1. Atelier Sécurité IT
Sébastien Gioria
Rencontres du Numérique
Poitiers - 5 Juillet 2012
Thursday, July 5, 12
2. Agenda
• Introduction
• Risques et Menaces
–Le vol de données
–L’intrusion
–Les réseaux sociaux et Internet
• Conclusion
–Quelques solutions...
2
Thursday, July 5, 12
3. http://www.google.com/search?
q=sebastien%20gioria
•Responsable de la branche Audit S.I et
Sécurité au sein du cabinet Groupe Y
•OWASP France Leader & Founder -
Evangéliste
• OWASP Global Education Comittee Member
(sebastien.gioria@owasp.org)
•Président CLUSIR Poitou-Charentes
•Responsable du Groupe Sécurité des
@SPoint Applications Web au CLUSIF
CISA && ISO 27005 Risk Manager
• +15 ans d’expérience en Sécurité des Systèmes d’Information
• Différents postes de manager SSI dans la banque, l’assurance et les
télécoms
• Expertise Technique
• PenTesting,
• Secure-SDLC
• Gestion du risque, Architectures fonctionnelles, Audits
• Consulting et Formation en Réseaux et Sécurité
Thursday, July 5, 12
4. CLUSIF
• Association sans but lucratif (création début des
années 80)
• > 600 membres (50% offreurs, 50% utilisateurs)
• Promouvoir la sécurité de l’information
• Partager
– Echanges homologues-experts, savoir-faire
collectif, fonds documentaire
• Anticiper les tendances
– faire connaître les attentes auprès des offreurs
• Sensibiliser les acteurs
4
Thursday, July 5, 12
5. CLUSIF - CLUSIR
• CLUSIR :
– Association loi de 1901 libre de ses choix, statuts et travaux, agréé par le
CLUSIF.
– S’engage à respecter le code d’éthique du CLUSIF.
– Peut utiliser les moyens du CLUSIF (documents, agence de presse,
conférenciers, …).
• Le CLUSIR Poitou-Charentes :
– Rompre l’isolement du RSSI/DSI
– Partager les bonnes pratiques, via des groupes de travail ou non:
– Informer et sensibiliser le dirigeant
Thursday, July 5, 12
6. Agenda
• Introduction
• Risques et Menaces
–Le vol de données
–L’intrusion
–Les réseaux sociaux et Internet
• Conclusion
–Quelques solutions...
6
Thursday, July 5, 12
12. La sécurité informatique , une affaire pour tous !
Disponibilité
SOX PCI-DSS
BALE Solvabilité 2
Critères de CNIL
sécurité d’un
Système LSF DGI
d’Information
CONTRAINTES REGLEMENTAIRES
Confidentialité Intégrité
• Protection du savoir faire.
• Protection des données
personnelles.
• Protection du patrimoine de
l’entreprise.
COMPLEXITE
• Respect des obligations légales.
8
Thursday, July 5, 12
13. Agenda
• Introduction
• Risques et Menaces
–Le vol
–L’intrusion
–Les réseaux sociaux et Internet
• Conclusion
–Quelques solutions...
9
Thursday, July 5, 12
14. Vol d’informations
• Toute donnée est bonne à exploiter :
– Fichier des tarifs ou des clients.
– Fichiers salariés.
– Processus et savoir faire.
– Proposition commerciale.
– Carte Bancaire.
– Des fichiers de traces techniques.
• Chaque donnée volée se vend sur Internet :
– CB : moins de 1 $/numéro de carte
– Les fichiers de traces : de l’ordre de 100 $
Vol et perte d’informations 26
Thursday, July 5, 12
15. Pourquoi voler des
informations ?
• Les voleurs d’informations sont bien organisés et
sont de divers milieux :
– Les gouvernements
– La mafia
– Des entreprises
– Des étudiants/particuliers
• Percer des secrets d’Etat.
• Blanchir de l’argent (via le recrutement de
«mules»).
• Dénigrer une société/une personne.
• Augmenter sa compétitivité.
Ø Ou
tout
simplement
se
faire
de
l’argent
de
poche
!!
