Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Les enjeux de la sécurité informatique Jean-Marc Robert Génie logiciel et des T

Les enjeux de la sécurité informatique Jean-Marc Robert Génie logiciel et des TI Jean-Marc Robert, ETS Les enjeux de la sécurité informatique 2 Plan de la présentation Le constat La sécurité informatique, ce n’est pas … Principal objectif de la sécurité Approches Pragmatique (infrastructure TI) Holistique (logiciel) Conclusions Jean-Marc Robert, ETS Motivation et Contexte Verizon (rapport 2018) Le ransomware est la variété la plus répandue de malwares Le facteur humain demeure le maillon faible Les demandes financières frauduleuses visent les RH Impossible d’ignorer les attaques de phishing Les attaques DDoS sont partout Plus d’un quart des attaques proviennent de l’intérieur Education : l’ingénierie sociale visant des informations personnelles détournées aux fins d’usurpation d’identité est très fréquente. Les recherches hautement sensibles sont à haut risque également, et 20% des attaques sont motivées par l’espionnage scientifique. 11% des attaques sont aussi motivées par le divertissement plus que par l’appât du gain. Les enjeux de la sécurité informatique 3 Jean-Marc Robert, ETS Motivation et Contexte FireEye (rapport 2018) Aujourd’hui, les organisations sont mieux armées pour détecter rapidement une compromission de leur sécurité. Les organisations sont de moins en moins tributaires de sources externes pour mettre au jour une compromission. Les attaques à répétition augmentent Selon CyberSecurity Ventures, les dépenses mondiales de cybersécurité dépasseront 120 milliards $ US en 2017. Il s’agit d’un marché incroyablement complexe qu’il est difficile de quantifier. En considérant la part de 1,5 % du Canada dans le PIB mondial, on peut estimer que notre part du marché de la sécurité équivaut à des dépenses de 2,26 milliards $ CAN à l’échelle canadienne. Les enjeux de la sécurité informatique 4 Jean-Marc Robert, ETS Brèches de sécurité Wifi Finder : 2019 : 2,000,000 Marriott : 2018 : 383,000,000 Twitter : 2018 : 330,000,000 Facebook : 2018 : 50,000,000 MyFitnessPal : 2018 : 150,000,000 Equifax a été averti d'une faille de sécurité en mars | ICI.Radio ... : 2017 : 143,000,000 Jusqu'à 400 clients de la Banque Nationale touchés par une brèche ... Brèche de sécurité à l'agence de voyages Sinorama | TVA Nouvelles Deloitte https://informationisbeautiful.net/visualizations/worlds-biggest-data- breaches-hacks/ Les enjeux de la sécurité informatique 5 Jean-Marc Robert, ETS Constat 1: Pointe de l'iceberg Difficile de quantifier les incidents! Les victimes ne déclarent pas les incidents. Les banques ne sont pas obligés de divulguer les vols effectués sur les comptes de leurs clients. Les incidents les plus visibles sont les plus médiatisés. HeartBleed -- Revenue Canada (2014)  Fermeture du site web (2014) Ransomware -- Université de Calgary  Ranson de $20,000 (juin 2016) Les enjeux de la sécurité informatique 6 Jean-Marc Robert, ETS Les enjeux de la sécurité informatique 7 Constat 2: Trop de vulnérabilités … NIST – National Vulnerability Database  52 279 (13 septembre 2012)  71 319 (30 août 2015)  76 333 (27 avril 2016 )  86 070 (2 mai 2017)  99 552 (8 janvier 2018)  112 572 ( 9 septembre 2018)  121 727 (27 avril 2019) C’est autant de possibilités pour des attaques. https://nvd.nist.gov/general/nvd-dashboard Jean-Marc Robert, ETS 8 www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities- Exploits-Patches-and-Security.aspx Les enjeux de la sécurité informatique - A16 Constat 2: Trop de vulnérabilités et pas assez de temps Jean-Marc Robert, ETS Profil des acteurs Les enjeux de la sécurité informatique - A11 9 Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 11 Constat 3: Leçon apprise suite à un incident? Piètre qualité du logiciel Vérifier les bornes des tableaux (C et C++)! Vérifier les intrants (p.ex., SQL injection) Piètre gestion de l’infrastructure Mettre à jour les logiciels! Limiter l’accès au strict minimum! Surveiller le trafic entrant et sortant! Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 12 Constat 4 : Motif des attaques Historiquement, Prouver ces compétences techniques Représailles envers un ancien employeur … Actuellement $$$$ – Extorsion (déni de service vers un site populaire) $$$$ – Vol (carte de crédit, identité) $$$$ – Vol sur une grande échelle (transactions bancaires) $$$$ – Distribution de la publicité (SPAM) Sécurité nationale Jean-Marc Robert, ETS Constat 5 : Cibles Première vague (push aléatoire) Disquettes Fichiers Courriels avec pièces jointes  Campagnes de SPAM Demandes de connections à un serveur  Génération aléatoire d’adresses Seconde vague (pull de l’usager) Applications populaires infectées Sites web infectés  Drive-by download (The Ghost In The Browser Analysis of Web-based Malware, 2007)  XSS Les enjeux de la sécurité informatique - A16 13 Jean-Marc Robert, ETS Constat 5 : Cibles Troisième vague (cibler une organisation) « advanced persistent threat » (APT) est une attaque où la personne malveillante cherche à avoir