Post on 08-Jun-2020
13/06/2017
MCG - Sogepa CyberSécurité et Data 1
1.©Copyright Matias Consulting Group sprl - 2017
Cyber-Sécurité : Protéger ses données … ou Disparaitre !
Grégorio Matiasv 1.1a
2.©Copyright Matias Consulting Group sprl - 2017
3.©Copyright Matias Consulting Group sprl - 2017
Les 5 Thématiques Clés !
Gestion des Incidents de Sécurité IT
Déploiements de Solutions
de Sécurité IT
Audits de Sécurité IT
13/06/2017
MCG - Sogepa CyberSécurité et Data 2
4.©Copyright Matias Consulting Group sprl - 2017
1. Les données des entreprises sont-elles réellement à risque ?
2. Suis-je concerné par les attaques de « Hackers » … pourquoi mon entreprise ?
3. Principes de base en temps de Guerre
4. Sécurité des Données … un peu, beaucoup, passionnément !
5. L’avenir … pour le meilleur et pour le pire …
5.©Copyright Matias Consulting Group sprl - 2017
Les données des entreprises sont-elles réellement à risque ?
6.©Copyright Matias Consulting Group sprl - 2017
Source : Trends, 15 Janvier 2015
13/06/2017
MCG - Sogepa CyberSécurité et Data 3
7.©Copyright Matias Consulting Group sprl - 2017
Source : The Economist, 17 Janvier 2015
8.©Copyright Matias Consulting Group sprl - 2017
Source : ECHO, 11 Mars 2015
Source : www.cert.be
9.©Copyright Matias Consulting Group sprl - 2017
Source : The Economist, 22 Août 2015
13/06/2017
MCG - Sogepa CyberSécurité et Data 4
10.©Copyright Matias Consulting Group sprl - 2017
Source : Dell Security, 2016 Annual Report
11.©Copyright Matias Consulting Group sprl - 2017
Source : Datanews, 18 February 2016
12.©Copyright Matias Consulting Group sprl - 2017
Source : Datanews, 16 January 2016
13/06/2017
MCG - Sogepa CyberSécurité et Data 5
13.©Copyright Matias Consulting Group sprl - 2017
Source : The Economist, 9th-15th April 2016 “A torrential Leak”
Source : Datanews, 15 April 2016
14.©Copyright Matias Consulting Group sprl - 2017
Source : Datanews, 16 Novembre 2016
15.©Copyright Matias Consulting Group sprl - 2017
Source : Datanews, 16 Novembre 2016
13/06/2017
MCG - Sogepa CyberSécurité et Data 6
16.©Copyright Matias Consulting Group sprl - 2017
Source : Datanews, 7 Avril 2017
17.©Copyright Matias Consulting Group sprl - 2017
Source : http://breachlevelindex.com/, 7 Juin 2017
18.©Copyright Matias Consulting Group sprl - 2017
InternetCORPORATE
LAN
Files
DB
Les Data de nos Jours …
Wifi
Partner
Cloud Services
13/06/2017
MCG - Sogepa CyberSécurité et Data 7
19.©Copyright Matias Consulting Group sprl - 2017
Un petit point d’attention pour …
LaptopsTablettes Smartphones
20.©Copyright Matias Consulting Group sprl - 2017
Toutes ces composantes :• Contiennent des données confidentielles
• Se connectent au Réseau de l’Entreprise et ont
accès aux ressources internes
• Sont utilisées pour les déplacements et les
voyages
• Partagent parfois/souvent des données dans le
Cloud
21.©Copyright Matias Consulting Group sprl - 2017
Les Risques :
• Le HD du Laptop peut être dupliqué en quelques
minutes
• De base on peut accéder à tout le contenu du
HD dupliqué en 10 minutes
• Les transactions peuvent être “sniffées” lors des
connexion Wifi, parfois même si elles sont
encryptées
• Le travail dans un lieu public … est par défaut
public (avion, train, …) !
13/06/2017
MCG - Sogepa CyberSécurité et Data 8
22.©Copyright Matias Consulting Group sprl - 2017
23.©Copyright Matias Consulting Group sprl - 2017
Source : https://www.youtube.com/watch?v=AgyyoE6tQpM
Man-in-the-middle Attack
24.©Copyright Matias Consulting Group sprl - 2017
Source : https://www.youtube.com/watch?v=_RmII2YQpjQ
Malicious Apps
13/06/2017
MCG - Sogepa CyberSécurité et Data 9
25.©Copyright Matias Consulting Group sprl - 2017
J’allais l’oublier celui-là…
26.©Copyright Matias Consulting Group sprl - 2017
Top 10 causes of data breaches in 2016
Source : Symantec : Internet Security Threat Report 2016, April 2017
27.©Copyright Matias Consulting Group sprl - 2017
Compromised data type for 2013
Source : Checkpoint, Checkpoint Security Report 2015.
13/06/2017
MCG - Sogepa CyberSécurité et Data 10
28.©Copyright Matias Consulting Group sprl - 2017
Source : Verizon : Data Breach Investigations Report 2015.
