zombies - itiforums
Transcription
zombies - itiforums
[email protected] CRiP Thématique Sécurité de l’informatique de demain 03/12/14 Les défis… d’aujourd’hui • La transformation profonde du S.I. – virtualisation et délocalisation – massification • stockage • big data – – – – complexification mobilité : BYOD, COPE, etc. ouverture : Internet, open data objets connectés en forte accélération, met les neurones du RSSI à rude épreuve. CRiP Thématique Sécurité de l’informatique de demain 03/12/14 Les défis… d’aujourd’hui • Développement de la menace : – techniques d’attaque sophistiquées et furtives (phishing évolué, chevaux de Troie, etc.), – rebond au cœur des SI, – marché noir de l’objet numérique dérobé, – marché des moyens de nuisance : réseaux de zombies, de failles 0 day, – hacktivisme, – structuration de l’économie souterraine, – croissance des effectifs du côté obscur ne tombent pas au meilleur moment ! CRiP Thématique Sécurité de l’informatique de demain 03/12/14 • Appétence au risque : les utilisateurs, les clients, veulent toujours davantage • de fonctionnalités, – virements internationaux, – déblocage des plafonds CB, – paiement par e-mail, • de fluidité, de spontanéité – mémorisation des mots de passe, voire pas de mot de passe, – one-click buy, – paiement instantané, • de mobilité… et de sécurité !!! CRiP Thématique Sécurité de l’informatique de demain 03/12/14 Une ancienne stratégie de protection… Est ce que cette stratégie de sécurité objectif : 0 vulnérabilité un peu statique… assez pauvre en fonctionnalités, monotone à l’usage… et, un peu, sujette à contournement ! est encore viable face à la transformation digitale ? CRiP Thématique Sécurité de l’informatique de demain 03/12/14 Les limites de la défense statique Si nous nous défendons comme ça CRiP Thématique Sécurité de l’informatique de demain … nous nous ferons avoir comme ça 03/12/14 Conception : des a(p)ttitudes à développer • Analyse de risque : – bien comprise, un instrument d’agilité et de créativité par opposition aux règles prédéfinies – examiner objectivement les risques – pas d’idées préconçues, être ouvert mais savoir… dire non aussi – POSSIBLE ! Mais RSSI et DSI doivent unir leurs forces. • Mais on ne peut pas tout scripter. Dans la vraie vie, nous ne planifions pas tout dans le moindre détail ! CRiP Thématique Sécurité de l’informatique de demain 03/12/14 Une vie après la mise en prod • Plus les systèmes sont fonctionnellement riches, plus ils offrent de possibilités de fraude : il faut travailler sur l’écosystème de l’application – les contrôles en amont (enrôlement) et en aval (back office, systèmes de paiement), – l’observation des usages, la surveillance, – avoir le courage de déployer => avoir le courage de couper le service, – adapter rapidement le système défaillant, – bien communiquer ! – corréler la prise de risque et la capacité de réaction => architecture adaptée ! => organisation adaptée! CRiP Thématique Sécurité de l’informatique de demain 03/12/14 Des savoir-faire à développer • les données sont convoitées, ôtons leur tout intérêt – avènement de la désensibilisation (tokenization) – développement exponentiel du recours à la cryptographie, en particulier dans le cloud • les terminaux sont imprédictibles : concevons nos applications en conséquence ! • les candidats à l’intrusion sont nombreux, repérons les ! • et intervenons rapidement ! CRiP Thématique Sécurité de l’informatique de demain 03/12/14 Des savoir-faire à développer Enfin, admettons que le pire puisse arriver, même aux meilleurs ! Recours accru aux moyens de reconstruction rapide des contenus des machines : clonage, snapshot. CRiP Thématique Sécurité de l’informatique de demain 03/12/14 Merci de votre attention. Avez-vous des questions CRiP Thématique Sécurité de l’informatique de demain 03/12/14