DSIC Pôle SSI Voie Fonctionnelle SSI Congrès national des SDIS 2013 10 Octobre 2013 SG/DSIC/Pôle SSI Congrès national SDIS Octobre 2013 1
Sommaire Focus sur les menaces La SSI dans la «vrai vie» De vrais incidents au MI Et si nous nous protégions 2
Focus sur les menaces Menaces étatiques Intrusions Interceptions (Affaire Prism, Asie, Bresil, ) «Hacktivisme» Groupes idéologiques Guerre au Mali Guerre en Syrie (Syrian Electronic Army) Anonymous Green Peace (Gaz de Schiste, Nucléaire, ) PebKaC (ou RENE pour les intimes ) Accès direct au SI sur le réseau ou en nomadisme Débit de 100 Mb/s ou 1Gb/s Pas besoin de passer les filtres de sécurité (ORION, firewall, ) Peut provoquer des dégâts sans en être conscient (errare humanum est) RENE : Risque lié à l Employé Nuisile sur l Entreprise 3
Focus sur les menaces L Internet est surtout un «terrain de jeu» sans frontière ni règle 4 SG/DSIC/Pôle SSI Séminaire SSI Octobre 2013
Focus sur les menaces Durée de vie d un PC sur Internet ne disposant pas de mise à jour 5
Sommaire Focus sur les menaces La SSI dans la «vrai vie» De vrais incidents au MI Et si nous nous protégions 6
La SSI dans la «vraie vie» Type d'attaque de Site Web, Type d attaque par Web (avec prise de contrôle d un poste interne) Type d'attaque par mail, Type d'attaque par Ordiphone : * Via une appli (Numberbook), * Direct en physique (vidéo à voir), * Mail/Web tout pareil, Echanges avec des prestataires externes (Dropbox,...) 7
Attaque de Site Web 1 2 3 Découverte des vulnérabilités avec un outil automatique ( ex : Havij ) Injection SQL : 1- Prise de contrôle du CMS Vol de l ensemble 2- Injection de codes malveillants des bases de données 3- Défaçage des sites (login / mdp / profil / documents) Sites Web Intrusion, Défiguration, Compromission Injection SQL Compromission Infra Image de marque 10 8
Attaque de Site Web : Défiguration d un site 9
Attaque par Web (avec prise de contrôle d un poste interne) 1 2 3 Découverte des vulnérabilités avec un outil automatique ( ex : Havij ) Injection d un script Java Malveillant sur les pages Web Téléchargement du Cheval de Troie Sur un C&C Site Internet Intrusion sur le site Web & insertion de codes Intrusion M. Durand Compromission du serveur, des clients citoyens et Ministères 5 10
Attaque par Mail Passerelles Mails Internet DDoS Déni de service Faible 1/2 11
Attaque par Mail (avec prise de contrôle d un poste interne) 1 2 3 Envoi d un mail piégé 1- L agent ouvre la P.J. ou clique sur le lien 2- Un code malveillant est téléchargé depuis le C&C Le pirate prend le contrôle du PC (Exfiltration de données, commandes) Attaque Mails SPAM ou Ciblés Intrusion sur le site Web & insertion de codes Intrusion Compromission du serveur, des clients citoyens et Ministères 5 M. Durand 12
Faits marquants Hygiène du personnel SIC Nombreux incidents concernant des mauvaises hygiènes/pratiques : Utilisation de clés USB contenant des virus Usage de logiciels piratés ou de KeyGen Pratiques d administration à améliorer : Emploi d outils non sécurisés mettant en danger les données de production (VNC, Client SQL en clair, ) Mauvaises maîtrise des réseaux locaux (ex : visioconférence, INPT, ) Absence de maîtrise des LANs Incidents de sécurité traités sur les systèmes suivants : INPT, Visioconférence, Postes d administration, Réseau de supervision, Augmentation du nombre de SPAM «ciblés» 13
Sommaire Focus sur les menaces La SSI dans la «vrai vie» De vrais incidents au MI Et si nous nous protégions 14
De vrais incidents au MI Un agent qui espionne la messagerie ICASSO de son/sa collègue de bureau via le WebMail Un agent installe un cheval de Troie (prise à distance) sur le poste de son voisin pour l espionner Un prestataire télécharge et utilise des outils permettant d écouter les mots de passe sur le réseau Un agent d une direction accède aux répertoires partagés d une autre direction sans raison professionnelle Un AP WiFI nommé «MIOMCTI» en accès libre permettait d accéder aux systèmes de surveillance des alarmes bâtimentaires Perte d un PC Portable non protégé dans le métro (contenant l ensemble des mots de passe, documents, mails, ) Un SDIS envoie des données sensibles de l INPT en clair sur Internet Une préfecture publie des documents sensibles interne MI sur son site Internet 15
Sommaire Focus sur les menaces La SSI dans la «vrai vie» De vrais incidents au MI Et si nous nous protégions 16
Et si nous nous protégions. Le principe de l hygiène informatique est dérivé des règles élémentaires de sécurité sanitaire. C est une transposition des bonnes pratiques du domaine médical vers le monde numérique du domaine informatique. Ces mesures ne sont généralement que des règles de bon sens, facilement applicables au quotidien par chacun d entre nous. http://www.ssi.gouv.fr/img/pdf/guide_hygiene_informatique_anssi.pdf 17
Et si nous nous protégions ORION Profil 2 (MAJ en 12h), Changement des mots de passe par défaut (utilisation de Keepass) ACID/TrueCrypt, Séparation des usages Bureautique (Orion, ICASSO, ) & Administrateur Utilisation du partage ENVOL (ICASSO), Chiffrement des PC portables Encadrer les prestataires. 18
Et si nous nous protégions. ORION 2 (MAJ en 12h), Changement des mdp par défaut, ACID/TrueCrypt, Séparation bureautique / Admin, Utilisation du partage ENVOL, Chiffrement PC, Encadrer les prestataires. 19
Et si nous nous protégions. 20
Et si nous nous protégions. 21
Le faux sentiment de sécurité, la méconnaissance des référentiels, le non respect des règles fondamentales et l absence de contrôle régulier peuvent être lourds de conséquences... Un utilisateur averti constitue bien souvent la meilleure des lignes de défense Je vous remercie de votre attention Jean-Louis Ciry (RSSI Expertise / RCSSI Adjoint DSIC) 22