4 - CyberDéfense Quelles protections ? (Cybersecurity cursus)
Cette présentation Afin de comprendre comment implémenter la cyberdéfense, il faut savoir ce qu’il faut déployer Nous allons voir dans cette présentation les positions étatiques, les mesures préventives et curatives, les cyberarmes, la cybersécurité active
Agenda Position étatique et vision politique Vision militaire / Civile / Européene Etre informé : Exemple de sites Les CyberArmes et HoneyPots La normalisation et les Standards Augmenter la résilience – Exemples Conclusion by démo
Position étatique Rapport Bockel en 2012 La prévention et la réaction aux cyberattaques a été identifiée comme une priorité majeure dans l’organisation de la sécurité nationale française http://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la- france/defense-et-securite/cybersecurite/ Rapport Bockel en 2012 (voir fichier Pdf des 10 commandements)
Vision politique L’Union Européenne a défini en 2006, puis 2009 : EPCIP - European Programme for Critical Infrastructure Protection Chaque infrastructure critique identifiée doit disposer d’un OSP (Operator Security Plan) : identification des actifs, analyse de risques et de vulnérabilités, procédures et mesures de protection ENISA (Agence de sécurité européenne) Les USA ont commencé à mettre en place une doctrine en 1996 (programme CIP), étendue en 2001 dans le ‘Patriot Act’ The National Initiative for Cybersecurity Education (NICE) http://csrc.nist.gov/nice/
Vision militaire vs civile ‘Pearl Harbor électronique’ Atteinte aux intérêts vitaux de l’Etat Cyberterrorisme Industrie : Vol de propriété intellectuelle Perte d’exploitation Cybercriminalité
Et l'Europe ? Pour les opérateurs d'infrastructures critiques il faut définir un cadre et des normes claires, pour les autres entreprises, les répercussions étant moins évidentes, il apparaît suffisant de fournir des recommandations. Mais au-delà de l'Etat, c'est même l'union européenne qui va nous imposer demain cette « hygiène informatique élémentaire » que prônait l'ancien patron de l'ANSSI : P. Pailloux. Une directive de l'UE relative à la sécurité des réseaux et de l'information est disponible http://ec.europa.eu/digital-agenda/en/news/eu- cybersecurity-plan-protect-open-internet-and-online- freedom-and-opportunity-cyber-security
Exemple de news sur le Hacking Nombreux sites Internets sur les hacking www.zataz.com http://thehackernews.com http://www.ehackingnews.com/ http://www.hackersnewsbulletin.com/ http://hackingnews.com/
Exemple de news sur les exploits Nombreux sites Internets sur les exploits http://www.exploit-db.com/ http://www.offensive-security.com/ http://www.rapid7.com/db/ http://cxsecurity.com/exploit/
Le futur de la cyber sécurité le développement de cyberarmes ? Ne dit-on pas que la meilleure défense, c'est l'attaque ? En termes techniques, dans la sphère cyber, il faut avoir un très haut niveau de compétence dans les différentes attaques pour pouvoir les parer. A cet égard, rares sont les spécialistes du domaine qui n'ont pas d'abord une expérience de hacker (« black » ou « grey » hat!) ou qui s’adonnent à ce qu'il est commun d’appeler du pentesting (test de pénétration). Dès lors les pays et structures qui ont une connaissance avancée dans le domaine de l'offensive sont certainement mieux préparés pour empêcher ou contrer une attaque et donc assurer leur sécurité.
Défense active : Les ‘HoneyPots’ Piège logiciel volontairement vulnérable Emulant du matériel avec des ‘exploits’ Réception de ‘Payload’ Analyses des attaques Génère des flux d’avertissements aux IPS Se déploie facilement Standard : MHN – Modern HoneyPots Network Voir aussi les CanaryTraps
Vidéo : 41-Honeypot_conpot Les ‘HoneyPots’ Vidéo : 41-Honeypot_conpot
Standard & Norme ANSI/ISA-99 Spécifications issues des travaux de l’ISA (Instrumentation, Systems and Automation Society) et de l’ISCI (ISA Security Compliance Institute) Programme de certification ISASecure des PLC (Programmable Logic Controller), DSC (Distributed Control Systems) et SIS (Safety Instrumented Systems) Concept-clé : “Zones & Conduits” pour pouvoir implémenter une défense en profondeur Chaque zone doit avoir sa propre politique de sécurité et son évaluation de risques
Augmenter la résilience Les recettes classiques : politiques de sécurité, analyse de vulnérabilités, évaluation de la sécurité & audit, traçabilité & journalisation des événements gestion de crise et exercice de simulation gestion du facteur humain Des recettes spécifiques : Séparer, cloisonner et étanchéifier les sous-systèmes Définir des zones de sécurité avec des politiques et des contrôles/audits différents Analyser de manière pro-active les menaces et les risques Contrôler l’intégrité du code (PLC…)
L’exemple Airbus Safety (sûreté): Respecter les réglementations, gérer les pannes (températures, pannes matérielles), envoyer automatiquement un rapport de panne au sol en cas d'avarie, et globalement tout ce qui touche à l'avion en lui-même. Security (sécurité): Se protéger des actes malveillants. Les menaces sont diverses, allant des clandestins (personnes ou bagages), ou encore vis à vis des attaques depuis le sol (missiles). Une PKI est déployée sur tous les A380, entre autre pour signer les logiciels embarqués
Exemple d’architecture
LES 15 CYBERMENACES LES PLUS IMPORTANTES 1.Les drive-by downloads 2.Les vers et les chevaux de Troie 3.L’injection de code 4.Les kits d’exploit 5.Les réseaux de zombies 6.Les dégâts matériels/le vol/la perte 7.Le vol/l’usurpation d’identité 8.Le déni de service 9.Le phishing 10.Le courrier indésirable 11.Rogueware/ransomware/scareware 12.Les violations de données 13.La fuite d’informations 14.Les attaques ciblées 15.Les cyberattaques de point d’eau
Conclusion by démo La Cybersécurité n’est que du blabla ? Allons voir : http://map.ipviking.com/ Ou est la France ?
Merci! “All that is necessary for Evil to triumph is for good men to do nothing” – Edmund Burke, 1770 Vos Questions ?