Sensibilisation des métiers supports à la cybersécurité
-
Upload
leo-pillet -
Category
Technology
-
view
19 -
download
6
Transcript of Sensibilisation des métiers supports à la cybersécurité
Identifier vos essentiels et renforcer votre cyber stratégie
Consulting &
Services
Identifier vos essentiels et renforcer votre cyber stratégie
Consulting &
Services
Sensibilisation à la CybersécuritéDirection Administrative et Financière
Plan
Introduction
I. Présentation de l’environnement métier
II.Exemples d’attaquesIII.Règles et solutions à suivre
Introduction
C’est ce qui permet de protéger l’entreprise des attaques qui pourraient compromettre les données, services, et tout autres
éléments du système d’information.
Qu’est ce que la cybersécurité ?
IntroductionLe danger est bien présent :
9ème pays le plus touché par
les cyberattaques
431M de malwares différents
5 585 nouvelles vulnérabilité
découvertes en 2015
IntroductionLe danger est bien présent :
992M attaques de rançongiciel
s par jour
Un total de 362K
rançongiciels différents en
2015
1 e-mail sur 220
contient un malware
46 attaques de spear
phishing par jour
1 e-mail sur 1846 est un e-
mail de phishing
Introduction
60 % des PME ferment après une attaque
80 % des attaques sont liés au facteur humain
77 % des attaques concernent les PME
Pourquoi cette formation ?
Environnement métierDirection Administrative et Financière
I. Environnement métier
Budget prévisionnel- Ventes
Comptes bancaires de l’entreprise- Coordonnées
bancaires- Mouvements
bancaires
Fiches fournisseurs :- Activité- Adresse- Coordonnées bancaires
Fiches clients :- Factures- Noms- Adresses- Coordonnées
Données accessibles
Comptes bancaires de l’entreprise
PrivilègesDonnées
I. Environnement métierPourquoi ces données sont elles intéressantes pour les cybercriminels ?
Fiches fournisseurs Informations sur les clients de l’entreprise
Visuel sur la situation financière de l’entreprise
Fiches clients
Budget prévisionnel
Attaques typesDirection Administrative et Financière
II. Attaques types1. Arnaque au président
Etape 1 : Etude du rôle de chaque employé
Etape 2 : Montage d’un scénario
Etape 3 : Prise de contact avec la cible
Etape 4 : Exploitation de la cible, Social Engineering
II. Attaques types1. Arnaque au président
Etape 1 :Etude du rôle des
employésEtape 2 Etape 3 Etape 4
• Collecte d’un maximum d’informationso Sur les réseaux sociauxo Surveillance des comptes mail d’une entreprise
• L’attaquant peut facilement connaître :
Votre lieu de résidence
Votre lieude travail
Votre numéro de téléphone
Toutes autres informations ou détails utilisables pour renforcer
sa crédibilité
II. Attaques types
Etape 1Etape 2 :Montage
du scénario
Etape 3 Etape 4
• Corrélation des informations des employés et de la sociétéo Facilité par les informations disponibles en ligne
• Montage d’un scénario crédible : o Rachat d’une entrepriseo Demande exceptionnelle d’un directeur financier, d’un
fournisseur
Site web de l’entreprise Site web d’informations
1. Arnaque au président
II. Attaques types
Etape 1 Etape 2Etape 3 :Contact avec la cible
Etape 4
Méthodes :
L’adresse mail du collaborateur usurpée.
L’attaquant dans certains cas utilisera la messagerie de la
personne pour qui il se fait passer
Usurper identité au téléphone.L’attaquant aura une voix ressemblante à celle de la personne pour qui il se fait
passer
L’attaquant prend contact avec la cible sous l’identité :o D’un collaborateur haut placéo D’un cliento D’un fournisseuro Un cabinet d’avocat, ou toute autre entité, en principe, de
confiance
Une adresse mail ressemblant à celle d’un
collaborateur.L’attaquant comptera sur la confusion dû à l’imitation de
l’adresse.
1. Arnaque au président
II. Attaques types
Etape 1 Etape 2 Etape 3Etape 4 :Exploitation de la
cible
• Demande de versement d’argent demandé et rendu crédible par :o La signature d’une clause de confidentialité parfois
demandéeo Le pouvoir de dissuasion
• Plusieurs virements sont souvent demandés.
