Sébastien Léonnet SGC/DGA-CIS/Unité Sécurité des SIC-Sensibles
description
Transcript of Sébastien Léonnet SGC/DGA-CIS/Unité Sécurité des SIC-Sensibles
Sébastien LéonnetSGC/DGA-CIS/Unité Sécurité des SIC-Sensibles
LA CAPACITE EN DEFENSE DES RESEAUX DU CONSEIL DE L’UE
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
•Introduction•Historique•De la théorie à la pratique
Plan
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
•Introduction•Historique•De la théorie à la pratique
Plan
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
• Le Conseil de l’UE• Le contexte• L’organisation « Information Assurance » en place• Présentation de l’Unité « Sécurité des SIC-
Sensibles »• +/- 35 systèmes classifiés, 20 types de boîtiers de
chiffrement UE, des réseaux connectant une centaine de sites, des systèmes présents en Afghanistan, Irak, Géorgie, Afrique, ex-Yougoslavie, +/- 170 documents de sécurité « system specific » à maintenir, …
• La problématique des systèmes « non classifiés » mais sensibles et connectés à l’Internet.
Introduction
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
•Introduction•Historique•De la théorie à la pratique
Plan
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
Depuis 2008 •« Défacement » du site de presse de J. Solana•Nombreux audits du réseau et découverte de comportements suspects.•Attaques en déni de service (accords ACTA).•Actuellement: 20 à 30 tentatives d’attaques par mois, plusieurs centaines autour des sommets.
Décisions fin 2008, deux choix: déconnecter Internet (et tuer le réseau…) ou créer une capacité en défense des réseaux.
Historique
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
•Introduction•Historique•De la théorie à la pratique
Plan
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
La théorie, c'est d'abord des questions fondamentales:•C'est quoi une capacité en défense des réseaux ? c'est quoi une cyber défense ? C'est quoi une défense en profondeur ?•Combien ça coûte ???•Combien en terme de ressources humaines ???•Ca s'achète où ???
De la théorie à la pratique
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
Une fois que l'on a compris la problématique NDC, l’autre théorie c'est qu'il faut que ça marche tout de suite (surtout sur le papier). Et dans la pratique, on fait n'importe quoi:•Recrutement de personnels non qualifiés (déterminant s’il s’agit du chef de projet).•Solutions inadaptées faute d'expérience.•Solutions sous-utilisées faute de moyens.•Solutions inefficaces si des contre mesures structurelles ne sont pas mises en place (gestion mots de passe, comptes d'administration, topologie réseau, etc.).
De la théorie à la pratique
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
Les bonnes pratiques•Trouver le bon chef de projet.•Fixer des enjeux politiques orientés gestion du risque.•En déduire une stratégie adaptée à l'organisation dans un contexte où:
– Il faut un budget conséquent.– Une gestion "temps réel" est illusoire (temps de
retard par rapport à l'attaquant).– Quelle que soit la solution en place, il faut s'attendre
au pire (Root-kit, 0-days, APT, etc.) et il faut y préparer la hiérarchie.
De la théorie à la pratique
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
• En déduire une stratégie adaptée à l'organisation dans un contexte où:– Les "briques" d'une NDC ne correspondent à aucun
standard, sont extraordinairement complexes et onéreuses.
– Les "vrais" experts dans le domaine sont rares et chers.– La mise en place des outils prend du temps (1 an pour
un SIEM) et demande le concours des différentes unités techniques (sécurité, réseaux, administrateurs).
– L'exploitation des outils est extrêmement coûteuse en ressources (mais stratégie gagnante sur le long terme).
– Les formations/certifications (SANS) sont coûteuses.– La mise en place des outils a un impact au plan
opérationnel.
De la théorie à la pratique
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
La stratégie doit intégrer:•Une stratégie d'emploi (ne pas raisonner par système mais par niveau de classification/sensibilité des données).•Une stratégie de révision des topologies réseau existantes.•Un plan budgétaire pluriannuel (y inclus un budget de consultance).•Un plan de recrutement ou de redistribution des ressources.
De la théorie à la pratique
DGA CIS / Unité sécurité des SIC-Sensibles Sébastien Léonnet
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
La stratégie doit intégrer:•La mise en place de comités (SCB, CMB).•Un plan de formation et de partage d'expérience.•Un plan de sensibilisation (utilisateurs, administrateurs, VIP).•Des réseaux d’information (d’ordre INTEL principalement).•Dans notre cas, des réseaux de diffusion de l’information/alerte.
De la théorie à la pratique
Sébastien LéonnetSGC/DGA-CIS/Unité Sécurité des SIC-Sensibles
LA CAPACITE EN DEFENSE DES RESEAUX DU CONSEIL DE L’UE