SlideShare ist ein Scribd-Unternehmen logo

2012 07-05-spn-sgi-v1-lite

Sébastien GIORIA
Sébastien GIORIA
1 von 53
Downloaden Sie, um offline zu lesen
Atelier Sécurité IT Sébastien Gioria Rencontres du Numérique Poitiers - 5 Juillet 2012 Thursday, July 5, 12
Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 2 Thursday, July 5, 12
http://www.google.com/search? q=sebastien%20gioria •Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y •OWASP France Leader & Founder - Evangéliste • OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) •Président CLUSIR Poitou-Charentes •Responsable du Groupe Sécurité des @SPoint Applications Web au CLUSIF CISA && ISO 27005 Risk Manager • +15 ans d’expérience en Sécurité des Systèmes d’Information • Différents postes de manager SSI dans la banque, l’assurance et les télécoms • Expertise Technique • PenTesting, • Secure-SDLC • Gestion du risque, Architectures fonctionnelles, Audits • Consulting et Formation en Réseaux et Sécurité Thursday, July 5, 12
CLUSIF • Association sans but lucratif (création début des années 80) • > 600 membres (50% offreurs, 50% utilisateurs) • Promouvoir la sécurité de l’information • Partager – Echanges homologues-experts, savoir-faire collectif, fonds documentaire • Anticiper les tendances – faire connaître les attentes auprès des offreurs • Sensibiliser les acteurs 4 Thursday, July 5, 12
CLUSIF - CLUSIR • CLUSIR : – Association loi de 1901 libre de ses choix, statuts et travaux, agréé par le CLUSIF. – S’engage à respecter le code d’éthique du CLUSIF. – Peut utiliser les moyens du CLUSIF (documents, agence de presse, conférenciers, …). • Le CLUSIR Poitou-Charentes : – Rompre l’isolement du RSSI/DSI – Partager les bonnes pratiques, via des groupes de travail ou non: – Informer et sensibiliser le dirigeant Thursday, July 5, 12
Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 6 Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
La sécurité informatique , une affaire pour tous ! Disponibilité SOX PCI-DSS BALE Solvabilité 2 Critères de CNIL sécurité d’un Système LSF DGI d’Information CONTRAINTES REGLEMENTAIRES Confidentialité Intégrité • Protection du savoir faire. • Protection des données personnelles. • Protection du patrimoine de l’entreprise. COMPLEXITE • Respect des obligations légales. 8 Thursday, July 5, 12
Agenda • Introduction • Risques et Menaces –Le vol –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 9 Thursday, July 5, 12
Vol d’informations • Toute donnée est bonne à exploiter : – Fichier des tarifs ou des clients. – Fichiers salariés. – Processus et savoir faire. – Proposition commerciale. – Carte Bancaire. – Des fichiers de traces techniques. • Chaque donnée volée se vend sur Internet : – CB : moins de 1 $/numéro de carte – Les fichiers de traces : de l’ordre de 100 $ Vol et perte d’informations 26 Thursday, July 5, 12
Pourquoi voler des informations ? • Les voleurs d’informations sont bien organisés et sont de divers milieux : – Les gouvernements – La mafia – Des entreprises – Des étudiants/particuliers • Percer des secrets d’Etat. • Blanchir de l’argent (via le recrutement de «mules»). • Dénigrer une société/une personne. • Augmenter sa compétitivité. Ø Ou  tout  simplement  se  faire  de  l’argent  de  poche  !! Vol et perte d’informations 27 Thursday, July 5, 12
Vol de portable ? 15 Thursday, July 5, 12
39 Thursday, July 5, 12
14 Thursday, July 5, 12
Ingéniérie sociale... 15 Thursday, July 5, 12
Cartes Bancaires 16 Thursday, July 5, 12
Cartes Bancaires 16 Thursday, July 5, 12
Cartes Bancaires 16 Thursday, July 5, 12
Cartes Bancaires 16 Thursday, July 5, 12
Cartes Bancaires 16 Thursday, July 5, 12
Cartes Bancaires 16 Thursday, July 5, 12
Cartes Bancaires 16 Thursday, July 5, 12
Mauvais cru 2011.... Source Panorama Clusif 2011 17 Thursday, July 5, 12
Agenda • Introduction • Risques et Menaces – Le vol de données – L’intrusion – Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 18 Thursday, July 5, 12
Comment se passe une intrusion informatique par Internet • Le pirate récupère des informations sur la cible (société) : – Via les moteurs de recherche – Via le site Internet de la société – Via les informations publiques disponibles sur Internet • Le pirate « cartographie » le réseau de la cible : – Il envoie des informations (légitimes ou illégitimes) à destination des serveurs Internet de la société et construit la carte du réseau Vol et perte d’informations 28 Thursday, July 5, 12
Ce que vous voyez 20 Thursday, July 5, 12
Ce que voit un pirate Vol et perte d’informations 29 Thursday, July 5, 12
Comment se passe une intrusion informatique par Internet • Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées. • Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille. • Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …) Vol et perte d’informations 30 Thursday, July 5, 12