• L’attaquant exploite la confiance qu’il a établi avec vous.
Ingénierie Sociale
1. Arnaque au président
BRM MobilierPME de 44 salariés
Avant juillet 2015 :
• Les attaquants recherchent des informations sur le rôle des employés afin d’identifier leur cible.
• Ils recherchent également des informations interne à l’entreprise, probablement en piratant les comptes mails des employés.
Etape 1 : Etude du rôle de chaque
employé
II. Attaques types1. Arnaque au président
Etape 2 : Montage
d’un scénario
Avant juillet 2015 :
• Les attaquants préparent un scénario crédible à partir des informations internes récoltées.
• Le scénario choisi : Se faire passer pour un cabinet d’avocat.
BRM MobilierPME de 44 salariés
II. Attaques types1. Arnaque au président
21 juillet 2015 :
• Les ravisseurs contactent la directrice administrative et financière via mail et téléphone.
• Ils obtiennent un premier virement vers la Thaïlande
II. Attaques types
Etape 3 : Prise de
contact avec la cible
BRM MobilierPME de 44 salariés
1. Arnaque au président
Etape 4 : Exploitation de la cible
Été 2015 : • Les ravisseurs continuent d’exploiter la
directrice administrative et financière et obtiennent des virements vers la Chine.
27 janvier 2016 : • BRM Mobilier est en liquidation judiciaire• Montant total volé : 1,6 millions d’Euros
II. Attaques types
BRM MobilierPME de 44 salariés
1. Arnaque au président
Etape 1 : Propagation par e-mail et/ou clé USB
Etape 2 : Chiffrement des données du PC, des serveurs, etc
Etape 3 : Demande de rançon en échange de la clé
II. Attaques types
Un rançongiciel ou ransomware est un programme informatique malveillant qui prend en otage les données d’un système informatique en les chiffrant.
2. Rançongiciel
• Mail spam envoyé via un réseau de bot nets :o L’objet est souvent suspecto Contient toujours une pièce jointes :
Document Word, ExcelExemple du rançongiciel Locky
II. Attaques types
Etape 1 :Propagation
Etape 2 Etape 3
• Moyens de propagations :
Pièces jointes Clé USB
2. Rançongiciel
II. Attaques types
Etape 1 :Propagation
Etape 2 Etape 3
La pièce jointe peut être un document .pdf, .doc, etc.
Exemple du rançongiciel Locky
La suite Office possède une fonctionnalité qui permet de se protéger de ce genre d’attaque !(les macros sont désactivées) En les activant vous autorisez les
éventuels malwares à venir s’installer
NB:
2. Rançongiciel
• Le malware chiffre toutes les données présentes :
o sur le PC
o sur les serveurs accessibles via le partage réseau
II. Attaques types
Etape 1Etape 2 :Chiffreme
ntEtape 3
2. Rançongiciel
• Une fois les données chiffrées, l’ordinateur affiche les instructions à suivre pour payer la rançon en échange de la clé permettant le déchiffrement
• La monnaie utilisée est le bitcoin
II. Attaques types
Etape 1
Etape 2
Etape 3 :
Rançon
Exemple de fond d’écran du rançongiciel Locky
2. Rançongiciel
II. Attaques types
Etape 1
Etape 2
Etape 3 :
Rançon
Le prix moyen d’une rançon est
de 640 €
Payer la rançon ne permet pas toujours d’avoir la clé ! Sur les 50% des décideurs IT qui décident de payer, seulement 32% d’entre eux récupèrent réellement la clé
2. Rançongiciel
10 avril 2016 :
PME du Béarn, souhaitant garder l’anonymat
23 salariés
- Réception en nombre d’un mail contenant une pièce jointe piégée.
Etape 1 : Propagation
II. Attaques types2. Rançongiciel
10 avril 2016 :
PME du Béarn, souhaitant garder l’anonymat
23 salariés
- Ouverture de la pièce jointe par plusieurs collaborateurs.
Chiffrement des données.
