LA SÉCURITÉ

« un devoir collectif »

Thème Commun N°7

myconnecting / JUIN 2017

SOMMAIRE

La sécurité : un devoir collectif

  • Les risques

    Pour l'entreprise et les personnes, les risques sont nombreux et inquiétants. De la perte de données à la perte d'identité, en passant par le vidage de compte bancaire, les délits sont quotidiens.
    Les principaux enjeux sont financiers pour les cybers attaquants


  • Les méthodes d'attaques

    La motivation financière réveille les plus grandes ingéniosités pour mettre au point de véritables stratégies guerrières d'attaque.
    Généralement les attaques les plus retentissantes sont dites de masse, mais les attaques ciblées sont moins connues mais plus redoutables


  • Les parades

    Les parades se développent au rythme des nouvelles méthodes mises au point.
    Chacun, à son niveau peut participer, à cette lutte. Mais la meilleure parade est la formation de tous pour tendre vers le risque zéro.


  • Les règles d'hygiène

    Adopter les bons réflexes dans toutes les situations.
    Les 12 règles de l'ANSSI à suivre...

  • Exemples, applications, liens, challenge, quizz

    Mettez en application les règles pour acquérir les réflexes de la sécurité.

L'infographie du thème

Nous vous conseillons de télécharger cette infographie au format PDF et de l'imprimer pour pouvoir mieux suivre la structure de ce thème et prendre quelques notes... toujours utiles au moment du quizz !

Un monde connecté, mal sécurisé

Un risque permanent

Un monde hyper connecté est plus facile à attaquer

— Virus informatique entrainant la perte ou l'indisponibilité des données
— Espionnage industriel et scientifique
— Atteinte à l'image, vol d'identité
— Attaques de serveurs, sites internet
— AdWare, publiciel
Quelques arnaques connues

Le cyber espace

Les cyber espace est le terrain de jeu des pirates informatique

1

Les ordinateurs allumés et connecté 7/24

2

Les smartphones, tablettes, montre avec GPS allumés et connectés 7/24

3

Les objets connectés à faible niveau de protection (caméra, détecteur de fumée de chaleur, domotique, routeur, beacon, musique)

4

Les objets connectés sensibles (pacemaker, voiture, alarme, porte, esanté)

5

Les entrepots de données nécesaire au fonctionnement du cloud, des sauvegardes, des réseaux sociaux

hk
Source : CheckPoint
hk
Risque sur les données

Risques sur les données

CIA : les 3 risques majeurs

1 : Confidentialité

Les données ne sont plus confidentielles, un tiers connait votre meilleur prix, votre rythme cardiaque, vos échanges de mails

2 : Intégrité

L'intégrité de vos données est atteinte. Un pirate peut modifier, supprimer... prendre le contrôle d'une partie de l'entreprise ou de votre voiture

3 : Accessibilité

La disponibilité de vos données est perdue, momentanément ou plus longuement. Personne, en tout cas pas vous, ne peut accéder aux informations précieuses de l'entreprise. Cela peut retarder ou empêcher le travail de certaines équipes

Les deux cibles d'attaques

Mondiale / Chirurgicale

1

Les attaques de masse cherchent toutes les failles possibles en procédant au hasard.
Lorsque les failles sont trouvées, les machines infectées constituent un botnet. Ce botnet peut dormir quelques temps et passer à l'attaque lors d'un événement précis. Les bonnes règles permettent de se prémunir de 90% de ce type de problème. Un bug informatique est le principal moyen d'infiltration (par exemple la faible protection des configurations par défaut des objets connectés).

2

Les attaques ciblées visent une entreprise ou une administration avec un but précis. Tous les stratagèmes sont concentrés sur une population précise (salarié, sous traitant, correspondant...). Il est très difficile d'échapper à ces attaques et une bonne formation permet d'éviter 60% des attaques. L'erreur humaine est la principale source d'infiltration.