Comment se passe une intrusion informatique par Internet • Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées. • Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille. • Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …) Vol et perte d’informations 30 Thursday, July 5, 12
Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 23 Thursday, July 5, 12
Un peu d’histoire 1969 2042 Début 1988 1992 1997 2000 2004 2006 2008 2009 2010 d’internet Le premier Ver (Morris) s’attaque aux serveurs Création de Mail Invention du Google protocole SSL (par Le début des réseaux NetScape) sociaux (facebook, Arrivée du Web twitter, linkedin, (Mosaic, HTTP/ viadeo, …) 0.9) Début du Haut débit pour tous… Aurora… Le cloud computing, la démocratisation de la virtualisation La première cyber-attaque Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai raté ma vie personnelle Les réseaux sociaux comme support de l’activisme… ® Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville •2011 => Le phénomène Anonymous... •2012 ? Les réseaux sociaux et protection de la vie privée un concept dépassé ? ® Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook ® Août 2009 : 45% des recruteurs consultent des réseaux sociaux ® Décembre 2009 : Épinglés sur Twitter pour alcool au volant ® Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée « Les gens sont à l'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg. Thursday, July 5, 12
site:*.gouv.fr "index of" 26 Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle • Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate) – Exemple : site:*.gouv.fr "index of" • Google est le premier site amenant du trafic : – Achats de mots clés, mauvais référencement, pollution des statistiques •Février 2012 : Google Bombing sur François Hollande Thursday, July 5, 12
Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle • Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate) – Exemple : site:*.gouv.fr "index of" • Google est le premier site amenant du trafic : – Achats de mots clés, mauvais référencement, pollution des statistiques •Février 2012 : Google Bombing sur François Hollande Thursday, July 5, 12
Si je ne suis pas sur Internet, je ne suis pas compétitif • Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP(Internet) : énergie, surveillances et accès, pilotage des processus industriels (SCADA), … • Détection de fumée Orange : http://mamaison.orange.fr/ • SFR HomeScope : http://www.sfr.fr/vos-services/equipements/ innovations/sfr-homescope/ • Automne 2009, des chercheurs démontre que l’isolation dans le Cloud EC2 d’amazon, c’est pas si bien faite que cela. • Septembre 2009 : PME Française de VPC, vol de la base de données SQL via un fichier servant a la sauvegarde qui a été « oublié » sur le serveur Web. ⇒ Mailling des voleurs aux clients pour les informer… • Janvier 2010 : un hacker diffuse des scènes pornographiques sur des panneaux de publicité en Russie…. Thursday, July 5, 12
29 Thursday, July 5, 12
Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 30 Thursday, July 5, 12
Comment sécuriser son système d’informations • S’assurer d’avoir mis en place des outils de sécurité tels des anti-virus, des firewalls, …. • S’assurer que les données sont bien sauvegardées régulièrement et qu’il est possible de les restaurer ! • Etre attentif à tout comportement anormal sur un poste informatique. 9 Thursday, July 5, 12
Comment sécuriser son système d’informations • Vérifier régulièrement qu’il n’y a pas eu d’altération de tout ou partie des applications métiers et de leurs bases associées. • Fournir à tout salarié une charte de bon comportement informatique. • Sensibiliser l’ensemble du personnel à la sécurité ! • Tester régulièrement sa sécurité (physique, logique et humaine !) 10 Thursday, July 5, 12
« Si vous trouvez que l'Education coûte trop cher, essayez l'ignorance ! » Abraham LINCOLN 33 Thursday, July 5, 12
Annexes 34 Thursday, July 5, 12
Risques et solutions Risque Conséquences Parade  à  considérer Destruction de la •Perte d’informations et de •Site de secours salle informatique services •Sauvegarde externalisée •Plan de reprise formalisé Destruction de la •Perte d’archives •Externalisation des médiathèque •Perte de sauvegardes archives et des •Perte de données applicatives sauvegardes •Copie sur disque des données Destruction/Arrêt de •Arrêt de serveurs •Redondance des la climatisation •Altération des supports climatiseurs •Indisponibilité de l’immeuble •Plans et moyens de ou de la salle secours pour les serveurs Destruction/Coupure •Panne de disques et •Batteries et Onduleurs de l’alimentation détérioration de données régulièrement testés électrique •Arrêt de serveurs •Dédoublement des •Altération des supports arrivées électriques Continuité et reprise d’activité 21 Thursday, July 5, 12
