarcia2
 
Recette_de_bonheur_a_bas_prix
Recette_de_bonheur_a_bas_prixRecette_de_bonheur_a_bas_prix
Recette_de_bonheur_a_bas_prixourbothy
 
Colegio nacional de educación profesional técnica
Colegio nacional de educación profesional técnicaColegio nacional de educación profesional técnica
Colegio nacional de educación profesional técnicaEsa Silv:3
 
Roma
RomaRoma
RomaLuis Enrique Gonzalez
 
Implantación de oficinas en sant cugat
Implantación de oficinas en sant cugatImplantación de oficinas en sant cugat
Implantación de oficinas en sant cugatCommon Sense
 
Small group session 1&2
Small group session 1&2Small group session 1&2
Small group session 1&2Ray Evangelista
 
Pan de oro, Plata y Varigatos - Consejos
Pan de oro, Plata y Varigatos - ConsejosPan de oro, Plata y Varigatos - Consejos
Pan de oro, Plata y Varigatos - ConsejosCaridad Yáñez Barrio
 
Monde tourvirtuel
Monde tourvirtuelMonde tourvirtuel
Monde tourvirtuelfilipj2000
 
g
gg
gchavezmurillo
 
Colegio nacional nicolás esguerra
Colegio nacional nicolás esguerraColegio nacional nicolás esguerra
Colegio nacional nicolás esguerrachavezmurillo
 
Instalacion win 7
Instalacion win 7Instalacion win 7
Instalacion win 7dian130297
 
Bases de datos access 2010 22
Bases de datos access 2010 22Bases de datos access 2010 22
Bases de datos access 2010 22chavezmurillo
 
Vivre Bien Et Longtemps
Vivre Bien Et LongtempsVivre Bien Et Longtemps
Vivre Bien Et LongtempsBrilator
 
Participación juvenil
Participación juvenilParticipación juvenil
Participación juveniljefg22
 
L'heure sainte
L'heure sainteL'heure sainte
L'heure sainteMaurice R. TREMBLAY
 
Diseño competencias
Diseño competenciasDiseño competencias
Diseño competenciasferchuscristo
 
Faire le pont entre designers et développeurs au Guardian
Faire le pont entre designers et développeurs au GuardianFaire le pont entre designers et développeurs au Guardian
Faire le pont entre designers et développeurs au GuardianKaelig Deloumeau-Prigent
 
Ofimática
OfimáticaOfimática
OfimáticaEsa Silv:3
 
People superbe
People superbePeople superbe
People superbefilipj2000
 
Periferico de entrad y salida,trabajo de wiki
Periferico de entrad y salida,trabajo de wikiPeriferico de entrad y salida,trabajo de wiki
Periferico de entrad y salida,trabajo de wikimary_gs19
 
Bienvenidos a expotit@ 2015
Bienvenidos a expotit@ 2015Bienvenidos a expotit@ 2015
Bienvenidos a expotit@ 2015I.E.T.I JÓSE MARIA CARBONELL
 
Matriz Estrategías de Aprendizaje
Matriz Estrategías de AprendizajeMatriz Estrategías de Aprendizaje
Matriz Estrategías de AprendizajeI.E.T.I JÓSE MARIA CARBONELL
 
Ensayo Estrategias Aprendizajes Significativos
Ensayo Estrategias Aprendizajes SignificativosEnsayo Estrategias Aprendizajes Significativos
Ensayo Estrategias Aprendizajes SignificativosHector Reina
 
Procesos
ProcesosProcesos
Procesoskevinalesis
 
Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Inter-Ligere
 
CGT-digital-week.pptx
CGT-digital-week.pptxCGT-digital-week.pptx
CGT-digital-week.pptxolivier
 

Más contenido relacionado

Destacado

Implantación de oficinas en sant cugat
Implantación de oficinas en sant cugatImplantación de oficinas en sant cugat
Implantación de oficinas en sant cugatCommon Sense
 
Pan de oro, Plata y Varigatos - Consejos
Pan de oro, Plata y Varigatos - ConsejosPan de oro, Plata y Varigatos - Consejos
Pan de oro, Plata y Varigatos - ConsejosCaridad Yáñez Barrio
 
Monde tourvirtuel
Monde tourvirtuelMonde tourvirtuel
Monde tourvirtuelfilipj2000
 
Colegio nacional nicolás esguerra
Colegio nacional nicolás esguerraColegio nacional nicolás esguerra
Colegio nacional nicolás esguerrachavezmurillo
 