Vol et perte d’informations 27
Thursday, July 5, 12
28. Agenda
• Introduction
• Risques et Menaces
– Le vol de données
– L’intrusion
– Les réseaux sociaux et Internet
• Conclusion
–Quelques solutions...
18
Thursday, July 5, 12
29. Comment se passe une intrusion informatique par
Internet
• Le pirate récupère des informations sur la cible
(société) :
– Via les moteurs de recherche
– Via le site Internet de la société
– Via les informations publiques disponibles sur
Internet
• Le pirate « cartographie » le réseau de la cible :
– Il envoie des informations (légitimes ou illégitimes) à
destination des serveurs Internet de la société et
construit la carte du réseau
Vol et perte d’informations 28
Thursday, July 5, 12
31. Ce que voit un pirate
Vol et perte d’informations 29
Thursday, July 5, 12
32. Comment se passe une intrusion
informatique par Internet
• Le pirate parcourt ensuite les serveurs
pour détecter les failles répertoriées.
• Lorsqu’il découvre une machine
vulnérable, il peut alors exploiter la faille.
• Il récupère des informations ou met en
place des logiciels lui permettant de
revenir sur le serveur ou de lui envoyer
d’autres informations (traces, identifiants,
transactions, …)
Vol et perte d’informations 30
Thursday, July 5, 12
33. Comment se passe une intrusion
informatique par Internet
• Le pirate parcourt ensuite les serveurs
pour détecter les failles répertoriées.
• Lorsqu’il découvre une machine
vulnérable, il peut alors exploiter la faille.
• Il récupère des informations ou met en
place des logiciels lui permettant de
revenir sur le serveur ou de lui envoyer
d’autres informations (traces, identifiants,
transactions, …)
Vol et perte d’informations 30
Thursday, July 5, 12
34. Agenda
• Introduction
• Risques et Menaces
–Le vol de données
–L’intrusion
–Les réseaux sociaux et Internet
• Conclusion
–Quelques solutions...
23
Thursday, July 5, 12
35. Un peu d’histoire
1969 2042
Début 1988 1992 1997 2000 2004 2006 2008 2009 2010
d’internet
Le premier Ver (Morris)
s’attaque aux serveurs Création de
Mail Invention du Google
protocole SSL (par Le début des réseaux
NetScape) sociaux (facebook,
Arrivée du Web twitter, linkedin,
(Mosaic, HTTP/ viadeo, …)
0.9) Début du Haut débit
pour tous…
Aurora…
Le cloud computing, la
démocratisation de la
virtualisation
La première
cyber-attaque
Thursday, July 5, 12
36. Si je ne suis pas sur Internet, j’ai
raté ma vie personnelle
Les réseaux sociaux comme support de l’activisme…
® Janvier 2009 : 150 jeunes se donnent rendez-vous sur
Facebook et déferlent sur le Monoprix de la ville
•2011 => Le phénomène Anonymous...
•2012 ?
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
® Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook
® Août 2009 : 45% des recruteurs consultent des réseaux sociaux
® Décembre 2009 : Épinglés sur Twitter pour alcool au volant
® Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée
est périmée
« Les gens sont à l'aise, non seulement avec le fait de partager plus
d'informations différentes, mais ils sont également plus ouverts, et à plus de
personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré
Mark Zuckerberg.
Thursday, July 5, 12
38. Si je ne suis pas sur Internet, j’ai raté
ma vie professionnelle
• Google est le premier moteur de recherche utilisé par un Internaute
(et donc par un pirate)
– Exemple : site:*.gouv.fr "index of"
• Google est le premier site amenant du trafic :
– Achats de mots clés, mauvais référencement, pollution des statistiques
•Février 2012 : Google Bombing sur François Hollande
Thursday, July 5, 12
39. Si je ne suis pas sur Internet, j’ai raté
ma vie professionnelle
• Google est le premier moteur de recherche utilisé par un Internaute
(et donc par un pirate)
– Exemple : site:*.gouv.fr "index of"
• Google est le premier site amenant du trafic :
– Achats de mots clés, mauvais référencement, pollution des statistiques
•Février 2012 : Google Bombing sur François Hollande
Thursday, July 5, 12
40. Si je ne suis pas sur Internet, je
ne suis pas compétitif
• Après la téléphonie , le reste des infrastructures générales migre
sur les réseaux IP(Internet) : énergie, surveillances et accès,
pilotage des processus industriels (SCADA), …
• Détection de fumée Orange : http://mamaison.orange.fr/
• SFR HomeScope : http://www.sfr.fr/vos-services/equipements/
innovations/sfr-homescope/
• Automne 2009, des chercheurs démontre que l’isolation dans le
Cloud EC2 d’amazon, c’est pas si bien faite que cela.