Risques et solutions Système Très  Haute  Disponibilité Moyenne  Disponibilité Faible  disponibilité Serveurs •Serveurs de secours •Serveurs de secours •Serveurs de Stratégique dédiés situés sur un dédiés situés sur un secours situés sur s autre site en état de autre site. un autre site, fonctionnement •Copie régulière des pouvant être •Solutions de type bases et des données mutualisés avec Cluster/LoadBalancing d’autres tâches Réseau •Redondance des •Matériel et rocade de •Matériel de Local équipements secours secours •Doublement des •Kit de câblage rocades de câblage volant. Accès •Au moins deux •Nœud de secours •Engagement réseau arrivées séparées sur externeContrat d’intervention du externe plusieurs points prévoyant l’intervention fournisseur avec d’entrées, voire de l’opérateur avec obligation de plusieurs sites engagement de résultats résultats •Maillage du réseau d’entreprise Continuité et reprise d’activité 22 Thursday, July 5, 12
Risques et solutions Système Très  Haute  Disponibilité Moyenne  Disponibilité Faible  disponibilité Téléphonie •Doublement de •Contrat prévoyant le •Autocommutateur l’autocommutateur transfert d’appels par le de secours. dans un local distant et fournisseur vers un site •Mise en place bascule automatique de secours prêt à d’un message pré- des communications réceptionner les appels enregistré. •Transfert des appels par le fournisseur sur le site de secours. Accès •Double connexion •Connexion Internet sur le site de secours Internet Internet sur tous les avec basculement manuel sites avec des fournisseurs différents •Mise en place du protocole réseau BGP4 Continuité et reprise d’activité 23 Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger Méthode   But  poursuivi Difficulté  pour   Défense employée l’aLaquant Pourriels •Envoi de courrier •Vol de Numéro de CB, •Aucune. Les •Un bon anti- (SPAM) non sollicité à un Installation de Logiciel sites internet spam internaute Espion, … regorgent •Contrôler la d’adresses diffusion de son mails e-mail Logiciel •Installation d’un •Obtenir les informations •Faible : Il est •Disposer d’un espion logiciel sur le saisies par l’internaute sur très simple logiciel anti- (spyware) poste de tous les sites consultés d’installer un espion l’internaute •Obtenir des informations logiciel en •N’installer que Internes à la société jouant sur la des logiciels sensibilité de dont la l’Internaute provenance est vérifiée. Vol et perte d’informations 31 Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté  pour   Défense l’aLaquant Hameçonnag •Envoi d’un pourriel •Obtenir les •Moyen à •Disposer de logiciel e (Phishing) très bien fait et informations de Fort anti-hameçonnage ressemblant à un vrai connexion pour •Ne pas faire courriel du effectuer des confiance aux liens fournisseur transactions situés dans un malicieuses courriel, surtout si ils •Redirection vers un redirigent vers un site qui ressemble à site qui «ressemble» celui ciblé (souvent au site officiel des sites bancaires ou assimilés) Réseau de •Installation de logiciel •Mettre en place •Simple à •Ne pas télécharger Robots/Mules à distance via des un réseaux de Complexe : de «vidéos» (BotNet) sites Internet ou le machines •Il suffit inédites, ni de téléchargement de permettant de d’appâter les «logiciels» pour fichiers sur Internet lancer des internautes lesquels on n’est attaques de avec des pas sûr de la source grande vidéos envergure (déni « inédites » de service, Vol spam, d’informations et perte …) 32 Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté   Défense pour   l’aLaquant L’Intrusion •Recrutement d’une •Récupérer un •Simple à •Auditer informatique personne spécialisée fichier, détruire Complexe régulièrement sa pour « passer » outre des données, sécurité les contrôles de modifier des informatique par sécurité données des tests d’intrusions Le vol de •Récupérer dans un •Améliorer sa •Simple à •Sensibiliser le matériel lieu public ou non du compétitivité, Complexe personnel à la matériel ou des découvrir des sécurité documents secrets de •Mettre en place fabrication des procédés de «chiffrement de données», des verrous logiciels ou matériel pour tout ce qui est sensible. •Broyeurs de documents. 33 Vol et perte d’informations Thursday, July 5, 12
Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté   Défense pour   l’aLaquant L’ ingénierie •Recrutement d’une •Améliorer sa •Simple •Sensibiliser les sociale personne se faisant compétitivité, salariés à la «passer» pour un découvrir des sécurité technicien de la secrets de société Vendée-NET fabrication qui doit : - Réparer le PC du PDG - Accéder à la salle de réunion pour vérifier la climatisation… Vol et perte d’informations 34 Thursday, July 5, 12