Cost per Record by Records Lost
29.©Copyright Matias Consulting Group sprl - 2017
Source : Cisco : 2017 Annual Cybersecurity Report.
30.©Copyright Matias Consulting Group sprl - 2017
Source : Ponemon Institute2015 Cost of Data Breach Study : Global Analysis.
Trends in four data breach cost components over three years
13/06/2017
MCG - Sogepa CyberSécurité et Data 11
31.©Copyright Matias Consulting Group sprl - 2017
Suis-je concerné par les attaques de « Hackers » …
Pourquoi mon entreprise ?
32.©Copyright Matias Consulting Group sprl - 2017
Top Industries Attacked in 2014
Source : Symantec, Internet Security Threat Report 2014, April 2015
Top Industries Attacked in 2015 (Spear-Phishing)
Source : Symantec, Internet Security Threat Report volume 21, 21 April 2016.
33.©Copyright Matias Consulting Group sprl - 2017
Top 10 sectors breached by number of incidents in 2016
Source : Symantec : Internet Security Threat Report 2016, April 2017
13/06/2017
MCG - Sogepa CyberSécurité et Data 12
34.©Copyright Matias Consulting Group sprl - 2017
Incident Pattern – Victim Industry Matrix
Source : Verizon : Data Breach Digest – Perspective is Reality, February 2017
35.©Copyright Matias Consulting Group sprl - 2017
Victim industry (filtered for network intrusions)*
Source : Verizon, Data Breach Investigations Report 2013, 2013.
36.©Copyright Matias Consulting Group sprl - 2017
Source : Checkpoint : Security Report 2016 (cfr Gemalto’s Breach Level Index).
13/06/2017
MCG - Sogepa CyberSécurité et Data 13
37.©Copyright Matias Consulting Group sprl - 2017
Attacks by Size of Targeted Organization – Spear Phishing
Source : Symantec, Internet Security Threat Report volume 21, 21 April 2016.
38.©Copyright Matias Consulting Group sprl - 2017
Email malware rate by company size in 2016
Source : Symantec : Internet Security Threat Report 2016, April 2017
39.©Copyright Matias Consulting Group sprl - 2017
Source : Verizon : Data Breach Investigations Report 2015.
Security incidents by victim industry and organization size
2.6 % en moyenne… et 82.6 % pour
les PMEs
13/06/2017
MCG - Sogepa CyberSécurité et Data 14
40.©Copyright Matias Consulting Group sprl - 2017
Source : Verizon : Data Breach Investigations Report 2015.
Variety of internal actor within Insider Misuse pattern
41.©Copyright Matias Consulting Group sprl - 2017
Source : Verizon : Data Breach Investigations Report 2015.
Variety of data compromised within Espionage
42.©Copyright Matias Consulting Group sprl - 2017
13/06/2017
MCG - Sogepa CyberSécurité et Data 15
43.©Copyright Matias Consulting Group sprl - 2017
La Quantité d’Attaques – 2/2016 – Partie 1
Source : MCG, February 2016
44.©Copyright Matias Consulting Group sprl - 2017
La Quantité d’Attaques – 2/2016 – Partie 2
Source : MCG, February 2016
+/- 92 % d’attaques !!!!
45.©Copyright Matias Consulting Group sprl - 2017
Attaques subies par MCG Janvier 2017
13/06/2017
MCG - Sogepa CyberSécurité et Data 16
46.©Copyright Matias Consulting Group sprl - 2017
Attaques subies par MCG Mai 2017
47.©Copyright Matias Consulting Group sprl - 2017
Attaques subies par MCG Janvier 2017
48.©Copyright Matias Consulting Group sprl - 2017
Attaques subies par MCG Mai 2017
13/06/2017
MCG - Sogepa CyberSécurité et Data 17
49.©Copyright Matias Consulting Group sprl - 2017
Principes de base en temps de Guerre
50.©Copyright Matias Consulting Group sprl - 2017
Principe 1
« Qui connaît son ennemi comme il se connaît, en cent combats ne sera point défait. Qui se connaît mais ne connaît pas l'ennemi sera victorieux une fois sur deux. Qui ne connaît ni son ennemi ni lui-même est toujours en danger. »
51.©Copyright Matias Consulting Group sprl - 2017
Types d’Attaques – Ligne du Temps 2014-2016
Source : IBM, IIBM X-Force Threat Intelligence Index 2017, March 2017.
13/06/2017
MCG - Sogepa CyberSécurité et Data 18
52.©Copyright Matias Consulting Group sprl - 2017
53.©Copyright Matias Consulting Group sprl - 2017
54.©Copyright Matias Consulting Group sprl - 2017
13/06/2017
MCG - Sogepa CyberSécurité et Data 19
55.©Copyright Matias Consulting Group sprl - 2017
Source : IBM, IIBM X-Force Threat Intelligence Report 2016, February 2016.