La source

Le darknet ou le deep web regorge de conseils, astuces et logiciels en tout genre pour pratiquer de telles attaques. C'est l'armurerie du pirate !
Pourquoi ne pas l'interdire ? C'est aussi une bonne manière d'anticiper les attaques...

hk
masse/perso
Acteur principal : ANSSI

ANSSI

agence nationale de sécurité des systèmes d’information)

1 — ANSSI :
      L’ANSSI (agence nationale de sécurité des systèmes d’information) sous la responsabilité du premier ministre, veille particulièrement sur les entreprises de ces secteurs, mais aussi sur l’ensemble du tissu économique.
2 — OIV (Opérateurs d’importance vitale) :
      Les risques sont particulièrement grands chez les OIV (opérateur d’importance vitale). On distingue 12 secteurs économiques où la sécurité est vitale pour l’entreprise : par exemple la santé, les transport, l’énergie, l’eau, les télécom, les banques
3 — Partenaires :
      L’ANSSI certifie des partenaires pour aider les entreprises PASSI (Prestataires d'audit de la sécurité des systèmes d'information) PRIS (Prestataires de réponse aux incidents de sécurité) PDIS (Prestataires de détection d'incidents de sécurité)
4 — Services :
    L’ANSSI certifie aussi certain service comme le stockage cloud

hk
Typologies d'attaques

Les grands types d'attaques

Graphique de l'ANSSI 2016

1 : Défiguration

Un défacement, défaçage ou défiguration (defacing en anglais) désigne la modification de la présentation d'un site web, à la suite du piratage. Il s'agit d'un détournement de site Web par un hacker.

2 : DATA

Accès aux données, vol de données... célèbre exemple de Ashley Madison (32 millions de comptes volés en 2015) et Yahoo (1 milliard de compte piratés)

3 : DDoS

Distributed Denial of Service : attaques en déni de service par connexions multiples à un service (1000 accès web par seconde)

4 : Ransonware

Demande de rançon en BitCoin pour dévérrouiller les données cryptées de l'entreprise

iPhone

DÉFENSE "EN PROFONDEUR"

Stratégie de défense

Issue de l'art de la guerre, la défense en profondeur consiste à retarder l'ennemie par plusieurs couches de défense indépendantes. Si une ligne est persée par le pirate, l'accès total n'est pas autorisé.
PAR EXEMPLE : Le réseau des caméras peut être infiltré, mais les informations clients sont sur un autre réseau protégé différement en fonction de la criticité des données. Le réseau des caisses est différent du réseau des imprimantes, plus facile à inflitrer...

Chaque fonction de l'entreprise est sécurisée de manière différente avec des technologies différentes.
... et ce concept de défense profonde peut être transposé dans la vie privée à la maison (avec le WiFi enfant / parent / invité / musique / domotique).

Une alternative intéressante nous est proposée avec la BlockChain qui permet d'établir une confiance certaine entre deux acteurs. Aurions-nous enfin un coup d'avance sur les pirates ? À moins que ...

Les protections

Comment se protéger des attaques Livre blanc de l'ANSSI

  • 1 :Mots de passe (uniques)
  • 2 :Mise à jour (toujours)
  • 3 :Connaitre ses correspondants (habitudes)
  • 4 :Sauvegardes (permanente)
  • 5 :WiFi (sécurisé)
  • 6 :Mobile, SmartPhone, BYOD
  • 7 :Voyage et déplacement (sécurité)
  • 8 :Messagerie (prudence)
  • 9 :Téléchargement (officiel)
  • 10 :Paiement internet
  • 11 :PRO / PERSO (séparé)
  • 12 :e-réputation personnelle

Signalement


Signaler un SPAM
Le SPAM est le signe avant courreur du VIRUS

Signaler un VIRUS

Restez informés


Le compte tweeter de l'ANSSI est très réactif

Fréquence des attaques (Source : CheckPoint2016)

Les étapes RGPD :

La CNIL et le parlement européen distinguent 6 étapes pour mai 2018 :

  • 1 :Désigner un PILOTE : le Correspondant Informatique et Liberté (CIL)
  • 2 :Cartographier les traitements de données dans un registre
  • 3 :Prioriser les risques du registre
  • 4 :Gestion des risques
  • 5 :Organiser les processus internes
  • 6 :Documenter la conformité

