2. Travailler TOUS ensemble lors d’une
cybercrise !
Services-conseils en
cyberdéfense, risques,
performance et technologie
Montréal
Le 29 nov. 2018
Atelier 7
5. De nombreuses cyberattaques ont été perpétrées contre les universités au
cours des deux dernières années, y compris une atteinte à la sécurité à
l’Université de l’Alberta vers la fin de 2016, du cyberterrorisme mettant en
cause une étudiante de l’Université de Moncton au printemps dernier, des
renseignements étudiants piratés à l’Université de la Fraser Valley en
octobre dernier et, récemment, un courriel hameçon à l’Université Carleton.
L’Université de Calgary a versé une rançon de 20 000 dollars en 2016 pour
récupérer de l’information après une cyberattaque et, l’été dernier, l’Université
MacEwan a été victime d’une fraude de près de 12 millions de dollars en
raison de la cybercriminalité.
Réagir ensemble est une nécessité.
5
Contexte
6. 6
Ça a été testé au dernier Hackfest de Québec…
8. L’évolution des brèches de données
• Près de 10 milliards de données
perdues ou volées depuis 2013, soit
55 par seconde.
• SEULEMENT 4 % des brèches
étaient des « brèches sécurisées »
où le chiffrement a été utilisé et les
données volées ont été rendues
inutiles.
8
11. • Rançonnage par chiffrement ou par DDoS
• Fraude au Président
• E-Mules piégées pour le blanchiment bancaire moderne
• Ventes de parcs de machines zombies pour spammeurs
• Ventes massives de données d’identification ou de paiement
• Ventes de données ciblées à vocation publique ou de PEP
• Location d’applications SaaS de cyber-fraudes ou CaaS
11
La cyber-fraude, la cyber-criminalité, un marché complexe…
13. « Une Advanced Persistent Threat (APT)
est un type de piratage informatique
furtif et continu,
souvent orchestré par des humains
ciblant une entité spécifique. »
Aujourd’hui, l’heure est aux « APT »…
https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat
Traduction littérale de APT : menace persistante avancée
13
14. • 100% des « backdoors » APT font seulement
les connexions sortantes.
• 83% des ports TCP utilisés sont 80 ou 443.
Communication des APTs
14
16. 16
Le piratage est une activité rentable!
Selon une étude de la firme Trustwave en 2015
• Achat de rançongiciels pour un mois 5 900 $ US
• Revenu estimé (0,5 % des victimes payent 300 $) 90 000 $ US
Retour sur investissement 1 425 %
Le piratage se démocratise et se multiplie grâce à
des prix de plus en plus bas et une rentabilité
énorme.
25. • En 2018, les entreprises ne sont
plus un écosystème unique de
données cloisonnées au sein d’un
seul périmètre.
• Si l’entreprise moderne est une
île, elle doit alors gérer un archipel
où sont transigées ses
informations critiques.
• Cet archipel est constitué de sous-
îles, de sous-entités incluant des
juridictions et des enjeux et
postures distinctes de
cybersécurité.
Sans compter les services infonuagiques et tiers divers…
25
35. 35
Détection : la différence de vision et le décalage…
Préparation
de l’attaque
Détection Exploitation Exfiltration
Vue de l’attaquant
Vue de la victime
Détection ou prévention de l’attaque Détection de la brèche
36. • Cartographie : https://dnsdumpster.com/
• IoT, IT/OT et autre IoE : https://www.shodan.io/
• Google Dorks : https://www.google.com/search?q=db_password+filetype%3Aenv
• Darkweb
36
Évaluer l’exposition de l’organisation
37. APPEL D’UN JOURNALISTE
• “Certaines des données de vos
étudiants et de vos diplômes contrefaits
sont en vente sur le Darknet. De toutes
les institutions touchées, vous êtes une
des pires…”
• “Avez-vous une déclaration à faire avant
la publication de l’article et la parution
dans les journaux télévisés du midi ?”
37
Nouvel “incident”
40. 40
La cyber-crise est une crise comme les autres!
