Protection et fuite des données quelles sont les clés pour s en sortir McAfee Security Summit Paris, le jeudi 24 octobre 2013 Abdelbaset Latreche, Head of HP Enterprise Security Services Consulting France
Introduction Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Entreprises concernées: Energie Santé Média Industrie Telecom Finance Types de fuite de données Piratage Accident Vol Erreur Interne Types de données Financière, contractuelle Numéro de cartes bancaires Email, mot de passe Données personnelles 3
Etude HP Ponemon: Coût de la cybercriminalité Le coût de la cybercriminalité a augmenté de 78 % en quatre ans et les délais nécessaires pour faire face aux attaques ont plus que doublé Les entreprises françaises ont été confrontées à 26 attaques réussies par semaine Le temps de résolution moyen d un attaque informatique est de 32 jours Le vol d informations continue de représenter le coût externe le plus élevé, les interruptions d activité arrivant en seconde position Le rétablissement et la détection restent les activités internes les plus coûteuses Le coût de la cybercriminalité est sensiblement plus élevé dans les secteurs des services financiers, de la défense, de l énergie et des services publics Les investissements (RSSI, personnel certifié ou expert) peut réduire le coût de la cybercriminalité et permettre aux entreprises d économiser en moyenne 1,2 million euros environ par an 4
Etude HP Ponemon: Coût de la cybercriminalité 5
Etude HP Ponemon: Coût de la cybercriminalité 6
Quelles sont les clefs pour s en sortir? Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Quelles sont les données à protéger? L analyse des processus critiques de l organisation et des exigences de conformité doivent permettre d identifier les données à protéger et leurs typologies. Propriété Intellectuelle Confidentiel Business Réglementaire Conformité Nationale Procédés de fabrication Code source Méthodologie Design, plans, formules Information financière Fusions et acquisitions Employés Stratégie commerciale Payment Card Industry ASIP Santé NERC (US) Solvency II, Bâle III CNIL Directive Européenne RGS (en cours) FISMA (US) Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Où sont les risques? Données en repos Serveurs de fichiers Réseau de stockage (SAN/NAS) Lecteurs de bandes magnétiques Base de données Photocopieuse En mouvement (réseau) E-mail Messagerie instantanée Navigateur Web Transfert de fichier Technologie utilisateur IM Importance du cycle de vie de la donnée En cours d utilisation Ordinateur portable Lecteurs MP3 Smartphone Clé USB / Disque Dur Externe CDs / DVDs 9
Est ce que la donnée est classifiée? Catégorie Impact Gestion Exemple Mesures Secret La divulgation pourrait nuire gravement aux intérêts de l organisation Gestion selon des procédures bien définies, stockée uniquement dans un lieu chiffrés sous le contrôle de l administrateur Information classifiée par la loi (ex: OTAN, gouvernement) Utilisation de la cryptographie, coffre-fort, mémoire uniquement. Confidentiel La divulgation pourrait nuire aux intérêts de l organisation Gestion selon des procédures bien définies, accès restreint à des personnes ayant un motif approuvé Secret bancaire, données à caractères personnelles sensibles (santé) Utilisation de la cryptographie, stockage local non partagé, gestion des accès formellement gérés Restreint La divulgation pourrait être défavorable aux intérêts de l organisation Gestion de données à caractères personnelles (salaire) Documentation, Programme source Utilisation de la cryptographie, gestion des accès strictement gérés Interne La divulgation pourrait être parfois défavorable aux intérêts de l organisation Peut être transmis à d autres organisations Procédure de fonctionnement, guide utilisateur Utilisation et transmission libre en interne, la protection doit être assurée en cas de transmission en externe 10 Public Information dont la divulgation n est généralement pas préjudiciable Peut circuler librement car la donnée est accessible en dehors de l organisation Publication, données informatives Pas de contrainte sur l utilisation ou la transmission
Comment les incidents doivent être signalés et gérés? Identification des tiers Rôles et des responsabilités Gestion des violations Piste d audit Audit Conformité Quarantaine Faux positif Intégration au processus existant Processus dédié Audit interne Plan de remédiation Investigation Indicateurs de suivi et bon fonctionnement Intégration d une solution de prévention et de fuite des données Chiffrement des données Intégration à l analyse de risques Court terme Long terme 11
Cas n 1 : Diffusion par un tiers de confiance Un établissement de santé fait appel à un sous-traitant et lui confie ces données. Ce dernier les utilise dans le cadre de tests de régression de nouvelles applications en cours de développements. Ces données se retrouvent ensuite envoyées à l éditeur pour plus de tests le tout via un canal public. 12 Identification des données (électronique, papier ) et mise en en œuvre d un processus de suivi. Exigences contractuelles de protection des données sous la responsabilité du prestataire. Exigences ASIP Santé imposées au prestataires.
