éthique cybersécurité en entreprise Eric Dupuis eric.dupuis@orange.com Consulting & Hacking Team - Orange Cyberdefense
2 regards de l éthique cybersécurité dans l entreprise les salariés avec des missions sensibles dans l entreprise ou pour l entreprise des entreprises & des services Ethique dans l entreprise Ethique pour l entreprise «Ethique» de l entreprise 2
des métiers de la cybersécurité au métier «du hacker» Gouvernance, Risque, Conformité > RSSI > Juriste > Risk-manager > Spécialiste SMSI > Spécialiste référentiel d entreprise Ingénierie > Chef de projet > Architecte IT > Architecte réseau > Intégrateur de sécurité > Expert solutions Veille > Consultant veille menace > Ingénieur veille technique audit > Auditeur technique > Auditeur organisationnel intervention opération > Opérateurs et experts solutions > Opérateur SOC > > CSIRT > Opérateur Forensic > Analyste post incident 3
cybersécurité tapis rouge pour les hackers «savoir attaquer pour mieux se défendre!» 4
le triptype «hacker-risk» en entreprise fraude, déviance, vengeance et autres petits tracas de la nature humaine Accès aux données et processus sensibles de l entreprise (RH, stock, logistique, R&D, Finances ) «la qualité» et «probité» de l intervenant 5 confiance n exclut pas le contrôle
des «hackers» avec une éthique professionnelle «irréprochable»! Loi fondement du professionnalisme Entreprises Internationales différences sur l esprit des lois Déontologie Morale Ethique Différences culturelles Liberté / responsabilité individuelle 6
retour sur la culture «hacker» et une classification «mythique» des hackers de la sécurité Ethique du travail Ethique de l argent Nethique passion / implication non appropriation «intellectuelle» libre circulation du savoir Hackers Hacktivistes : Crackers Lamer Script-Kiddies 7 GREY : WHITE Hackers : Hackers exploitant travaillant leurs trouvailles à la sécurisation à des fins des de preuves et de démonstrations systèmes, BLACK : Hackers communiquant (pénétrations conservant aux réelles les éditeurs informations, dans leurs des systèmes ou etc.... sans trouvailles exploitant nuisance). et leurs Motivés en leur trouvailles par laissant le jugement à le des temps fins porté hostiles, de sur corriger eux par les autres avant hackers, parasitaires, de ils rendre communiquent maffieuses, publics leurs terroristes... leurs travaux. prouesses (consultants, afin de se faire valoir mais services ne dégradent de l états, rien, chercheurs) ne compromettent... rien, ne divulguent rien des données auxquelles ils auraient pu accéder
Direction pour dérober, pénétrer, attaquer,, données, processus, métiers sensibles Communication Production R&D Commerce Ressources Humaines Administratif & Financier 8
quelques missions et «extrapolations hasardeuses» White Hats, Grey Hats to Barbouze 2.0 stress-tests, audits de solutions, de produits, de sites web tests de pénétration entrainement d équipes SOC enquêtes internes (Direction du contrôle et de l audit) 9 missions de réponse pour la légitime défense des missions d analyse IES missions de rétroingénierie de lutte anti-plagiat missions de «private cyber- detective»
l intégration dans le champs des métiers sécurité dans un cadre léger mais «visible» d ingénierie et de méthodologie Administrateur Système Intégrité Objectivité Confidentialité Compétence Opérateur Informatique Opérateur Réseau Développeur Ingénieur SSI auditeur SSI Intégrateur Sécurité opérateur SOC Ethical Hacker Pentesteur... Auditeur technique sécurité 10
Formation & Certification amélioration et validation des compétences de nombreuses et grandes écoles d ingénieurs des «Newbies» consolidation d expertises techniques BAC+5 Alternance Licence de spécialisation 11 Certified Ethical Hacker (CEH, LPT) GIAC (Global Information Assurance Certification) Penetration Tester (GPEN) Offensive Security Certified Professional (OSCP) des expérimentés expérience & certifications professionnelles
faire appel à des «Ethical Hackers» dans un contexte «contractuel» d expertise ou d audit Métier Equipe C onform ité référentiel de déontologie référentiel méthodologique référentiel métier de l audit (ISO 19011, ISO27001) intégration professionnelle dans une équipe cadre métier avec «ces valeurs» mentor et management par le défi revues d éthique cadre légal espace contractuel borné sur les responsabilités, les assurances. charte d éthique client 12
un référentiel de l Agence Nationale SSI Audit organisationnel et physique audit de conformité (27K, PCI/DSS, RGS ) Auditeurs Gouvernance, Risques, Conformité PCI/DSS, RGS, ISO Architectes IT & SEC Cloud, Application, Infra, réseau Auditeurs techniques Ethical Hackers Tests d'intrusion Audit d Architecture Audit de configuration cyberprofiling, menace globale, scénario défense en profondeur, architecture crypto et PKI, IAM Audit de code source études ciblées & orientées Web et Mobile configuration des équipements de bordure, des équipement s terminaux le référentiel PASSI Prestataires d Audit Sécurité des Systèmes d Information 13
Orange Hats Cyberdefense Team questions?