THALES a global and trusted partner in Cybersecurity

Slides:



Advertisements
Présentations similaires
PHARMACOVIGILANCE PHARMACOVIGILANCE 4 sessions par an Contacts :  :  :
Advertisements

Gestion des opérations import-export Chapitre 1 L’organisation des opérations logistiques Maison d'éducation de la Légion d'honneur.
Protocole de gestion de dysfonctionnements Françoise JEGADEN Assistante Sociale Grand Port Maritime Le Havre.
Les journées de l’2015 Le Model-Based Design Une approche complète en sciences industrielles de l’ingénieur Frédéric MAZET Lycée Dumont d’Urville Toulon.
LE DEVELOPPEMENT AUTREMENT
LA SURETE DANS L' ENTREPRISE Intervention du
Arnaud David Juriste Senior - Microsoft
Ch. 4 La formation professionnelle
La règlementation en matière de transfert de données
Sites Internet et Protection des données à caractère personnel
Rapport d’activité APIM – 2015/2016
Organisation pour l'Opération de demain Equipe Opération
Les axes directeurs de la rénovation
Nancy 26 sept 2016 Avec le soutien de.
Planification de la production
ENSEIGNEMENT D’EXPLORATION S.I. Sciences de l’Ingénieur
PORTEFEUILLE DE COMPETENCES
Information et Système d’Information
L’ organization comme fonction de gestion
Vers une nouvelle gouvernance de la donnée personnelle
Marketing opérationnel et stratégique
Evolutions réglementaires en cours
Projet Professionnel Personnalisé
Maîtriser la qualité en conception
Amélioration de la qualité des forfaits
PROJET DE RAPPORT DE L’EXERCICE N°1 PRESENTE PAR LE GROUPE N°2
le plan de continuité d’activité ( le pca )
Et la vie lycéenne Vous présentent.
Ecole supérieure privée d’ingénierie et de technologie Année Universitaire Projet: EFQM Réalisé Par: kbada Haythem Bchir Ahmed Znaidi Maher.
Et la vie lycéenne Vous présentent.
Planification de la production
D2CMI Conseil et formation en maintenance industrielle
Matière EVALUATION ET MANAGEMENT DES PROJETS MONSIEUR BENCHIKH Maître de Conférence « A » - HDR Docteur en Sciences de Gestion à (IAE de Poitiers - France)
Université sultan Moulay Slimane Faculté Polydisciplinaire Béni Mellal MASTER SPÉCIALISÉ MANAGEMENT DES RESSOURCES HUMAINES MODULE :La Gestion Prévisionnelle.
L’USAGE DE L ’OUTIL INFORMATIQUE EN PREMIERE INFORMATION ET GESTION & EN TERMINALE COMPTABILITE ET FINANCE D’ENTREPRISE Le traitement de l’information.
Protégez l’entreprise contre les attaques informatiques
Capitalisation des bases de données des expériences innovantes
TERMINALE STG GSI (Gestion des systèmes d’information)
Présentation au COTER Jeudi 7 décembre 2017
Renaud Duysens (L’Oréal Libramont s.a.)
CYFORPRO Cyber Formation & Protection
Directrice de la Conformité
LE RÉFÉRENTIEL LES 4 BLOCS DE COMPÉTENCES
Stratégie Globale de Formation
Mise en place d’une gestion de type ERP
Le Règlement européen général sur la protection des données (RGPD)
Linked Data – les données sur le web pourquoi et comment?
SCM Supply Chain Management.
Le Règlement Général sur la Protection des Données personnelles (RGPD)
Le département QIF Qualité, Innovation, Fiabilité
Règlement général sur la protection des données
BTS Aéronautique Les stages en entreprise En 2 ème année : stage d’ingénierie. Deux stages en entreprise, à finalités différentes, sont organisés au cours.
RÉUNION DU CONTRIBUEZ À L'ADAPTATION DES EMPLOIS ET DES COMPÉTENCES ! 1.
RESPONSABLE DE SALLE.
Bilan de projet pour [Nom du projet]
Depuis le 5 mai 2018, ce Règlement …
La collecte d’informations Présenté par: Boudries. S.
4. Traçabilité L’exigence de sécurité et de qualité jointe à l’informatisation des procédures a conduit au traçage des produits, des procédures et des.
Baccalauréat Professionnel: Pilotage de Lignes de production. Grâce à des contenus de formation très larges, ce Bac donne accès à l’ensemble des secteurs.
La Sécurité Des Systèmes D’informations
Décrire son modèle économique
Concepts et étapes Ateliers de formation à la mise en œuvre
Innovation et son rôle dans l‘entreprise Préparé par : Mariem Bransi Sihem … Classe :
Projet CRImage UNIVERSITE STENDHAL GRENOBLE
PAF Guillaume Martin - Fabrice Cizeron - Xavier Roulot
UX DESIGN User exprérience en anglais Expérience Utilisateur en français Concevoir, Créer, dessiner UX DESIGN, consiste à penser et concevoir un site web.
BTS Aéronautique Les stages en entreprise En 2 ème année : stage d’ingénierie. Deux stages en entreprise, à finalités différentes, sont organisés au cours.
Transcription de la présentation:

