SlideShare ist ein Scribd-Unternehmen logo

Travailler TOUS ensemble lors d’une cybercrise!

Als PPTX, PDF herunterladen
C
ColloqueRISQ

RISQ - Colloque 2018 16h00 Bertrand Milot

Technologie
1 von 69
1
Travailler TOUS ensemble lors d’une cybercrise ! Services-conseils en cyberdéfense, risques, performance et technologie Montréal Le 29 nov. 2018 Atelier 7
33 Petite maxime pour commencer…
Introduction : cybercriminalité Gestion de la cybercrise « collégiale » ? Discussions et échanges 4 Agenda
De nombreuses cyberattaques ont été perpétrées contre les universités au cours des deux dernières années, y compris une atteinte à la sécurité à l’Université de l’Alberta vers la fin de 2016, du cyberterrorisme mettant en cause une étudiante de l’Université de Moncton au printemps dernier, des renseignements étudiants piratés à l’Université de la Fraser Valley en octobre dernier et, récemment, un courriel hameçon à l’Université Carleton. L’Université de Calgary a versé une rançon de 20 000 dollars en 2016 pour récupérer de l’information après une cyberattaque et, l’été dernier, l’Université MacEwan a été victime d’une fraude de près de 12 millions de dollars en raison de la cybercriminalité. Réagir ensemble est une nécessité. 5 Contexte
6 Ça a été testé au dernier Hackfest de Québec…
Introduction : enjeux réels de cybercriminalité… 7
L’évolution des brèches de données • Près de 10 milliards de données perdues ou volées depuis 2013, soit 55 par seconde. • SEULEMENT 4 % des brèches étaient des « brèches sécurisées » où le chiffrement a été utilisé et les données volées ont été rendues inutiles. 8
9 Mais pourquoi ? C’est pas juste !
10 La cybercriminalité très MATURE et multi-couches
• Rançonnage par chiffrement ou par DDoS • Fraude au Président • E-Mules piégées pour le blanchiment bancaire moderne • Ventes de parcs de machines zombies pour spammeurs • Ventes massives de données d’identification ou de paiement • Ventes de données ciblées à vocation publique ou de PEP • Location d’applications SaaS de cyber-fraudes ou CaaS 11 La cyber-fraude, la cyber-criminalité, un marché complexe…
12 L’invisibilité, la dissimulation,… l’organisation derrière le APT !
« Une Advanced Persistent Threat (APT) est un type de piratage informatique furtif et continu, souvent orchestré par des humains ciblant une entité spécifique. » Aujourd’hui, l’heure est aux « APT »… https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat Traduction littérale de APT : menace persistante avancée 13
• 100% des « backdoors » APT font seulement les connexions sortantes. • 83% des ports TCP utilisés sont 80 ou 443. Communication des APTs 14
Leurs autres outils : « Sky is the limit ! » 15
16 Le piratage est une activité rentable! Selon une étude de la firme Trustwave en 2015 • Achat de rançongiciels pour un mois 5 900 $ US • Revenu estimé (0,5 % des victimes payent 300 $) 90 000 $ US Retour sur investissement 1 425 % Le piratage se démocratise et se multiplie grâce à des prix de plus en plus bas et une rentabilité énorme.
Autre exemple : Angler 17
Une histoire classique sur le Darkweb… 18
Une brèche chez un fournisseur de technologies… 19
Quelques jours plus tard, les données sont volées… 20
21 Autre exemple…
22 Cyberrésilience : l’approche en 5 étapes…
Que sommes-nous ? 23
L’organisation a une trop grande muraille à protéger… 24
