[rh] sensibilisation des métiers supports à la cybersécurité

42
Consulting & Services Identifier vos essentiels et renforcer votre cyber stratégie Consulting & Services Sensibilisation à la Cybersécurité Ressources Humaines

Upload: leo-pillet

Post on 12-Apr-2017

79 views

Category:

Technology


4 download

TRANSCRIPT

Page 1: [RH] Sensibilisation des métiers supports à la cybersécurité

Identifier vos

essentiels

et renforcer votre

cyber stratégie

Consulting

&

Services

Identifier vos

essentiels

et renforcer votre

cyber stratégie

Consulting

&

Services

Sensibilisation à la Cybersécurité Ressources Humaines

Page 2: [RH] Sensibilisation des métiers supports à la cybersécurité

Plan

Introduction

I. Présentation de l’environnement métier

II.Exemples d’attaques

III.Règles et solutions à suivre

Page 3: [RH] Sensibilisation des métiers supports à la cybersécurité

Introduction

C’est ce qui permet de protéger l’entreprise

des attaques qui pourraient compromettre

les données, services, et tout autres éléments

du système d’information.

Qu’est ce que la cybersécurité ?

Page 4: [RH] Sensibilisation des métiers supports à la cybersécurité

Introduction 9ème pays le plus

touché par les

cyberattaques

431M de

malwares

différents

5 585 nouvelles

vulnérabilité

découvertes en 2015

Le danger est bien présent :

Page 5: [RH] Sensibilisation des métiers supports à la cybersécurité

Introduction

Le danger est bien présent :

992M

attaques de

rançongiciels

par jour

Un total de 362K

rançongiciels

différents en 2015

1 e-mail sur

220 contient

un malware 46 attaques de

spear phishing

par jour

1 e-mail sur 1846

est un e-mail de

phishing

Page 6: [RH] Sensibilisation des métiers supports à la cybersécurité

Introduction

60 % des

PME ferment

après une

attaque

80 % des

attaques sont liés

au facteur humain

77 % des

attaques concernent

les PME

Pourquoi cette formation ?

Page 7: [RH] Sensibilisation des métiers supports à la cybersécurité

Environnement Métier

Ressources Humaines

Page 8: [RH] Sensibilisation des métiers supports à la cybersécurité

1. Environnement

Données accessibles

Adresse personnelle

Numéros de téléphone

Dossier Médical

Fiches de paie

Horaires de travail

Adresse mail

Numéros de sécurité

sociale

Données accessibles

Page 9: [RH] Sensibilisation des métiers supports à la cybersécurité

1. Environnement Pourquoi ces données sont elles intéressantes pour les cybercriminels ?

Ingénierie sociale Espionnage industriel

Adresses mail

Horaires de travail

Fiches de paie Adresse personnelle

Numéros de

téléphone

Phishing

Spam

Syndicats

Ciblage de vol

Assurance et

banque (intéressées

pour refuser des prêts,

des contrats …)

Numéros de

sécurité sociale

Dossier

Médical

Revente sur

le marché

noir

Page 10: [RH] Sensibilisation des métiers supports à la cybersécurité

Attaques types

Ressources Humaines

Page 11: [RH] Sensibilisation des métiers supports à la cybersécurité

Etape 1 : Propagation par e-mail et/ou clé USB

Etape 2 : Chiffrement des données du PC, des serveurs, etc

Etape 3 : Demande de rançon en échange de la clé

II. Attaques types

1. Rançongiciel

Un rançongiciel ou ransomware est un programme informatique malveillant qui

prend en otage les données d’un système informatique en les chiffrant.

Page 12: [RH] Sensibilisation des métiers supports à la cybersécurité

• Mail spam envoyé via un réseau de bot nets :

o L’objet est souvent suspect

o Contient toujours une pièce jointes :

Document Word, Excel

Exemple du rançongiciel Locky

II. Attaques types

Etape 1 :

Propagation Etape 2 Etape 3

• Moyens de propagations :

Pièces jointes Clé USB

1. Rançongiciel

Page 13: [RH] Sensibilisation des métiers supports à la cybersécurité

II. Attaques types

Etape 1 :

Propagation Etape 2 Etape 3

La pièce jointe peut être un document .pdf, .doc, etc.

Exemple du rançongiciel Locky

La suite Office possède une fonctionnalité qui

permet de se protéger de ce genre d’attaque !

