Stratégies de protection de l information êtes-vous prêts pour la prochaine attaque? Laurent Heslault CISSP, CISM, CCSK, ISO 27005 Risk Manager Directeur des Stratégies de Cyber-Sécurité Symantec EMEA 1
Symantec Symantec est un leader mondial dans le développement de solutions de sécurité et de gestion du stockage et des systèmes, permettant aux organisations d administrer et de protéger leurs informations et leurs identités. 2
Le «Global Intelligence Network» 69 millions de sondes dans 157 pays 51.566 vulnérabilités surveillées 5 millions de comptes mail leurres (spam) 50 millions de participants à notre communauté anti-fraude 3,5 milliards de messages filtrés par jour 1,4 milliards de requêtes Web traitées quotidiennement 4,5 milliards de validations de certificats par jour 5 milliards d éxecutables identifés 8 millions d applications Android téléchargées 80 terabytes de données collectées chaque jour Et de nombreux experts aux compétences variées! 3
Awareness is everything. (W.Orlikowski MIT) 4
Décennie de l économie de l information : Tendances lourdes 5
State of Information Survey Les informations numériques représentent 30% de la valeur de l entreprise (49% dans le monde). 56% des entreprises ont déclaré une perte d informations sur les 12 derniers mois (monde 69%) Erreur humaine, cyber-attaques, problème matériel, logiciel, perte ou vol d appareils mobiles 63% des entreprises ont exposé des informations confidentielles (monde 69%) 26% des entreprises considèrent la prolifération des données comme un problème clé (monde 30%) De +67% à +178% par an State of Cloud Survey 86% des organisations discutent du Cloud 95% discutent de «Services Cloud», dont : Sauvegarde ou stockage Authentification Gestion et sécurité de la messagerie 39 % des informations des entreprises sont stockées à l extérieur de leur pare-feu et les utilisateurs accèdent à 46 % des données de l entreprise depuis l extérieur de ce même parefeu. 11 % des informations professionnelles sont stockées sur des smartphones et des tablettes. http://bit.ly/m7urqa 6
7
World Economic Forum : What are the top trends facing the world in 2014? Presentation Identifier Goes Here 8
Quel niveau de risque? This is the third biennial Risk Index, commissioned by Lloyd s to assess corporate risk priorities and attitudes among business leaders across the world. 9
ATTENTION! Ceci n est pas un exercice! 10
Vous devez expliquer à la Direction Générale que votre organisation a été victime d une cyber-attaque 11
Il a fallu seulement 6 minutes aux attaquants pour contourner nos défenses périmétriques. A partir de là, ils ont obtenus les privilèges administrateurs en moins de 12 heures. En moins d une semaine ils ont pris le contrôle total de nos 30 domaines. Ils ont récupéré toutes nos identités, leur donnant la possibilité de se connecter au réseau en se faisant passer pour n importe qui d entre nous. Il n y aucun endroit de notre réseau global auquel ils ne pouvaient accéder et seule une poignée de machines auxquelles ils n avaient pas accès facilement. Les attaquants étaient dans la capacité de transférer électroniquement des millions depuis nos comptes bancaires via notre système de paiement. Ils avaient un accès direct à notre environnement industriel et pouvaient affecter à la fois la qualité de nos processus de production, mais également la sûreté dans nos ateliers. Ils avaient accès notre propriété intellectuelle la plus confidentielle, incluant nos plans d acquisitions comme de cessions, ainsi qu aux résultats de 10 ans de recherche et développement à laquelle nous avons consacré des millions. Et pour finir, ils étaient capables d exfiltrer toutes ces données.
