Conférence sur les "défis de la sécurité informatique en 2012". Animé par Jérôme Saiz - SecurityVibes, le 7 février 2012. Conférence organisé par le Club IES - IAE de Paris alumni.

1. 2012 Les défis de la
sécurité informatique
Club IES, 7 février 2012
Jérôme Saiz / SecurityVibes

2. Qui ?
 SecurityVibes
 Communauté de professionnels de la sécurité IT
 Magazine
 Evénements
 Soutien de Philippe Courtot, Qualys
 Jérôme Saiz
 Journaliste, spécialiste des questions de sécurité
 Geek de cœur
 EPITA : « Technologies & Marché de la sécurité »
 LesNouvelles.net SecurityVibes
2

3. Menu
 La menace a évolué
 Les nouveaux acteurs
 Le rôle du RSSI
 Contre-mesures réalistes
3

4. Menu
La menace a évolué
4

5. Evolution
De l’amateur au vénal
 Du visible (égo) au discret (exploitation)
 Exploitation = argent = professionnalisation
 9 millions de $ / 49 villes US / 130 DAB / une heure (WorldPay, 2009)
 6,7 millions de $ / 3 jours / DAB + virements (Postbank, 2012)
 Des comptes dédiés ouverts pendant une année
 Malgré 2 millions de $ de logiciels anti-fraude
 Retour à l’amateur avec les hacktivistes
5

6. Evolution
Niveau technique en baisse
 Vrai pour le grand public
 Arnaques Facebook, « badware »…
 Aucun besoin de sophistication technique
 L’utilisateur est (i)responsable de son infection
 Moins pour l’entreprise
 Attaques ciblées, social engineering, APT, Stuxnet
 Kits d’infection et de copie rapide (smartphone, laptop)
6

7. Evolution
Trois menaces 2012
 Réseaux sociaux
 Grand public : arnaques en hausse
 Sondages & SMS surtaxés, vraies fausses vidéos virales, vol du carnet d’adresses
 Entreprises : repérage, renseignement, ciblage
 Mobiles
 Grand public : vol de données, arnaques bancaires (apps piégées)
 Entreprises : BYOD
 Documents piégés
 Attaques ciblées via Flash / PDF / MS Office
7

8. Menu
De nouveaux acteurs
8

9. Acteurs
Les Hacktivistes
 « Altermondialistes numériques »
 Non-violent, illégal, digital et politique
 Armes : vol de données et déni de service distribué (DDoS)
 Pas de consensus sur la « légitimité » de l’un ou de l’autre
 DDoS = « sitting » pacifique ou acte violent de neutralisation ?
 Vol de données = militantisme ou vol ?
9

10. Acteurs
Les Hacktivistes
 Pas d’objectif unique / clair
 Liberté d’expression ?
 Anticapitalisme ?
 Nihilisme 2.0 ?
 Ecologie ?
 Intérêts personnels ?
 Manipulation ? (PSYOP militaire)
 « Psychological operations are planned operations to convey selected information and
indicators to foreign audiences to influence their emotions, motives, objective reasoning, and
ultimately the behavior of foreign governments, organizations, groups, and individuals »
(Wikipedia)
10

11. Acteurs
Les Hacktivistes
 Des actions perçues (aussi) positivement
 Développement d’outils de chiffrement (PGP)
 Miroirs de sites censurés
 Assistance technique anti censure
 Dialogue difficile à initier
 Qui est représentatif ?
 Emotion vs business
11

12. Acteurs
Les Hacktivistes
 « Si vous dirigez un pays et que vous ne vous comportez pas
correctement, avec les réseaux sociaux les utilisateurs ont
désormais le moyen de vous faire tomber » (David Jones, DG Havas
@ Davos 2012)
 Vrai également pour les entreprises
 « Chaque utilisateur a désormais les moyens de lancer un
mouvement de masse. Mais ces cyber mouvements sociaux ne
créent pas de leaders » (idem)
 Débordements et réflexe de meute (ex : Orange / Free)
 Dialogue rationnel difficile
12

13. Acteurs
Les Hacktivistes
 Exemple : Anonymous
 Une idée plutôt qu’une organisation
 La liberté d’expression, la désobéissance civile
 Pas d’intérêt pour les données personnelles
 Structure fluide et décentralisée
 Basée sur la volonté du groupe (désignation libre des cibles + LOIC)
 Héritage de 4chan
 DDoS (majoritaire) et intrusions (rares)
 Dissensions régulières & inévitables
 Risques de dérapage
 Anonymous vs Zetas
 Enrôlement forcé (cas PasteHTML.com)
13

14. Acteurs
Les Hacktivistes
Le défi
 Veille d’actualité
 Veille réseau sociaux
 Matrice de risque actualité / activité
de l’entreprise à développer
 Communication de crise
14

15. Acteurs
Le crime organisé
 Les Sopranos sur Internet ? Pas vraiment
 Le web comme soutien aux activités illégales traditionnelles
 Communication, organisation, protection des données
 Blanchiment d’argent (fraude transnationale)
 Contrefaçon, pédopornographie, prostitution
 Approche « utilitaire » des technologies
15