• En 2018, les entreprises ne sont plus un écosystème unique de données cloisonnées au sein d’un seul périmètre. • Si l’entreprise moderne est une île, elle doit alors gérer un archipel où sont transigées ses informations critiques. • Cet archipel est constitué de sous- îles, de sous-entités incluant des juridictions et des enjeux et postures distinctes de cybersécurité. Sans compter les services infonuagiques et tiers divers… 25
Comment définir la muraille ? 26
Comment surveille-t-on la grande muraille de Chine 27
28 Cartographier
Le cycle de vie de la donnée 29
30 Zachman framework
31 « Crown Jewels » de la cybercriminalité
Que se passe-t-il lors d’une cyberattaque ? 32
33 Cyberrésilience : l’approche en 5 étapes…
34 Où est le gyrophare ?
35 Détection : la différence de vision et le décalage… Préparation de l’attaque Détection Exploitation Exfiltration Vue de l’attaquant Vue de la victime Détection ou prévention de l’attaque Détection de la brèche
• Cartographie : https://dnsdumpster.com/ • IoT, IT/OT et autre IoE : https://www.shodan.io/ • Google Dorks : https://www.google.com/search?q=db_password+filetype%3Aenv • Darkweb 36 Évaluer l’exposition de l’organisation
APPEL D’UN JOURNALISTE • “Certaines des données de vos étudiants et de vos diplômes contrefaits sont en vente sur le Darknet. De toutes les institutions touchées, vous êtes une des pires…” • “Avez-vous une déclaration à faire avant la publication de l’article et la parution dans les journaux télévisés du midi ?” 37 Nouvel “incident”
Comment gérer une cybercrise? 38
39 Cyberrésilience : l’approche en 5 étapes…
40 La cyber-crise est une crise comme les autres! Alerte Analyse Mobilisation Notifications aux clients Plan de remédiation et de confinement + suivi Sortie de crise Déclenchement du Plan de gestion Gestion d’incident Investigations internes + tiers Contact avec le juridique Détermination du plan d’action Déclenchement des plans d’action Résolution Cyber- incident détecté (réunion de Cellule de crise)
• Intégrer la cyber-crise aux processus organisationnels – Mettre à jour les exercices d’analyse d’impacts – Mettre à jour le plan de gestion de crise – Mettre à jour les plans de continuité / relève – Mettre à jour le processus de gestion des incidents TI • Choisir et disposer les bons acteurs autour de la table • Simuler, simuler et simuler encore 41 Apprendre à gérer une cyber-crise
42 Les écueils de la gestion de cybercrise
43 La vision AGILE temps réel de la crise avec un Kanban…
• "[Hackers] are serious, professional people with a criminal code of ethics". This means negotiations are key to getting files back. "60 per cent of negotiation failures can be attributed to the gap between the negotiator and the decision maker,“ • “On the bright side, it’s easy to protect yourself: when you have a very structured discipline of data backup it’s easy to deal with ransomware.” 44 Pour le reste, il faut négocier… When ransomware is involved, Moty Cristal said, "managing the human factor is key to overcoming a cyber crisis."
• Les pires cybercrises ne sont pas détectées et ne proviennent pas des TI. • Il faut considérer en tout temps que l’on est en « phase 0 » de la crise. • Le processus ne doit pas être une escalade de l’incident, mais une décalade pour fonctionner correctement… – Quel peut être la pire vélocité de l’incident selon l’impact identifié ? – Non, ce n’est pas une crise. – Non, ce n’est pas un désastre. – Oui, c’est un simple cyber-incident. • Il y a plusieurs niveaux de déclaration. • Tout se sait et se saura, surtout si cela doit rester confidentiel ! Demandez de l’aide… 45 Ce qu’il faut retenir…
