Livret Sécurité Opérationnelle

SOC

Livret Sécurité OpérationnellePour simplifier et accélérer la protection managée de vos infrastructures et usages métier

Livr

et

Sécu

rité

Op

éra

tio

nn

elle

#éd

itio

n 2

016

-20

17

SÉCURITÉDU DATACENTER

SUPERVISION DE L’INFRASTRUCTURE :

analyse et reporting

PROTECTION DEL’INFRASTRUCTURE :anti-DoS et DDoS

PRA / PCA :plan de reprise et

de continuité d’activité

RÉSEAU D’ENTREPRISESÉCURISÉ :MPLS VPN

SAUVEGARDE AUTOMATISÉE

avec réplication sur site distant

MOBILITÉ :VPN SSL

MISE À JOUR DESPATCHS DE SÉCURITÉ

SURF AUTHENTIFIÉ :traçabilité des accès anti-virus et contrôle des contenus

FIREWALL APPLICATIF

MAIL SÉCURISÉ :anti-spam / anti-virusContrôle du mail sortant

SYSTÉME DE DÉTECTIONDES INTRUSIONS :

Sonde IDS / IPS

SOC :Analyse – Dashboarding – Pilotage

2 JAGUAR NETWORK | LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017

Intr

od

uct

ion

La période 2015-2016 a été marquée par la progression du « ransomware » et d’attaques complexes ciblant les infrastructures et l’utilisateur.

Une plateforme end-to-end pour les utilisateurs métiers

Pourquoi un livret sécurité ?

Aujourd’hui, l’industrialisation des menaces conduit les entreprises à établir un contexte de sécurité managée renforcé. L’exploitation professionnelle des mesures de sécurité s’impose à l’ensemble des acteurs exposés aux cyber risques.

Le vol de données rendu possible par des défaillances applicatives se conjugue à des attaques élaborées via l’utilisateur mettant à risque le patrimoine numérique de l’entreprise.

L’écosystème de sécurité ajoute aux mesures techniques de protection, un dispositif de supervision proactive des infrastructures et des services exposés.

Pour les décideurs et utilisateurs métiers, comprendre les menaces permet d’évaluer la pertinence des réponses. Ce livret vise à faciliter la compréhension des enjeux et l’importance d’un continuum de sécurité.

CONTEXTE MARCHÉ

Le marché de la sécurité évolue vers

• Des outils qui s’industrialisent : documentation et accessibilité accrue des exploits.

• Une diversification des sources de menace : hacktivism, scriptkiddies, cyberterrorism.

• Des risques accrus : vol ou rapt des données, violation d’intégrité, DDoS, atteinte à l’image.

VISION JAGUAR NETWORK

Une Plateforme de Sécurité

• Assure une continuité de la protection : de l’utilisateur aux infrastructures.

• Mutualise l’expertise de surveillance et protection, facilite l’accès à une solution Grands Comptes de sécurité managée.

• Garantit un niveau de disponibilité à la mesure de vos enjeux métiers grâce à la redondance massive des infrastructures.

3LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017 | JAGUAR NETWORK

Évo

luti

on

de

s te

chn

iqu

es

Aujourd’hui,

ANATOMIED’UNE ATTAQUE

PROFIL DE L’ATTAQUANT

AMATEUR

AM

AT

EU

R M

OT

IVÉ

‹

VOL DE DONNÉESNETTOYAGE DES TRACES

COMPROMISSIONPORTE DÉROBÉE

EXTENSIONDE PRIVILÈGES

REPÉRAGE DE FAILLE

BALAYAGE

COLLECTED’INFORMATION

INTRUSION

‹ ‹

EX

PE

RT

ISO

LÉ ‹

EX

PE

RT

MA

ND

AT

É ‹

CY

BE

R-C

RIM

INE

L ‹

CY

BE

R S

OLD

AT

‹

HA

CK

TIV

IST

E ‹

› LENT› VISIBLE› OCCASIONNEL› LARGE

› RAPIDE› FURTIF› PERSISTANT› CIBLÉE

PROFESSIONNEL

65% des attaques ont pour vecteursle mail et le web en s’adressant maintenant aux humainsplutôt qu’aux machines.

Évolution des techniques et professionnalisation des menaces

DÉ

CO

UV

ER

TE

PR

ÉP

AR

AT

ION

AC

TIO

N

COMPLEXITÉDE DÉTECTION

TECHNIQUE

BUSINESS

CYBERINTELLIGENCE


Les risques et menaces, de plusieurs natures, adressent l’ensemble de la stack technologique.

