Comment gérer au mieux les enjeux souvent contradictoires de la mobilité croissante et des nouvelles menaces de sécurité? Michel Juvin Remerciements à A.Chilloh, KH.Dang-Heudebert, M.Denfer, E.Vautier, Y.Aillerie(Intel) et PL.Refalo(Hapsis)
Lafarge en quelques chiffres Extrait de www.lafarge.com (résultat au 31/12/2012) Chiffrés clés pour l'exercice Chiffre d'affaires en hausse de 3,5 % à 15 816 M EBITDA en progression de 7 % à 3 450 M Résultat d'exploitation courant en hausse de 12 % à 2 440 M Résultat net part du Groupe à 432 M 68000 Employés 64 Pays 2
Agenda Le phénomène BYOD Univers en mutation technologique Industrialisation des menaces Comment faire face Propositions 3
Le phénomène BYOD Le nouvel environnement des utilisateurs : travailler de n importe où, n importe quand avec n importe quel appareil connecté Différence entre BYOD(Bring your own device) => au bureau (mais plus les smartphones que PC) Et USOD(Use yourowndevice) => n importe où! Et BYON(Bring Your Own Network) dans son environnement de travail Les utilisateurs achètent des ios, BlackBerry et des Android Ils n ont pas techniquement la main sur ces équipements qui sont verrouillés et peu contrôlable Les accès à Internet bypassent ceux qui sont définis par le service IT La surface d attaque du SI augmente! Les RSSI doivent faire face à de nouveaux challenges 4
Univers technologique en pleine mutation Où sont les données? Intranet Entreprise Contrats SaaS Cloud RSE EU Safe Arbor PaaSou IaaS RSE FAI Données personnelles 5
Le nombre de malware pour les mobiles explose Répartition des malware détectés sur les appareils Android des utilisateurs par famille, Q3 2012 Ces statistiques montrent que les auteurs de virus sont de plus en plus axés sur le développement de malware pour appareils mobiles (McAfee) Près de la moitié (49%) de ces programmes malveillants ciblant les appareils Androïdsont des chevaux de Troie (Kaspersky) «En 2012, 33% des familles de malwares que nous avons trouvés n'essayaient pas de faire de l'argent, contre 67% destinés à dégager un profit» (F-Secure) http://www.kaspersky.com/about/news/press/2012/android_under_attack Malware_Levels_for_Googles_OS_Rise_Threefold_in_Q2_2012 http://www.f-secure.com/static/doc/labs_global/research/mobile%20threat%20report%20q4%202012.pdf http://www.mcafee.com/fr/resources/reports/rp-quarterly-threat-q4-2012.pdf 6
L industrialisation des menaces Par la messagerie, les navigateurs, les plugins, les OS, etc.. Sophistication Virus récent Virus Zéro Day Spam ciblé Attaque ciblée Attaque ciblée multi-facteurs Usurpation d identité Spam classique (société) Ransonware Scam419* DDoS «Ancien» virus Vol de Device *: 419 refers to the Nigerian Criminal Code Efficacité 7
Sophistication L industrialisation des menaces par la messagerie + Apps/faux site Internet Virus récent Virus Zéro Day Spam ciblé Attaque ciblée Usurpation d identité Spam classique (société) Ransonware Scam 419* DDoS «Ancien» virus Attaque ciblée multi-facteurs Attaque credentials DNS Usurpation d identité (personne) Vol de Device Technologie Naïveté *: 419 refers to the Nigerian Criminal Code Efficacité 8
Comment faire face? A une augmentation de la taille/nombre des informations et bases de données, OpenData, BigData, M2M, A un excès de confiance des utilisateurs A une «fatalité» acceptée A une complexité pour les non Geek (évolution générationnelle) A un manque de représentation/connaissance de la valeur de l information électronique* A des usages qui ouvrent des portes béantes pour les hackers Sachant que Moins d interdit Plus d agilité dans la technologie Plus interaction avec les autres «Je veux tout et maintenant» *: ICdVal-CLUSIF 9
Implication des CTOs En quoi tous ces problèmes vous impactent-ils? Est-ce visible sur vos indicateurs de performance? Vous recevez trop de messages contradictoires Firewall, filtrage URL Application - cohérence avec l infrastructure Donner un accès aux mails confidentiels sur des mobiles peu sécurisés pour 10
Proposition 1 (1/2) Répondre à la sophistication des attaques Définissez une stratégie efficace Définition des objectifs entre : CIO, CTO, CSO et CISO Protégez les données et pas les appareils Ne cédez pas à la facilité Pensez à la virtualisation des postes de travail (VDI) Centralisation des données et de la sécurité L appareil de l'utilisateur n'est jamais directement connecté au SI de l'entreprise (étanchéité secure by design) Les utilisateurs sont libres d utiliser n importe quel appareil mobile Etablir des profils en fonction du contexte Respect de la Politique de sécurité 11
Proposition 1 2/2 Préparez-vous à gérer les attaques Anticiper Définir ses «barrières» de sécurité (en fonction de l activité de l entreprise AntiVirus, AntiSpam, Firewall, Serveurs sécurisés, URL Filtering, IDS, IPS, DLP, VLAN, VPN sécurisé, Faire du monitoring des fonctionnalités mises en place : SIEM Développer des procédures de contrôle Internes pour s assurer de l efficacité Gérer Organiser la gestion des incidents (Cf. CISM) Identification de l attaque - Corrélations d événements Localisation de l attaque - Limitation de l impact Organisation des équipes internes de support Communication interne et externe Organisation du «dialogue» avec l ennemi 12
Proposition 2 Réduire l impact de la naïveté Comment faire pour aider les employés à protéger l information/innovations Eveiller et sensibiliser les utilisateurs quant aux risques pris lors de l utilisation de l information Formation régulière (1) sur les technologies utilisées lors des attaques Avoir un Officier de Protection du Capital Informationnel de l entreprise (ou une cellule par délégation) pour répondre aux questions des utilisateurs (24/7) Mettre en place une supervision de l information au long de son cycle de vie (2) Définir des solutions pour gérer le capital informationnel, de la création au stockage/destruction en passant par l utilisation Prise de conscience de la direction de l entreprise pour que le Directeur de la Protection du Capital Informationnel puisse «parler» à tous les employés (1) : formation obligatoire tous les ans chez Intel (2): http://www.intel.com/content/www/us/en/enterprise-security/xeon-core-better-security-drives-innovation-paper.html 13
Proposition 3 L information est critique, protéger la Politique de gestion de l information Identification des informations critiques pour l entreprise Cf ISO 27002 7 Asset classification (data classification schema) 15 Compliance(Data retention Guidelines) Procédure de gestion des informations critiques Assister les utilisateurs avec une solution de type DLP Contrôler son application (ressources) Etablissement d une charte informatique (tous les 2 ans) Mise à jour très régulièrement (appareils personnels, réseaux sociaux, ) Porter votre attention aux «VIP», «Geek» et/ou les «Earlyadopter» Créer un Intranet sécurisé pour les informations critiques de l entreprise 14
Proposition 4 Créer un climat de confiance Rapport sur l activité de supervision des infrastructures avec un angle Protection du Capital Informationnel Comment je protège les informations critiques de l entreprise? Comment j identifie des actes de malveillance? Comment j informe des solutions techniques à utiliser en fonctions des menaces? En cas d attaque, sauvegarder le contexte pour les actions en justice 2803/2013 (version publiée) CRiP-Michel Juvin -CESIN 15
Conclusion Vieux dictons -remis au goût du jour «n écrit jamais dans un email ce que tu n écrirais pas au dos d une carte postale» Questions / réactions? 16