1. Ad Honores / FRC / Réserve Citoyenne Gendarmerie Alsace & Réserve Cyber
Johan . Moreau - at - gmail . com / VP Clusir-Est
Les premières minutes
d’une cyberattaque
Illustrations issues de http://frc.alsace (Copyright : Ad Honores) et http://clusir-est.org (Copyright : Clusir-Est)
2. Motivation
❖ Partager l’expérience :
❖ Veille sur les cybermenaces
❖ Bonnes pratiques sur la cybersécurité
❖ Partager des retours d’expériences
❖ Quel profil dans la salle ? (PDG ? DSI ? expert sécurité ? expert numérique ?
autre ?)
3. Quelques chiffres
❖ 2016 : 68% des menaces visant le secteur de la santé sont perpétrées depuis l’intérieur de l’organisation
(source Data Breach Investigations Report 2017)
❖ Dernier trimestre 2016 : 266,5 millions de tentatives d’attaques par ransomware (source rapport annuel
SonicWall)
❖ Février 2017 - Panne cloud Amazon : 54 des 100 plus gros sites de e-commerce américain indisponibles,
estimation de la perte pour les sociétés S&P 500 à 150 millions de dollars, et celle des sociétés de services
financiers à 160 millions de dollars
❖ Mai 2017 - WannaCry : 200 000 victimes en un weekend (Renault, hôpitaux anglais, …)
❖ Mai 2017 - Panne British Airways : 75 000 personnes bloquées le weekend, erreur humaine
❖ Juin 2017 - Panne stockage OVH : Baie EMC indisponible, 50 000 sites indisponibles
❖ Début 2019 - Attaque LockerGoga chez Altran et Norsk Hydro (30 à 35 millions de perte)
5. Et des bonnes pratiques …
Le YouTube password de
TV5MONDE est
“lemotdepassedeyoutube”,
qui en Anglais est “the
password of YouTube”.
2015
Copies d’écran France2/BFMTV
7. Ransomware
❖ Jusqu’en 2010, activité relativement limitée
❖ —> 2009
❖ Explosion aux débuts des années 2010
❖ —> 2013
❖ 2019 : LockerGoga - D’après l’Anssi, l’exécution du ransomware « est réalisée sur
plusieurs semaines (voire plusieurs mois) après la compromission effective de la cible.
Une étude approfondie de la cible et de son infrastructure est donc fortement probable ».
Actions : isoler la source, bloquer l’accès au sauvegarde, plainte suivant le cas
Réactions : passerelle de filtrage, blocage USB, charte, sensibilisation
8. Attaque web
❖ Déni de service
❖ Défiguration de site web
❖ Injection SQL, XSS, etc …
❖ —> 1997
Actions : identification du vecteur d’intrusion, plainte suivant le cas
Réactions : offre cloud/FAI, sécurisation des développements
9. Ingénierie sociale, vol ou fuite d’informations
❖ Fraude au faux-président / au faux-fournisseur
❖ Vol/Exfiltration d’informations / matériels
❖ Usage abusif de votre SI
❖ —> 2007
❖ Usage abusif de vos données
❖ —> 2014
Actions : plainte
Réactions : charte, sensibilisation, chiffrement, classification
10. Ne pas oublier
Votre assurance, avec une option possible de cyber-assurance
https://www.cybermalveillance.gouv.fr/
11. Les axes à travailler en priorités
❖ Filtrage d’Internet en sortie, accès réseau,
supervision systèmes et réseaux
❖ Antivirus
❖ Sauvegarde
❖ Durcissement et centralisation des accès
aux données
❖ Mise à jour logiciels
❖ Gestion et capitalisation (procédures/
politiques) des incidents et des demandes
❖ Chartes et sensibilisation
❖ Chiffrement
❖ Audit et conseil sécurité au plus tôt
❖ Support amovible et nomadisme