Instalacion win 7
Instalacion win 7Instalacion win 7
Instalacion win 7dian130297
 
Bases de datos access 2010 22
Bases de datos access 2010 22Bases de datos access 2010 22
Bases de datos access 2010 22chavezmurillo
 
Vivre Bien Et Longtemps
Vivre Bien Et LongtempsVivre Bien Et Longtemps
Vivre Bien Et LongtempsBrilator
 
Participación juvenil
Participación juvenilParticipación juvenil
Participación juveniljefg22
 
Diseño competencias
Diseño competenciasDiseño competencias
Diseño competenciasferchuscristo
 
Faire le pont entre designers et développeurs au Guardian
Faire le pont entre designers et développeurs au GuardianFaire le pont entre designers et développeurs au Guardian
Faire le pont entre designers et développeurs au GuardianKaelig Deloumeau-Prigent
 
People superbe
People superbePeople superbe
People superbefilipj2000
 
Periferico de entrad y salida,trabajo de wiki
Periferico de entrad y salida,trabajo de wikiPeriferico de entrad y salida,trabajo de wiki
Periferico de entrad y salida,trabajo de wikimary_gs19
 
Ensayo Estrategias Aprendizajes Significativos
Ensayo Estrategias Aprendizajes SignificativosEnsayo Estrategias Aprendizajes Significativos
Ensayo Estrategias Aprendizajes SignificativosHector Reina
 

Destacado (20)

Implantación de oficinas en sant cugat
Implantación de oficinas en sant cugatImplantación de oficinas en sant cugat
Implantación de oficinas en sant cugat
 
Small group session 1&2
Small group session 1&2Small group session 1&2
Small group session 1&2
 
Pan de oro, Plata y Varigatos - Consejos
Pan de oro, Plata y Varigatos - ConsejosPan de oro, Plata y Varigatos - Consejos
Pan de oro, Plata y Varigatos - Consejos
 
Monde tourvirtuel
Monde tourvirtuelMonde tourvirtuel
Monde tourvirtuel
 
g
gg
g
 
Colegio nacional nicolás esguerra
Colegio nacional nicolás esguerraColegio nacional nicolás esguerra
Colegio nacional nicolás esguerra
 
Instalacion win 7
Instalacion win 7Instalacion win 7
Instalacion win 7
 
Bases de datos access 2010 22
Bases de datos access 2010 22Bases de datos access 2010 22
Bases de datos access 2010 22
 
Vivre Bien Et Longtemps
Vivre Bien Et LongtempsVivre Bien Et Longtemps
Vivre Bien Et Longtemps
 
Participación juvenil
Participación juvenilParticipación juvenil
Participación juvenil
 
L'heure sainte
L'heure sainteL'heure sainte
L'heure sainte
 
Diseño competencias
Diseño competenciasDiseño competencias
Diseño competencias
 
Faire le pont entre designers et développeurs au Guardian
Faire le pont entre designers et développeurs au GuardianFaire le pont entre designers et développeurs au Guardian
Faire le pont entre designers et développeurs au Guardian
 
Ofimática
OfimáticaOfimática
Ofimática
 
People superbe
People superbePeople superbe
People superbe
 
Periferico de entrad y salida,trabajo de wiki
Periferico de entrad y salida,trabajo de wikiPeriferico de entrad y salida,trabajo de wiki
Periferico de entrad y salida,trabajo de wiki
 
Bienvenidos a expotit@ 2015
Bienvenidos a expotit@ 2015Bienvenidos a expotit@ 2015
Bienvenidos a expotit@ 2015
 
Matriz Estrategías de Aprendizaje
Matriz Estrategías de AprendizajeMatriz Estrategías de Aprendizaje
Matriz Estrategías de Aprendizaje
 
Ensayo Estrategias Aprendizajes Significativos
Ensayo Estrategias Aprendizajes SignificativosEnsayo Estrategias Aprendizajes Significativos
Ensayo Estrategias Aprendizajes Significativos
 
Procesos
ProcesosProcesos
Procesos
 

Similar a Club ies 2012

Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Inter-Ligere
 
CGT-digital-week.pptx
CGT-digital-week.pptxCGT-digital-week.pptx
CGT-digital-week.pptxolivier
 
Identite-numerique-reseaux-sociaux
Identite-numerique-reseaux-sociauxIdentite-numerique-reseaux-sociaux
Identite-numerique-reseaux-sociauxolivier
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxTactika inc.
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019OPcyberland
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesmarysesalles
 