46 Cas #1
47 Cas #2
48 Cas #2
49 Cas #3
50 Cas #4
• CryptoJacking • Automated fake clicks 51 Cas #5
Comment gère-t-on l’analyse et l’investigation ? Étude de cas 52
• De l’autre coté de la muraille • Les histoires et situations des autres • Les journaux de sécurité de l’archipel • Les communications C&C, les rapports de l’antispam et les types de communication Sud-Nord 53 Les bonnes sources de données…
54 Un « Breach-Coach » et une cyber-assurance…
55 ISO 27000 pour la cyber-enquête
• VirtualBox & Vmware Workstation : • Vm SANS Sift • Vm Kodachi Linux • SysTools E01 Viewer • MagnetForensics Encrypted Disk Detector • OSFMount • AccessData FTK Imager • Nir Tools (Nir Launcher) – incluant IECacheView, IEHistoryView • Autopsy • Kernel Outlook OST/PST viewer • FileSeek • Oxygen forensics • FAW (Forensics Acquisition of Websites) • HashMyFiles • DSIcovery USB Write Blocker • Woanware ForensicUserInfo PLUS OPTIONNEL… • Netresec NetworkMiner • Belkasoft RAMCapturer • Toolsley Toolbox Outils pour chercher : le lab… 56
57 Autres outils très utiles… (1/2)
• https://www.virustotal.com/#/home/upload • https://opennebula.org/tryout/sandboxvirtualbox/ • http://vmcloak.org/ • http://qosient.com/argus/gettingstarted.shtml Mais surtout ! • CyberChef est un outil développé par le GCHQ, l'agence de renseignement britannique. Il peut aider à ouvrir les logiciels malveillants et autres codes douteux : https://gchq.github.io/CyberChef/ Sandboxing (File or URL) 58
59 Déclarer aux autorités…
Le NIST cyberframework, posons-nous les bonnes questions ! 60
61 Autre méthodologie proposée par AIG
6262 Autre méthodologie liée au DLP
6363 Plans et processus BC/DR communs
• Utiliser des points de contrôles dans l’organisation pour détecter les cyber-crises plus tôt. • Identifier et formaliser des rôles et des responsabilités pour tous les participants à la gestion de crise. • Documenter et assembler des « bases de connaissances tribales ou communautaires » inter et intra-entreprises pour améliorer la réponse de la sécurité. • Développer des scénarios de tests de cyber- crises qui remettent en question les modèles culturels, organisationnels et opérationnels en place. 64 Les bonnes pratiques, les bonnes lectures…
• OZON CYBER CRISIS EXERCISE : A GAP-BRIDGING EXERCISE • MIT TECHNOLOGY REVIEW CUSTOM 6565 Une autre très bonne lecture…
• Règle # 1 : D’une cinétique longue, tes scenarii tu rythmeras. • Règle # 2 : Une activation de ton BCP, tu incluras. • Règle # 3 : Ton/ta Dir. Comm, aux côtés du CISO siègera. • Règle # 4 : Tes acolytes de l’industrie et à l’international, tu inviteras. • Règle # 5 : De multiples cellules, à ton exercice tu convieras. 66 Cybercrise : Les 5 règles à retenir…
67 Finalement… J’insiste !
SOYEZ DES ACTEURS DU CHANGEMENT : INNOVEZ ENSEMBLE ! 68
Bertrand Milot, CISM, CRISC, CRMP, PCSM, C|CISO, CICA, C|BP, ISO.27001 LA Vice-président, Services-conseils en cybersécurité, risque, performance et technologie Vice President, Cybersecurity, Risk, Performance and Technology Advisory Services T. 514.934.3551 C. 514.806.4864 BMilot@Richter.ca Richter S.E.N.C.R.L./LLP 1981, McGill College Montréal QC H3A 0G6 richter.ca https://www.linkedin.com/in/bmilot4informationsecurity/ Qui posera la… …-piège du jour ?

