Fédération d'identité, séminaire du 27 novembre 2014
Evolution du paysage sécurité
1. êtes-vous sûr
d’avoir la bonne
défense?
SÉMINAIRE SÉCURITÉ DU 10 OCTOBRE 2013
SÉCURITÉ IT, FOCUS SUR LES NOUVELLES MENACES
ET LES CONTRE-MESURES
2. AGENDA
1.
Evolution du paysage sécurité
2.
Plus de mobilité ! Moins de sécurité ?
3.
Sandboxing, une défense contre les menaces intelligentes.
4.
DDoS, la nouvelle arme des hackers.
5.
Le DLP vu sous un angle pragmatique.
6.
Crise et médias... Mythes et réalités
3. êtes-vous sûr
d’avoir la bonne
défense?
EVOLUTION DU PAYSAGE SÉCURITÉ
Yann Desmarest
Innovation Center Manager
tel. +41 22 727 05 55
Yann.desmarest@e-xpertsolutions.com
www.e-xpertsolutions.com
4. SPAMHAUS
•
+ gros DDoS dans l’histoire
•
90-300 Gb/s
•
•
•
Amplification DNS
100 000 serveurs utilisés
Mitigation avec IP Anycast
•
Sécurité DNS
•
28 Millions d’Open DNS
Source : Open Resolver Project
5. LES MENACES MOBILES
SCAMS
Backdoor.AndroidOS.Obad.a
PHISHING
Infection par SMS et Bluetooth
Très sophistiqué
SPAM
Se rapproche d’un virus Windows
App
Malicieuses
•
Retour aux sources
McAfee Threats Report: second Quarter 2013
•
Android, cible privilégiée
•
Les prémices d’une nouvelle ère
6. JAVA, L’ENNEMI PUBLIC NUMÉRO 1 ?
•
Anciennes versions de Java actives
•
Anciennes vulnérabilités existantes
•
Plusieurs vulnérabilités critiques
•
Désactivation de Java recommandé
Global distribution of Java Runtime Environment versions based on active browser usage - Websense
7. LE POUVOIR DES RÉSEAUX SOCIAUX
Hacktivists
•
Compte twitter de AP piraté par la SEA
•
Des milliers de retweets en quelques secondes
•
Chute du Dow Jones, impact sur le cours de l’or
et du prix baril de pétrole
8. «Les mots ont toujours plus de
pouvoir que le sens.»
Joseph Conrad
9. LE PROJET PRISM …
Gouvernements
•
Microsoft, yahoo, google, aol, apple, paltalk, youtube, …
•
98 percent : Microsoft, yahoo, google
•
D’autres projets divulgués : XKeyScore, StellarWind, etc.
•
D’autres gouvernements sont impliqués
10. RÉSUMÉ
•
Le paysage sécurité change constamment et rapidement
Force les équipes IT à réévaluer les choix et plans de sécurité informatique
La sécurité doit être en adéquation avec les choix technologiques de l’entreprise
•
Préparez vous à devoir sécuriser les technologies utilisées dans la sphère privée
•
Démocratisation de la sécurité informatique : attaques dans les medias, grand public
•
Une bonne sécurité ne se limite pas à l’installation d’un FIREWALL et d’un ANTI-VIRUS
•
Une bonne sécurité doit être planifiée, élaborée, implémentée et MAINTENUE
Les menaces mobiles augmentent. Surtout sur AndroidL’employé : Exprime des besoins IT (devient acteur de l’IT)Influence les décisions des équipes informatiqueUtilise les technologies à des fin personnellesPossède plusieurs devicesLes devices mobiles :sontvulnérables aux attaquesconnuesNe sont pas entièrementmanageablesQuid de la gestion du Cloud et des AppsLe BYOD :est une initiative du coté utilisateurce n’est pas une stratégie de sécurité des devices mobiles
Attention à la réputation et l’image de marque
Besoins de confidentialité
Le paysage sécurité change constammentLes menaces sont omniprésentes sur Android, notamment sur Google Play et SMSLe patch management est nécessaire : Java, Flash, IE, Patch Tuesday, …DDoS + puissants sont encore possibleAttention à la sécurité DNS mise à l’écart depuis trop longtemps