2012 07-05-spn-sgi-v1-lite

Atelier Sécurité IT

Sébastien Gioria Rencontres du Numérique

Poitiers - 5 Juillet 2012

Thursday, July 5, 12

Agenda

• Introduction• Risques et Menaces

–Le vol de données–L’intrusion–Les réseaux sociaux et Internet

• Conclusion–Quelques solutions...

2


http://www.google.com/search?q=sebastien%20gioria

•OWASP France Leader & Founder - Evangéliste• OWASP Global Education Comittee Member

([email protected])

•Responsable de la branche Audit S.I et Sécurité au sein du cabinet Groupe Y

@SPoint

• +15 ans d’expérience en Sécurité des Systèmes d’Information• Différents postes de manager SSI dans la banque, l’assurance et les

télécoms• Expertise Technique • PenTesting,• Secure-SDLC• Gestion du risque, Architectures fonctionnelles, Audits• Consulting et Formation en Réseaux et Sécurité

•Président CLUSIR Poitou-Charentes•Responsable du Groupe Sécurité des

Applications Web au CLUSIF

CISA && ISO 27005 Risk Manager






mailto:[email protected]

mailto:[email protected]

4

CLUSIF• Association sans but lucratif (création début des

années 80)

• > 600 membres (50% offreurs, 50% utilisateurs)• Promouvoir la sécurité de l’information• Partager

– Echanges homologues-experts, savoir-faire collectif, fonds documentaire

• Anticiper les tendances– faire connaître les attentes auprès des offreurs

• Sensibiliser les acteurs


CLUSIF - CLUSIR

• CLUSIR : – Association loi de 1901 libre de ses choix, statuts et travaux, agréé par le

CLUSIF. – S’engage à respecter le code d’éthique du CLUSIF.– Peut utiliser les moyens du CLUSIF (documents, agence de presse,

conférenciers, …).

• Le CLUSIR Poitou-Charentes : – Rompre l’isolement du RSSI/DSI– Partager les bonnes pratiques, via des groupes de travail ou non: – Informer et sensibiliser le dirigeant


Agenda




6


Dépendance de l’entreprise à l’informatique

4Source : Enquête 2012 du CLUSIF


La sécurité informatique , une affaire pour tous !

• Protection du savoir faire. • Protection des données

personnelles.• Protection du patrimoine de

l’entreprise.• Respect des obligations légales.

Critères de sécurité d’un

Système d’Information

Disponibilité

IntégritéConfidentialitéCONTRAINTES REGLEMENTAIRES

CNIL

DGI

SOX

LSF

PCI-DSSBALE Solvabilité 2

COMPLEXITE

8


Agenda


–Le vol –L’intrusion–Les réseaux sociaux et Internet


9


Vol d’informations

• Toute donnée est bonne à exploiter : – Fichier des tarifs ou des clients.– Fichiers salariés.– Processus et savoir faire. – Proposition commerciale.– Carte Bancaire.– Des fichiers de traces techniques.

• Chaque donnée volée se vend sur Internet : – CB : moins de 1 $/numéro de carte– Les fichiers de traces : de l’ordre de 100 $

26Vol et perte d’informations


Pourquoi voler des informations ?

• Les voleurs d’informations sont bien organisés et sont de divers milieux : – Les gouvernements– La mafia– Des entreprises– Des étudiants/particuliers

• Percer des secrets d’Etat.• Blanchir de l’argent (via le recrutement de

«mules»).• Dénigrer une société/une personne.• Augmenter sa compétitivité.

ØOu tout simplement se faire de l’argent de poche !!



Vol de portable ?

15


39


14


Ingéniérie sociale...

15


Cartes Bancaires

16


Mauvais cru 2011....

Source Panorama Clusif 2011

17


Agenda




18


Comment se passe une intrusion informatique par Internet

• Le pirate récupère des informations sur la cible (société) :– Via les moteurs de recherche– Via le site Internet de la société– Via les informations publiques disponibles sur

Internet• Le pirate « cartographie » le réseau de la cible :

– Il envoie des informations (légitimes ou illégitimes) à destination des serveurs Internet de la société et construit la carte du réseau

Vol et perte d’informations 28


Ce que vous voyez

20


Ce que voit un pirate



Comment se passe une intrusion informatique par Internet

• Le pirate parcourt ensuite les serveurs pour détecter les failles répertoriées.

• Lorsqu’il découvre une machine vulnérable, il peut alors exploiter la faille.