Bien qu’en constante évolution, nous proposons d’en présenter un regroupement par grandes familles en y associant les principales solutions techniques connues pour être des contre-mesures éprouvées.

Panorama des menaceset solutions

COUCHES OSIDES SOLUTIONS

FACILEMENT ACTIONNABLESLES MENACES DE SÉCURITÉ

› Menaces Web : XSS, CSRF, SQLI, Session HiJacking…

› Rootkit

› Malware

› APT

› IP Spoofing

› Brute Force

› DDoS

› Usurpation d’identité

› Social engineering

› Spear phishing

› Divulgation d’information

› ARP Poisoning

› Fiber Cut

• Web application Firewall

• Cyber Security Operations

Center (CSOC)

• Anti-Virus & Anti-Virus

• IDS / IPS / Firewalling

• SSL VPN

• Fail to ban

• Traffic Mitigation

• Sensibilisation

• Gouvernance/Process

• Détection Phishing

• Data Loss Prevention (DLP)

• URPF

• Redondance MPSL VPN

ApplicationPrésentation

& Session

Transport& Réseau

Utilisateurfinal

Liaison de Données& Physique

7

8

5

4

3

2

1

Pan

ora

ma

de

s m

en

ace

s e

t so

luti

on

s


Lexique des principales menaces

Lexi

qu

e d

es

pri

nci

pal

es

me

nac

es

Risqueshumains

Manipulation psychologique d’individus en vue de réaliser des actions

sensibles ou de divulguer des informations confidentielles

SOCIAL ENGINEERING

Attaque par hameçonnage ciblé : repose généralement sur une

usurpation de l’identité de l’expéditeur, et procèdant par ingénierie

sociale forte afin de lier l’objet du courriel et le corps du message à

l’activité de la personne ou de l’organisation ciblée.

Le but étant d’inciter le destinataire à ouvrir une pièce jointe malveillante

ou à suivre un lien vers un site Web malveillant pour compromettre

l’ordinateur.

SPEAR PHISHING

Peut être spontanée, involontaire ou provoquée et consiste à diffuser des

informations pouvant être réutilisées, recoupées afin de cartographier

une personne, une entreprise ou une institution (nom, résidence,

géolocalisation, réseau, information sensible voire protégée, …).

DIVULGATION D’INFORMATION


Lexi

qu

e d

es

pri

nci

pal

es

me

nac

es

Lexique des principales menaces

Risques Applicatifs,Présentation et Session

Cross-Site Scripting permet d’insérer du contenu dans une page web

pour provoquer des actions sur les navigateurs web visitant la page.

Il est possible de rediriger la navigation vers un autre site pour du

hameçonnage ou de voler la session en récupérant les identifiants

techniques (cookies).

XSS

Cross-Site Request Forgery exploite une vulnérabilité des services

d’authentification web. L’objet est de transmettre à un utilisateur

authentifié une requête HTTP falsifiée, afin qu’il l’exécute sans en avoir

conscience et en utilisant ses propres droits.

CSRF

Une injection SQL exploite une faille de sécurité d’une application

interagissant avec une base de données, en insérant une requête SQL

non prévue par le système. L’attaquant peut dérober des données, voire

nuire à l’intégrité du système attaqué.

SQLI

Ensemble de techniques mises en œuvre par un ou plusieurs logiciels,

dont le but est d’obtenir et de pérenniser un accès frauduleux à un

ordinateur.

ROOTKIT

Un malware est un programme développé dans le but de nuire à un

système informatique, sans le consentement de l’utilisateur dont

l’ordinateur est infecté. Le terme malware englobe les virus, les vers, les

chevaux de Troie et d’autres menaces.

MALWARE

Session Hijacking ou Man In The Middle attack (MITM) a pour but

d’intercepter les communications entre deux parties, sans que ni l’une

ni l’autre ne puisse se douter que le canal de communication entre elles

a été compromis.

SESSION HIJACKING

Logiciel malveillant qui prend en otage des données en les chiffrant puis

en demandant à leur propriétaire de l’argent en échange de la clé qui

permettra de les déchiffrer.

RANSOMWARE


Lexi

qu

e d

es

pri

nci

pal

es

me

nac

es

Advanced Persistent Threat sont des techniques sophistiquées utilisant

des logiciels malveillants pour exploiter des vulnérabilités.

Le mot « persistent » implique un système de commandement et de

contrôle qui suit et coordonne l’attaque.

L’usurpation d’adresse IP est une technique de Hacking utilisée en

informatique qui consiste à envoyer des paquets IP en utilisant une

adresse IP source qui n’a pas été attribuée à l’ordinateur qui les émet.

