Economic Cyber Crime Exigences minimales de prévention pour les PME Romain Roubaty, novembre 2012
En 16 leçons
Leçon n 1 «Dieu me garde de mes amis, mes ennemis je m'en charge» Maréchal de Villars Le danger essentiel vient de l intérieur
Leçon n 1 Illustration Vols de données bancaires SR Suisse [Christian Loose - Fotolia] [Martin Ruetschi - Keystone]
Leçon n 2 «Il faut vivre dangereusement» Nietzsche Le risque 0 n existe pas
Risque = Menace* Vulnérabilité Contre mesure Menace o Tout type d actions susceptibles de nuire Vulnérabilité o o Niveau d exposition face à la menace Faille, brèche Contre-mesure o o o Action mise en œuvre en prévention de la menace Mesure technique Formation, sensibilisation, règles de fonctionnement
Leçon n 3 «La connaissance s'acquiert par l'expérience, tout le reste n'est que de l'information.» Albert Einstein Maîtriser le terrain Quels sont les risques?
Risques sur les données Virus et programmes malveillants Emails frauduleux Piratage Espionnage industriel Malversation Perte d'information Divulgation d informations confidentielles Erreur de manipulation Désastre naturel, problème d environnement Panne matérielle, panne du réseau Coupure électrique Bogue logiciel, problème réseau
Leçon n 4 «Jamais la souris ne confie à un seul trou sa destinée.» Plaute Diversité des solutions de protection
Diversité des solutions de protection
Leçon n 5 «Le prix s oublie, la qualité reste.» Michel Audiard Efficacité des solutions de protection
Efficience des outils de protection Sondes de sécurité Prévention pertes de données Effectiveness (somewhat+) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Firewalls Access Control sys Acess Control Complex PSWD Encryption SPAM filter App FW Host FW Ntwk AV Identity Mgt IDS/IPS Policy net con RBL SPAM filter Surveillance Wireless encrypt Patch Mgt Host AV Badging Change/config net policy enforce rights mgt strong authent NAC Role authen Host policy enfmnt App config mgt Host IDS/UPS Manual Patches Host SPAM net monitor soft dev tools host anti SPAM data tracking host change/con app monitor digital signature one-time pswd wireless monitor DLP app signing auto integrity con anomaly detection biometrics keystroke monitor Guidance Software Système de détection d intrusions
Leçon n 6 «Qui veut vaincre s'attaque au maillon le plus faible.» Alphonse Karr C est par le point le plus faible que l adversaire s introduit
Cohérence Ne pas négliger un pan de la sécurité Risques physiques accès, bâtiments, fourniture électrique, climatisation Risques logiques interne, voleur, hacker,
Leçon n 7 «L'équilibre est la règle souveraine des plus grands comme des plus petits.» Romain Roland Sécurité <> Convivialité <> Coûts
Equilibre Chercher le bon équilibre sécurité <> utilisabilité sécurité <> coût Il n y a pas de solution universelle
Leçon n 8 «Rien n'est plus dangereux au monde que la véritable ignorance et la stupidité consciencieuse.» Martin Luther King Formation négligée Procédure périmée
Formation Tous les acteurs utilisateur/trice lambda mot de passe responsables sécurité cadres
Procédures périmées Affaire de tous les instants Mise à jour régulière
Leçon n 9 «Exception. Dites qu'elle confirme la règle. Ne vous risquez pas à expliquer comment.» Gustave Flaubert Gestion des exceptions
Exceptions Illustrations Commercial nomade Intervenant occasionnel CEO
Leçon n 10 «Il n'y a qu'une chose qui se démode : la mode, et c'est la mode qui emporte le succès.» Pierre Reverdy Suivre la mode
Leçon n 10 Illustration Pub Cloud
Leçon n 10 Lire avec un esprit critique Se poser les bonnes questions
Cloud Confiance Conformité réglementaire Localisation (législation) Confidentialité Viabilité à long terme
Leçon n 10 Conséquence Posséder soi-même une connaissance minimale du domaine Pouvoir recourir aux conseils d experts compétents et neutres
Objectifs de la sécurité informatique Intégrité des données Confidentialité des données Disponibilité des données Non répudiation Authentification
Leçon n 11 «Tricher au jeu sans gagner est d'un sot.» Voltaire Intégrité des données
Intégrité des données Communication Dans la base de données Solutions Empreinte numérique Journal des transactions Sauvegarde
Leçon n 12 «Les secrets ne sont bien cachés que s'ils ont un seul gardien.» Abu Shakour Confidentialité des données
Confidentialité des données Données hors de l entreprise Dans la base de données A protéger du vol interne et externe Solution Chiffrement
Leçon n 13 «Car tout nombre nous limite et la perfection n'a pas de bornes» (Jonathan Lingston le goéland) Richard Bach Disponibilité des données
Disponibilité des données Sécurité des serveurs Redondance 365 80% 73 jours 365 90% 37 jours 365 95% 19 jours 365 99% 88 heures 365 99.50% 44 heures 365 99.90% 9 heures 365 99.99% 53 minutes 365 99.999% 5 minutes 365 99.9999% 32 secondes
Leçon n 14 «Dire le secret d'autrui est une trahison, dire le sien est une sottise.» Voltaire Non répudiation
Non répudiation Provenance et réception Solutions Signature, certificat Horodatage
Leçon n 15 «La grande malice des uns est le plus souvent faite de la stupidité des autres.» Henri Maret Authentification
Authentification Droits d accès Problèmes Renifleurs de clavier Les droits mis il y a très longtemps La naïveté Solutions Empreintes digitales Définition des rôles
Leçon n 16 «Rien ne sert de courir, il faut partir à temps.» La Fontaine Affaire de tous les instants
Leçon n 16 Affaire de bon sens Mieux vaut prévenir que guérir (cf que faut-il faire?)
Que faut-il faire? protéger l'accès à internet protéger le réseau informatique vérifier le contenu de votre site web sauvegarder vos données maintenir le logiciel et les systèmes d exploitation filtrer les courriers électroniques sensibiliser les utilisateurs anticiper les incidents
Merci! Centre d investigation numérique et de cryptologie (CINC) Formations sur mesure Expertises Mandats d investigation numérique ou de cryptologie Conseil