Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

15/3/2019 Alexandra D'Anglemont De T assigny Boegeat Maître de Conférences Vice

15/3/2019 Alexandra D'Anglemont De T assigny Boegeat Maître de Conférences Vice-présidente déléguée aux Partenariats Les Rendez-vous de la MIEE Introduction 3 MIEE UPEC 15/3/2019 ●Enseignant et administrateur Enseignant et administrateur systèmes et réseaux ●Responsable de formation Responsable de formation LP en administration et sécurité des systèmes et réseaux ●Spécialisation dans la gestion des compétences, compétences, la FTLV (FC, FA, VAE, VAPP…) et l’enseignement à la FTLV (FC, FA, VAE, VAPP…) et l’enseignement à distance distance ● ●Vice-président de Présentation 4 MIEE UPEC 15/3/2019 ●https://www.hack-academy.fr ●On va voir aujourd’hui comment y faire face et mettre en place des outils ensemble Hack académie (envoyé avant conf.) 5 MIEE UPEC 15/3/2019 ●Messages infectés ●Clés USB/cartes SD infectées ●Logiciels compromis ●Sessions laissées ouvertes ●Saisies clavier non discrètes ●Écrans visibles de tous dans des lieux publics ●Compromission de mails perso pour toucher la partie pro ●Mots de passe faibles ●... Phishing, vol d’identités, ransomwares... 6 MIEE UPEC 15/3/2019 ●Qu’est-ce qu’il est le plus important de protéger au niveau informatique ? Introduction 7 MIEE UPEC 15/3/2019 ●Dans TIC, NTIC, SI, … il y a information (et communication) → Le plus important est l’information et comment on la diffuse/protège Introduction 8 MIEE UPEC 15/3/2019 ●Comment évalue-t-on la sécurité globale d’un système ? Introduction 9 MIEE UPEC 15/3/2019 ●Comment évalue-t-on la sécurité globale d’un système ? → La sécurité globale d’un système et celle de son maillon le plus faible… Introduction 10 MIEE UPEC 15/3/2019 ●pro et particuliers ●2 foyers sur 5 ont des périphériques connectés non sécurisés ●3/4 à cause d’identifiants faibles ●1/3 à cause de mises à jour tardives ●Mot d’ordre de l’ANSSI au FIC 2019 : « tous connectés, tous impliqués, tous responsables » On est tous concernés Bonnes pratiques • grfg gfdgd Sensibilisation et initiation à la cybersécurité https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/ ●Il faut protéger en profondeur car : ●La sécurité à 100 % n’existe pas ●Et le risque 0 donc non plus et aussi : https://www.ssi.gouv.fr/guide/guide-des-bonne s-pratiques-de-linformatique/ 12 MIEE UPEC 15/3/2019 ●https://haveibeenpwned.com/ ●Check if you have an account that has been compromised in a data breach ●Alors ? ●Essayez aussi https://www.shodan.io/ ';-- have I been pwned ? (envoyé avant) b https://phishingquiz.withgoogle.com/ Liens non officiels/fichier non attendu Ne pas s’identifier ! Adresse connue mais pas tout à fait identique ? 14 MIEE UPEC 15/3/2019 ●Le problème/dilemme en pratique : ●Les mots de passe peuvent être complexes caquai)w#ae3Up3A ou ●modifiés régulièrement ●toto2, toto3... ●Pourtant les deux sont nécessaires ;-) Mots de passe 15 MIEE UPEC 15/3/2019 C’est LA solution ! ●Coffre-fort numérique ●Chiffré par mot de passe maître ●Mdp générés de 12 à 16 caractères aléatoires (min./maj., chiffres, caractères spéciaux) ●Ne pas enregistrer les mdp sur le navigateur (copier-collé sécurisé) ●Keepass est certifié par l’ANSSI ●Atelier de prise en main accompagné par les LP Sécurité des données en fin de conférence Trousseau de mots de passe 16 MIEE UPEC 15/3/2019 ●Possibilité d’utiliser un outil contre le vol de mdp maître (second facteur d’authentification): ●Carte à puce, clé USB/NFC, ●empreinte biométrique, ●mot de passe à usage unique (OTP), éventuellement via SMS Trousseau de mots de passe, sécurisation 17 MIEE UPEC 15/3/2019 ●ne pas donner d'informations permettant, par