Nom de l’évènement date

Stratégie d’une cyber défense EBIOS / ISO27005 Comment agir à la vitesse des électrons ! Nom de l’évènement date

La Cyber défense exemple d’emploi La Russie attaque l’Estonie avant l’invasion Attaque Conficker Attaque de Google par la Chine Le 8 avril 2010, la Chine détourne vers elle 15% du trafic Internet mondial Stuxnet => attaque des systèmes industriels Attaque des réseaux électriques américains Partisans Wikileaks attaquent les banques Cyber attaque = Acte de piraterie? Acte de guerre? Nom de l’évènement date

2010 , La Chatham House publie un rapport sur la cyber-guerre intitulé "On Cyberwarfare". 4 points essentiels : distinguer le champ de la cyber-sécurité de celui de la cyber-guerre ; le cyberespace doit être considéré comme le "5ème champ de bataille" ; la cyber-guerre est asymétrique et offre une puissance disproportionnée à toute sorte d'acteurs Le domaine est encore aujourd'hui mal compris par la classe politique Nom de l’évènement date

Plan EBIOS / ISO 27005 Gestion du risque Différences et convergences Gestion du risque Définition du risque Méthode EBIOS Le Risque appliqué à la Cyber défense Cyber défense, risques particuliers Planification de sa stratégie Principales difficultés Vision multi-niveau vision mondiale Nom de l’évènement date

EBIOS / ISO 27005 EBIOS Expression des Besoins et Identification des Objectifs de Sécurité : Méthode de gestion des risques de l'ANSSI. ISO 27005 Lignes directrices relatives à la gestion de risque. Absence de méthodologie spécifique. Dérive très fortement de la méthode EBIOS (notion de menace) grâce à une importante implication de l’ANSSI dans sa définition. Nom de l’évènement date

Gestion du risque Un risque est la possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et nuise donc à l’organisation. Le risque est mesuré en termes de combinaison entre la vraisemblance d’un événement et ses conséquences. R = M x V - Risque = Menace x Vulnérabilité M = S x A - Menace = Source/Origine x Méthode attaque nR = R x P x I - Niveau de risque = Risque x Probabilité x Impact Nom de l’évènement date

Méthode de définition du Risque EBIOS Nom de l’évènement date

Processus de gestion des risques ISO 27005 Nom de l’évènement date

Processus de gestion des risques ISO 27005 Critères d’évaluation du risque Il convient d’élaborer des critères d'évaluation du risque afin d'évaluer le risque de l'organisme en sécurité de l'information en prenant en compte les éléments suivants : • la valeur stratégique des processus informationnels métier, • la criticité des actifs informationnels concernés, • les exigences légales et réglementaires ainsi que les obligations contractuelles, • l’importance opérationnelle et métier de la disponibilité, de la confidentialité et de l’intégrité, • les attentes et les perceptions des parties prenantes ainsi que les conséquences négatives sur la valorisation financière et la réputation de l’organisme. En outre, les critères d’évaluation du risque peuvent être utilisés pour spécifier les priorités du traitement du risque. Critères d’impact Il convient que les critères d’impact soient élaborés et spécifiés en fonction du niveau de dommages ou de coûts pour l’organisme pouvant être causés par un événement lié à la sécurité de l’information, en tenant compte des points suivants : • le niveau de classification de l’actif informationnel impacté, • l’atteinte à la sécurité de l’information (par exemple, une perte de confidentialité, d’intégrité et de disponibilité), • les erreurs opérationnelles (équipes internes ou tierces parties), • la perte d’activité métier et de valeur financière, • la perturbation des plans d’actions et des délais, • les atteintes à la réputation, • le non respect des exigences légales, réglementaires ou contractuelles. Nom de l’évènement date

Le Risque appliqué à la Cyber défense Faire de la cyber défense c’est considérer que le risque n’est plus probable mais qu’il est présent le risque est généré par une menace humaine et définie les vulnérabilités du système sont connues par l’adversaire Nom de l’évènement date

Processus de cyber défense Détecter l’attaque Comprendre la méthode d’attaque Identifier l’attaquant Technique - Diplomatique Corriger les vulnérabilités Technique - Organisationnel Bloquer l’attaquant Technique - Diplomatique - Juridique Riposter Technique - Juridique Nom de l’évènement date

Planification Détecter ou anticiper une attaque : Remontées d’informations techniques, suffisantes et centralisées. Moyens humains de grande qualité, la technique ne remplace pas l’interprétation humaine Moyens humains en quantité Comprendre une attaque Moyens humains de grande qualité Réseaux d’experts (CERT, CERTA…) Nom de l’évènement date

Planification Mise en œuvre des moyens internes : Disposer d’un plan de réduction de vulnérabilité Disposer d’un MCS industriel Redonder les moyens de communication interne Disposer d’un PRA/PCA Anticiper les moyens techniques de blocage Mise en œuvre des moyens externes Anticiper les relations externes (diplomatiques, juridiques et techniques) Anticiper les solutions diplomatiques et juridiques de blocage Définir des canaux de communication sécurisés Nom de l’évènement date

Difficultés Délocalisation de l’attaquant Attaquant innocent Comment riposter lorsque l’attaque est perpétrée à partir d’un serveur localisé dans un Etat neutre ? Attaquant non-étatique ne possédant aucun actif stratégique, réduisant ainsi à néant toute possibilité ou volonté de riposte. Base de représailles difficile à identifier. Attaquant innocent Comment condamner un usager sur le sol Français dont l’ordinateur a été piraté à son insu. Nom de l’évènement date

Entrainement Entrainement difficile, guerre facile : Il est vital d’entrainer les équipes et la direction. Faire des tests d’intrusion réguliers et vérifier les capacités de détection des équipes. Jouer au moins 1 fois par an les PCA et PRA. Jouer les chaines de communications redondés. Jouer régulièrement et réellement les chaines de communication avec l’extérieur. Nom de l’évènement date

Entrainement de la DIRISI Entrainement difficile, guerre facile : OTAN : Cyber Storm (novembre). UE : Cyber Europe (novembre) Franco-Français : Piranet (Septembre) La défense : PainVain (mai et décembre) Nom de l’évènement date

Les travers à éviter Ligne Maginot : Surestimer les moyens nécessaires Le routage IP a été conçu pour contourner les lignes Maginot. On ne maitrise jamais vraiment ses réseaux : modem oublié, télé-administration, réseau secondaire etc. Surestimer les moyens nécessaires Le niveau de compétence nécessaire aux attaque est en perpétuelle baisse. Existence de communautés structurées de pirates Rapport cout efficacité important pour l’attaquant Nom de l’évènement date

Conclusion Définir une stratégie de cyber défense c’est : déterminer et maintenir une organisation et des responsabilités relatives au processus de gestion du risque, élaborer un processus de gestion du risque SSI adapté à l'organisme, identifier et analyser les parties prenantes, définir les rôles et responsabilités de toutes les parties, à la fois internes et externes à l’organisme, établir des relations entre l’organisme et les parties prenantes; hiérarchique, technique, juridique, et opérationnel déterminer des processus d’escalade, spécifier des enregistrements à conserver. Nom de l’évènement date

Questions ? Nom de l’évènement date