(les macros sont désactivées)

En les activant vous autorisez les

éventuels malwares à venir s’installer

NB:

1. Rançongiciel

Page 14: [RH] Sensibilisation des métiers supports à la cybersécurité

• Le malware chiffre toutes les données présentes :

o sur le PC

o sur les serveurs accessibles via le partage réseau

II. Attaques types

Etape 1 Etape 2 :

Chiffrement Etape 3

1. Rançongiciel

Page 15: [RH] Sensibilisation des métiers supports à la cybersécurité

• Une fois les données chiffrées, l’ordinateur

affiche les instructions à suivre pour payer la

rançon en échange de la clé permettant le

déchiffrement

• La monnaie utilisée est le bitcoin

II. Attaques types

Etape 1

Etape 2

Etape 3 :

Rançon

Exemple de fond d’écran du rançongiciel Locky

1. Rançongiciel

Page 16: [RH] Sensibilisation des métiers supports à la cybersécurité

II. Attaques types

Etape 1

Etape 2

Etape 3 :

Rançon

Le prix moyen d’une

rançon est de 640 €

Payer la rançon ne permet pas toujours

d’avoir la clé ! Sur les 50% des décideurs IT qui décident de

payer, seulement 32% d’entre eux récupèrent

réellement la clé

1. Rançongiciel

Page 17: [RH] Sensibilisation des métiers supports à la cybersécurité

10 avril 2016 :

PME du Béarn, souhaitant garder l’anonymat

23 salariés

- Réception en nombre d’un mail contenant une

pièce jointe piégée.

Etape 1 : Propagation

II. Attaques types

1. Rançongiciel

Page 18: [RH] Sensibilisation des métiers supports à la cybersécurité

10 avril 2016 :

PME du Béarn, souhaitant garder l’anonymat

23 salariés

- Ouverture de la pièce jointe par plusieurs

collaborateurs.

Chiffrement des données.

Etape 2 : Le

chiffrement

II. Attaques types

1. Rançongiciel

Page 19: [RH] Sensibilisation des métiers supports à la cybersécurité

11 avril 2016 :

- Toutes les données de l’entreprise sont

chiffrées

- Le fond d’écran d’un ordinateur affiche les

exigences d’une rançon

Tous les employés sont au chômage technique

Les jours suivants :

- La rançon double chaque jour

- Après près d’une semaine, le chef d’entreprise paye 3 000 €

Etape 3 : La rançon

PME du Béarn, souhaitant garder l’anonymat

23 salariés

II. Attaques types

1. Rançongiciel

Page 20: [RH] Sensibilisation des métiers supports à la cybersécurité

2. L’ingénierie sociale

II. Exemples d’attaques

L’ingénierie sociale, ou social engineering, est une forme d’acquisition déloyale d’information

personnelle dans le but d’obtenir d’autrui un bien, un service ou des informations confidentielles.

Pour cela, l’escroc utilise son charisme et ses connaissances et il exploite la confiance, la

crédulité et la courtoisie des gens. Il aime usurper l’identité d’autrui.

Il y a plusieurs méthode d’ingénierie social, les deux plus communes sont :

o La récolte d’information « directe » (réseau sociaux, contact direct)

o Le phishing et Spear phishing

L’ingénierie social est très souvent utilisé en tant que première étape d’une attaque

informatique. Elle permet de réunir les informations qui seront nécessaire à cette attaque

Page 21: [RH] Sensibilisation des métiers supports à la cybersécurité

II. Exemples d’attaques Les réseaux

sociaux

La première étape consiste à collecter le maximum d’information sur les réseaux sociaux

L’escroc peut facilement connaitre :

o Votre adresse, adresse mail, numéro de téléphone, …

o Votre entreprise et lieux de travail, ainsi que votre poste

o Si vous êtes en congé ou non

o Toutes autres informations ou détails utilisables pour renforcer sa crédibilité

2. L’ingénierie sociale

Page 22: [RH] Sensibilisation des métiers supports à la cybersécurité

II. Exemples d’attaques Contact direct

L’escroc continu sa pêche aux infos en usurpant des identités,

en jouant sur la naïveté et la bonté des gens. Il peut :

Utiliser une fausse

adresse mail

Usurper une identité

au téléphone

L’escroc peut usurper l’identité :

o D’un collaborateur

o D’un client

o D’un employé absent

2. L’ingénierie sociale

Page 23: [RH] Sensibilisation des métiers supports à la cybersécurité

II. Exemples d’attaques

Le phishing est une technique utilisée pour obtenir des renseignements personnels. Elle consiste à faire

croire que la victime s’adresse à un tiers de confiance (banque, collègues, administration, etc)

Il peut se faire par :

o Mail

o Sites web

o SMS (SMishing)

Le phishing

2. L’ingénierie sociale

Page 24: [RH] Sensibilisation des métiers supports à la cybersécurité

II. Exemples d’attaques Le phishing

Username

Password

Votre banque / application /

client …

Les mails de phishing vous

demandent de remplir un

formulaire ou vous redirigent vers

un lien.