Cas n 2 : Employé malveillant Vol par un employé d un média contenant des données personnelles d une institution financière. Mise en vente de ces informations représentant environ 1000 employés sur un site Internet illégal. Mieux contrôler l accès et la transmission de données personnelles en mettant en place une solution de prévention des fuites de données (DLP). Mise en œuvre d un plan d assurance sécurité. 13
Cas n 3 : Conformité PCI DSS Fraude de données cartes bancaires via le système de réservation. Diffusion des données volées sur des sites spécialisés de revente Chiffrement et masquage des données cartes bancaires. Mise en place des exigences du Payment Card Industry. 14
Recommandations Identifier les priorités (risques majeurs ou conformité), le périmètre et l adhérence des équipes Réduire le périmètre si nécessaire lors des premières phases Le support et la communication avec la direction est un pré-requis Ne pas négliger les aspects juridiques, le CE et la CNIL Ne pas apporter qu une réponse technique un programme de protection de données L intégration d un programme de protection des données à un processus existant est recommandé sur le long terme 15
L approche HP ESS dans la Protection des Données et de la Vie Privée (DP&P) 16
Processus d amélioration Assess risque métier / conformité. Transform exigences dans la protection des données. Actionable Security Intelligence Optimize Réduction des risques. Manage gestion des incidents. De Réactif à Proactif dans la Protection des Données 17
Quelques pistes Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
CONTRÔLE La défense DOMAINE du château LA fort RÉALITÉ PARFOIS SOUVENT OBSERVÉE Défense en profondeur Firewall (réseau) VPN (Virtual Private Network) Protection périmétrique Protection périmétrique Efficace jusqu à l ouverture de ports et la mise en place d exceptions aux politiques de sécurité. Souvent géré par les équipes réseau. Certains utilisateurs externes ont besoin d un accès exceptions aux règles IAM (Identity Access Mgt) Authentification/Autorisation Certains partenaires utilisent un compte générique partagé entre plusieurs personnes IP (Intrusion Prévention Sys) Périmètre et Datacenter Souvent géré par les équipes réseau. Doit être contrôlé, adapté et reconfiguré presque chaque jour. Certaines applications doivent contourner les contrôles Anti-virus/Anti-Malware Protection «Host based» Efficace jusqu à la première attaque non détectée et non bloquée Firewall personnel Protection «Host based» Pas toujours actif Chiffrement disque Protection «Host based» Passerelle messagerie Services de proxy PCI (Payment Card Industry) Protection des communications Protection des communications Conformité ISO 19 27001 Copyright 2012 Hewlett-Packard Development Conformité Company, L.P. The information contained herein is subject to change without notice. Ne chiffre pas toujours tout le disque et protège principalement contre les attaques «physiques» N empêchent pas toujours les attaques de Phishing. Ne bloque pas toujours les accès aux site hostiles. Efficace sur ce qui est connu, certains XSS n on pas été bloqués Obligé de «patcher» chaque trimestre. Ça nous laisse 3 mois pour ne traiter uniquement que les vulnérabilités les + prioritaires. PCI ne donne pas toujours de budget sécurité On va passer l audit. Pour les risques acceptés on va mettre en place un plan. Si l auditeur demande, on le dira. Mais on est pas obligé de le dérouler. ISO ne donne pas de budget sécurité
Comment la technologie peut aider? Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Comportement des attaquants Des procédés qui laissent des traces Trouver les faiblesses d un dispositif de protection/contrôle Infiltrer un environnement S y intégrer en silence Se propager et/ou augmenter ses capacités Exécuter une malveillance Exécuter un programme Voler de la propriété intellectuelle Défaire Ajouter des ressources internes à un Botnet 21
Détection des comportements inconnus En fait nous ne savons pas ce que nous ne connaissons pas pas tout à fait vrai. Nous savons ce que à quoi sont destinés les services: Un serveur Web HTTP parle généralement sur le port 80 avec des adresses IP publiques Un serveur de messagerie SMTP accepte les mails entrants et sortant. Un VPN est souvent mis en œuvre pour un tunnel Business to Business On utilise les listes blanches des services connus (well know ports) On fait appel aux anomalies Net flow On s appuie sur les informations des firewalls pour détecter les anomalies.en fait on cherche à détecter les déviations 22
Détection des déviations On procède à une investigation sur un panel de menaces On crée des règles de corrélation avec ces cas d usage «ciblés» Les services HTTP doivent fonctionner sur le port 80 Le service SNMP ne devrait pas fonctionner sur une adresse IP particulière Un serveur avec sa base de données qui est utilisé généralement pour répondre à des requêtes d API de 300ko est en train maintenant d envoyer des donnés à un débit de 100Mo de données Cette information, ou ce service se destine à un pays qui ne devrait pas avoir accès.oui mais que fait ont des faux positifs / faux négatifs (moins connus) 23
Analytique a l aide des technologies de Big Data Contexte de fraude et de sécurité Fournit l intelligence dans l utilisation des empreintes permettant la visualisation et l investigation sur des réseaux, des activités ou des comportements à caractère hostiles et malicieux. Améliore les performances, contrairement aux capacités actuelles des utilisateurs métier qui essayent de résoudre les problèmes de fraude et de sécurité, tels que le vol de propriété intellectuelle ou d actifs de valeur. Permet l analyse des relations entre entités internes/externes et leurs attributs (par ex: utilisateurs, comptes, rôles, droits, machines, caractéristiques machines, ), et ceci à travers des données structurées et non structurées. 24
HP Enterprise Security CONTRER L ADVERSAIRE Durcissement de la surface d exposition Réduction des vulnérabilités des applications et des systèmes/équipements GÉRER LES RISQUES ET LA CONFORMITÉ Intelligence Voir, trouver les menaces connues ET inconnues ETENDRE LES MOYENS CAPACITAIRES Protection proactive de l information Protéger les informations sensibles au sein du système d information Security Technology Security Consulting Managed Security Services Security Research & Intelligence 25
Merci Questions? Toute Entreprise ou Organisation qui cherche à se protéger des menaces actuelles modernes doit mettre en place des moyens humains, techniques avec les bons processus, afin de de superviser, de détecter et de contrer les scénarios d attaques complexes Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.