Empfohlen

Il mito
Il mitoIl mito
Il mitoC. B.
 
Il dialogo platonico
Il dialogo platonicoIl dialogo platonico
Il dialogo platonicorobertnozick
 
La caduta delle torri gemelle - the twin towers
La caduta delle torri gemelle - the twin towersLa caduta delle torri gemelle - the twin towers
La caduta delle torri gemelle - the twin towersStudent
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016Abdeljalil AGNAOU
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdfssuserdd27481
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueOPcyberland
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
 

Empfohlen

Il mito
Il mitoIl mito
Il mitoC. B.
 
Il dialogo platonico
Il dialogo platonicoIl dialogo platonico
Il dialogo platonicorobertnozick
 
La caduta delle torri gemelle - the twin towers
La caduta delle torri gemelle - the twin towersLa caduta delle torri gemelle - the twin towers
La caduta delle torri gemelle - the twin towersStudent
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016Abdeljalil AGNAOU
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdfssuserdd27481
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueOPcyberland
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxOuattaraAboulaye1
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...ITrust - Cybersecurity as a Service
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
L’utilisateur et son rôle primordial dans la protection active des systèmes d...
L’utilisateur et son rôle primordial dans la protection active des systèmes d...L’utilisateur et son rôle primordial dans la protection active des systèmes d...
L’utilisateur et son rôle primordial dans la protection active des systèmes d...eGov Innovation Center
 
Webinar ATN+ symantec
Webinar ATN+ symantecWebinar ATN+ symantec
Webinar ATN+ symantecAssociation Transition Numérique +
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxTactika inc.
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019OPcyberland
 
Cybercriminalite
CybercriminaliteCybercriminalite
Cybercriminalite46435346
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Blockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future DirectionsBlockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future DirectionsColloqueRISQ
 
Béluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demainBéluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demainColloqueRISQ
 

Weitere ähnliche Inhalte

Ähnlich wie Travailler TOUS ensemble lors d’une cybercrise!

Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxOuattaraAboulaye1
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...ITrust - Cybersecurity as a Service
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
L’utilisateur et son rôle primordial dans la protection active des systèmes d...
L’utilisateur et son rôle primordial dans la protection active des systèmes d...L’utilisateur et son rôle primordial dans la protection active des systèmes d...
L’utilisateur et son rôle primordial dans la protection active des systèmes d...eGov Innovation Center
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxTactika inc.
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019OPcyberland
 
Cybercriminalite
CybercriminaliteCybercriminalite
Cybercriminalite46435346
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018OPcyberland
 

Ähnlich wie Travailler TOUS ensemble lors d’une cybercrise! (20)

Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptx
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
L’utilisateur et son rôle primordial dans la protection active des systèmes d...
L’utilisateur et son rôle primordial dans la protection active des systèmes d...L’utilisateur et son rôle primordial dans la protection active des systèmes d...
L’utilisateur et son rôle primordial dans la protection active des systèmes d...
 
Webinar ATN+ symantec
Webinar ATN+ symantecWebinar ATN+ symantec
Webinar ATN+ symantec
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
Cybercriminalite
CybercriminaliteCybercriminalite
Cybercriminalite
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 
Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018Conference fep cybersecurite 24 janvier 2018
Conference fep cybersecurite 24 janvier 2018
 

Mehr von ColloqueRISQ

Blockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future DirectionsBlockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future DirectionsColloqueRISQ
 
Béluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demainBéluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demainColloqueRISQ
 
Why SD-WAN as it Moves to Mainstream Adoption?
Why SD-WAN as it Moves to Mainstream Adoption?Why SD-WAN as it Moves to Mainstream Adoption?
Why SD-WAN as it Moves to Mainstream Adoption?ColloqueRISQ
 
La révolution 5G et le projet ENCQOR
La révolution 5G et le projet ENCQORLa révolution 5G et le projet ENCQOR
La révolution 5G et le projet ENCQORColloqueRISQ
 
Audit 101 - Un guide de survie
Audit 101 - Un guide de survieAudit 101 - Un guide de survie
Audit 101 - Un guide de survieColloqueRISQ
 
Votre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienVotre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienColloqueRISQ
 
Office 365 : Sécuritaire?
Office 365 : Sécuritaire?Office 365 : Sécuritaire?
Office 365 : Sécuritaire?ColloqueRISQ
 
What Nature Can Tell Us About IoT Security at Scale
What Nature Can Tell Us About IoT Security at ScaleWhat Nature Can Tell Us About IoT Security at Scale
What Nature Can Tell Us About IoT Security at ScaleColloqueRISQ
 