Le phishing utilise des adresses web

déguisées !

2. L’ingénierie sociale

Page 25: [RH] Sensibilisation des métiers supports à la cybersécurité

II. Exemples d’attaques Le phishing

Exemple de phishing par mail :

Ce formulaire vous

demandera très

surement plein

d’information très

intéressantes Syntaxe

étrange

2. L’ingénierie sociale

Page 26: [RH] Sensibilisation des métiers supports à la cybersécurité

II. Exemples d’attaques Le Spear

Phishing

Le spear phishing est du phishing grandement personnalisé

et vise une seule personne (ou un petit groupe)

Username

Password

Bonjour Mr Martin, je suis

votre banquier

Le spear phishing est

encore plus discret que le

phishing

L’attaquant possède déjà

des informations sur vous

2. L’ingénierie sociale

Page 27: [RH] Sensibilisation des métiers supports à la cybersécurité

o Adresses

o Adresses mail

o Numéros de téléphone

o Dossier Médical

o Numéros de sécurité social

o Fiches de paie

o Primes

o Horaires de travail

II. Exemples d’attaques

Finalement l’escroc peut accéder aux informations qui l’intéresse vraiment

L’information

recherchée 2. L’ingénierie sociale

Page 28: [RH] Sensibilisation des métiers supports à la cybersécurité

Pourquoi est-ce dangereux ?

L’accès à distance des données de l’entreprise

Le contrôle d’accès souvent faible : mot de passe simple ou

absent

Les logiciels ne sont pas mis à jour : antivirus, suite Office

Le vol : dans un train, dans la voiture, à l’arraché

Les données ne sont généralement pas chiffrées

Le B.Y.O.D. ou Bring Your Own Device est le fait d’utiliser du

matériel personnel à des fins professionnelles.

II. Attaques types

3. Les dangers du B.Y.O.D.

Page 29: [RH] Sensibilisation des métiers supports à la cybersécurité

Règles et solutions

Ressources Humaines

Page 30: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle n°1 :

Méfiez vous des pièces jointes suspectes. Ne pas ouvrir les pièces jointes dont on n’est pas sûr de la source et

dont l’extension est issue d’un document Word ou Excel.

Transférez ces mails vers la personne en charge de la sécurité du

système d’information.

1. Rançongiciel

Page 31: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle n°2 :

Vérifiez l’adresse mail.

En général, l’adresse mail n’est pas connue ou ressemble fortement à

celle pour qui elle se fait passer.

La vérifier est une première étape pour contrer une arnaque.

1. Rançongiciel

Page 32: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle n°3 :

Mettez à jour vos équipements. Toujours effectuer les mises à jour de votre ordinateur, vos logiciels et

votre antivirus.

Ceci évitera à un potentiel attaquant d’exploiter des failles de sécurité

connues présentes dans les logiciels ou dans l’ordinateur.

1. Rançongiciel

Page 33: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle n°4 :

Méfiez vous des clés USB. De manière générale, n’utilisez pas de supports amovibles de type clé

USB ou carte SD dont vous ne connaissez pas l’origine.

Ceux-ci peuvent contenir des virus ou des logiciels malveillants sans

que vous le sachiez.

1. Rançongiciel

Page 34: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle :

Ne divulguez pas trop d’informations sur internet

Les informations que vous complétez dans les réseaux sociaux peuvent

être publiques et visibles par tout le monde.

A minima, n’autorisez l’affichage de vos informations qu’à vos contact,

afin de maitriser la diffusion de celles-ci.

a) Collecte d’informations

2. Ingénierie sociale

Page 35: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle n°1 :

Analysez le contenu du mail.

• Adresse mail : Lorsque vous êtes face à un mail de phishing, l’adresse le mail semble venir d’un

tiers de confiance telle une organisation, un partenaire, un collaborateur, et peut être une parfaite

copie de l’originale.

Ne vous fiez pas uniquement à cette adresse, elle peut être usurpée.

• Elément joint : Si c’est un lien, survolez le lien afin de voir l’adresse vers lequel il redirige.