16. Acteurs
Le crime organisé
 La réalité : des gangs 100% virtuels
 1 casse @ $1 million ou 1 million d’arnaques @ 1$ ?
 Ticket d’entrée faible, risque faible, gains élevés
 Gourmands, très spécialisés, très organisés
 Codeur, exploiteur, « carder », associé, mule…
 Ne se rencontrent (presque) jamais
 Géométrie variable
 Constitution de groupes ad-hoc
 Communication exclusivement en ligne
 Des spécialités régionales
 Russie (piratage, exploits), Brésil (malware bancaire), Chine (hébergement)…
16

17. Acteurs
Le crime organisé
 Exemple : Liberty Reserve
 Monnaie parallèle
 hors système bancaire international
 Difficile d’atteinte
 « Puisque nous sommes basés à Nevis (Costa Rica), vous devez être un meurtrier, un
ravisseur ou un baron de la drogue pour nous forcer à divulguer des informations sensibles »
 Structure décentralisée
 Emetteur et grossistes indépendants
 Opérations 100% virtuelles
 Transactions via MSN, Yahoo! Messenger, ICQ vers des comptes en ligne
 Pas de logs
17

18. Acteurs
Le crime organisé
Le défi
 Contrôles internes / fraude interne
 Protection des clients
 Moyens de paiement, achats,
escroqueries en ligne
 Conformité réglementaire
 (un défi à part entière !)
18

19. Acteurs
Les Etats
 Cyberguerre ≠ espionnage
 Guerre = opérations militaires, dégâts matériels, victimes
 = Cyber-sabotage
 Confusion
 N’importe qui peut se joindre à la bataille
 Attaque Russe contre la Géorgie, Estonie : nationalistes ? Hacktivistes ?
 Attaques contre le cyber ou attaque avec des armes cyber ?
 Contre : détruire l’infrastructure SI (armes cyber ou physiques)
 Avec : utiliser des armes cyber pour provoquer des dégâts physiques
19

20. Acteurs
Les Etats
 Le cyber comme nouveau théâtre d’opération
 Terre, Air, Mer, Espace et Cyber (US)
 Attaques cyber : « un acte de guerre » (US)
 Des armes opérationnelles
 Stuxnet
 Opération Orchard (Israël), tests Aurora (US)
 Des Etats organisés
 ANSSI (France), US Cyber Command (US), Grande Bretagne (GCHQ),
ENISA (EU), KKL (Estonie) + Russie, Chine, Israël, Corée(s), Iran ?
20

21. Acteurs
Les Etats
 Mais encore beaucoup (trop) de questions
 Nature des armes cyber ?
 Armes de dissuasion ? Armes « e-bactériologiques » ? Armes tactiques ?
 Quid de la couche radio ? (GPS Jammer ?)
 Doctrines d’utilisation ?
 Quels objectifs ? (Perturbations civiles ? Sabotage d’infrastructures critiques ?
Neutralisation d’objectifs militaires ?)
 Quelle réponse ?
« Do we do it by going back over the network ? Would it be easier to send a group of
special forces in and blow the servers up ? » (Michael Chertoff, ex-directeur US
homeland security)
 Attribution ?
 Dissémination & contrôle ?
21

22. Acteurs
Les Etats
+ d’info
« Nature des armes cybernétiques et stabilité du
système international »
Guy-Philippe Goldstein
Sur SecurityVibes : http://goo.gl/1nGeD
22

23. Acteurs
Les Etats
Le défi
 Se rapprocher de votre agence
nationale
 Redondance, protection des données,
PCA/PRA
 Sensibiliser les utilisateurs
 Cyber-espionnage plutôt que cyberguerre
23

24. Menu
Le rôle du RSSI
24

25. RSSI
Le rôle du RSSI
 Plus seulement un technicien
 SMSI, gestion du risque, organisation…
(si maturité suffisante de l’entreprise)
 Communiquant / manager / politique
 Et désormais aussi un peu juriste
 Obligations de conformité réglementaire (CNIL & métiers)
 Montée dans le nuage = contrats & responsabilités
 Et surtout visionnaire
 Technologies et pratiques émergentes : quel impact ?
 BYOD, mobilité, SaaS, télétravail, recrutement, mini-sites…
25

26. RSSI
Le rôle du RSSI
+ d’info
« Le RSSI : un schizophrène en évolution ? »
Jean-François Louapre, RSSI AG2R – La Mondiale
Sur SecurityVibes : http://www.securityvibes.com/docs/DOC-1448
26

27. RSSI
Le rôle du RSSI
Le défi
 De nouveaux camarades de jeu
 CNIL = CIL
 Risque = Risk Manager
 De nouvelles pratiques
 Les métiers accèdent aux offres SaaS
directement
 La protection de l’information dépasse
le cadre du SI
 Collaboration avec le responsable IE
27

28. Menu
Contre-mesures réalistes
28

29. Contre-mesures
Les contre-mesures réalistes
« Back to basics » (*)
http://goo.gl/Bwfou
* Retour aux fondamentaux
29

30. Contre-mesures
Les contre-mesures réalistes
 « Back to basics » (retour aux fondamentaux)
 Si pas encore fait : inutile d’aller plus loin
 Si déjà fait : vous savez le chemin qui reste à parcourir.
 Et n’avez pas besoin de mes conseils ;)
30

31. Contre-mesures
Les contre-mesures réalistes
Le défi
 Retour aux fondamentaux
 Reprenez le contrôle !
 Sensibilisez
 Observez !
31

32. Et maintenant ?
Restons en contact !
http://fr.linkedin.com/in/jsaiz
http://twitter.com/securityvibesfr
http://www.facebook.com/secvibes
32

33. Merci !
Place aux questions
33