un accès prolongé à un système informatique afin d’obtenir de l’information sensible. Les enjeux de la sécurité informatique - A16 14 en.wikipedia.org/wiki/Advanced_persistent_threat Jean-Marc Robert, ETS Constat 5 : Cibles Troisième vague (cibler une organisation) Aurora/Google (2009)  Attaque de la Chine afin d’obtenir du code de Google Stuxnet (2010)  Attaque d’ Israël / USA (???) contre les centrales nucléaires iraniennes Sony's PlayStation Network and Qriocity services (2011)  Informations personnelles Quatrième vague (cibler des particuliers ou des petites organisations) Scareware, Ransomware Les enjeux de la sécurité informatique - A16 15 Jean-Marc Robert, ETS La sécurité de l’information Les enjeux de la sécurité informatique - A16 16 Jean-Marc Robert, ETS Pare-feu Systèmes permettant de filtrer les flux de données entre deux domaines. Systèmes de détection ou de prévention d’intrusion Systèmes permettant de détecter ou de prévenir les attaques informatiques. Logiciels antivirus Systèmes permettant de détecter et d’éliminer les virus informatiques. Des outils permettant de développer des solutions sécurisées. Les enjeux de la sécurité informatique - A16 17 La sécurité de l’information, ce n’est pas … Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 18 La sécurité de l’information, ce n’est pas … Contrôle d’accès Authentification  Permettre d’identifier une entité. Autorisation  Vérifier si une entité peut accéder à un service ou à de l’information. Audit  Garder des traces de toutes les opérations effectuées. Un outil permettant de développer des solutions sécurisées. Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 19 La sécurité de l’information, ce n’est pas … Cryptographie Confidentialité  Limiter la diffusion des données aux seules entités autorisées. Intégrité  Vérifier que les données ne sont pas altérées lors de leur traitement. Non-répudiation  S’assurer que les entités engagées dans une communication ne peuvent nier d’y avoir participé. Anonymat et Domaine privé  S’assurer que les informations liées à l’identité ne sont pas divulguées. Un outil permettant de développer des solutions sécurisées. Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 20 L’objectif de la sécurité de l’information… Information security is the protection of information [Assets] from a wide range of threats in order to ensure business continuity, minimize business risks and maximize return on investment and business opportunities. Adapté de Norme ISO 17799:2005. Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 21 … si deux opinions valent mieux qu’une! The purpose of information security governance is to ensure that [enterprises] are proactively implementing appropriate information security controls to support their mission in a cost-effective manner, while managing evolving information security risks. As such, information security governance has its own set of requirements, challenges, activities, and types of possible structures. Information security governance also has a defining role in identifying key information security roles and responsibilities, and it influences information security policy development and oversight and ongoing monitoring activities. Adapté de NIST Special Publication 800-100 – Information Security Handbook: A Guide for Managers Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 22 Les actifs … Base de données Clients Vente et Marketing Base de données Employés Ressources humaines Portail web transactionnel Vente directe ou indirecte Code source d’une application Équipe de développement Base de données Usagers Équipe des TI Les actifs informationnels représentent l’ensemble des données et des systèmes d’information nécessaires au bon déroulement d’une entreprise. Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 23 … et leurs propriétés Le trio du CID: en anglais: CIA (Confidentiality, Integrity and Availability) Confidentialité Disponibilité Intégrité Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 24 Confidentialité Menaces Surveillance du réseau Vol de fichiers  Fichiers de mots de passe  Fichiers de données Espionnage Ingénierie sociale Contre-mesures Cryptographie  Chiffrement Contrôle d’accès  Mot de passe à usage unique  Biométrie Classification des actifs Formation du personnel Propriété d’une donnée dont la diffusion doit être limitée aux seules personnes ou entités autorisées. Jean-Marc Robert, ETS Les enjeux de la sécurité informatique - A16 25 Intégrité Menaces Attaques malicieuses  Virus  Bombes logiques  Portes dérobées Erreurs humaines Contre-mesures Cryptographie  Authentification, signature Contrôle d’accès  Mot de passe à usage unique  Biométrie Système de détection d’intrusion Formation du personnel Propriété d’une donnée dont la valeur est conforme à celle définie par son propriétaire. Si cette propriété n’est pas respectée pour certains actifs, cela peut avoir des impacts sur la confidentialité de d’autres actifs. Jean-Marc Robert, ETS Les enjeux de la sécurité uploads/Science et Technologie/ cours-01-b-enjeux-de-la-securite.pdf