1.
@nbs_system
@nbs_system
Darwinisme
Digital

2.
@nbs_system

3.
@nbs_system
Groupe OT
Collaborateurs, dont
90 ingénieurs,
présent dans 5 pays
Serveurs infogérés
(privé/aws/azure)
CA 2016
OT Group
en chiffres
150
1000
5000
23 M€
Clients utilisent
nos services
Your digital security partners

4.
@nbs_system
SecOPS
DevOPS
Cerberhost
17 couches de sécurité
La sécurité à 99.9%
Groupe OT

5.
@nbs_system
Etat des lieux

6.
@nbs_system
Le trafic Web d’origine
non humaine
61%
Fois par jour : le nombre de
scan d’une IP sur Internet
50
Nombre d’attaques sur la
couche Web par an
5 000 000 000
Des compromissions
profondes partent de la
couche web
70%
Quelques chiffres

7.
@nbs_system
• 12 attaques > 100 Gbps en 2016 contre 5 en 2015
• Record homologué : 517 Gbps (Spike DDoS Botnet)
• 37 attaques par Miraï, en moyenne à 57 Gbps
• 5.5 Gbps : la taille moyenne d’une DDoS
DDoS

8.
@nbs_system
Secondes Minutes Heures Jours Semaines Mois Années
Temps entre le
lancement de
l’attaque et
l’intrusion
Temps avant
exfiltration de
données
11% 82% 6% <1% <1% <1% 0%
7% 20% 2.5% 68% <1% <1% 0%
Temps entre la
compromission
et la détection
0% 0% 0% 27% 24% 39% 9%
. . .
...
..
État des lieux

9.
@nbs_systemSource : Verizon Databreach report 2016
Le retail pour cible

10.
@nbs_system
Le retail pour cible
Source : Akamai state of internet 2016 Q4
Le black Friday a été particulièrement visé par les
hackers.
Nov. 24–29, 2016

11.
@nbs_system
Source:Akamaistateofinternet2016Q4
• 4500 attaques / jour
• 40% des attaques SQL
• 64% du trafic malicieux
• $ 7M : le coût moyen
d’un vol de données
RETAIL :
Le retail pour cible

12.
@nbs_system
Le retail pour cible
Darwinisme digital :
«Ceux qui adaptent leur sécurité à
leurs enjeux survivent.»

13.
@nbs_system
Types d’attaques

14.
@nbs_system
Défendez vous, car vous ne retrouverez jamais les pirates

15.
@nbs_system
Attaques ciblées vs opportunistes
95%
Opportunistes
5%
Ciblées
Faille détectée par un scanner Web,
exploitable automatiquement en
quelques secondes, en général une faille
d’un framework utilisé sur le site
Inacceptables
Attaque potentiellement sur toute la
surface exposée du client, par de
multiples vecteurs, incluant de
l’ingénierie sociale au besoin.
Dangereuses
$
$

16.
@nbs_system
Attaques opportunistes
Scan du 0/0 Aspiration des bannières
22/80/443
Attente d’une vulnérabilité
Stockage en
base de données
Vulnérabilité
découverte
Déploiement de
la vulnérabilité
$Vol de données
& produits Monétisation

17.
@nbs_system
Attaques ciblées
Reconnaissance de la cible
Choix d’un vecteur d’attaque
$MonétisationCompromission
Etape 1 Etape 2 Etape 3 Etape 4

18.
@nbs_system
DDoS
$Monétisation
Etape 1 Etape 2 Etape 3 Etape 4 Etape 5

19.
@nbs_system
Nous devons donc nous défendre contre :
1
2
DDoS
Attaques
ciblées
Attaques
opportunistes
3

20.
@nbs_system
Solutions

21.
@nbs_system
En résumé
• Les attaques ciblées sont coûteuses pour l’attaquant
• Les attaques opportunistes sont simples et répétitives
• Les DDoS sont une compétition de moyens, court terme
• Faire comprendre à l’attaquant que ca ne sera pas rentable
• Bloquer les attaques triviales avec des outils systématiques
• Montrer que l’on a plus de moyens
Nous devons donc :

22.
@nbs_system
• Un budget énorme (500 M$)
• On empile les technologies
• On monitore
• On se fait plomber
L’approche « JP Morgan »

23.
@nbs_system
Le logarithme de la sécurité
€0%
99%
90%
99.9%
75%
50%
10 K€ 20 K€ 50 K€ 100 K€ 1 M€

24.
@nbs_system
Le paradoxe du Fire « hole »
HTTP(s)
Attaques hors
HTTP(s)
Attaques sur
Filtrées par le firewall
5% 95%
Non filtrées par le firewall

25.
@nbs_system
Code
Des dispositifs coopérants
DLPWAF Noyaux
& App
Anti
(d)Dos
Protections
Applicatives
Firewall
Dynamique

26.
@nbs_system
Code
Une chaine complète
Sécurité
à 99%
Humains
Sensibilisation des collaborateurs
Formation des administrateurs
Formation des développeurs
Veille sécurité & procédures
Code
sourceAudit de code source
Contrôle continu des vulnérabilités
Réseau
Anti DDoS
Anti DoS
Anti Application level DoS
Vlan isolés
Infrastructur
eTests d’intrusions
Durcissement des noyaux
Durcissement des configs & stacks
applicatives
WAF, Firewall dynamique, DLP, etc.

27.
@nbs_system
Les
budgets

28.
@nbs_system
Montez la barre
• Politique de mots de passe forts
• Changement régulier des mots de passe
• Lecture des supports ANSSI
• Lecture du livre blanc de la Fevad
• Chiffrement des disques
• Formation / sensibilisation Sécurité
Gratuit

29.
@nbs_system
Montez la barre
• Audit de configuration
• Déploiement d’anti virus / malware
• Configuration d’un WAF Opensource
• Chiffrement SSL (mail / http)
• Test de sécurité automatisés
10 000 € / an

30.
@nbs_system
Montez la barre
• Hébergement sécurisé
• Test d’intrusion
• Audit de code source
• Firewall & configuration de sécurité
• Installation d’un WAF sur mesure
• Composants de sécurité
• PSSI
50 000 € / an

31.
@nbs_system
Montez la barre
• Hébergement haute sécurité PCI/DSS
• Supervision continue (SoC)
• Veille sur les failles émergentes
• Virtual patching
• 2 Factor authentication
• Backup haute fréquence
100 000 € / an

32.
@nbs_system
Montez la barre
• Sécurité pro active avec revues quotidienne
• SecOPS / SoC externalisé
• Test d’intrusion réguliers
• Audit de code différentiels à chaque MàJ
• Environnements dupliqués en PCA/PRA
• Backup déportés à haute fréquence
> 250 000 €

33.
@nbs_system
Code
Notre solution
Hardware
Operating system
Network
Applicative stack
Database
Website
Humans
Motivating wages
Equipe SOC
Security trainings
Background checks
N.A.X.S.I (WAF)
ReqLimit (Anti applicative DoS)
ExecVE killer
File Upload checker
Snuffleupagus
App scan
Threadfix virtual patching
MySQL Interceptor
Snuffleupagus
Snuffleupagus
Daemon hardening
Anti DDoS
Isolated Vlans
Firewalling dynamic
PAX
GrSec
Watch Folder
PHP Malware finder
Redundant hardware
Redundant datacenters
Redundant data storage
Redundant telecom uplinks
Dynamic Firewall

34.
@nbs_system
MERCI
@philippe_humeau
phu@nbs-system.com
Merci !