The Power of the NREN
The Power of the NRENThe Power of the NREN
The Power of the NRENColloqueRISQ
 
L’hyperconvergence au cœur du Software-defined data center
L’hyperconvergence au cœur du Software-defined data centerL’hyperconvergence au cœur du Software-defined data center
L’hyperconvergence au cœur du Software-defined data centerColloqueRISQ
 
Plus de darkweb, moins de problèmes pour les pirates informatiques?
Plus de darkweb, moins de problèmes pour les pirates informatiques?Plus de darkweb, moins de problèmes pour les pirates informatiques?
Plus de darkweb, moins de problèmes pour les pirates informatiques?ColloqueRISQ
 
L'humain dans la cybersécurité - Problèmes et réflexions
L'humain dans la cybersécurité - Problèmes et réflexionsL'humain dans la cybersécurité - Problèmes et réflexions
L'humain dans la cybersécurité - Problèmes et réflexionsColloqueRISQ
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéColloqueRISQ
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurColloqueRISQ
 
Threat Landscape for Education
Threat Landscape for EducationThreat Landscape for Education
Threat Landscape for EducationColloqueRISQ
 
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSX
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSXComment sécuriser les centres de données virtuels ou infonuagiques avec NSX
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSXColloqueRISQ
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)ColloqueRISQ
 
The 2018 Threat Landscape
The 2018 Threat LandscapeThe 2018 Threat Landscape
The 2018 Threat LandscapeColloqueRISQ
 
Cybersecurity Through Collaboration
Cybersecurity Through CollaborationCybersecurity Through Collaboration
Cybersecurity Through CollaborationColloqueRISQ
 
Prévention et détection des mouvements latéraux
Prévention et détection des mouvements latérauxPrévention et détection des mouvements latéraux
Prévention et détection des mouvements latérauxColloqueRISQ
 

Mehr von ColloqueRISQ (20)

Blockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future DirectionsBlockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future Directions
 
Béluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demainBéluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demain
 
Why SD-WAN as it Moves to Mainstream Adoption?
Why SD-WAN as it Moves to Mainstream Adoption?Why SD-WAN as it Moves to Mainstream Adoption?
Why SD-WAN as it Moves to Mainstream Adoption?
 
La révolution 5G et le projet ENCQOR
La révolution 5G et le projet ENCQORLa révolution 5G et le projet ENCQOR
La révolution 5G et le projet ENCQOR
 
Audit 101 - Un guide de survie
Audit 101 - Un guide de survieAudit 101 - Un guide de survie
Audit 101 - Un guide de survie
 
Votre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienVotre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadien
 
Office 365 : Sécuritaire?
Office 365 : Sécuritaire?Office 365 : Sécuritaire?
Office 365 : Sécuritaire?
 
What Nature Can Tell Us About IoT Security at Scale
What Nature Can Tell Us About IoT Security at ScaleWhat Nature Can Tell Us About IoT Security at Scale
What Nature Can Tell Us About IoT Security at Scale
 
The Power of the NREN
The Power of the NRENThe Power of the NREN
The Power of the NREN
 
L’hyperconvergence au cœur du Software-defined data center
L’hyperconvergence au cœur du Software-defined data centerL’hyperconvergence au cœur du Software-defined data center
L’hyperconvergence au cœur du Software-defined data center
 
Plus de darkweb, moins de problèmes pour les pirates informatiques?
Plus de darkweb, moins de problèmes pour les pirates informatiques?Plus de darkweb, moins de problèmes pour les pirates informatiques?
Plus de darkweb, moins de problèmes pour les pirates informatiques?
 