• Septembre 2009 : PME Française de VPC, vol de la base de
données SQL via un fichier servant a la sauvegarde qui a été
« oublié » sur le serveur Web.
⇒ Mailling des voleurs aux clients pour les informer…
• Janvier 2010 : un hacker diffuse des scènes pornographiques
sur des panneaux de publicité en Russie….
Thursday, July 5, 12
42. Agenda
• Introduction
• Risques et Menaces
–Le vol de données
–L’intrusion
–Les réseaux sociaux et Internet
• Conclusion
–Quelques solutions...
30
Thursday, July 5, 12
43. Comment sécuriser son système
d’informations
• S’assurer d’avoir mis en place des outils
de sécurité tels des anti-virus, des
firewalls, ….
• S’assurer que les données sont bien
sauvegardées régulièrement et qu’il est
possible de les restaurer !
• Etre attentif à tout comportement anormal
sur un poste informatique.
9
Thursday, July 5, 12
44. Comment sécuriser son système
d’informations
• Vérifier régulièrement qu’il n’y a pas eu
d’altération de tout ou partie des applications
métiers et de leurs bases associées.
• Fournir à tout salarié une charte de bon
comportement informatique.
• Sensibiliser l’ensemble du personnel à la
sécurité !
• Tester régulièrement sa sécurité (physique,
logique et humaine !)
10
Thursday, July 5, 12
45. « Si vous trouvez que l'Education coûte
trop cher, essayez l'ignorance ! »
Abraham LINCOLN
33
Thursday, July 5, 12
47. Risques et solutions
Risque Conséquences Parade
à
considérer
Destruction de la •Perte d’informations et de •Site de secours
salle informatique services •Sauvegarde externalisée
•Plan de reprise formalisé
Destruction de la •Perte d’archives •Externalisation des
médiathèque •Perte de sauvegardes archives et des
•Perte de données applicatives sauvegardes
•Copie sur disque des
données
Destruction/Arrêt de •Arrêt de serveurs •Redondance des
la climatisation •Altération des supports climatiseurs
•Indisponibilité de l’immeuble •Plans et moyens de
ou de la salle secours pour les serveurs
Destruction/Coupure •Panne de disques et •Batteries et Onduleurs
de l’alimentation détérioration de données régulièrement testés
électrique •Arrêt de serveurs •Dédoublement des
•Altération des supports arrivées électriques
Continuité et reprise d’activité 21
Thursday, July 5, 12
48. Risques et solutions
Système Très
Haute
Disponibilité Moyenne
Disponibilité Faible
disponibilité
Serveurs •Serveurs de secours •Serveurs de secours •Serveurs de
Stratégique dédiés situés sur un dédiés situés sur un secours situés sur
s autre site en état de autre site. un autre site,
fonctionnement •Copie régulière des pouvant être
•Solutions de type bases et des données mutualisés avec
Cluster/LoadBalancing d’autres tâches
Réseau •Redondance des •Matériel et rocade de •Matériel de
Local équipements secours secours
•Doublement des •Kit de câblage
rocades de câblage volant.
Accès •Au moins deux •Nœud de secours •Engagement
réseau arrivées séparées sur externeContrat d’intervention du
externe plusieurs points prévoyant l’intervention fournisseur avec
d’entrées, voire de l’opérateur avec obligation de
plusieurs sites engagement de résultats résultats
•Maillage du réseau
d’entreprise
Continuité et reprise d’activité 22
Thursday, July 5, 12
49. Risques et solutions
Système Très
Haute
Disponibilité Moyenne
Disponibilité Faible
disponibilité
Téléphonie •Doublement de •Contrat prévoyant le •Autocommutateur
l’autocommutateur transfert d’appels par le de secours.
dans un local distant et fournisseur vers un site •Mise en place
bascule automatique de secours prêt à d’un message pré-
des communications réceptionner les appels enregistré.