Alerte
Analyse
Mobilisation
Notifications
aux clients
Plan de
remédiation et de
confinement + suivi Sortie
de crise
Déclenchement
du Plan de gestion
Gestion d’incident
Investigations internes + tiers
Contact avec le juridique
Détermination du
plan d’action
Déclenchement
des plans d’action
Résolution
Cyber-
incident
détecté (réunion de Cellule de crise)
41. • Intégrer la cyber-crise aux
processus organisationnels
– Mettre à jour les exercices d’analyse
d’impacts
– Mettre à jour le plan de gestion de
crise
– Mettre à jour les plans
de continuité / relève
– Mettre à jour le processus
de gestion des incidents TI
• Choisir et disposer les bons
acteurs autour de la table
• Simuler, simuler et
simuler encore
41
Apprendre à gérer une cyber-crise
44. • "[Hackers] are serious,
professional people with a
criminal code of ethics". This
means negotiations are key to
getting files back. "60 per cent
of negotiation failures can be
attributed to the gap between
the negotiator and the decision
maker,“
• “On the bright side, it’s easy to
protect yourself: when you
have a very structured
discipline of data backup it’s
easy to deal with
ransomware.”
44
Pour le reste, il faut négocier…
When ransomware is involved,
Moty Cristal said, "managing the
human factor is key to overcoming
a cyber crisis."
45. • Les pires cybercrises ne sont pas détectées et ne proviennent pas des TI.
• Il faut considérer en tout temps que l’on est en « phase 0 » de la crise.
• Le processus ne doit pas être une escalade de l’incident, mais une décalade
pour fonctionner correctement…
– Quel peut être la pire vélocité de l’incident selon l’impact identifié ?
– Non, ce n’est pas une crise.
– Non, ce n’est pas un désastre.
– Oui, c’est un simple cyber-incident.
• Il y a plusieurs niveaux de déclaration.
• Tout se sait et se saura, surtout si cela doit rester confidentiel ! Demandez de
l’aide…
45
Ce qu’il faut retenir…
53. • De l’autre coté de la muraille
• Les histoires et situations des autres
• Les journaux de sécurité de l’archipel
• Les communications C&C, les rapports de l’antispam et les types de
communication Sud-Nord
53
Les bonnes sources de données…
58. • https://www.virustotal.com/#/home/upload
• https://opennebula.org/tryout/sandboxvirtualbox/
• http://vmcloak.org/
• http://qosient.com/argus/gettingstarted.shtml
Mais surtout !
• CyberChef est un outil développé par le GCHQ, l'agence de renseignement
britannique. Il peut aider à ouvrir les logiciels malveillants et autres codes
douteux : https://gchq.github.io/CyberChef/
Sandboxing (File or URL)
58
64. • Utiliser des points de contrôles dans
l’organisation pour détecter les cyber-crises plus
tôt.
• Identifier et formaliser des rôles et des
responsabilités pour tous les participants à la
gestion de crise.
• Documenter et assembler des « bases de
connaissances tribales ou communautaires »
inter et intra-entreprises pour améliorer la
réponse de la sécurité.
• Développer des scénarios de tests de cyber-
crises qui remettent en question les modèles
culturels, organisationnels et opérationnels en
place.
64
Les bonnes pratiques, les bonnes lectures…
65. • OZON CYBER CRISIS EXERCISE : A GAP-BRIDGING EXERCISE
• MIT TECHNOLOGY REVIEW CUSTOM
6565
Une autre très bonne lecture…
66. • Règle # 1 : D’une cinétique longue,
tes scenarii tu rythmeras.
• Règle # 2 : Une activation de ton
BCP, tu incluras.
• Règle # 3 : Ton/ta Dir. Comm, aux
côtés du CISO siègera.
• Règle # 4 : Tes acolytes de
l’industrie et à l’international, tu
inviteras.
• Règle # 5 : De multiples cellules, à
ton exercice tu convieras.
66
Cybercrise : Les 5 règles à retenir…
69. Bertrand Milot, CISM, CRISC, CRMP, PCSM, C|CISO, CICA, C|BP, ISO.27001 LA
Vice-président, Services-conseils en cybersécurité, risque, performance et technologie
Vice President, Cybersecurity, Risk, Performance and Technology Advisory Services
T. 514.934.3551
C. 514.806.4864
BMilot@Richter.ca
Richter S.E.N.C.R.L./LLP
1981, McGill College
Montréal QC H3A 0G6
richter.ca
https://www.linkedin.com/in/bmilot4informationsecurity/
Qui posera la…
…-piège du jour ?