L'humain dans la cybersécurité - Problèmes et réflexions
L'humain dans la cybersécurité - Problèmes et réflexionsL'humain dans la cybersécurité - Problèmes et réflexions
L'humain dans la cybersécurité - Problèmes et réflexions
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécurité
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeur
 
Threat Landscape for Education
Threat Landscape for EducationThreat Landscape for Education
Threat Landscape for Education
 
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSX
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSXComment sécuriser les centres de données virtuels ou infonuagiques avec NSX
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSX
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)
 
The 2018 Threat Landscape
The 2018 Threat LandscapeThe 2018 Threat Landscape
The 2018 Threat Landscape
 
Cybersecurity Through Collaboration
Cybersecurity Through CollaborationCybersecurity Through Collaboration
Cybersecurity Through Collaboration
 
Prévention et détection des mouvements latéraux
Prévention et détection des mouvements latérauxPrévention et détection des mouvements latéraux
Prévention et détection des mouvements latéraux
 

Travailler TOUS ensemble lors d’une cybercrise!

  • 1. 1
  • 2. Travailler TOUS ensemble lors d’une cybercrise ! Services-conseils en cyberdéfense, risques, performance et technologie Montréal Le 29 nov. 2018 Atelier 7
  • 3. 33 Petite maxime pour commencer…
  • 4. Introduction : cybercriminalité Gestion de la cybercrise « collégiale » ? Discussions et échanges 4 Agenda
  • 5. De nombreuses cyberattaques ont été perpétrées contre les universités au cours des deux dernières années, y compris une atteinte à la sécurité à l’Université de l’Alberta vers la fin de 2016, du cyberterrorisme mettant en cause une étudiante de l’Université de Moncton au printemps dernier, des renseignements étudiants piratés à l’Université de la Fraser Valley en octobre dernier et, récemment, un courriel hameçon à l’Université Carleton. L’Université de Calgary a versé une rançon de 20 000 dollars en 2016 pour récupérer de l’information après une cyberattaque et, l’été dernier, l’Université MacEwan a été victime d’une fraude de près de 12 millions de dollars en raison de la cybercriminalité. Réagir ensemble est une nécessité. 5 Contexte
  • 6. 6 Ça a été testé au dernier Hackfest de Québec…
  • 7. Introduction : enjeux réels de cybercriminalité… 7
  • 8. L’évolution des brèches de données • Près de 10 milliards de données perdues ou volées depuis 2013, soit 55 par seconde. • SEULEMENT 4 % des brèches étaient des « brèches sécurisées » où le chiffrement a été utilisé et les données volées ont été rendues inutiles. 8
  • 9. 9 Mais pourquoi ? C’est pas juste !
  • 10. 10 La cybercriminalité très MATURE et multi-couches
  • 11. • Rançonnage par chiffrement ou par DDoS • Fraude au Président • E-Mules piégées pour le blanchiment bancaire moderne • Ventes de parcs de machines zombies pour spammeurs • Ventes massives de données d’identification ou de paiement • Ventes de données ciblées à vocation publique ou de PEP • Location d’applications SaaS de cyber-fraudes ou CaaS 11 La cyber-fraude, la cyber-criminalité, un marché complexe…
  • 12. 12 L’invisibilité, la dissimulation,… l’organisation derrière le APT !
  • 13. « Une Advanced Persistent Threat (APT) est un type de piratage informatique furtif et continu, souvent orchestré par des humains ciblant une entité spécifique. » Aujourd’hui, l’heure est aux « APT »… https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat Traduction littérale de APT : menace persistante avancée 13
  • 14. • 100% des « backdoors » APT font seulement les connexions sortantes. • 83% des ports TCP utilisés sont 80 ou 443. Communication des APTs 14