Quelles conséquences? Presentation Identifier Goes Here 13
Cumulative Abnormal Return % Cours de bourse v/s niveau de résilience Performance du cours de l action de compagnies ayant fait l expérience d un désastre opérationnel majeur (Echantillon = 15 entreprises : U.S. 8, Europe 6, Asie 1) 20 0 +10% -15% Recoverers Non-Recoverers -20 0 50 100 150 200 250 Jours de cotation après l évènement Source: The Oxford Executive Research Briefing, The Impact of Catastrophes on Shareholder Value 14
Mais 15
En France, le coût moyen d une violation de données est de : Ponemon Institute «Cost of Data Breach» 2013: 16
En France, le coût moyen d une violation de données est de : «Je pense que l on est clairement bien au-dessus mais que peu d entreprises déclarent ce qu il en est réellement! Les APTs de ces deux dernières années chez les grands industriels sont à l origine de bien plus» RSSI d un groupe Français. Ponemon Institute «Cost of Data Breach» France 2013 17
En cas de perte/fuite 1. Analyser la fuite/perte pour en déterminer la cause 2. Identifier les informations perdues/dérobées 3. S il y a lieu, supprimer tous les accès à la source immédiatement 4. Si les informations sont chez un tiers, faire en sorte qu il fasse de même 5. Mobiliser l équipe de crise (préalablement constituée) qui rassemblera : 1. Les équipes informatiques, des membres du marketing, de la communication, des relations presse, des représentants des départements impactés, des membres de la Direction Générale, des ressources humaines.. 6. Prévenir les forces de l ordre (interlocuteurs préalablement identifiés) et autorités idoines 7. Préparer les éléments tels que pages web, communiqués de presse, questions et réponses 8. Avertir les centres d appels et leur fournir les messages appropriés 9. Faire remonter en permanence toutes les informations vers la cellule de crise 10. Tenir des réunions quotidiennes sur l avancement, les problèmes rencontrés 11. Evaluer les potentielles implications financières immédiates (déblocage d une ligne de crédit) 12. Avertir les personnes ou collaborateurs touchés, par messagerie ou voie postale 1. Récolter les adresses, préparer le courrier, le mettre sous pli, affranchir, poster et gérer les NPAI 13. Etc etc etc 18
Conséquences de la perte d'informations 50% => perte de clients 39% => l augmentation des dépenses 34% => dégradation réputation et image de marque 33% => la perte de chiffre d'affaires Presentation Identifier Goes Here 19
Estimer la perte potentielle : https://databreachcalculator.com Presentation Identifier Goes Here 20
Attaques ciblées et APTs 21
Attaques ciblées +42% Attaques ciblées visant les PME x3 En 2012 par rapport à 2011 Internet Security Threat Report 2013 : Volume 18 22
Attaques ciblées et entreprises Internet Security Threat Report 2013 : Volume 18 23
Décomposition d une attaque ciblée Les 5 étapes 1 2 3 4 5 RECONNAISSANCE L attaquant récupère des informations sur la cible (réseaux sociaux, système ) INCURSION L attaquant s introduit via un message, un maliciel spécifique, des droits usurpés ou une injection SQL, une vulnérabilité Zero-day DECOUVERTE Cartographie des réseaux et systèmes Recherche des données systèmes ou confidentielles Plan d attaque CAPTURE Accès aux données sur les systèmes vulnérables Installation de maliciels (rootkits) pour capturer les données EXFILTRATION Les données confidentielles sont envoyées vers l équipe de cybercriminels, en clair, chiffrées et/ou compressées.
Opération «Francophoned» L assistante d un responsable reçoit un message Et au même moment un appel Ouvrez ce message!!! Presentation Identifier Goes Here 26
Certains employés partiraient-ils avec des informations? 60 % des employés Français qui ont quitté leur entreprise au cours des 12 derniers mois ont conservé des données confidentielles appartenant à leur entreprise. Les employés français pensent, non seulement qu il est acceptable de quitter une entreprise en emportant des données confidentielles lui appartenant et d utiliser ces données, mais également que leur entreprise ne s en soucie pas. Seulement, 39 % ont déclaré que leur entreprise sanctionne les employés qui lui volent des informations sensibles (47 % dans le monde) et 68 % ont déclaré que leur entreprise ne prend aucune mesure pour s assurer que les employés n utilisent pas d informations concurrentielles confidentielles de tiers. Source: Symantec What s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk 27
Cybergeddon? ou Cyber-résilience? 28
Sondage Question OUI NON NSP Votre entreprise/organisation possède-t-elle des données/informations sensibles/critiques/confidentielles? Savez-vous précisément ou elles se trouvent, qui y a accès et qui les utilisent? Cela poserait-il un problème quelconque que ces données/informations sensibles/critiques/confidentielles circulent publiquement? Pensez-vous important de pouvoir y remédier? 29
Violation : incident lors duquel la confidentialité a été compromise. Information d importance stratégique contenant des détails personnels consistant en secrets commerciaux ou propriété intellectuelle commercialement sensible pouvant apparaître embarrassante ou diffamatoire sujette à des obligations légales et règlementaires divulguée traitée en tant que partie d un système transmise électroniquement ou oralement copiée d un format vers un autre stockée notamment sur des appareils vulnérables à des tiers Malveillants Internes non-autorisés Presse ou autre média Concurrents Officiels causant un Impact négatif. Réputation Responsabilités légales Valeur de l action Coûts imprévus Perte d actifs tangibles Fraude 30 Information Security Forum Octobre 2007