L’attaque par force brute est une méthode utilisée en cryptanalyse pour

trouver un mot de passe ou une clé.

Il s’agit de tester, une à une, toutes les combinaisons possibles.

Une attaque par déni de service est une attaque informatique ayant pour

but de rendre indisponible un service, d’empêcher les utilisateurs d’un

service de l’utiliser.

ARP Poisoning vise tout réseau local utilisant le protocole ARP pour

détourner des flux de communications transitant entre une machine

cible et une passerelle (routeur, box). L’attaquant peut ensuite écouter,

modifier ou bloquer les paquets réseaux.

Il s’agit d’une rupture de fibre accidentelle ou volontaire, résultant d’une

coupure de service pouvant dégrader voire interrompre un service de

télécommunication.

Risques Transport, Réseau,Liaison et Physique

APT

IP SPOOFING

BRUTE FORCE

DDOS

ARP POISONING

FIBER CUT


Ré

fére

nti

el d

e s

olu

tio

ns

Référentiel de solutionsfacilement actionnables

› L’IDS (Intrusion Detection System) est un mécanisme destiné à repérer

les actions anormales ou suspectes sur le trafic IP.

› L’IDS alerte face aux comportements suspects et l’IPS protège

automatiquement.

› L’IPS (Intrusion Prevention System) est un IDS actif et permet de

prendre des mesures afin de diminuer les impacts d’une attaque.

› L’IDS/IPS premet de se prémunir contre les attaques de type APT.

IDS / IPSFIREWALLING

› Principe qui permet de se prémunir contre des attaques par force brute

(Brute Force).

› Le fail to ban scanne les logs d’accès pour ensuite bloquer le trafic

d’un attaquant à partir d’un seuil de sollicitations (Rate Limit).

FAIL TO BAN

› La mitigation consiste à filtrer le trafic non légitime pour se prémunir

contre les attaques de type DDoS.

› Blocage des hôtes malveillants sur liste noire et des failles de la couche

applicative.

› Défense contre les menaces ou anomalies Web.

› Blindage des services DNS contre les botnets.

› Protection des services critiques dont VoIP.

TRAFFIC MITIGATION

› SSL VPN (Secure Sockets Layer Virtual Private Network) est un type de

VPN authentifié et sécurisé.

› Le SSL VPN fonctionne au-dessus de Transport Layer Security (TLS) et

permet aux utilisateurs d’établir une connexion sécurisée au réseau

intranet.

› Un SSL VPN permet de se prémunir contre un vol de session (hijacking)

en cas d’accès à une ressource d’entreprise.

SSL VPN


Ré

fére

nti

el d

e s

olu

tio

ns

› Le Web Application Firewall est un système de filtrage adapté au

protocole HTTP.

› Il permet de se prémunir contre des attaques de haut niveau telles que :

XSS,SQLi, CSRF.

› Il agit comme mandataire (proxy) entre Internet et le site web. En

analysant les requêtes à la volée, sur la base d’attaques connues ou

de comportements jugés anormaux, il bloque le trafic suspect pour

l’application.

› Standard pour la protection des sites web. L’emploi d’un WAF est une

recommandation par l’OWASP.

WEB APPLICATION

FIREWALL(WAF)

› Les fonctionnalités d’antispam / antivirus permettent l’identification et

la neutralisation de menaces évoluées (type phishing).

› Le chiffrement des emails assure confidentialité et intégrité du contenu

des messages, ainsi que l’identification des émetteurs et destinataires.

Conformité réglementaire : PCI DSS ou Sarbanes Oxley imposent le

chiffrement des messages.

› Protection contre l’envoi de courriers indésirables réalisé à partir

de votre entreprise. Prévention des fuites/pertes de données par

détection de mots clés.

PROTECTION MAIL

INTELLIGENTE(ANTI-VIRUS ANTI-SPAM)

› MPLS (Multi-Protocol Label Switching) est un protocole de VPN

permettant de raccorder des sites distants au sein d’un même réseau

d’entreprise protégé.

› La redondance du réseau entre le cœur de l’infrastructure et les

routeurs d’accès assure une très haute disponibilité et permettent de

se prémunir contre un fiber cut.

› La sécurité des informations transportées est assurée grâce à une

architecture privée, redondée, contrôlée et inaccessible depuis

l’Internet.

REDONDANCEMPLS VPN


Security Information Event Management

Technologie de supervision proactive de la sécurité par collecte,

agrégation, normalisation, corrélation et reporting de l’ensemble des

configurations et évènements de sécurité.