THALES a global and trusted partner in Cybersecurity Problématique de formation des opérateurs face aux menaces Cyber : utilisation des Cyber Range C&ESAR 2017 RENNES 28 Novembre 2017 E.WEBER THALES a global and trusted partner in Cybersecurity

Les chaines de détection/réaction Cyber Face au perfectionnement des attaques les chaînes cyber se complexifient Humain Technologies Processus

Les challenges d’aujourd’hui Comment les sélectionner Où les positionner Comment les configurer Quels risques … TECHNOLOGIES Comment les recruter Comment les former Comment les entraîner Comment les évaluer Comment les motiver RESSOURCES HUMAINES PROCESSUS Comment les évaluer Comment les faire évoluer REGLEMENTATION Comment être conforme Comment le prouver

Et du côté des hackers … L’attaque massive L’attaque furtive Rapide Destructive Nécessite la mise en place d’actions réflexes pour protéger le réseau L’attaque furtive Discrète Noyée dans les flux légitimes du réseau Temps long Nécessite l’analyse d’une grande quantité d’information pour la détecter

Cyber Range définition Environnements de « simulation » qui permettent de recréer virtuellement des systèmes informatiques complexes en conservant un très haut niveau de réalisme Evaluation Recherche Entrainement Cyber Range

Cyber Range Architecture Entrainements Challenge Définition scenarios Administration Stockage Access management Virtualisation Interconnexion de systèmes Générateur de trafic Lien avec la CTI Produits réels Création de topologies et scénarios Gestion des étudiants Maintenance Topologies réseau Malware Pack Cybels Range Architecture is divided in 3 main parts: a Core Platform, the Functionalities and the Usage The Core platform has 3 main components: 1. The platform can virtualize the environment with 90/99% approximation to the reality 2. Simulate the legitimate traffic in which malicious attack can be hided, in simulations operators will be asked to find what is legitimate and what is malicious traffic 3. The platform is able to integrate in his environment real products to have an even higher realistic simulation

L’analogie avec le simulateur de vol Former les pilotes pour les habituer à réagir aux situations imprévues Sans risques pour les personnes ou les appareils À un prix inférieur. Se confronter à la réalité d’une attaque dans un monde immersif sans attendre de la rencontrer dans la réalité Apprendre comment réagir face à l’attaque Gagner en expérience et connaissance impossible à acquérir autrement Sans risque sur le réseau de production En maîtrisant les coûts de formation des opérateurs

Le framework NIST Identifie Protège Détecte Répond Répare

Le framework NIST Identifie Protège Détecte Répond Répare Tests de produits Tests d’architecture

Le framework NIST Identifie Protège Détecte Répond Répare Tests de produits Tests d’architecture Formations Entrainements Challenge

Le framework NIST Identifie Protège Détecte Répond Répare Tests de produits Tests d’architecture Formations Entrainements Challenge Test du plan de remédiation

L’intérêt d’utiliser un Cyber Range Tests TECHNOLOGIES Organisation de challenge Formation Entrainement Organisation d’exercices RESSOURCES HUMAINES PROCESSUS Organisation d’exercices REGLEMENTATION Entrainements/tests

Exemple concret Formation des opérateurs de communications d’une frégate Equipement radio SCADA AUT

La réglementation RGPD L’obligation de documenter toutes les mesures et procédures en matière de sécurité des données. Le renforcement des mesures de sécurité. Les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place les mesures adéquates pour la garantir (« pseudonymisation » des données, analyses d’impact, tests d’intrusion…). La mise en avant du principe de « Privacy By Design ». prendre toutes les mesures permettant de protéger les droits des personnes en amont (= dès la conception d’un produit ou d’un service) et tout au long du cycle de vie des données (de leur collecte à leur suppression). L’encadrement des sous-traitants. Les entreprises devront choisir des sous- traitants présentant des garanties suffisantes. En cas de faille de sécurité au niveau du sous-traitant, ce sera l’entreprise cliente (= le responsable des traitements) qui sera tenue pour responsable. Le RGPD instaure en fait un régime de coresponsabilité des sous-traitants. La notification en cas de faille de sécurité (data breach). Les entreprises auront pour obligation de mettre en place des actions en cas de violation de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée. En cas de faille de sécurité, l’entreprise devra la notifier à l’autorité de régulation compétente (en France, la CNIL) dans un délai de 72h. Dans certains cas les tests d’intrusions sont compliqués à mettre en œuvre : remplacement par des tests sur CR Formation et entrainement sur CR Le maître d’œuvre peut demander des entrainements et de la formation des opérateurs sur CR

Conclusions Cyber Range : une brique nécessaire dans l’arsenal Cyber pour répondre à l’évolution constante des attaques. Les formations, entraînements, exercices complètent pour l’aspect humain : Les audits d’homologation Les tests d’intrusion Le maintien en condition de sécurité (MCS) Une certification sur Cyber Range doit être envisagée dans le cadre de la réglementation

Les challenges pour demain Comment garantir la qualité des entrainements sur CR Définir des modèles d’évaluation et de certification nationaux Evaluer individuellement en conservant l’esprit d’équipe « La connaissance s’acquiert par l’expérience, tout le reste n’est que de l’information. » (Albert Einstein)

Ce qu’il ne faut plus faire

Questions ?