Si c’est une pièce jointe, portez attention sur le format de cette ci, s’il est inhabituel, ne lui accordez

pas votre confiance.

• Orthographe : Les mails de phishing ont pendant longtemps été reconnaissables par leurs fautes

d’orthographe. Même s’il en contiennent aujourd’hui de moins en moins, recherchez-les ainsi que les

erreurs de syntaxe.

Vérifier la cohérence du mail dans son ensemble.

b) Le phishing

2. Ingénierie sociale

Page 36: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle n°2 :

Ne renseignez pas de données sensibles.

Dans le cas où vous n’auriez pas identifié un mail de phishing, et que vous avez cliqué sur le lien contenu

dans le mail.

Ce lien pourra vous rediriger vers le site web d’un tiers de confiance. Ce site sera une copie d’un vrai site,

à la différence qu’il vous invitera à remplir des données confidentielles telles que des informations

bancaires sur un formulaire.

Aucun n’organisme n’est amené à vous demander ce genre d’informations, quittez ce site sans compléter

les informations demandées.

b) Le phishing

2. Ingénierie sociale

Page 37: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle :

Soyez encore plus vigilent.

Le spearphishing étant similaire au phishing, à la différence qu’une collecte d’informations sur vous et votre

environnement a été faite au préalable afin de d’accroitre la crédibilité du message. Le message sera plus

crédible que le phishing de part :

• Son format : il ne contiendra que peut de fautes de syntaxe ou d’orthographe.

• Son contenu : il sera très pertinent avec des informations très précises, il pourra évoquer des

collaborateurs, des projets sur lesquels vous êtes impliqués.

Méfiez vous des demandes que vous jugerez « inhabituelles».

c) Le spearphishing

2. Ingénierie sociale

Page 38: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

3. Les dangers du B.Y.O.D

Règle n°1 :

N’enregistrez pas de données professionnelles sur

vos appareil personnels.

Bien que le côté pratique vous y incite, enregistrer des données de votre entreprise

revient à mettre en danger votre entreprise.

Votre appareil personnel ne possède pas toutes les protections nécessaires à protéger les

données qu’il contient.

Ce manque de sécurité permettra à un attaquant d’accéder au contenu de votre appareil,

et donc aux potentielles données sensibles qu’il contient.

Page 39: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle n°2 :

N’utilisez vos appareils personnels que dans

un cadre prédéfini. Incitez votre entreprise à mettre en place des mesures permettant aux

employés d’utiliser leur matériel personnel dans un cadre défini.

La politique de sécurité sur les matériels sera ainsi appliquée sur vos appareils

que vous pourrez utiliser en toute sécurité.

3. Les dangers du B.Y.O.D

Page 40: [RH] Sensibilisation des métiers supports à la cybersécurité

III. Règles et solutions

Règle :

Choisissez un mot de passe long et avec

plusieurs type de caractères

o Une longueur de 8 caractères est un minimum.

o Utilisez des majuscules, des minuscules, des chiffres et des

caractères spéciaux.

o Utilisez des phrases comme moyen mnémotechnique.

4. Bien choisir son mot de passe

Exemple : le père Fouras connait deux nains : Passe-partout et Passe-muraille lpFc2n:PeP!

Temps nécessaire pour casser

un mot de passe avec un PC,

par force brute :

• 6 lettres minuscules : 3 sec

• L’exemple : + de 10 ans

Page 41: [RH] Sensibilisation des métiers supports à la cybersécurité

Règles et bonnes pratiques

Règle n°1 :

Contrôler les informations que

vous publiez sur internet.

Règle n°2 :

Vérifiez les adresses mails

des expéditeurs.

Règle n°3 :

N’ouvrez que les pièces

jointes qui vous semble sûres.

Règle n°4 :

N’utilisez pas votre

messagerie personnelle pour

votre travail.

Règle n°5 :

N’utilisez pas votre matériel

personnel si ce n’est pas

prévu par votre entreprise.

Règle n°6 :

N’utilisez pas de supports

amovibles : clé USB.

Règle n°7 :

Mettez à jour vos

équipements professionnels.

Règle n°8 :

Utilisez des mots de passe

robuste.

Règle n°9 :

Ne renseignez pas de

données sensibles sur un site

web.

Page 42: [RH] Sensibilisation des métiers supports à la cybersécurité

Merci Léo PILLET

Vincent BOULANGER

Elèves ingénieur Telecom Lille

INGE3, 2016/2017

Projet Scientifique et Technologique