3. ● Explosion des moyens d’apprentissage (Wikis, Youtube, Slack...)
● Explosion du nombre d’outils et de frameworks (gratuits et FOSS)
● Explosion du nombre d’hôtes sur Internet, opportunisme
● Le mythe du firewall
● Le web, cette faille
[Insérer un générique qui fait peur]
Tu ne le sais pas encore, mais tu es déjà mort
3
4. La vengeance du kid
• 12 attaques > 100 Gbps en 2016 contre 5 en 2015
• Record homologué : 517 Gbps (Spike DDoS Botnet)
• 37 attaques par Miraï, en moyenne à 57 Gbps
• 5.5 Gbps : la taille moyenne d’une DDoS
Source : Digital attack map by Arbor networks
10
5. Où en est on ?
Qu’est ce qui mène à une perte de données sensibles ?
Source : Verizon Databreach report 2016
11
7. Le cloud « privé » :
modèle de déploiement dans lequel les services de cloud sont utilisés
exclusivement par un seul client, qui en contrôle les ressources.
Un cloud privé peut être mis en œuvre soit par l’organisation à laquelle
appartient le client soit par un prestataire externe. Un cloud privé a
vocation à borner précisément ses limites et à restreindre l’accès à
ses services à une organisation unique.
Quels sont les bénéfices du cloud ?
Source : http://siaf.hypotheses.org/656
AWS
13
8. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
14
9. Ce que nous faisons pour vous
Sécurité DANS le cloud : GÉRÉ PAR NBS SYSTEM
Sécurité DU cloud : GÉRÉ PAR AWS
15
12. Mythes & réalités
6
AWS a accès à mes données
Mes données ne seront pas
localisées en France
Mes serveurs sont toujours
partagés avec
d’autres clients AWS
Les clients contrôlent leur
contenu, les salariés AWS ne
sont pas autorisés à y accéder
Vous choisissez la Région où
vous stockez vos données,
AWS ne les déplace pas
AWS propose des « instances
dédiées » physiquement
isolées
17
13. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
18
14. Comment concilier sécurité et agilité ?
DevSecOps
Page 3 of 433
• Comité ?
• Procédures ?
• Check-lists ?
“Security as code”
19
15. Certifications & normes
16
C5 [Germany]
Cyber Essentials Plus [UK]
DoD SRG
FedRAMP
FIPS
IRAP [Australia]
ISO 9001
ISO 27001
ISO 27017
ISO 27018
MLPS Level 3 [China]
MTCS [Singapore]
PCI DSS Level 1
SEC Rule 17-a-4(f)
SOC 1
SOC 2
SOC 3
CISPE
EU Model Clauses
FERPA
GLBA
HIPAA
HITECH
IRS 1075
ITAR
My Number Act [Japan]
U.K. DPA - 1988
VPAT / Section 508
EU Data Protection Directive
Privacy Act [Australia]
Privacy Act [New Zealand]
PDPA - 2010 [Malaysia]
PDPA - 2012 [Singapore]
PIPEDA [Canada]
Spanish DPA Authorization
CIS
CJIS
CSA
ENS [Spain]
EU-US Privacy Shield
FISC
FISMA
G-Cloud [UK]
GxP (FDA CFR 21 Part 11)
ICREA
IT Grundschutz [Germany]
MITA 3.0
MPAA
NIST
PHR
Uptime Institute Tiers
UK Cloud Security Principles
Certifications /
Attestations
Lois / Règlementations
Données privées
Alignements /
Cadres
16. Protection native contre la plupart des DDoS
• 82 PoP CloudFront / Route53
• Filtrage natif de la plupart des
attaques volumétriques
• AWS WAF bloque dynamiquement
les requêtes illégitimes
• AWS Shield Advanced
Source: Arbor Networks
21
17. Mythes & réalités
6
Agilité et sécurité sont
contradictoires
La règlementation m’empêche
d’aller dans le cloud
Le cloud ne me protège pas
contre les attaques DDoS
DevSecOps : automatisation de
la sécurité
Tous les services AWS seront
conformes au règlement RGPD
lorsque celui-ci entrera en
vigueur, le 25 mai 2018
AWS propose AWS Shield, un
service de protection DDoS,
sans frais supplémentaire
22
22. Deux partenaires, un seul but : votre sécurité !
• La sécurité DU cloud
• Modèle de responsabilité partagée
• Haute disponiblité
• La sécurité DANS le cloud
• OS
• Application
• Sécurité managée
27
23. Ce que NBS System sécurise pour vous
• Système d’exploitation (OS)
• Noyaux
• Daemons & tools (Apache, MySQL, etc.)
• Langages (Php, Python, Java, Go, etc.)
• Accès privilégiés (BO, SSH, …)
• Frameworks (Drupal, Wordpress, etc.)
• Developpement custom
• Flux entrants/sortants
28
24. Cerberhost est conçu pour éconduire l’attaquant, en lui faisant
comprendre que son attaque ne sera pas rentable, en termes de
temps comme de coût.
• 14 procédures humaines durcissent l’ensemble
• 37 protections techniques le bloquent
• 1 d’entre elles lui fait perdre un temps considérable :
le firewall dynamique
Une autre approche : ralentir, compliquer
29
28. Leur besoin :
• PCI/DSS V3 L1
• Worldwide
• Déploiement en 1 an
Notre réponse :
• Infrastructures UE : NBS System
• Infrastructures mondiales : AWS
• Même niveau de sécurité
• Mise en très haute sécurité + PCI-DSS de plus de 100
serveurs en 1 an
Brady Corp (NYSE:BRC)
29
29. … pour beaucoup plus
de sécurité !
30
Quelques habitudes à
changer...
30. Changer quelques habitudes…
Sans pour autant faire passer la sécurité avant le business :
• Être plus précis dans les procédures de publication
• Plus de mots de passe faibles
• Communications chiffrées des éléments sensibles
• Principe de moindre privilège
• Filtrage des IP entrantes et sortantes
31
31. Il faut disposer :
• de beaucoup de temps
• de beaucoup de ressources
• d’énormément de savoir-faire technique
pour espérer compromettre un serveur CerberHost sur AWS.
Ce n’est pas la sécurité absolue, nous avons juste créé un
cauchemar pour les attaquants, afin de les dissuader.
… et nous augmenterons la difficulté pour
l’attaquant
32