zombies - itiforums

[email protected]
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
Les défis… d’aujourd’hui
• La transformation profonde du S.I.
– virtualisation et délocalisation
– massification
• stockage
• big data
–
–
–
–
complexification
mobilité : BYOD, COPE, etc.
ouverture : Internet, open data
objets connectés
en forte accélération, met les neurones
du RSSI à rude épreuve.
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
Les défis… d’aujourd’hui
• Développement de la menace :
– techniques d’attaque sophistiquées et
furtives (phishing évolué, chevaux de Troie,
etc.),
– rebond au cœur des SI,
– marché noir de l’objet numérique dérobé,
– marché des moyens de nuisance : réseaux
de zombies, de failles 0 day,
– hacktivisme,
– structuration de l’économie souterraine,
– croissance des effectifs du côté obscur
ne tombent pas au meilleur moment !
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
• Appétence au risque : les utilisateurs, les clients,
veulent toujours davantage
• de fonctionnalités,
– virements internationaux,
– déblocage des plafonds CB,
– paiement par e-mail,
• de fluidité, de spontanéité
– mémorisation des mots de passe, voire pas de mot de passe,
– one-click buy,
– paiement instantané,
• de mobilité…
et de sécurité !!!
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
Une ancienne stratégie de protection…
 Est ce que cette stratégie de sécurité
 objectif
: 0 vulnérabilité
 un peu statique…
 assez pauvre en fonctionnalités,
 monotone à l’usage…
 et, un peu, sujette à contournement !
est encore viable face à la transformation digitale ?
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
Les limites de la défense statique
Si nous nous défendons
comme ça
CRiP Thématique Sécurité de l’informatique de demain
… nous nous ferons avoir
comme ça
03/12/14
Conception :
des a(p)ttitudes à développer
• Analyse de risque :
– bien comprise, un instrument d’agilité et de créativité par
opposition aux règles prédéfinies
– examiner objectivement les risques
– pas d’idées préconçues, être ouvert mais savoir… dire non
aussi
– POSSIBLE ! Mais RSSI et DSI doivent unir leurs forces.
• Mais on ne peut pas tout scripter. Dans la vraie vie,
nous ne planifions pas tout dans le moindre détail !
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
Une vie après la mise en prod
• Plus les systèmes sont fonctionnellement
riches, plus ils offrent de possibilités de fraude :
il faut travailler sur l’écosystème de l’application
– les contrôles en amont (enrôlement) et en aval (back
office, systèmes de paiement),
– l’observation des usages, la surveillance,
– avoir le courage de déployer => avoir le courage de
couper le service,
– adapter rapidement le système défaillant,
– bien communiquer !
– corréler la prise de risque et la capacité de réaction
=> architecture adaptée !
=> organisation adaptée!
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
Des savoir-faire à développer
• les données sont convoitées, ôtons leur tout
intérêt
– avènement de la désensibilisation (tokenization)
– développement exponentiel du recours à la
cryptographie, en particulier dans le cloud
• les terminaux sont imprédictibles : concevons
nos applications en conséquence !
• les candidats à l’intrusion sont nombreux,
repérons les !
• et intervenons rapidement !
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
Des savoir-faire à développer
Enfin, admettons que le pire puisse arriver, même
aux meilleurs !
Recours accru aux moyens de reconstruction rapide
des contenus des machines : clonage, snapshot.
CRiP Thématique Sécurité de l’informatique de demain
03/12/14
Merci de votre attention.
Avez-vous des questions
CRiP Thématique Sécurité de l’informatique de demain
03/12/14