Download - Webschool du Jura - Cybercriminalité en entreprise

© 2pie 2016

Cybercriminalité en entreprise

Et si l’humain devenait le maillon fort ?

© 2pie 2016

Sécurisation de l’information

Gestion de crise

Intelligence économique

-

Détection des fragilités informationnelles. Recherches de solutions pour réduire les failles et vulnérabilités.

Compréhension du mécanisme de la crise et apprentissage d'une méthode de conduite.

Mise en œuvre d'une politique de maîtrise de l'information stratégique. Organisation d'une veille informationnelle. Identification des sources d'acquisition de l'information.

© 2pie 2016

Constat

Les atteintes

L’humain, mais comment ?

© 2pie 2016

Constat (entreprise, information, cybercriminalité)

Les atteintes


© 2pie 2016

DES FLUX ET DES CIBLES

© 2pie 2016

L'information stratégique est celle qui permet à l'entreprise de prendre une part prépondérante, de conquérir des marchés

ou de défendre sa position dans son secteur d'activité.

© 2pie 2016

isponibilité

ntégrité

onfidentialité

Information numérique

© 2pie 2016

LES PERTES D’INFORMATIONS NUMERIQUES EN ENTREPRISE

Négligence - Erreur humaine

35%

Pannes opérationnelles

33%

Disparitions de matériels

24%

Infections 6%

Intrusions informatiques

2%

© 2pie 2016

2016, l’année de la confirmation !

Source : Pwc 07/03/2016

© 2pie 2016

- Perte de chiffre d’affaires

- Ralentissement de la production

- Cessation d’activité

- Chômage technique

- Perte de clients - Frais juridiques

- Diagnostics, relance des services, reconfiguration …

Conséquences financières

© 2pie 2016

-Mauvaise publicité faite autour de l’incident.

- Erosion de l’image.

- Clients (amplifiée si atteinte aux données personnelles)

- Partenaires commerciaux

- Prospects et investisseurs

Atteinte à la réputation

© 2pie 2016

La responsabilité civile et pénale du chef d’entreprise peut-être engagée - Absence de protection juridique des données

- Absence de mise en œuvre de moyens à l’état de l’art pour les protéger

Conséquences juridiques

© 2pie 2016

Constat

Les menaces


© 2pie 2016

Quel est l’état de la menace ?

Menace élevée (ne l’a jamais autant été). - Elle est généralisée, comme l’est d’ailleurs l’ensemble du numérique, - permanente, - multiforme, - en croissance exponentielle, - forte : « 400 à 500 milliards de dollars de préjudice en 2015. On prévoit pour 2020 de l’ordre de 2000 à 3000 milliards de dollars ». C’est la conséquence inévitable de la numérisation de nos vies professionnelles et de nos vies privées : du plus social, du plus exposé au plus intime.

L’Etat de la menace

© 2pie 2016

- Cibles de plus en plus nombreuses : - transformation numériques des entreprises - déploiement large des technologies dans le grand public - Expertise accessible : - compétences très disponibles. - structuration mafieuse -Risques faibles : - anonymisation, - absence de traces, - réponse judiciaire complexe -Gains importants : - revente des données CB – 3 à 50 € - personnelles 0.5 à 2 € - espionnage : millions d’euros

Les causes

© 2pie 2016

Des infractions totalement spécifiques Des infractions de droit commun, commises au moyen de ces nouvelles TIC.

Les infractions commises

© 2pie 2016

- Hameçonnage - Spam - Virus - Intrusion - Déni de service - Défiguration - Cryptolockeur - Chantage - Faux logiciels - Dénigrement - Vols de données de l’extérieur - Vol de données de l’intérieur - Atteinte à la réputation - Usurpation d’identité - Atteinte à la propriété intellectuelle, au secret professionnel, aux droits d’auteur . - Fraude au président - Fraudes au faux virement international (FOVI)

Les infractions commises

© 2pie 2016

Ordinateurs Fixes

et portables

Nomadisme

BYOD

Externalisation Prestataires

Cloud

Serveur MDP

© 2pie 2016

Points d’entrée : - mail frauduleux (de plus en plus crédibles).

Hameçonnage (ou phishing)

Technique par laquelle des personnes malveillantes se font passer pour de grandes sociétés ou des organismes financiers qui vous sont familiers en envoyant des mèls frauduleux et récupèrent des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds.

© 2pie 2016

Hameçonnage (ou phishing)

© 2pie 2016

Cryptolockeur

Lorsque ce type de virus est activé sur un ordinateur Windows, il s’installe dans le répertoire utilisateur, puis ajoute les clés qui vont bien dans la base de registre pour assurer son lancement à chaque démarrage de la machine.