Chacun est acteur de la sécurité
L'information et la formation
sont les premières mesures (SecNumAcademie, B2i)

LA FORMATION

La formation, l'information

Une charte informatique et sécurité pour chaque entreprise

  • Attestation de formation

    1/ Le b2i avec ses différents niveaux est un bon début
    B2i
    2/ MOOC de l'ANSSI (SecNumAcademie)
    Sec Num
    3/ Formation interne
    Par le service informatique
    4/ Autre formation externe blended ou distancielle

    Signature de la charte "IT" ou "IS"

    Véritable guide de la cybervigilance en entreprise, cette charte doit être bien comprise et appliquée

La sécurité
est une mission collective !
Pas de pérennité d'entreprise
sans protection ni sécurité !

La citation.

Le niveau de sécurité d'une entreprise
est limité par le niveau du moins informé.

Dicton de hacker dérivé du maillon faible

Signature

EXEMPLES & APPLICATIONS

< ... >

META
Exemple de phishing

EXEMPLE 1

Le Mail du Président

  • 1 :  Recherche d'information sur un individu, ses amis, sa famille...
    Facebook LinkedIn Twitter Instagram Pinterest...
  • 2 :  Envoi d'un premier mail officiel sans virus
    Copie des adresses mail, mise en pager, signature, image...
  • 3 :  Envoi sur votre boîte d'un mail frauduleux
    Un mail d'un ami ou du grand patron

1ère étape d'une arnaque

EMAILING

Fabriquer un piège à EMAIL

  • ICI : nettoyage d'une liste d'email
arnaque

Test d' URL

Reflexe :

Savoir reconnaitre les bonnes URL d'un coup d'oeil, pour cliquer ou pas sur le lien.
Une seule adresse est bonne ???

Confiance ou pas confiance

1. =   www.tranfert-securise-banque-populaire.com
2. =   www.particulier-societe-generale.banqueaparticuliersociete.com
3. =   http://erreuretprobleme-arnaque.gouv.fr
4. =   www.caiseepargne.fr
5. =   https://compte.compte-gogle.com
6. =   http://ej1254898yj6545487.orange-security.com
7. =   myconnecting.formationdigitaleenligne.net

WannaCry : RansonWare


LaTribune : phishing


Communication entre pirates


Documentation

  • sm

    Guide des bonnes pratiques

    LE GUIDE de l'anssi
    LIEN

  • amp Guide du Voyageur

    Ce qu'il faut faire en voyage... même de 50 km
    LIEN

  • google analytics Lexique de la securité

    Pour bien définir les attaques
    LIEN

  • 4- TEST DE PUISSANCE

    Testez la puissance de votre mot de passe
    LIEN

  • 5- Règles Twitter

    A titre d'exemple, les règles de Twitter sur la vie privée. A chercher aussi chez LinkedInf Facebook, Instagram...
    LIEN

  • 6- CNIL

    Les règles de la CNIL à respecter dans le cadre des enquêtes
    Lien vers la CNIL
    Lien vers Réglement Européen RGPD 2018

  • 7- 42 mesures

    42 règles de gestion informatique
    LIEN

  • 8- CheckPoint

    Acteur important de la sécurité (en anglais)
    LIEN

  • 9- ANTIVIRUS...

    Liste des logiciels antivirus... tant qu'il n'est pas trop tard
    LIEN

QUELQUES SOURCES D'INFORMATION

  • ANSSI

    L'Agence National de Sécurité des Systèmes d'Information rassemble toutes les informations sur les cyberattaques.
    LIEN

  • HOAX BUSTER

    Les canulars ou HOAX sont faciles à décrypter grace à ce site
    LIEN

  • UnderNews

    Le site d'information sur la sécurité

    LIEN

  • SYMANTEC

    Un acteur majeur de la sécurité

    LIEN

  • ICANN

    Le gendarme d'internet dont le rôle principal est d'attribuer les noms de domaines, mais aussi la sécurité.

    LIEN

  • CNIL

    Voir le RGPD et bien d'autres lois et information sur le site de la CNIL

    LIEN

Lexique

Les termes de la sécurité

QUIZZ