ingénierie sociale de déduire mots de passe, identifiants... ●ne pas donner d'informations de localisation http://pleaserobme.com/ Réseaux sociaux 18 MIEE UPEC 15/3/2019 ●mdp wifi complexe et modifié régulièrement (utiliser keepass) ●attention à la portée/débordement ●éviter les réseaux wifi publics (ou alors avec VPN), ●éviter les VPN publics également (préférer ceux fournis par des prestataires de confiance, nationaux de préférence, et avec authentification forte) Réseau 19 MIEE UPEC 15/3/2019 ●compte utilisateur non administrateur (pas root/jailbreak), 1 compte par personne ●pare-feu/antivirus intégrés au système d'exploitation (à rajouter pour les Mac) ●mises à jour quotidiennes du matériel, système, des pilotes (en changer si elles ne sont plus fournies ou pas assez souvent) ●filtre de confidentialité dans les lieux publics ●activer le blocage de session lors d'inactivité (courte) ●éteindre l'ordinateur lors d'inactivité prolongée ●ne pas utiliser un ordinateur public ou partagé pour accéder à des comptes critiques de type mail/cloud/banques.. Systèmes 20 MIEE UPEC 15/3/2019 ●Les limiter au strict nécessaire (attention aux plugins navigateur) ●fournisseur officiel (store ou site du développeur/éditeur) ●mises à jour quotidiennes si intégrées à l'application (par ex navigateur) ●vérifier le « degré de confiance » : les droits qui sont demandés, l’éditeur, la dernière mise à jour, les commentaires,... ●attentions aux applications "gratuites" (mais pas libres) qui sont souvent des pièges, au mieux pour de la pub, au pire pour prendre le contrôle de l'ordinateur → http://references.modernisation.gouv.fr/socle-logiciels-libres Applications 21 MIEE UPEC 15/3/2019 ●chiffrement des disques ●tout ce qui est mis dans le cloud doit être chiffré (au moins par mot de passe) si ce sont des données personnelles et/ou confidentielles ●idem pour ce qui est mis sur des supports portables/perdables/ volables... ●ne pas copier/connecter de données pro sur des supports perso et inversement ●sauvegarde+archivage planifiés et automatiques + test de restaurations réguliers (si tout le monde appliquait cette recommandation les ransomwares disparaîtraient) → appliquer en priorité aux informations sensibles/de valeur Données 22 MIEE UPEC 15/3/2019 ●Spam: https://www.signal-spam.fr/ ●Contenu illicite: https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.acti on ●Assistance aux victimes: https://www.cybermalveillance.gouv.fr/ ●Bons réflexes en cas d'intrusion (admins sys): https://www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002/ ●Ne pas payer de rançon ! https://www.cert.ssi.gouv.fr/information/CERTFR-2017-INF-001/ ●déconnecter du réseau filaire/radio/cablé (3g, wifi, bluetooth, USB,…) Après l’incident : ●réinstallez complètement le système d’exploitation à partir d’une version saine ●+BIOS/UEFI, ●restaurez les données d’après une copie de sauvegarde non compromise, ●changez tous les mots de passe En cas d’incident : https://www.ssi.gouv.fr/en-cas-dincident/ 23 MIEE UPEC 15/3/2019 ●MOOC de sensibilisation de l’ANSSI : https://www.secnumacademie.gouv.fr/ Secnumacadémie… pour aller plus loin 24 MIEE UPEC 15/3/2019 "L'enjeu formation est décisif dans un domaine en croissance à 17%, avec des objets connectés qui se multiplient et des recrutements difficiles" ●En 2018 : ● une hausse des effectifs de 6% ● 1 400 créations nettes d’emplois (dans un domaine qui en compte déjà 24 000, dont 7/10 en IDF) ●Plusieurs dizaines de milliers d’emplois en France d’ici 2022. ●Seulement 1200 postes pourvus sur les 6000 ouverts en 2017 en France https://talentsdunumerique.com/communiques-presse/competences-et-cyberse curite-2019 ANSSI/T alents