Conséquences : - Connexion avec un serveur maître - Le serveur génère une paire de clés de chiffrement RSA de minimum 2048 bits et envoie sa clé publique à l’ordinateur infecté. - Chiffrement des fichiers en local mais aussi sur les disques réseau partagés. - Par souci d’économie de temps, il se concentre uniquement sur les documents bureautiques, les photos, la musique, les vidéos…etc.

© 2pie 2016

Cryptolockeur

Quelques conseils : - Vigilance - Vérification des expéditeurs des emails - Ne pas ouvrir les pièces jointes sans être certain de leur légitimité. - Attention aux téléchargements de logiciels, de cracks, de keygens, de musique ou des films sur les sites pirates - Utilisation d’un antivirus, antimalware et firewall à jour - Sauvegarde des données et duplication sur un support isolé. (en n’oubliant pas de déconnecter ce support) - Veiller pour anticiper et s'adapter aux nouvelles menaces - En cas d’ouverture d’une pièce jointe infectée , isoler immédiatement l'ordinateur compromis afin de bloquer la poursuite du chiffrement et la destruction des dossiers - Effectuer des copies d'écran (mails frauduleux et pièces jointes) comportant la date et l'heure de réception - Sensibiliser régulièrement vos collaborateurs

© 2pie 2016

Déni de service

Il s’agit d’une attaque (denial of service attack) ayant pour buts : - de rendre indisponible un service,

- d'empêcher les utilisateurs légitimes d'un service de l'utiliser.

« Au lieu de remplir la boite aux lettres on tue le facteur :

donc le serveur »

© 2pie 2016

La fraude au président consiste aussi en une collecte d’informations qui passe par de l’hameçonnage et de l’ingénierie sociale dans le but de faire virer des sommes de manière frauduleuse

Fraude au président

© 2pie 2016

Se méfier ! : • Un interlocuteur qui n’a pas l’habitude de vous appeler

• L’urgence de la situation

• Le secret et la confidentialité

• La flatterie

• L’intimidation

• double validation des virements, • listes fermées de comptes tiers et/ou de pays.

Fraude au président (au ministre, au fournisseur)

© 2pie 2016

FOVI La fraude au faux virement international (FOVI) consiste aussi en une collecte d’informations qui passe par de l’hameçonnage ou de l’intrusion informatique dans le but de faire virer des sommes de manière frauduleuse

Sensibiliser au risque Sensibiliser les employés aux manœuvres d'ingénierie sociale. Instaurer des procédures de vérification et un système de signatures multiples pour les paiements internationaux Renforcer les contrôles sur les paiements vers les destinations à risques : région chinoise de Wenzhou, de Hong Kong, Grande Bretagne, pays de l'est, états baltes, Chypre, Liechtenstein, Suisse… Vérifier attentivement (à la lettre près) l'adresse mail du donneur d'ordre : Se méfier des mails provenant des webmails. com ou gmail Ne pas fournir vos coordonnées bancaires Les ordres frauduleux interviennent souvent une veille de week-end ou de jours fériés

© 2pie 2016

Constat

Les atteintes


© 2pie 2016

La sécurité n’est pas l’affaire que des RSSI dans l’entreprise

© 2pie 2016

Négligence et malveillance, l’humain reste le premier facteur de risque

41% des incidents sont causés par des attaques externes. 57% sont liées à des erreurs de gestion internes : administratives, problèmes matériels, données involontairement divulguées en ligne, etc.

© 2pie 2016

La curiosité La crédulité

+

© 2pie 2016

Le bien-intentionné : Se conforme aux politiques de sécurité mais prend des décisions « à l’aveuglette ». Le complaisant : Attend que l’entreprise fournisse un environnement de sécurité global et donc, ne prend aucune responsabilité individuelle pour la sécurité des données. Le désabusé-cynique : Contourne les politiques car il pense que la menace liée à la sécurité est surestimée et que la sécurité informatique l’empêche de travailler.

Les profils des utilisateurs

Source Proofpoint

© 2pie 2016

Quels sont les utilisateurs qui cliquent sur les URL douteuses en entreprise ? - 10% des employés produisent des clics pouvant occasionner des problèmes sérieux - Les « non cadres » sont deux fois plus enclins à cliquer sur des URL douteuses.

- Les attaques sont dirigées vers tous les secteurs d’activités.

Les comportements des utilisateurs

Sur quoi cliquent les utilisateurs ? - Connectivité sociale.

- Courriers électroniques associés aux réseaux sociaux attirent toujours le clic.

- Commandes ou gains.

© 2pie 2016

Depuis quel endroit les utilisateurs cliquent-ils ? 90 % des clics sur des URL douteuses sont été exécutés depuis un PC dans 20 % des cas depuis un ordinateur non protégé par le pare-feu de l’entreprise. Seuls 10 % des clics sur URL douteuse sont effectués sur des appareils mobiles alors que 65% des courriers électroniques sont consultés d’abord sur un appareil de ce type.