Empfohlen

Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Prof. Jacques Folon (Ph.D)
 
Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Prof. Jacques Folon (Ph.D)
 
RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPDProf. Jacques Folon (Ph.D)
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Dossier GDPR
Dossier GDPRDossier GDPR
Dossier GDPRProf. Jacques Folon (Ph.D)
 
RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitaleProf. Jacques Folon (Ph.D)
 
Introduction au GDPR
Introduction au GDPRIntroduction au GDPR
Introduction au GDPRProf. Jacques Folon (Ph.D)
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 

Empfohlen

Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Prof. Jacques Folon (Ph.D)
 
Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Prof. Jacques Folon (Ph.D)
 
RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPDProf. Jacques Folon (Ph.D)
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01Sébastien GIORIA
 
Dossier GDPR
Dossier GDPRDossier GDPR
Dossier GDPRProf. Jacques Folon (Ph.D)
 
RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitaleProf. Jacques Folon (Ph.D)
 
Introduction au GDPR
Introduction au GDPRIntroduction au GDPR
Introduction au GDPRProf. Jacques Folon (Ph.D)
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009Philippe Gamache
 
Slides inhesjfinal2
Slides inhesjfinal2Slides inhesjfinal2
Slides inhesjfinal2nicoladiaz
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Aref Jdey
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec Pascal Gagnon
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockJohan Moreau
 
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Stratég- IE
 
ASFWS 2013 - Welcome
ASFWS 2013 - Welcome ASFWS 2013 - Welcome
ASFWS 2013 - Welcome Cyber Security Alliance
 
Les menaces apt
Les menaces aptLes menaces apt
Les menaces aptBruno Valentin
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvasSafae Rahel
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratiquesalmenloukil
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionSylvain Maret
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking81787
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Bruno Valentin
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleBruno Valentin
 
Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?Antoine Vigneron
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnellesProf. Jacques Folon (Ph.D)
 

Weitere ähnliche Inhalte

Andere mochten auch

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009Philippe Gamache
 
Slides inhesjfinal2
Slides inhesjfinal2Slides inhesjfinal2
Slides inhesjfinal2nicoladiaz
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Aref Jdey
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec Pascal Gagnon
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockJohan Moreau
 
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Stratég- IE
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvasSafae Rahel
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratiquesalmenloukil
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionSylvain Maret
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking81787
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Bruno Valentin
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleBruno Valentin
 

Andere mochten auch (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
Laboratoire sécurité : audit de code PHP - Conférence PHP Québec 2009
 
Slides inhesjfinal2
Slides inhesjfinal2Slides inhesjfinal2
Slides inhesjfinal2
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
Intégration de la Police Municipale de Rivière-du-Loup à la Sûreté du Québec
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
 
Gestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de ShellshockGestion des vulnérabilités dans le cas de Shellshock
Gestion des vulnérabilités dans le cas de Shellshock
 
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
 
ASFWS 2013 - Welcome
ASFWS 2013 - Welcome ASFWS 2013 - Welcome
ASFWS 2013 - Welcome
 
Les menaces apt
Les menaces aptLes menaces apt
Les menaces apt
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratique
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
 
Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)
 
Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middle
 

Ähnlich wie 2012 07-05-spn-sgi-v1-lite

Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?Antoine Vigneron
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...ESI Technologies
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftLa nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftBen Rothke
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTProf. Jacques Folon (Ph.D)
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01David Blampain
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
L'Intelligence economique au service des RH
L'Intelligence economique au service des RHL'Intelligence economique au service des RH
L'Intelligence economique au service des RHFranck Dasilva
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger imsIMS NETWORKS
 
Intelligence économique et Management de la Connaissance
Intelligence économique et Management de la ConnaissanceIntelligence économique et Management de la Connaissance
Intelligence économique et Management de la ConnaissanceBENCHERIF Amir Nidhal
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018cedric delberghe
 

Ähnlich wie 2012 07-05-spn-sgi-v1-lite (20)

Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?Quelle gouvernance pour le numérique?
Quelle gouvernance pour le numérique?
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnelles
 
PRIVACY 2.0
PRIVACY 2.0PRIVACY 2.0
PRIVACY 2.0
 
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
Mobilité et sécurité : oui, c'est possible - Conférence présentée par ESI et ...
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
vie privée en 2013
vie privée en 2013 vie privée en 2013
vie privée en 2013
 
Vie privée et RH
Vie privée et RHVie privée et RH
Vie privée et RH
 
Web 2.0, média sociaux et vie privée
Web 2.0, média sociaux et vie privée Web 2.0, média sociaux et vie privée
Web 2.0, média sociaux et vie privée
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftLa nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswift
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENTRh et data DANS LE MONDE APRÈS LE CONFINEMENT
Rh et data DANS LE MONDE APRÈS LE CONFINEMENT
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
L'Intelligence economique au service des RH
L'Intelligence economique au service des RHL'Intelligence economique au service des RH
L'Intelligence economique au service des RH
 
Parcours Big Data @ Cetic (6 mai 2014)
Parcours Big Data @ Cetic (6 mai 2014)Parcours Big Data @ Cetic (6 mai 2014)
Parcours Big Data @ Cetic (6 mai 2014)
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
 
Gdpr acerta
Gdpr acertaGdpr acerta
Gdpr acerta
 
Intelligence économique et Management de la Connaissance
Intelligence économique et Management de la ConnaissanceIntelligence économique et Management de la Connaissance
Intelligence économique et Management de la Connaissance
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 

Mehr von Sébastien GIORIA

Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pchSébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universeSébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1Sébastien GIORIA
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 

Mehr von Sébastien GIORIA (20)

Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 

2012 07-05-spn-sgi-v1-lite

  • 1. Atelier Sécurité IT Sébastien Gioria Rencontres du Numérique Poitiers - 5 Juillet 2012 Thursday, July 5, 12
  • 2. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 2 Thursday, July 5, 12
  • 3. http://www.google.com/search? q=sebastien%20gioria •Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y •OWASP France Leader & Founder - Evangéliste • OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) •Président CLUSIR Poitou-Charentes •Responsable du Groupe Sécurité des @SPoint Applications Web au CLUSIF CISA && ISO 27005 Risk Manager • +15 ans d’expérience en Sécurité des Systèmes d’Information • Différents postes de manager SSI dans la banque, l’assurance et les télécoms • Expertise Technique • PenTesting, • Secure-SDLC • Gestion du risque, Architectures fonctionnelles, Audits • Consulting et Formation en Réseaux et Sécurité Thursday, July 5, 12
  • 4. CLUSIF • Association sans but lucratif (création début des années 80) • > 600 membres (50% offreurs, 50% utilisateurs) • Promouvoir la sécurité de l’information • Partager – Echanges homologues-experts, savoir-faire collectif, fonds documentaire • Anticiper les tendances – faire connaître les attentes auprès des offreurs • Sensibiliser les acteurs 4 Thursday, July 5, 12
  • 5. CLUSIF - CLUSIR • CLUSIR : – Association loi de 1901 libre de ses choix, statuts et travaux, agréé par le CLUSIF. – S’engage à respecter le code d’éthique du CLUSIF. – Peut utiliser les moyens du CLUSIF (documents, agence de presse, conférenciers, …). • Le CLUSIR Poitou-Charentes : – Rompre l’isolement du RSSI/DSI – Partager les bonnes pratiques, via des groupes de travail ou non: – Informer et sensibiliser le dirigeant Thursday, July 5, 12
  • 6. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 6 Thursday, July 5, 12
  • 7. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 8. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 9. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 10. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 11. Dépendance de l’entreprise à l’informatique Source : Enquête 2012 du CLUSIF 4 Thursday, July 5, 12
  • 12. La sécurité informatique , une affaire pour tous ! Disponibilité SOX PCI-DSS BALE Solvabilité 2 Critères de CNIL sécurité d’un Système LSF DGI d’Information CONTRAINTES REGLEMENTAIRES Confidentialité Intégrité • Protection du savoir faire. • Protection des données personnelles. • Protection du patrimoine de l’entreprise. COMPLEXITE • Respect des obligations légales. 8 Thursday, July 5, 12
  • 13. Agenda • Introduction • Risques et Menaces –Le vol –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 9 Thursday, July 5, 12
  • 14. Vol d’informations • Toute donnée est bonne à exploiter : – Fichier des tarifs ou des clients. – Fichiers salariés. – Processus et savoir faire. – Proposition commerciale. – Carte Bancaire. – Des fichiers de traces techniques. • Chaque donnée volée se vend sur Internet : – CB : moins de 1 $/numéro de carte – Les fichiers de traces : de l’ordre de 100 $ Vol et perte d’informations 26 Thursday, July 5, 12
  • 15. Pourquoi voler des informations ? • Les voleurs d’informations sont bien organisés et sont de divers milieux : – Les gouvernements – La mafia – Des entreprises – Des étudiants/particuliers • Percer des secrets d’Etat. • Blanchir de l’argent (via le recrutement de «mules»). • Dénigrer une société/une personne. • Augmenter sa compétitivité. Ø Ou  tout  simplement  se  faire  de  l’argent  de  poche  !! Vol et perte d’informations 27 Thursday, July 5, 12
  • 16. Vol de portable ? 15 Thursday, July 5, 12
  • 19. Ingéniérie sociale... 15 Thursday, July 5, 12
  • 20. Cartes Bancaires 16 Thursday, July 5, 12
  • 21. Cartes Bancaires 16 Thursday, July 5, 12
  • 22. Cartes Bancaires 16 Thursday, July 5, 12
  • 23. Cartes Bancaires 16 Thursday, July 5, 12
  • 24. Cartes Bancaires 16 Thursday, July 5, 12
  • 25. Cartes Bancaires 16 Thursday, July 5, 12
  • 26. Cartes Bancaires 16 Thursday, July 5, 12
  • 27. Mauvais cru 2011.... Source Panorama Clusif 2011 17 Thursday, July 5, 12
  • 28. Agenda • Introduction • Risques et Menaces – Le vol de données – L’intrusion – Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 18 Thursday, July 5, 12
  • 29. Comment se passe une intrusion informatique par Internet • Le pirate récupère des informations sur la cible (société) : – Via les moteurs de recherche – Via le site Internet de la société – Via les informations publiques disponibles sur Internet • Le pirate « cartographie » le réseau de la cible : – Il envoie des informations (légitimes ou illégitimes) à destination des serveurs Internet de la société et construit la carte du réseau Vol et perte d’informations 28 Thursday, July 5, 12
  • 30. Ce que vous voyez 20 Thursday, July 5, 12
  • 31. Ce que voit un pirate Vol et perte d’informations 29 Thursday, July 5, 12