•Transfert des
appels par le
fournisseur sur le
site de secours.
Accès •Double connexion •Connexion Internet sur le site de secours
Internet Internet sur tous les avec basculement manuel
sites avec des
fournisseurs différents
•Mise en place du
protocole réseau
BGP4
Continuité et reprise d’activité 23
Thursday, July 5, 12
50. Les méthodes de vol employées et comment
se protéger
Méthode
But
poursuivi Difficulté
pour
Défense
employée l’aLaquant
Pourriels •Envoi de courrier •Vol de Numéro de CB, •Aucune. Les •Un bon anti-
(SPAM) non sollicité à un Installation de Logiciel sites internet spam
internaute Espion, … regorgent •Contrôler la
d’adresses diffusion de son
mails e-mail
Logiciel •Installation d’un •Obtenir les informations •Faible : Il est •Disposer d’un
espion logiciel sur le saisies par l’internaute sur très simple logiciel anti-
(spyware) poste de tous les sites consultés d’installer un espion
l’internaute •Obtenir des informations logiciel en •N’installer que
Internes à la société jouant sur la des logiciels
sensibilité de dont la
l’Internaute provenance est
vérifiée.
Vol et perte d’informations 31
Thursday, July 5, 12
51. Les méthodes de vol employées et comment se protéger
Méthode
employée But
poursuivi Difficulté
pour
Défense
l’aLaquant
Hameçonnag •Envoi d’un pourriel •Obtenir les •Moyen à •Disposer de logiciel
e (Phishing) très bien fait et informations de Fort anti-hameçonnage
ressemblant à un vrai connexion pour •Ne pas faire
courriel du effectuer des confiance aux liens
fournisseur transactions situés dans un
malicieuses courriel, surtout si ils
•Redirection vers un redirigent vers un
site qui ressemble à site qui «ressemble»
celui ciblé (souvent au site officiel
des sites bancaires
ou assimilés)
Réseau de •Installation de logiciel •Mettre en place •Simple à •Ne pas télécharger
Robots/Mules à distance via des un réseaux de Complexe : de «vidéos»
(BotNet) sites Internet ou le machines •Il suffit inédites, ni de
téléchargement de permettant de d’appâter les «logiciels» pour
fichiers sur Internet lancer des internautes lesquels on n’est
attaques de avec des pas sûr de la source
grande vidéos
envergure (déni « inédites »
de service,
Vol spam, d’informations
et perte …) 32
Thursday, July 5, 12
52. Les méthodes de vol employées et comment se protéger
Méthode
employée But
poursuivi Difficulté
Défense
pour
l’aLaquant
L’Intrusion •Recrutement d’une •Récupérer un •Simple à •Auditer
informatique personne spécialisée fichier, détruire Complexe régulièrement sa
pour « passer » outre des données, sécurité
les contrôles de modifier des informatique par
sécurité données des tests
d’intrusions
Le vol de •Récupérer dans un •Améliorer sa •Simple à •Sensibiliser le
matériel lieu public ou non du compétitivité, Complexe personnel à la
matériel ou des découvrir des sécurité
documents secrets de •Mettre en place
fabrication des procédés de
«chiffrement de
données», des
verrous logiciels ou
matériel pour tout
ce qui est sensible.
•Broyeurs de
documents.
33
Vol et perte d’informations
Thursday, July 5, 12
53. Les méthodes de vol employées et comment
se protéger
Méthode
employée But
poursuivi Difficulté
Défense
pour
l’aLaquant
L’ ingénierie •Recrutement d’une •Améliorer sa •Simple •Sensibiliser les
sociale personne se faisant compétitivité, salariés à la
«passer» pour un découvrir des sécurité
technicien de la secrets de
société Vendée-NET fabrication
qui doit :
- Réparer le PC du
PDG
- Accéder à la salle
de réunion pour vérifier
la climatisation…
Vol et perte d’informations 34
Thursday, July 5, 12