  • 15. Leurs autres outils : « Sky is the limit ! » 15
  • 16. 16 Le piratage est une activité rentable! Selon une étude de la firme Trustwave en 2015 • Achat de rançongiciels pour un mois 5 900 $ US • Revenu estimé (0,5 % des victimes payent 300 $) 90 000 $ US Retour sur investissement 1 425 % Le piratage se démocratise et se multiplie grâce à des prix de plus en plus bas et une rentabilité énorme.
  • 17. Autre exemple : Angler 17
  • 18. Une histoire classique sur le Darkweb… 18
  • 19. Une brèche chez un fournisseur de technologies… 19
  • 20. Quelques jours plus tard, les données sont volées… 20
  • 24. L’organisation a une trop grande muraille à protéger… 24
  • 25. • En 2018, les entreprises ne sont plus un écosystème unique de données cloisonnées au sein d’un seul périmètre. • Si l’entreprise moderne est une île, elle doit alors gérer un archipel où sont transigées ses informations critiques. • Cet archipel est constitué de sous- îles, de sous-entités incluant des juridictions et des enjeux et postures distinctes de cybersécurité. Sans compter les services infonuagiques et tiers divers… 25
  • 26. Comment définir la muraille ? 26
  • 27. Comment surveille-t-on la grande muraille de Chine 27
  • 29. Le cycle de vie de la donnée 29
  • 31. 31 « Crown Jewels » de la cybercriminalité
  • 32. Que se passe-t-il lors d’une cyberattaque ? 32
  • 34. 34 Où est le gyrophare ?
  • 35. 35 Détection : la différence de vision et le décalage… Préparation de l’attaque Détection Exploitation Exfiltration Vue de l’attaquant Vue de la victime Détection ou prévention de l’attaque Détection de la brèche
  • 36. • Cartographie : https://dnsdumpster.com/ • IoT, IT/OT et autre IoE : https://www.shodan.io/ • Google Dorks : https://www.google.com/search?q=db_password+filetype%3Aenv • Darkweb 36 Évaluer l’exposition de l’organisation
  • 37. APPEL D’UN JOURNALISTE • “Certaines des données de vos étudiants et de vos diplômes contrefaits sont en vente sur le Darknet. De toutes les institutions touchées, vous êtes une des pires…” • “Avez-vous une déclaration à faire avant la publication de l’article et la parution dans les journaux télévisés du midi ?” 37 Nouvel “incident”
  • 40. 40 La cyber-crise est une crise comme les autres! Alerte Analyse Mobilisation Notifications aux clients Plan de remédiation et de confinement + suivi Sortie de crise Déclenchement du Plan de gestion Gestion d’incident Investigations internes + tiers Contact avec le juridique Détermination du plan d’action Déclenchement des plans d’action Résolution Cyber- incident détecté (réunion de Cellule de crise)
  • 41. • Intégrer la cyber-crise aux processus organisationnels – Mettre à jour les exercices d’analyse d’impacts – Mettre à jour le plan de gestion de crise – Mettre à jour les plans de continuité / relève – Mettre à jour le processus de gestion des incidents TI • Choisir et disposer les bons acteurs autour de la table • Simuler, simuler et simuler encore 41 Apprendre à gérer une cyber-crise
  • 42. 42 Les écueils de la gestion de cybercrise
  • 43. 43 La vision AGILE temps réel de la crise avec un Kanban…
  • 44. • "[Hackers] are serious, professional people with a criminal code of ethics". This means negotiations are key to getting files back. "60 per cent of negotiation failures can be attributed to the gap between the negotiator and the decision maker,“ • “On the bright side, it’s easy to protect yourself: when you have a very structured discipline of data backup it’s easy to deal with ransomware.” 44 Pour le reste, il faut négocier… When ransomware is involved, Moty Cristal said, "managing the human factor is key to overcoming a cyber crisis."