  • 32. Comment se passe une intrusion informatique par Internet • Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées. • Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille. • Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …) Vol et perte d’informations 30 Thursday, July 5, 12
  • 33. Comment se passe une intrusion informatique par Internet • Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées. • Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille. • Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …) Vol et perte d’informations 30 Thursday, July 5, 12
  • 34. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 23 Thursday, July 5, 12
  • 35. Un peu d’histoire 1969 2042 Début 1988 1992 1997 2000 2004 2006 2008 2009 2010 d’internet Le premier Ver (Morris) s’attaque aux serveurs Création de Mail Invention du Google protocole SSL (par Le début des réseaux NetScape) sociaux (facebook, Arrivée du Web twitter, linkedin, (Mosaic, HTTP/ viadeo, …) 0.9) Début du Haut débit pour tous… Aurora… Le cloud computing, la démocratisation de la virtualisation La première cyber-attaque Thursday, July 5, 12
  • 36. Si je ne suis pas sur Internet, j’ai raté ma vie personnelle Les réseaux sociaux comme support de l’activisme… ® Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville •2011 => Le phénomène Anonymous... •2012 ? Les réseaux sociaux et protection de la vie privée un concept dépassé ? ® Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook ® Août 2009 : 45% des recruteurs consultent des réseaux sociaux ® Décembre 2009 : Épinglés sur Twitter pour alcool au volant ® Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée « Les gens sont à l'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg. Thursday, July 5, 12
  • 37. site:*.gouv.fr "index of" 26 Thursday, July 5, 12
  • 38. Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle • Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate) – Exemple : site:*.gouv.fr "index of" • Google est le premier site amenant du trafic : – Achats de mots clés, mauvais référencement, pollution des statistiques •Février 2012 : Google Bombing sur François Hollande Thursday, July 5, 12
  • 39. Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle • Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate) – Exemple : site:*.gouv.fr "index of" • Google est le premier site amenant du trafic : – Achats de mots clés, mauvais référencement, pollution des statistiques •Février 2012 : Google Bombing sur François Hollande Thursday, July 5, 12
  • 40. Si je ne suis pas sur Internet, je ne suis pas compétitif • Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP(Internet) : énergie, surveillances et accès, pilotage des processus industriels (SCADA), … • Détection de fumée Orange : http://mamaison.orange.fr/ • SFR HomeScope : http://www.sfr.fr/vos-services/equipements/ innovations/sfr-homescope/ • Automne 2009, des chercheurs démontre que l’isolation dans le Cloud EC2 d’amazon, c’est pas si bien faite que cela. • Septembre 2009 : PME Française de VPC, vol de la base de données SQL via un fichier servant a la sauvegarde qui a été « oublié » sur le serveur Web. ⇒ Mailling des voleurs aux clients pour les informer… • Janvier 2010 : un hacker diffuse des scènes pornographiques sur des panneaux de publicité en Russie…. Thursday, July 5, 12
  • 42. Agenda • Introduction • Risques et Menaces –Le vol de données –L’intrusion –Les réseaux sociaux et Internet • Conclusion –Quelques solutions... 30 Thursday, July 5, 12
  • 43. Comment sécuriser son système d’informations • S’assurer d’avoir mis en place des outils de sécurité tels des anti-virus, des firewalls, …. • S’assurer que les données sont bien sauvegardées régulièrement et qu’il est possible de les restaurer ! • Etre attentif à tout comportement anormal sur un poste informatique. 9 Thursday, July 5, 12
  • 44. Comment sécuriser son système d’informations • Vérifier régulièrement qu’il n’y a pas eu d’altération de tout ou partie des applications métiers et de leurs bases associées. • Fournir à tout salarié une charte de bon comportement informatique. • Sensibiliser l’ensemble du personnel à la sécurité ! • Tester régulièrement sa sécurité (physique, logique et humaine !) 10 Thursday, July 5, 12
  • 45. « Si vous trouvez que l'Education coûte trop cher, essayez l'ignorance ! » Abraham LINCOLN 33 Thursday, July 5, 12
  • 46. Annexes 34 Thursday, July 5, 12
  • 47. Risques et solutions Risque Conséquences Parade  à  considérer Destruction de la •Perte d’informations et de •Site de secours salle informatique services •Sauvegarde externalisée •Plan de reprise formalisé Destruction de la •Perte d’archives •Externalisation des médiathèque •Perte de sauvegardes archives et des •Perte de données applicatives sauvegardes •Copie sur disque des données Destruction/Arrêt de •Arrêt de serveurs •Redondance des la climatisation •Altération des supports climatiseurs •Indisponibilité de l’immeuble •Plans et moyens de ou de la salle secours pour les serveurs Destruction/Coupure •Panne de disques et •Batteries et Onduleurs de l’alimentation détérioration de données régulièrement testés électrique •Arrêt de serveurs •Dédoublement des •Altération des supports arrivées électriques Continuité et reprise d’activité 21 Thursday, July 5, 12