Types d’Attaques – 2015
56.©Copyright Matias Consulting Group sprl - 2017
Principe 2
« L'art de la guerre, c'est de soumettre l'ennemi sans combat. »
57.©Copyright Matias Consulting Group sprl - 2017
Zero-Day Vulnerabilities
Source : Symantec : Internet Security Threat Report 2016, April 2017
13/06/2017
MCG - Sogepa CyberSécurité et Data 20
58.©Copyright Matias Consulting Group sprl - 2017
Principe 3
« Une armée sans agents secrets est exactement comme un homme sans yeux ni oreilles. »
59.©Copyright Matias Consulting Group sprl - 2017
Threat action varieties
Source : Verizon : Data Breach Digest – Perspective is Reality, February 2017
60.©Copyright Matias Consulting Group sprl - 2017
Unique malware variants detected for the first time 2014-2017
Source : Symantec : Internet Security Threat Report 2016, April 2017
13/06/2017
MCG - Sogepa CyberSécurité et Data 21
61.©Copyright Matias Consulting Group sprl - 2017
Number of overall mobile malware detections per year
Source : Symantec : Internet Security Threat Report 2016, April 2017
62.©Copyright Matias Consulting Group sprl - 2017
Source : Symantec : Internet Security Threat Report 2016, April 2017
Bot activity numbers
63.©Copyright Matias Consulting Group sprl - 2017
Principe 4
« La guerre a le mensonge pour fondement et le profit pour ressort »
13/06/2017
MCG - Sogepa CyberSécurité et Data 22
64.©Copyright Matias Consulting Group sprl - 2017
Global HTTPS web connections vs. HTTP in billions
Source : SonicWall Annual Threat Report 2017
65.©Copyright Matias Consulting Group sprl - 2017
Average global ransomware detections per day
Source : Symantec : Internet Security Threat Report 2016, April 2017
66.©Copyright Matias Consulting Group sprl - 2017
Average ransom demand
Source : Symantec : Internet Security Threat Report 2016, April 2017
13/06/2017
MCG - Sogepa CyberSécurité et Data 23
67.©Copyright Matias Consulting Group sprl - 2017
Source : Symantec : Internet Security Threat Report 2016, April 2017
68.©Copyright Matias Consulting Group sprl - 2017
Sécurité des Données … un peu, beaucoup, passionnément !
69.©Copyright Matias Consulting Group sprl - 2017
Un peu de Philosophie …
Quel est l’élément qui a le plus de valeur à
vos yeux ?
13/06/2017
MCG - Sogepa CyberSécurité et Data 24
70.©Copyright Matias Consulting Group sprl - 2017
… mais vous avez aussi beaucoup de
proches, beaucoup d’amis, ….
Vos moyens sont limités ….
Vous voulez protéger tout le
monde …
Le temps est limité …
L ’énoncé du problème devient …
71.©Copyright Matias Consulting Group sprl - 2017
Alors des choix s’imposent …
La valeur est le critère …
72.©Copyright Matias Consulting Group sprl - 2017
La vue “statique” des données
Une Classification … sinon rien !
Public
Internal
Confidential
Secret
13/06/2017
MCG - Sogepa CyberSécurité et Data 25
73.©Copyright Matias Consulting Group sprl - 2017
Les solutions en fonction de la classification
• Architecture sécurité
• Composantes protégeant les “flux
transactionnels entrants et sortants” (Web,
Mail, autres)
• Politiques et Procédures à respecter
• …
• … et l’approche DLP (Data Loss Prevention)
74.©Copyright Matias Consulting Group sprl - 2017
DLP
StorageStorage
EndpointEndpoint
NetworkNetwork
CloudCloud
Dat
a Lo
catio
n
75.©Copyright Matias Consulting Group sprl - 2017
La vue dynamique des données Le cycle de vie
Create
Store
Use
Share
Archive
Destroy
• Classify• Assign Permissions
• Access Controls• Encryption• RM• Content Discovery
• Monitoring• RM• Logical Controls• Application Security
• DLP• Encryption• Logical Controls• Application Security
• Encryption• Asset Management
• Crypto-Shredding• Secure Deletion• Content Discovery
Rec
over
yF
rom
Logi
calo
r H
ardw
are
Fai
lure
s(B
acku
p-R
esto
re, H
D R
ecov
ery,
…)
13/06/2017
MCG - Sogepa CyberSécurité et Data 26
76.©Copyright Matias Consulting Group sprl - 2017
L’avenir … pour le meilleur et pour le pire …
77.©Copyright Matias Consulting Group sprl - 2017
78.©Copyright Matias Consulting Group sprl - 2017Source : Symantec, Internet Security Threat Report volume 21, 21 April 2016.
Source : http://www.pcmag.com/article2/0,2817,2488169,00.asp
13/06/2017
MCG - Sogepa CyberSécurité et Data 27
79.©Copyright Matias Consulting Group sprl - 2017
Toute le monde vote pour le … Web !
80.©Copyright Matias Consulting Group sprl - 2017
81.©Copyright Matias Consulting Group sprl - 2017
L’avenir de “Peter Hinssen” :
VUCA = Volatility, Uncertainty,
Complexity, Ambiguity