• Il récupère des informations ou met en place des logiciels lui permettant de revenir sur le serveur ou de lui envoyer d’autres informations (traces, identifiants, transactions, …)



Agenda




23


Un peu d’histoire1969

2010Début d’internet

Le premier Ver (Morris) s’attaque aux serveurs

Mail

Arrivée du Web (Mosaic, HTTP/

0.9)

Invention du protocole SSL (par

NetScape)

Début du Haut débit pour tous…

Création de Google

Le début des réseaux sociaux (facebook,

twitter, linkedin, viadeo, …)

La première cyber-attaque

Le cloud computing, la démocratisation de la

virtualisation

Aurora…

2008 20092004 20061988 1992 1997 2000

2042


Si je ne suis pas sur Internet, j’ai raté ma vie personnelle

® Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée« Les gens sont à l'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg.

® Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook

® Août 2009 : 45% des recruteurs consultent des réseaux sociaux

® Décembre 2009 : Épinglés sur Twitter pour alcool au volant

® Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville

Les réseaux sociaux comme support de l’activisme…

Les réseaux sociaux et protection de la vie privée un concept dépassé ?

•2011 => Le phénomène Anonymous...•2012 ?


site:*.gouv.fr "index of"

26


Si je ne suis pas sur Internet, j’ai raté ma vie professionnelle

• Google est le premier moteur de recherche utilisé par un Internaute (et donc par un pirate)– Exemple : site:*.gouv.fr "index of"

• Google est le premier site amenant du trafic :– Achats de mots clés, mauvais référencement, pollution des statistiques

•Février 2012 : Google Bombing sur François Hollande


Si je ne suis pas sur Internet, je ne suis pas compétitif

• Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP(Internet) : énergie, surveillances et accès, pilotage des processus industriels (SCADA), …• Détection de fumée Orange : http://mamaison.orange.fr/

• SFR HomeScope : http://www.sfr.fr/vos-services/equipements/innovations/sfr-homescope/

• Automne 2009, des chercheurs démontre que l’isolation dans le Cloud EC2 d’amazon, c’est pas si bien faite que cela.

• Septembre 2009 : PME Française de VPC, vol de la base de données SQL via un fichier servant a la sauvegarde qui a été « oublié » sur le serveur Web. ⇒ Mailling des voleurs aux clients pour les informer…

• Janvier 2010 : un hacker diffuse des scènes pornographiques sur des panneaux de publicité en Russie….


http://mamaison.orange.fr/

http://mamaison.orange.fr/

http://www.sfr.fr/vos-services/equipements/innovations/sfr-homescope/




29


Agenda




30


Comment sécuriser son système d’informations

• S’assurer d’avoir mis en place des outils de sécurité tels des anti-virus, des firewalls, ….

• S’assurer que les données sont bien sauvegardées régulièrement et qu’il est possible de les restaurer !

• Etre attentif à tout comportement anormal sur un poste informatique.

9


Comment sécuriser son système d’informations

• Vérifier régulièrement qu’il n’y a pas eu d’altération de tout ou partie des applications métiers et de leurs bases associées.

• Fournir à tout salarié une charte de bon comportement informatique.

• Sensibiliser l’ensemble du personnel à la sécurité !

• Tester régulièrement sa sécurité (physique, logique et humaine !)

10


« Si vous trouvez que l'Education coûte trop cher, essayez l'ignorance ! »

Abraham LINCOLN33


Annexes

34


Risques et solutionsRisque Conséquences Parade à considérer

Destruction de la salle informatique

•Perte d’informations et de services

•Site de secours•Sauvegarde externalisée•Plan de reprise formalisé

Destruction de la médiathèque

•Perte d’archives•Perte de sauvegardes•Perte de données applicatives

•Externalisation des archives et des sauvegardes•Copie sur disque des donnéesDestruction/Arrêt de

la climatisation•Arrêt de serveurs•Altération des supports•Indisponibilité de l’immeuble ou de la salle

•Redondance des climatiseurs•Plans et moyens de secours pour les serveurs

Destruction/Coupure de l’alimentation électrique

•Panne de disques et détérioration de données•Arrêt de serveurs•Altération des supports

•Batteries et Onduleurs régulièrement testés•Dédoublement des arrivées électriques

Continuité et reprise d’activité 21


Risques et solutionsSystème Très Haute Disponibilité Moyenne Disponibilité Faible disponibilité

Serveurs Stratégiques

•Serveurs de secours dédiés situés sur un autre site en état de fonctionnement•Solutions de type Cluster/LoadBalancing

•Serveurs de secours dédiés situés sur un autre site. •Copie régulière des bases et des données

•Serveurs de secours situés sur un autre site, pouvant être mutualisés avec d’autres tâches

Réseau Local

•Redondance des équipements•Doublement des rocades de câblage

•Matériel et rocade de secours

•Matériel de secours•Kit de câblage volant.