SIEM

Cyber Security Operations Center

Organisation de surveillance basée sur un SIEM et qui :

› assure une veille sécurité

(menaces, vulnérabilités, vecteur d’attaques, …),

› fournit des moyens de détection d’attaque,

› collecte et qualifie des événements de sécurité,

› analyse les alertes et escalade les incidents qualifiés,

› aide à la décision et délivre des plans de réaction,

› améliore de façon permanente la couverture des risques IT.

CYBER SOC

Ré

fére

nti

el d

e s

olu

tio

ns

Unicast Reverse Path Forwarding

› URPF est un protocole pour limiter l’émission de paquets dans le

réseau. Il permet d’ignorer un paquet s’il ne provient pas du lien utilisé

par le routeur pour acheminer la source du paquet.

› Ce mécanisme permet d’assurer qu’un émetteur de trafic réseau

est légitime ; il protège l’ensemble des membres du réseau des

usurpations de spoofing IP.

URPF


Les

serv

ice

s fo

urn

is p

ar u

n C

ybe

r D

efe

nse

SO

C

Les services fournispar un Cyber Defense SOC

› Evaluation de l’exposition à la menace sur le périmètre externe (services critiques, mail, web, certificats SSL, …)

› Monitoring et management des évènements de sécurité et des alertes issues de l’environnement du client sur une base 24/7.

› Analyse des menaces sur la base des logs de sécurité et des évènements classifiés.

› Mesure de la disponibilité des systèmes et équipements client.

› Gestion des incidents, classification et escalade vers le client.

› Veille sécurité et service proactif de notification.

› Déploiement d’une force d’action rapide sur site

› Reporting régulier incluant les incidents, la gestion des capacités, le suivi du risque et des SLA.

(1) Cyber Security Incidence Response Team : Dispositif d’intervention rapide en cas d’incident de cybersécurité

Le bastion de sécurité renforcée

VEILL

E DES & DÉVELO

PPEMEN

T

RECHERCHE

INT

ÉGR

ATIO

N RÉSULTATS

DE R

&D

ET DES ÉQUIPES

D’IN

TERVEN

TION RAPIDE

AU QUO

TIDIE

N

PRO-ACTIVITÉ & RETO

UR D

’EX

PÉ

RIE

NC

E

MEN

ACES G

LOBALES

INFOGÉRANT

INFOGÉRANT

INGÉNIEURSYSTÈME

ANALYSTEEXPERT

GESTIONNAIRE DE CONTRATSDE SERVICE

DÉTECTEURD’INCIDENTS

CSIRT(1)

ww

w.ja

gu

ar-n

etw

ork

.co

m

Nos équipes sont à votre disposition au : 04 88 00 65 10

Double compétence Opérateur & Hébergeur

› Sécurisation de votre plateforme de bout en bout via la maîtrise du réseau et des infrastructures.

› Assurance d’une protection en continu de l’utilisateur jusqu’à la plateforme.

Une équipe d’experts pour garantir votre sérénité

› Avant-vente et chef de projet dédiés pour calibrer les règles de sécurité de votre plateforme.

› Réactivité et proximité pour maintenir vos applicatifs critiques en conditions opérationnelles.

Infrastructures sécurisées pour une très haute disponibilité et résilience

› Supervision proactive 24/7 pour détecter et bloquer les attaques.

› Equipements éprouvés, mise à jour des patchs de sécurité et mesures correctives.

À propos de Jaguar NetworkDonnées clésSociété créée en 2001 : hébergeur d’infrastructure ITDéveloppement expertise télécom en 2006 : Licence Opérateur L 33-1Opérateur alternatif d’infrastructures IT et télécom

Expertise en hébergement des données :• Sécurisation accès aux serveurs par biométrie, vidéo-surveillance, badges et codes• Agrément PCI DSS depuis 2014• Conformité aux recommandations ANSSI de localisation et sécurité des données

Capillarité et densité du réseau THD (Très Haute Disponibilité) :• Suites et cages privées dans 30 Datacenters interconnectés entre eux• Hotline et Support technique en France 24h/24 365j/an • Propriétaire du 2nd Hôtel des Télécoms de l’Europe du Sud (8 000 m² design Tiers IV)

Les engagements Jaguar Network

2012

2011

2013

2010

2014

7 000 KM DE RÉSEAU FIBRÉ

99.995% DISPONIBILITÉ RÉSEAU

10 000 SERVEURS CLOUD

900 CLIENTS

200 GBPS DE CAPACITÉ INTERNET

30 DATA CENTERS

Stay connected ›

Livret Sécurité Opérationnelle

Documents

Transcript of Livret Sécurité Opérationnelle