  • 45. • Les pires cybercrises ne sont pas détectées et ne proviennent pas des TI. • Il faut considérer en tout temps que l’on est en « phase 0 » de la crise. • Le processus ne doit pas être une escalade de l’incident, mais une décalade pour fonctionner correctement… – Quel peut être la pire vélocité de l’incident selon l’impact identifié ? – Non, ce n’est pas une crise. – Non, ce n’est pas un désastre. – Oui, c’est un simple cyber-incident. • Il y a plusieurs niveaux de déclaration. • Tout se sait et se saura, surtout si cela doit rester confidentiel ! Demandez de l’aide… 45 Ce qu’il faut retenir…
  • 51. • CryptoJacking • Automated fake clicks 51 Cas #5
  • 53. • De l’autre coté de la muraille • Les histoires et situations des autres • Les journaux de sécurité de l’archipel • Les communications C&C, les rapports de l’antispam et les types de communication Sud-Nord 53 Les bonnes sources de données…
  • 54. 54 Un « Breach-Coach » et une cyber-assurance…
  • 55. 55 ISO 27000 pour la cyber-enquête
  • 56. • VirtualBox & Vmware Workstation : • Vm SANS Sift • Vm Kodachi Linux • SysTools E01 Viewer • MagnetForensics Encrypted Disk Detector • OSFMount • AccessData FTK Imager • Nir Tools (Nir Launcher) – incluant IECacheView, IEHistoryView • Autopsy • Kernel Outlook OST/PST viewer • FileSeek • Oxygen forensics • FAW (Forensics Acquisition of Websites) • HashMyFiles • DSIcovery USB Write Blocker • Woanware ForensicUserInfo PLUS OPTIONNEL… • Netresec NetworkMiner • Belkasoft RAMCapturer • Toolsley Toolbox Outils pour chercher : le lab… 56
  • 57. 57 Autres outils très utiles… (1/2)
  • 58. • https://www.virustotal.com/#/home/upload • https://opennebula.org/tryout/sandboxvirtualbox/ • http://vmcloak.org/ • http://qosient.com/argus/gettingstarted.shtml Mais surtout ! • CyberChef est un outil développé par le GCHQ, l'agence de renseignement britannique. Il peut aider à ouvrir les logiciels malveillants et autres codes douteux : https://gchq.github.io/CyberChef/ Sandboxing (File or URL) 58
  • 60. Le NIST cyberframework, posons-nous les bonnes questions ! 60
  • 63. 6363 Plans et processus BC/DR communs
  • 64. • Utiliser des points de contrôles dans l’organisation pour détecter les cyber-crises plus tôt. • Identifier et formaliser des rôles et des responsabilités pour tous les participants à la gestion de crise. • Documenter et assembler des « bases de connaissances tribales ou communautaires » inter et intra-entreprises pour améliorer la réponse de la sécurité. • Développer des scénarios de tests de cyber- crises qui remettent en question les modèles culturels, organisationnels et opérationnels en place. 64 Les bonnes pratiques, les bonnes lectures…
  • 65. • OZON CYBER CRISIS EXERCISE : A GAP-BRIDGING EXERCISE • MIT TECHNOLOGY REVIEW CUSTOM 6565 Une autre très bonne lecture…
  • 66. • Règle # 1 : D’une cinétique longue, tes scenarii tu rythmeras. • Règle # 2 : Une activation de ton BCP, tu incluras. • Règle # 3 : Ton/ta Dir. Comm, aux côtés du CISO siègera. • Règle # 4 : Tes acolytes de l’industrie et à l’international, tu inviteras. • Règle # 5 : De multiples cellules, à ton exercice tu convieras. 66 Cybercrise : Les 5 règles à retenir…
  • 68. SOYEZ DES ACTEURS DU CHANGEMENT : INNOVEZ ENSEMBLE ! 68
  • 69. Bertrand Milot, CISM, CRISC, CRMP, PCSM, C|CISO, CICA, C|BP, ISO.27001 LA Vice-président, Services-conseils en cybersécurité, risque, performance et technologie Vice President, Cybersecurity, Risk, Performance and Technology Advisory Services T. 514.934.3551 C. 514.806.4864 BMilot@Richter.ca Richter S.E.N.C.R.L./LLP 1981, McGill College Montréal QC H3A 0G6 richter.ca https://www.linkedin.com/in/bmilot4informationsecurity/ Qui posera la… …-piège du jour ?

Hinweis der Redaktion

  1. Laurent
  2. Bertrand