Accès réseau externe

•Au moins deux arrivées séparées sur plusieurs points d’entrées, voire plusieurs sites•Maillage du réseau d’entreprise

•Nœud de secours externeContrat prévoyant l’intervention de l’opérateur avec engagement de résultats

•Engagement d’intervention du fournisseur avec obligation de résultats



Risques et solutionsSystème Très Haute Disponibilité Moyenne Disponibilité Faible disponibilité

Téléphonie •Doublement de l’autocommutateur dans un local distant et bascule automatique des communications

•Contrat prévoyant le transfert d’appels par le fournisseur vers un site de secours prêt à réceptionner les appels

•Autocommutateur de secours.•Mise en place d’un message pré-enregistré.•Transfert des appels par le fournisseur sur le site de secours.Accès

Internet•Double connexion Internet sur tous les sites avec des fournisseurs différents •Mise en place du protocole réseau BGP4

•Connexion Internet sur le site de secours avec basculement manuel•Connexion Internet sur le site de secours avec basculement manuel



Les méthodes de vol employées et comment se protéger


Méthode employée

But poursuivi Difficulté pour l’aLaquant

Défense

Pourriels (SPAM)

•Envoi de courrier non sollicité à un internaute

•Vol de Numéro de CB, Installation de Logiciel Espion, …

•Aucune. Les sites internet regorgent d’adresses mails

•Un bon anti-spam•Contrôler la diffusion de son e-mail

Logiciel espion (spyware)

•Installation d’un logiciel sur le poste de l’internaute

•Obtenir les informations saisies par l’internaute sur tous les sites consultés •Obtenir des informations Internes à la société

•Faible : Il est très simple d’installer un logiciel en jouant sur la sensibilité de l’Internaute

•Disposer d’un logiciel anti-espion•N’installer que des logiciels dont la provenance est vérifiée.




Méthode employée But poursuivi Difficulté pour l’aLaquant

Défense

Hameçonnage (Phishing)

•Envoi d’un pourriel très bien fait et ressemblant à un vrai courriel du fournisseur

•Redirection vers un site qui ressemble à celui ciblé (souvent des sites bancaires ou assimilés)

•Obtenir les informations de connexion pour effectuer des transactions malicieuses

•Moyen à Fort

•Disposer de logiciel anti-hameçonnage•Ne pas faire confiance aux liens situés dans un courriel, surtout si ils redirigent vers un site qui «ressemble» au site officiel

Réseau de Robots/Mules (BotNet)

•Installation de logiciel à distance via des sites Internet ou le téléchargement de fichiers sur Internet

•Mettre en place un réseaux de machines permettant de lancer des attaques de grande envergure (déni de service, spam, …)

•Simple à Complexe :•Il suffit d’appâter les internautes avec des vidéos « inédites »

•Ne pas télécharger de «vidéos» inédites, ni de «logiciels» pour lesquels on n’est pas sûr de la source





Défense

L’Intrusion informatique

•Recrutement d’une personne spécialisée pour « passer » outre les contrôles de sécurité

•Récupérer un fichier, détruire des données, modifier des données

•Simple à Complexe

•Auditer régulièrement sa sécurité informatique par des tests d’intrusions

Le vol de matériel

•Récupérer dans un lieu public ou non du matériel ou des documents

•Améliorer sa compétitivité, découvrir des secrets de fabrication

•Simple à Complexe

•Sensibiliser le personnel à la sécurité•Mettre en place des procédés de «chiffrement de données», des verrous logiciels ou matériel pour tout ce qui est sensible.•Broyeurs de documents.





Défense

L’ ingénierie sociale

•Recrutement d’une personne se faisant «passer» pour un technicien de la société Vendée-NET qui doit : - Réparer le PC du PDG - Accéder à la salle de réunion pour vérifier la climatisation…

•Améliorer sa compétitivité, découvrir des secrets de fabrication

•Simple •Sensibiliser les salariés à la sécurité


2012 07-05-spn-sgi-v1-lite

Documents