Internet des objets - Quels enjeux juridiques ?
Internet des objets - Quels enjeux juridiques ?Internet des objets - Quels enjeux juridiques ?
Internet des objets - Quels enjeux juridiques ?Technofutur TIC
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application webAntonio Fontes
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Présentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONPrésentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONpintejp
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxSchadracMoualou
 
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au pointAntonio Fontes
 
Réseaux sociaux - Petit guide de survie (Clément Gagnon)
Réseaux sociaux - Petit guide de survie (Clément Gagnon)Réseaux sociaux - Petit guide de survie (Clément Gagnon)
Réseaux sociaux - Petit guide de survie (Clément Gagnon)LinuQ
 
Veille au défi du droit. Cogito : Strasbourg, 2 octobre 2012
Veille au défi du droit. Cogito : Strasbourg, 2 octobre 2012Veille au défi du droit. Cogito : Strasbourg, 2 octobre 2012
Veille au défi du droit. Cogito : Strasbourg, 2 octobre 2012Michèle Battisti
 
Sensibilisation à l'intelligence économique diaporama
Sensibilisation à l'intelligence économique diaporamaSensibilisation à l'intelligence économique diaporama
Sensibilisation à l'intelligence économique diaporamaingesup11-12
 

Similar a Club ies 2012 (20)

Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.Les défis de la sécurité informatique en 2012.
Les défis de la sécurité informatique en 2012.
 
CGT-digital-week.pptx
CGT-digital-week.pptxCGT-digital-week.pptx
CGT-digital-week.pptx
 
Identite-numerique-reseaux-sociaux
Identite-numerique-reseaux-sociauxIdentite-numerique-reseaux-sociaux
Identite-numerique-reseaux-sociaux
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
 
Internet des objets - Quels enjeux juridiques ?
Internet des objets - Quels enjeux juridiques ?Internet des objets - Quels enjeux juridiques ?
Internet des objets - Quels enjeux juridiques ?
 
Modéliser les menaces d'une application web
Modéliser les menaces d'une application webModéliser les menaces d'une application web
Modéliser les menaces d'une application web
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Présentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONPrésentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYON
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
 
Cyber-attaques: mise au point
Cyber-attaques: mise au pointCyber-attaques: mise au point
Cyber-attaques: mise au point
 
Réseaux sociaux - Petit guide de survie (Clément Gagnon)
Réseaux sociaux - Petit guide de survie (Clément Gagnon)Réseaux sociaux - Petit guide de survie (Clément Gagnon)
Réseaux sociaux - Petit guide de survie (Clément Gagnon)
 
Veille au défi du droit. Cogito : Strasbourg, 2 octobre 2012
Veille au défi du droit. Cogito : Strasbourg, 2 octobre 2012Veille au défi du droit. Cogito : Strasbourg, 2 octobre 2012
Veille au défi du droit. Cogito : Strasbourg, 2 octobre 2012
 
Sensibilisation à l'intelligence économique diaporama
Sensibilisation à l'intelligence économique diaporamaSensibilisation à l'intelligence économique diaporama
Sensibilisation à l'intelligence économique diaporama
 
L’hiver de la cybersécurité ne vient plus…
L’hiver de la cybersécurité ne vient plus…L’hiver de la cybersécurité ne vient plus…
L’hiver de la cybersécurité ne vient plus…
 