Deux approches 31
Savez-vous Données clients Informations personnelles Données internes Finances Propriété intellectuelle Code Source N de cartes bancaires Dossiers médicaux Fusions & acquisitions Fichiers du personnel Plans - formules Politiques de prix Où se trouvent vos données confidentielles? Comment et par qui sont-elles utilisées? Comment prévenir les pertes? 1 message sur 400 contient des données confidentielles 1 fichier sur 50 est partagé à tort 1 ordinateur portable sur 10 est volé 1 clé USB sur 2 contient de l information confidentielle 32
Savez-vous Découvrir Surveiller Protéger 33
Stratégie de protection de l information : méthode Stratégie de protection des données Detection Réponse Contenu Contexte Action Notification Qui? Comment? Où? Notifier Justifier Rediriger Bloquer Utilisateur Responsable Securité Escalade 34
Les 3 volets nécessaires à la réussite Contenu Contexte Volume Structuré Personnes Volume Données à caractère personnel Informations de santé Non-structuré Plans Code source Media files + Départements Partenaires Sous-traitants Sites Pays Département Filiales + Milliards d enregistrements Millions de documents Réseau <100ms latence Débit Gb+ Résultats financiers Langues Decrit Cartes de crédits Identifiants Dictionnaires Mots-clés Apprentissage Vector Machine Learning Europe Asie Conteneur Type de documents Protocole réseau Chiffrement Stockage TBs scannés par jour Milliers de terminaux endpoints 35
DLP : Les fonctions nécessaires Découvrir Trouver ou les données sont stockées Créer un inventaire des données sensibles Gérer le nettoyage Surveiller Comprendre comment les données sont utilisées Prendre en compte contenu et contexte Obtenir une visibilité globale Protéger Détecter les violations de politiques Sécuriser les données pro-activement Prévenir les pertes de données confidentielles Définir des politiques globales au sein de l entreprise Gérer Remédier et rapporter les incidents Détecter le contenu de manière précise 36
La démarche Découvrir Surveiller Protéger 2 3 4 Identifier les cibles à scanner Lancer les recherches pour trouver les données sensibles sur le réseau et les terminaux Inspecter les données envoyées Surveiller les évènements réseaux et terminaux MANAGE MANAGE Bloquer, supprimer et chiffrer Mettre en quarantaine ou copier les fichiers Avertir collaborateurs et Mngnt 1 Créer et affiner politiques et modèles 5 Remédier et communiquer sur les réductions de risques 37
Symantec Data Loss Prevention DISCOVER MONITOR PROTECT MANAGE Storage Endpoint Network Symantec Data Loss Prevention Network Discover Symantec Data Loss Prevention Network Protect Symantec Data Loss Prevention Endpoint Discover Symantec Data Loss Prevention Endpoint Prevent Symantec Data Loss Prevention Network Monitor Symantec Data Loss Prevention Network Prevent Management Platform Symantec Data Loss Prevention Enforce Platform
Architecture MTA or Proxy SPAN Port or Tap Disconnected SECURED CORPORATE LAN DMZ
Contrôle et protection de l information Classification Conformité Données sensibles Droits Propriété Chiffrement 40
Tout approche doit adresser les 3 dimensions : PERSONNE PROCESSUS TECHNOLOGIE Besoin de formation, de gestion des incidents, technologies adaptées, et d une vision globale du fonctionnement. 41
90% du DLP est de la gestion d incidents Le bon niveau d automatisation d interlocuteur de priorité d information de réaction de métriques Correction, application, alerte Transférer l incident efficacement Incidents de sévérité haute d abord Validation rapide Réponse en 1 clic Démontrer les résultats 42
Incidents par semaine Réduction continue des risques dans le temps 1000 800 600 Visibilité Remédiation 400 200 0 Réduction des risques au court du temps Competitive Trap Notification Prévention 43
Le cercle vertueux du DLP Focus Choisir données à hauts risques et zones sensibles Communiquer Réduire les risques, Montrer des résultats Capitalisation des connaissances Définir Préparer les politiques DLP, processus de remédiation et de réduction du risque Implémenter Protéger et prévenir Sensibiliser les utilisateurs
Meilleures pratiques pour éviter les causes principales de brèches de données Évaluer les risques en identifiant et classifiant les informations confidentielles Éduquer et responsabiliser les collaborateurs sur les procédures et politiques de protection de l information Implémenter une solution de sécurité intégrée qui comprend de la sécurité basée sur la réputation des exécutables, une protection proactive contre les menaces, un pare-feu et de la détection d intrusion Déployer des technologies de prévention des pertes de données Chiffrer les appareils mobiles Implémenter de l authentification forte Intégrer la protection de l information aux processus métiers 45
Merci de votre attention! Laurent_heslault@symantec.com www.helloblog.fr @helloblog Copyright 2013 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 46