  • 48. Risques et solutions Système Très  Haute  Disponibilité Moyenne  Disponibilité Faible  disponibilité Serveurs •Serveurs de secours •Serveurs de secours •Serveurs de Stratégique dédiés situés sur un dédiés situés sur un secours situés sur s autre site en état de autre site. un autre site, fonctionnement •Copie régulière des pouvant être •Solutions de type bases et des données mutualisés avec Cluster/LoadBalancing d’autres tâches Réseau •Redondance des •Matériel et rocade de •Matériel de Local équipements secours secours •Doublement des •Kit de câblage rocades de câblage volant. Accès •Au moins deux •Nœud de secours •Engagement réseau arrivées séparées sur externeContrat d’intervention du externe plusieurs points prévoyant l’intervention fournisseur avec d’entrées, voire de l’opérateur avec obligation de plusieurs sites engagement de résultats résultats •Maillage du réseau d’entreprise Continuité et reprise d’activité 22 Thursday, July 5, 12
  • 49. Risques et solutions Système Très  Haute  Disponibilité Moyenne  Disponibilité Faible  disponibilité Téléphonie •Doublement de •Contrat prévoyant le •Autocommutateur l’autocommutateur transfert d’appels par le de secours. dans un local distant et fournisseur vers un site •Mise en place bascule automatique de secours prêt à d’un message pré- des communications réceptionner les appels enregistré. •Transfert des appels par le fournisseur sur le site de secours. Accès •Double connexion •Connexion Internet sur le site de secours Internet Internet sur tous les avec basculement manuel sites avec des fournisseurs différents •Mise en place du protocole réseau BGP4 Continuité et reprise d’activité 23 Thursday, July 5, 12
  • 50. Les méthodes de vol employées et comment se protéger Méthode   But  poursuivi Difficulté  pour   Défense employée l’aLaquant Pourriels •Envoi de courrier •Vol de Numéro de CB, •Aucune. Les •Un bon anti- (SPAM) non sollicité à un Installation de Logiciel sites internet spam internaute Espion, … regorgent •Contrôler la d’adresses diffusion de son mails e-mail Logiciel •Installation d’un •Obtenir les informations •Faible : Il est •Disposer d’un espion logiciel sur le saisies par l’internaute sur très simple logiciel anti- (spyware) poste de tous les sites consultés d’installer un espion l’internaute •Obtenir des informations logiciel en •N’installer que Internes à la société jouant sur la des logiciels sensibilité de dont la l’Internaute provenance est vérifiée. Vol et perte d’informations 31 Thursday, July 5, 12
  • 51. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté  pour   Défense l’aLaquant Hameçonnag •Envoi d’un pourriel •Obtenir les •Moyen à •Disposer de logiciel e (Phishing) très bien fait et informations de Fort anti-hameçonnage ressemblant à un vrai connexion pour •Ne pas faire courriel du effectuer des confiance aux liens fournisseur transactions situés dans un malicieuses courriel, surtout si ils •Redirection vers un redirigent vers un site qui ressemble à site qui «ressemble» celui ciblé (souvent au site officiel des sites bancaires ou assimilés) Réseau de •Installation de logiciel •Mettre en place •Simple à •Ne pas télécharger Robots/Mules à distance via des un réseaux de Complexe : de «vidéos» (BotNet) sites Internet ou le machines •Il suffit inédites, ni de téléchargement de permettant de d’appâter les «logiciels» pour fichiers sur Internet lancer des internautes lesquels on n’est attaques de avec des pas sûr de la source grande vidéos envergure (déni « inédites » de service, Vol spam, d’informations et perte …) 32 Thursday, July 5, 12
  • 52. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté   Défense pour   l’aLaquant L’Intrusion •Recrutement d’une •Récupérer un •Simple à •Auditer informatique personne spécialisée fichier, détruire Complexe régulièrement sa pour « passer » outre des données, sécurité les contrôles de modifier des informatique par sécurité données des tests d’intrusions Le vol de •Récupérer dans un •Améliorer sa •Simple à •Sensibiliser le matériel lieu public ou non du compétitivité, Complexe personnel à la matériel ou des découvrir des sécurité documents secrets de •Mettre en place fabrication des procédés de «chiffrement de données», des verrous logiciels ou matériel pour tout ce qui est sensible. •Broyeurs de documents. 33 Vol et perte d’informations Thursday, July 5, 12
  • 53. Les méthodes de vol employées et comment se protéger Méthode  employée But  poursuivi Difficulté   Défense pour   l’aLaquant L’ ingénierie •Recrutement d’une •Améliorer sa •Simple •Sensibiliser les sociale personne se faisant compétitivité, salariés à la «passer» pour un découvrir des sécurité technicien de la secrets de société Vendée-NET fabrication qui doit : - Réparer le PC du PDG - Accéder à la salle de réunion pour vérifier la climatisation… Vol et perte d’informations 34 Thursday, July 5, 12