Club ies 2012

  • 1. 2012 Les défis de la sécurité informatique Club IES, 7 février 2012 Jérôme Saiz / SecurityVibes
  • 2. Qui ?  SecurityVibes  Communauté de professionnels de la sécurité IT  Magazine  Evénements  Soutien de Philippe Courtot, Qualys  Jérôme Saiz  Journaliste, spécialiste des questions de sécurité  Geek de cœur  EPITA : « Technologies & Marché de la sécurité »  LesNouvelles.netSecurityVibes 2
  • 3. Menu  La menace a évolué  Les nouveaux acteurs  Le rôle du RSSI  Contre-mesures réalistes 3
  • 4. Menu La menace a évolué 4
  • 5. Evolution Del’amateurau vénal  Du visible (égo)au discret (exploitation)  Exploitation = argent = professionnalisation  9 millions de $ / 49 villes US / 130 DAB / une heure (WorldPay, 2009)  6,7 millions de $ / 3 jours / DAB + virements (Postbank, 2012)  Des comptes dédiés ouverts pendant une année  Malgré 2 millions de $ de logiciels anti-fraude  Retour à l’amateur avec les hacktivistes 5
  • 6. Evolution Niveau techniqueen baisse  Vrai pour le grand public  Arnaques Facebook, « badware »…  Aucun besoin de sophistication technique  L’utilisateur est (i)responsable de son infection  Moins pour l’entreprise  Attaques ciblées, social engineering, APT, Stuxnet  Kits d’infection et de copie rapide (smartphone, laptop) 6
  • 7. Evolution Trois menaces 2012  Réseaux sociaux  Grand public : arnaques en hausse  Sondages&SMS surtaxés, vraies fausses vidéos virales, vol du carnet d’adresses  Entreprises : repérage, renseignement, ciblage  Mobiles  Grand public : vol de données, arnaques bancaires (appspiégées)  Entreprises : BYOD  Documents piégés  Attaques ciblées via Flash / PDF / MS Office 7
  • 9. Acteurs Les Hacktivistes  « Altermondialistes numériques »  Non-violent, illégal, digital et politique  Armes : vol de données et déni de service distribué (DDoS)  Pas de consensus sur la « légitimité » de l’un ou de l’autre  DDoS = « sitting » pacifique ou acte violent de neutralisation ?  Vol de données =militantisme ou vol ? 9
  • 10. Acteurs Les Hacktivistes  Pas d’objectif unique / clair  Liberté d’expression ?  Anticapitalisme ?  Nihilisme 2.0 ?  Ecologie ?  Intérêts personnels ?  Manipulation ? (PSYOP militaire)  « Psychological operations are planned operations to convey selected information and indicators to foreign audiences to influence their emotions, motives, objective reasoning, and ultimately the behavior of foreign governments, organizations, groups, and individuals »(Wikipedia) 10
  • 11. Acteurs Les Hacktivistes  Des actions perçues (aussi) positivement  Développement d’outils de chiffrement (PGP)  Miroirs de sites censurés  Assistance technique anti censure  Dialogue difficile à initier  Qui est représentatif ?  Emotion vs business 11
  • 12. Acteurs Les Hacktivistes  « Si vous dirigez un pays et que vous ne vous comportez pas correctement, avec les réseaux sociaux les utilisateurs ont désormais le moyen de vous faire tomber » (David Jones, DG Havas @ Davos 2012)  Vrai également pour les entreprises  « Chaque utilisateur a désormais les moyens de lancer un mouvement de masse. Mais ces cyber mouvements sociaux ne créent pas de leaders »(idem)  Débordements et réflexe de meute (ex : Orange / Free)  Dialogue rationnel difficile 12
  • 13. Acteurs Les Hacktivistes  Exemple : Anonymous  Une idée plutôt qu’une organisation  La liberté d’expression, la désobéissance civile  Pas d’intérêt pour les données personnelles  Structure fluide et décentralisée  Basée sur la volonté du groupe (désignation libre des cibles + LOIC)  Héritage de 4chan  DDoS (majoritaire) et intrusions (rares)  Dissensions régulières & inévitables  Risques de dérapage  Anonymous vs Zetas  Enrôlement forcé (casPasteHTML.com) 13
  • 14. Acteurs Les Hacktivistes Le défi  Veille d’actualité  Veille réseau sociaux  Matrice de risque actualité / activité de l’entreprise à développer  Communication de crise 14
  • 15. Acteurs Le crime organisé  Les Sopranos sur Internet ? Pas vraiment  Le web comme soutien aux activités illégales traditionnelles  Communication, organisation, protection des données  Blanchiment d’argent (fraude transnationale)  Contrefaçon, pédopornographie, prostitution  Approche « utilitaire » des technologies 15