du numérique, FIC 2019: constat 25 MIEE UPEC 15/3/2019 ●Compétences techniques : - sécurisation des applications, - gestion des accès et des identités / protection des informations - audit de sécurité / supervision/ gestion de la continuité d’activité - infrastructure et réseaux - programmation et cryptographie, ●Les compétences transversales (« softskills ») jouent également un rôle important : - adaptabilité/flexibilité et réactivité, - respect des règles de confidentialité, - curiosité (veille), - capacité d’analyse, d’anticipation, - communication orale/écrite fluide, - pratique de l’anglais (pro.), - culture générale en matière de géopolitique et d’intelligence économique, - maîtrise des enjeux juridiques (non limités au RGPD) – une matière dans laquelle des lacunes sont souvent identifiées chez les étudiants. ANSSI/T alents du numérique, FIC 2019 + OPIIEC/EY : compétences https://www.fafiec.fr/85-l-observatoire-opiiec/etudes-transversales/459-formations-competences-france-cybersecurite.html 26 MIEE UPEC 15/3/2019 ●Intégrer le sujet « cybersécurité » à tous les cursus supérieurs, même généralistes ●Accompagner la mobilité professionnelle et la montée en compétences des salariés La commission recommande aux établissements de formation de s’intéresser - au programme CyberÉdu (pour les étudiants du numérique non spécialistes) et à la labellisation pour les responsables de formation, - et de demander le label SecNumedu (pour les formations de spécialistes) ●Une alerte néanmoins : le secteur souffre d’un déficit d’attractivité... Des actions de communication d’envergure, notamment vers les jeunes et le grand public, sont indispensables. Trop souvent réduite à son aspect technique, la cybersécurité ne séduit pas. ANSSI/Talents du numérique, FIC 2019 + OPIIEC: évolutions 27 MIEE UPEC 15/3/2019 ●Catégorie 1 : Hygiène numérique - BTS, IUT, licences ou diplômes d’informatique non spécialisés en cybersécurité, - personnels des administrations et des entreprises, - plus largement tous ceux qui utilisent des moyens numériques dans leur emploi. ●Catégorie 2 : Formation complémentaire - Personnels des systèmes d’informations et des communications, - acquérir ou de mettre à jour des connaissances et compétences nécessaires à leurs métiers. ●Catégorie 3 : Formation à la cybersécurité - Formations pour les spécialistes des systèmes d’information à la cyber-protection, à la cyberdéfense et à la cyber-résilience . ●Catégorie 4 : Experts techniques … et responsables spécialisés de haut niveau dans les disciplines de pointe, telles par exemple la cryptologie, le forensic (investigation numérique) ou le pentest (test d’intrusion),... - pouvant aller jusqu’à des certifications. ●Catégorie 5 : Conduite des opérations cyber - Formations pratiques, pour des généralistes de la conduite des opérations « cyber » - pouvant aller jusqu’à la gestion des crises : le Mastère spécialisé Gestion des crises cyber que propose Saint-Cyr Coëtquidan, ou le diplôme d’ingénieur Cyberdéfense de l’ENSIBS par exemple. Catégories de formations 150 longues, 400 courtes 1/4 IDF 1/4 bretagne 28 MIEE UPEC 15/3/2019 ●Bac+2: Des techniciens supérieurs - DUT Informatique ou réseaux et télécoms - BTS SIO (systèmes d'information des organisations) avec spécialités systèmes et réseau ou développement Et aussi: - BTS SN (systèmes numériques) ●Bac+3: Le meilleur compromis niveau d'études/capacité d'insertion professionnelle Les LP apportent une plus-value professionnelle à des bac+2 somme toute assez scolaires/universitaires, voire trop théoriques (DUT ou encore plus licences générales) - Métiers de l’informatique : uploads/s1/ conference-miee-cybersecurite-presentation 1 .pdf