le paradoxe de l Opérateur mondial

Transcription

1 HCFDC Internet, cyberdéfense et cybersécurité Enjeux et réponses le paradoxe de l Opérateur mondial Francis BRUCKMANN Directeur adjoint de la Sécurité Groupe ORANGE Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

2 Orange est l un des plus grands Opérateurs Vu côté réseau internet Orange est l un des principaux Opérateurs de transit Vu du client Orange est Opérateur domestique dans 35 pays Orange a plus de 230 millions de clients fixe / mobile / internet / haut débit / télévision Orange a des clients entreprises dans 170 pays dont les 3300 plus grandes entreprises multinationales Orange manage plus de équipements de sécurité Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

3 L Opérateur, l intermédiaire entre internet et client (particulier, entreprise ou administration) c est la cible privilégiée, il subit toutes les attaques Depuis internet, via les hackers ou les réseaux de botnets Depuis les ordinateurs des particuliers: au moins 1 sur 3 est infecté 78% des logiciels téléchargés contiennent des logiciels espion Depuis les smartphones, dont les applications contiennent des malwares 36% des applications des «Stores» contiennent des chevaux de Troie Depuis les portails marchands quand ceux-ci sont compromis (failles SQL) Depuis les réseaux-clients des entreprises: 3 ordinateurs sur 10 sont compromis le BYOD amène dans l entreprise des terminaux personnels infectés Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

4 L Opérateur est donc le responsable de tous les maux! L internaute se plaint à lui quand Il est sans cesse dérangé par les plateformes d appels en numéro masqué Il est victime d arnaques au SMS surtaxé ou aux appels courts «call back» Il a des virus ou des malwares sur son ordinateur personnel il est victime de phishing Il est suffisamment crédule pour fournir ses données bancaires L entreprise ou l administration se plaint à lui quand Elle est victime d une attaque en DDoS Son SI récupère virus et malwares Ses portails web sont pénétrés via des failles Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

5 De plus, l Opérateur est sous la pression de l Etat en tant qu OIV Sans télécoms, plus d activité économique: le secteur des télécoms est transverse à tous les secteurs économiques L Etat impose à l opérateur une sécurisation de ses principaux sites dits «vitaux» mais Internet ne fait pas encore partie de la DNS L Etat a un droit de regard sur certains matériels du réseau (procédure R226) L Opérateur est dans l obligation de déclarer le vol de données personnelles de ses clients Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

6 L Opérateur subit la mauvaise qualité des matériels et logiciels Mauvaise qualité du génie logiciel Les langages sont non sûrs (ex: failles Java) Les OS (mobiles) ont des failles Les applications sont mal débugguées Non mise à jour des correctifs de sécurité par les constructeurs faible durée de vie des mobiles (cas d Android) Les composants contiennent des bugs (ex: CPU Intel) Les normes ne sont pas forcément stabilisées ou exhaustives (ex: 4G/LTE en tout IP de bout en bout) Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

7 80% des botnets sont sur les réseaux des FAI mais l opérateur est contraint par la Loi L opérateur sait constater l infection via antivirus/antimalware, anti-ddos, Deep Packet Inspection, Mais ne peut pas prendre de mesures concrètes Réglementation communications électroniques: obligation d acheminement sans discrimination du contenu Réglementation informatique et libertés: pas d utilisation des données de trafic hors demandes étatiques encadrées Malgré la facilité de qualification de l infraction pénale, pas de pouvoir de police de l opérateur à l encontre de la machine infectée. Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

8 Comment Orange se protège et protège ses clients Surveillance des attaques Protection périmétrique (Firewall, UTM/IDS/IPS,..) + DPI Détection des attaques en Déni de Service (DDoS) / botnets Centres de supervision de la sécurité: SOCs Travail permanent avec les constructeurs D infrastructures réseaux De matériels et logiciels de sécurité De Box (parc Orange: > 10 millions: France, Espagne, Belgique, Tunisie, ) De mobiles et tablettes Veille technique et comportementale: surveillance de ce qui se dit (blogs, réseaux sociaux, «sites de hackers») sur Les LiveBox Les OS (principalement Apple et Android) Les attaques sur mobile / smartphone / tablette Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

9 l infrastructure mondiale d Orange 12 Data centers (6 en France) et 8 SOCs Sydney et Tokyo vers Seattle Los Angeles to Osaka and Auckland Paris Rennes Montreal Pau Anvers 6 dont Val de Reuil Atlanta Frankfurt Le Caire Hong Kong Tokyo vers Seattle Osaka vers Los Angeles Delhi Singapore data centers dédiés interconnexions data centers MPLS POP autres routes du backbone Orange Johannesburg Maurice Sydney Sydney vers Seattle Auckland vers Los Angeles SOC > 1500 PoPs dans 170 pays Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

10 Quelle est la démarche d Orange? Orange informe le public via la rubrique ASSISTANCE du portail Techniques d arnaque Façons de se protéger Orange forme les parents àla protection des jeunes sur internet et sur les réseaux sociaux : programme dans les boutiques pour sensibiliser aux usages d internet (en 2012, 138 sessions) Orange anime des réunions publiques sur les risques téléphonie / internet (ex: avec la Gendarmerie 400 personnes à Chagny) Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

11 Quelle est la démarche d Orange? Orange fournit des solutions de sécurité et de sécurisation Particulier: firewall / contrôle parental / codes de protection Entreprises et administrations: sécurisation-réseau / anti- DDoS / sécurisation de poste de travail / management d évènements / SOC / gestion de flotte de devices Orange est partie prenante dans la création de l ENSIBS (école supérieure de formation à la cybersécurité) Orange participe aux démarches associatives sur la sécurité et la confiance numérique: CLUSIF, ARCSI, ACN, MEDEF, associations de consommateurs,.. Orange sponsorise des évènements «cyber» : Forum International sur la Cybersécurité, journées DGA/MI, conférences du CLUSIF, GSDays, conférences de Forum ATENA, Orange permet à ses salariés d intégrer la réserve citoyenne «cyber» Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12

12 Pour un internet plus sûr?? Certification par l ANSSI des «produits numériques» avant mise sur le marché??? Pour détection de failles, de bugs, de portes dérobées Matériels-réseau Logiciels!!! D exploitation De routage-réseau Applications Autoriser l Opérateur à proposer en «opt-in» la notification au client en cas d infection de son device (PC, tablet, mobile) Inspection des paquets en temps réel par DPI Nettoyage des flux internet en temps réel Information des clients (internautes et entreprises) Suppression des botnets en France (comme USA ou Allemagne) Nettoyage des ordinateurs (virus, vers, malwares) Diffusion libre Haut Comité Français pour la Défense Civile 26 Mars / 12