  • 16. Acteurs Le crime organisé  La réalité : des gangs 100% virtuels  1 casse @ $1 million ou 1 million d’arnaques @ 1$ ?  Ticket d’entrée faible, risque faible, gains élevés  Gourmands, très spécialisés, très organisés  Codeur, exploiteur, « carder », associé, mule…  Ne se rencontrent (presque) jamais  Géométrie variable  Constitution de groupes ad-hoc  Communication exclusivement en ligne  Des spécialités régionales  Russie (piratage, exploits), Brésil (malwarebancaire), Chine (hébergement)… 16
  • 17. Acteurs Le crime organisé  Exemple : Liberty Reserve  Monnaie parallèle  hors système bancaire international  Difficile d’atteinte  « Puisque nous sommes basés à Nevis (Costa Rica), vous devez être un meurtrier, un ravisseur ou un baron de la drogue pour nous forcer à divulguer des informations sensibles »  Structure décentralisée  Emetteur et grossistes indépendants  Opérations 100% virtuelles  Transactions via MSN, Yahoo! Messenger, ICQ vers des comptes en ligne  Pas de logs 17
  • 18. Acteurs Le crime organisé Le défi  Contrôles internes / fraude interne  Protection des clients  Moyens de paiement, achats, escroqueries en ligne  Conformité réglementaire  (un défi à part entière !) 18
  • 19. Acteurs Les Etats  Cyberguerre ≠ espionnage  Guerre = opérations militaires, dégâts matériels, victimes  = Cyber-sabotage  Confusion  N’importe qui peut se joindre à la bataille  Attaque Russe contre la Géorgie, Estonie : nationalistes ? Hacktivistes ?  Attaques contre le cyber ou attaque avec des armes cyber ?  Contre : détruire l’infrastructure SI (armes cyber ou physiques)  Avec : utiliser des armes cyber pour provoquer des dégâts physiques 19
  • 20. Acteurs Les Etats  Le cyber comme nouveau théâtre d’opération  Terre, Air, Mer, Espace et Cyber (US)  Attaques cyber : « un acte de guerre » (US)  Des armes opérationnelles  Stuxnet  Opération Orchard (Israël), tests Aurora (US)  Des Etats organisés  ANSSI (France), US Cyber Command (US), Grande Bretagne (GCHQ), ENISA (EU), KKL (Estonie) + Russie, Chine, Israël, Corée(s), Iran ? 20
  • 21. Acteurs Les Etats  Mais encore beaucoup (trop) de questions  Nature des armes cyber ?  Armes de dissuasion ? Armes « e-bactériologiques » ? Armes tactiques ?  Quid de la couche radio ? (GPS Jammer ?)  Doctrines d’utilisation ?  Quels objectifs ? (Perturbations civiles ? Sabotage d’infrastructures critiques ? Neutralisation d’objectifs militaires ?)  Quelle réponse ? « Do we do it by going back over the network ? Would it be easier to send a group of special forces in and blow the servers up ? » (Michael Chertoff, ex-directeur US homeland security)  Attribution ?  Dissémination & contrôle ? 21
  • 22. Acteurs Les Etats + d’info « Nature des armes cybernétiques et stabilité du système international » Guy-Philippe Goldstein Sur SecurityVibes : http://goo.gl/1nGeD 22
  • 23. Acteurs Les Etats Le défi  Se rapprocher de votre agence nationale  Redondance, protection des données, PCA/PRA  Sensibiliser les utilisateurs  Cyber-espionnage plutôt que cyberguerre 23
  • 24. Menu Le rôle du RSSI 24
  • 25. RSSI Le rôle du RSSI  Plus seulement un technicien  SMSI, gestion du risque, organisation… (si maturité suffisante de l’entreprise)  Communiquant / manager / politique  Et désormais aussi un peu juriste  Obligations de conformité réglementaire (CNIL & métiers)  Montée dans le nuage = contrats & responsabilités  Et surtout visionnaire  Technologies et pratiques émergentes : quel impact ?  BYOD, mobilité, SaaS, télétravail, recrutement, mini-sites… 25
  • 26. RSSI Le rôle du RSSI + d’info « Le RSSI : un schizophrène en évolution ? » Jean-François Louapre, RSSI AG2R – La Mondiale Sur SecurityVibes : http://www.securityvibes.com/docs/DOC-1448 26
  • 27. RSSI Le rôle du RSSI Le défi  De nouveaux camarades de jeu  CNIL = CIL  Risque = Risk Manager  De nouvelles pratiques  Les métiers accèdent aux offres SaaS directement  La protection de l’information dépasse le cadre du SI  Collaboration avec le responsable IE 27
  • 29. Contre-mesures Les contre-mesures réalistes « Back to basics » (*) http://goo.gl/Bwfou * Retour aux fondamentaux 29
  • 30. Contre-mesures Les contre-mesures réalistes  « Back to basics » (retour aux fondamentaux)  Si pas encore fait : inutile d’aller plus loin  Si déjà fait : vous savez le chemin qui reste à parcourir.  Et n’avez pas besoin de mes conseils ;) 30
  • 31. Contre-mesures Les contre-mesures réalistes Le défi  Retour aux fondamentaux  Reprenez le contrôle !  Sensibilisez  Observez ! 31
  • 32. Etmaintenant ? Restons en contact ! http://fr.linkedin.com/in/jsaiz http://twitter.com/securityvibesfr http://www.facebook.com/secvibes 32
  • 33. Merci ! Place aux questions 33