Etape 2 : Le
chiffrement
II. Attaques types2. Rançongiciel
11 avril 2016 :- Toutes les données de l’entreprise sont
chiffrées- Le fond d’écran d’un ordinateur affiche
les exigences d’une rançonTous les employés sont au chômage techniqueLes jours suivants :
- La rançon double chaque jour- Après près d’une semaine, le chef d’entreprise paye 3 000
€
Etape 3 : La rançon
PME du Béarn, souhaitant garder l’anonymat
23 salariés
II. Attaques types2. Rançongiciel
II. Attaques types3. Autres exemples d’attaquea) Le phishing et le spear phishing
Le phishing est une technique utilisée pour obtenir des renseignements personnels. Elle consiste à faire croire que la victime s’adresse à un tiers de confiance (banque, collègues, administration, etc)
Il peut se faire par :o Mailo Sites webo SMS (SMishing)
Le spear phishing est du phishing grandement personnalisé et vise une seule personne (ou un petit groupe)
L’attaquant possède déjà des informations sur vous
Il est beaucoup plus discret que le phishing :
o Plus cohérant avec votre environnement
o Avec moins de fautes o Il fait référence à des détails précis
sur vous
II. Attaques types3. Autres exemples d’attaquea) Le phishing et le spear phishing
Lien vers un formulaire
Syntaxe étrange
Adresse web déguisée
Pourquoi est-ce dangereux ?
L’accès à distance des données de l’entreprise
Le contrôle d’accès souvent faible : mot de passe simple ou absent
Les logiciels ne sont pas mis à jour : antivirus, suite Office
Le vol : dans un train, dans la voiture, à l’arraché
Les données ne sont généralement pas chiffrées
Le B.Y.O.D. ou Bring Your Own Device est le fait d’utiliser du matériel personnel à des fins professionnelles.
II. Attaques types3. Les dangers du B.Y.O.D.
Règles et solutionsDirection Administrative et Financière
III. Règles et solutions1. Arnaque au président
Règle n°1 : Ne divulguez pas trop d’informations sur internetLes informations que vous complétez dans les réseaux sociaux peuvent être publiques et visibles par tout le monde.A minima, n’autorisez l’affichage de vos informations qu’à vos contact, afin de maitriser la diffusion de celles-ci.
III. Règles et solutions1. Arnaque au président
Règle n°2 : Méfiez vous des demandes trop « exceptionnelles ».
Il est nécessaire de se tenir aux procédures qui ont été mises en place et de toujours procéder sous celle ci pour les règlements.
III. Règles et solutions1. Arnaque au président
Règle n°3 : Vérifiez l’adresse mail.
En général, l’adresse mail usurpée ressemble fortement à celle pour qui elle se fait passer.La vérifier est une première étape pour vérifier une arnaque.
III. Règles et solutions1. Arnaque au présidentRègle n°4 : Contactez le demandeur de façon imprévue.Afin de vérifier l’identité du demandeur, vous pouvez le contacter par vous même, par mail ou directement pas téléphone. S’il n’est pas joignable facilement, cela peut être suspect.Cette procédure a pour objectif de surprendre l’arnaqueur.
III. Règles et solutions1. Arnaque au président
Règle n°5 : Mettez en place de procédure à double validation. Dans la mesure du possible, modifiez la procédure actuelle afin que deux personnes différentes soient responsables de la validation d’un paiement et ainsi éviter l’utilisation de l’ingénierie sociale sur une personne.
III. Règles et solutions2. RançongicielRègle n°1 : Méfiez vous des pièces jointes suspectes.Ne pas ouvrir les pièces jointes dont on n’est pas sûr de la source et dont l’extension est issue d’un document Word ou Excel.Transférez ces mails vers la personne en charge de la sécurité du système d’information.
III. Règles et solutions2. Rançongiciel
Règle n°2 : Vérifiez l’adresse mail.En général, l’adresse mail n’est pas connue ou ressemble fortement à celle pour qui elle se fait passer.La vérifier est une première étape pour contrer une arnaque.
III. Règles et solutions2. Rançongiciel
Règle n°3 : Mettez à jour vos équipements.Toujours effectuer les mises à jour de votre ordinateur, vos logiciels et votre antivirus.Ceci évitera à un potentiel attaquant d’exploiter des failles de sécurité connues présentes dans les logiciels ou dans l’ordinateur.