Pourquoi les utilisateurs cliquent-ils ? Le volume des courriers électroniques influence peu le taux de clics. La probabilité de cliquer sur des URL douteuses se stabilise à un niveau de 60%. Les employés recevant régulièrement du courrier malveillant ont besoin de temps pour en comprendre les enjeux.

© 2pie 2016


Quand les utilisateurs cliquent-ils ? La majorité des messages dangereux est envoyée pendant les heures de travail Plus d’un utilisateur sur 15 clique sur une URL douteuse plus d’un mois après la réception du message dans sa boîte. Les attaques sont déclenchées entre 9h et 10h. Le jeudi et le vendredi sont les jours les plus touchés par les envois d’URL douteuses.

© 2pie 2016

La sécurité est

l’affaire de tous

Trop de sécurité est aussi

problématique que pas assez

Sur quoi doit on appliquer la sécurité

et pourquoi

Décidée en fonction

des risques et

proportionnelle aux enjeux

La sécurité n’est jamais

acquise définitivement,

elle se vit au quotidien

L’entreprise est-elle attractive

pour les cybercriminels ?

La sécurité :

?

La sécurité, c’est d’abord du bon sens

© 2pie 2016

Le risque

Combinaison de la probabilité d’un évènement et de ses conséquences.

= ( )

38

Risque Vulnérabilité Impact Menace

© 2pie 2016

Gestion des risques

Identifier les actifs

Apprécier les vulnérabilités

Connaître les menaces

Manager les risques

Définir des contre-mesures

© 2pie 2016

Un événement se produit dans un système sociotechnique complexe, divisé en cinq niveaux qui sont : - Niveau défenses du système. - Niveau acte non surs. - Niveau précurseurs / inhibiteurs. - Niveau décisions faillibles. - Niveau gestion hiérarchique.

Le modèle de James Reason adapté à la SI

© 2pie 2016

1 Gestion hiérarchique (Stratégie de sécurité

et directives)

2 – Décisions faillibles (erreurs)

4 –Actes non surs

(Profils des utilisateurs)

3 - Précurseurs inhibiteurs (éléments qui étaient déjà identifiés et qui n’ont pas été traduits comme accidentogènes)

5 - Défense du système

(sécurité logique)

© 2pie 2016

Un engagement du niveau de la direction générale Mise en œuvre d’une véritable politique de sécurité - Moyens techniques. - Moyens humains.

- Directives

- Procédure d’alerte. - RETEX.

- Formation, sensibilisation.

Engagement

© 2pie 2016

- Changement sociologique au sein de l’entreprise

- Déclaration des erreurs

Confiance

La promotion d’une culture « déclarante

© 2pie 2016

Subsidiarité

Face à l’accroissement de la remontée d’information généré par ce système, pour continuer à détecter « le signal utile dans le bruit de fond » les dirigeants doivent laisser traiter les incidents au bon niveau de responsabilité,

Utiliser le principe de subsidiarité En s’appuyant sur l’organisation interne de l’entreprise. La sécurité n’est donc pas l’œuvre d’une instance centrale mais le résultat d’une contribution de l'ensemble des utilisateurs

© 2pie 2016

Animation

Animer le système - Contrôles - Actions correctrices

Pour maintenir la motivation du personnel à reporter les erreurs en produisant des effets concrets et perceptibles,

© 2pie 2016

Révision

L’ajustement

- des seuils de détection d’événements

- diffusion des bonnes pratiques

- Entretien de la dynamique du système

- Eviter le paradoxe des systèmes « ultra- sûrs » ne générant plus d’incidents.

© 2pie 2016

La politique de sécurité doit être :

Simple et compréhensible

Facilement réalisable

De maintenance facile

Vérifiable et contrôlable

Adoptable par un personnel préalablement sensibilisé, voire formé

Propriétés d’une politique de sécurité

© 2pie 2016

- Choisir avec soin ses mots de passe - Mettre à jour régulièrement les logiciels - Bien connaître ses utilisateurs et ses prestataires - Effectuer des sauvegardes régulières - Sécuriser le ou les accès Wi-Fi - Être prudent avec les outils nomades - Protéger les données lors des déplacements - Être prudent lors de l’utilisation de sa messagerie - Télécharger ses programmes sur les sites officiels des éditeurs - Séparer les usages personnels des usages professionnels

Conseils habituels

© 2pie 2016

Mais aussi :

- Désigner un correspondant/référent pour la sécurité informatique.

- Mettre en place une charte informatique.

- Chiffrer les données stratégiques et vos échanges de ce type d’’information avec des logiciels de chiffrement. - Durcir la configuration des postes et utiliser des solutions de sécurité éprouvées. - Attention aux fichiers provenant de clés USB.

- Désactiver l’exécution automatique des supports amovibles depuis votre ordinateur .

- Eteindre les ordinateurs pendant les périodes d’inactivité prolongée.

- Surveiller et monitorer le système en utilisant les journaux d’événements.