III. Règles et solutions2. Rançongiciel
Règle n°4 :Méfiez vous des clés USB.De manière générale, n’utilisez pas de supports amovibles de type clé USB ou carte SD dont vous ne connaissez pas l’origine.Ceux-ci peuvent contenir des virus ou des logiciels malveillants sans que vous le sachiez.
III. Règles et solutions2. Autres exemples d’attaques
Règle n°1 :Analysez le contenu du mail.• Adresse mail : Lorsque vous êtes face à un mail de phishing, l’adresse le mail semble
venir d’un tiers de confiance telle une organisation, un partenaire, un collaborateur, et peut être une parfaite copie de l’originale.Ne vous fiez pas uniquement à cette adresse, elle peut être usurpée.
• Elément joint : Si c’est un lien, survolez le lien afin de voir l’adresse vers lequel il redirige. Si c’est une pièce jointe, portez attention sur le format de cette ci, s’il est inhabituel, ne lui accordez pas votre confiance.
• Orthographe : Les mails de phishing ont pendant longtemps été reconnaissables par leurs fautes d’orthographe. Même s’il en contiennent aujourd’hui de moins en moins, recherchez-les ainsi que les erreurs de syntaxe.
Vérifier la cohérence du mail dans son ensemble.
a) Le phishing
III. Règles et solutions2. Autres exemples d’attaques
Règle n°2 :Ne renseignez pas de données sensibles.Dans le cas où vous n’auriez pas identifié un mail de phishing, et que vous avez cliqué sur le lien contenu dans le mail.Ce lien pourra vous rediriger vers le site web d’un tiers de confiance. Ce site sera une copie d’un vrai site, à la différence qu’il vous invitera à remplir des données confidentielles telles que des informations bancaires sur un formulaire.Aucun n’organisme n’est amené à vous demander ce genre d’informations, quittez ce site sans compléter les informations demandées.
a) Le phishing
III. Règles et solutions3. Les dangers du B.Y.O.D
Règle n°1 :N’enregistrez pas de données professionnelles sur vos appareil personnels.Bien que le côté pratique vous y incite, enregistrer des données de votre entreprise revient à mettre en danger votre entreprise.Votre appareil personnel ne possède pas toutes les protections nécessaires à protéger les données qu’il contient.Ce manque de sécurité permettra à un attaquant d’accéder au contenu de votre appareil, et donc aux potentielles données sensibles qu’il contient.
III. Règles et solutions
Règle n°2 : N’utilisez vos appareils personnels que dans un cadre prédéfini.Incitez votre entreprise à mettre en place des mesures permettant aux employés d’utiliser leur matériel personnel dans un cadre défini.La politique de sécurité sur les matériels sera ainsi appliquée sur vos appareils que vous pourrez utiliser en toute sécurité.
3. Les dangers du B.Y.O.D
III. Règles et solutions
Règle : Choisissez un mot de passe long et avec plusieurs type de caractères o Une longueur de 8 caractères est un minimum.o Utilisez des majuscules, des minuscules, des chiffres
et des caractères spéciaux.o Utilisez des phrases comme moyen
mnémotechnique.
4. Bien choisir son mot de passe
Exemple : le père Fouras connait deux nains : Passe-partout et Passe-muraille lpFc2n:PeP!
Temps nécessaire pour casser un mot de passe avec un PC, par force brute :• 6 lettres minuscules : 3
sec• L’exemple : + de 10 ans
Règles et bonnes pratiquesRègle n°1 :Contrôler les informations que vous publiez sur internet.
Règle n°2 :Vérifiez les adresses mails des expéditeurs.
Règle n°3 :N’ouvrez que les pièces jointes qui vous semble sûres.
Règle n°4 :N’utilisez pas votre messagerie personnelle pour votre travail.
Règle n°5 :N’utilisez pas votre matériel personnel si ce n’est pas prévu par votre entreprise.
Règle n°6 :N’utilisez pas de supports amovibles : clé USB.
Règle n°7 :Mettez à jour vos équipements professionnels.
Règle n°8 :Utilisez des mots de passe robuste.
Règle n°9 :Ne renseignez pas de données sensibles sur un site web.
MerciLéo PILLET
Vincent BOULANGER
Elèves ingénieur Telecom LilleINGE3, 2016/2017
Projet Scientifique et Technologique