Transcript Cible - amrae

Atelier A4
La géostratégie des « Cyber Risks »
et l’impact sur les Entreprises
1
La géostratégie des Cyber Risks et
l’impact sur les Entreprises
Intervenants
Véronique Bruyland
AGCS SE Succursale Française
Regional Financial Lines
Manager
Général
Marc Watin-Augouard
Gendarmerie Nationale
Alain Bouillé
Président du CESIN
Vincent Marfaing
Thales
Vice-President IT Security
CyberSecurity Business Line
Modérateur:
Nicolas Mason
Oberthur Technologies
2
Risk & Insurance Manager
La géostratégie des Cyber Risks et
l’impact sur les Entreprises
Gouvernance étatique de la cybersécurité
3
Evolution des menaces:
De « Big Brother au sabotage
massif »
• 1978/2004 : Atteintes aux données à caractère nominatif / à caractère
personnel
• 1988 :
Atteintes aux systèmes de traitement automatisé de
données (hacking)
• 1992/2006 : Cyberterrorisme
• 1992….:
Infractions liées aux « contenus »
• 1992….:
Infractions facilitées par les TIC
• 2008 / 2013 : LBDSN « de l’espionnage au sabotage ». La Cyberdéfense
• 2013 :
Fondement légal de la Cyberdéfense
Cybersécurité : SSI + lutte contre la Cybercriminalité + Cyberdéfense
4
Gouvernance étatique de la cybersécurité
CDSN : Conseil de Défense et de Sécurité Nationale
PR
CDSN / CNR
sec
CNR : Conseil National du Renseignement
SGDSN : Secrétariat Général de la Défense et de la
Sécurité Nationale
Coordonnateur
COSSI : Centre Opérationnel de la Sécurité des Systèmes
d’Information
PM
Art 22.LPM
SGDSN
CALID : Centre d’Analyse et de Lutte
Informatique Défensive
DGA – MI : Direction Générale de l’Armement
Maitrise de l’information
ANSSI
Renseignement
Cyberdéfense
Cybercriminalité
COSSI
Coloc.
O2SSI
MININT
MINDEF
DGSE
CALID
EMA
Cyber
défense
DGA-MI
MINEFI
DGSI
MINJUST
JURID.
DNRED
DRM
Police
DPSD
OCLCTIC
BEFTI
ICC
5
Gendarmerie
IRCGN
STRID
NTECH
C-NTECH
DECCRF
TRACFIN
MINX
HFDS
FFSI
La géostratégie des Cyber Risks et
l’impact sur les Entreprises
La menace cyber analysée par un DSSI
6
Un monde qui change
Technologies
Usage
Cybercriminalité
➫
➫
➫
➫
➫
➫
➫
➫
Virtualisation des
infrastructures, des serveurs
…
Externalisation des
applications/données (SaaS
/ Cloud computing)
…
➫
Nomadisme
Réseaux sociaux
Frontière de plus en plus
floue entre le monde privé
et professionnel
Mobilité – Laptops,
Smartphone, clés USB…
➫ RISQUES
Fraudes (interne, externe)
➫ Propagation de Malwares
➫ Fuite/Vol d’informations
➫ Indisponibilité du système d’information
➫…
7
➫
➫
Augmentation constante
Activité devenue très
lucrative, Hacktivisme)
Attaques ciblées
(personnes, sociétés, Etats
…)
Multiplication des
méthodes & outils
Un monde qui change
La cybercriminalité en quelques dates
1983 – Mitnick au pentagone
1986 – Premier virus « brain » sur IBM
1988 – Premier ver Internet (Morris)
1995 – Recherché par le FBI pendant 7 ans, Kevin Mitnick est arrêté
2000 – « I Love You » (Love-Letter-for-you.txt.vbs)
2010 – …
8
La cybercriminalité aujourd’hui
Mars 2011
Minefi : vol
d’informations
confidentielles
concernant le G20
Avril 2011
SONY : attaques
répétées – 170
millions de $ de
pertes déclarées
Sept 2011
Oct 2011
Areva: réseau
interne piraté
pendant plus de
deux ans
Mitsubishi: données
militaires et nucléaires
volées sur 45 serveurs
internes pendant
plusieurs mois
Janvier 2012
Avril 2012
Juin 2012
Les sites du FBI et de la
Justice américaine sont
indisponibles suite à
l’attaque par des
hacktivistes
Global Payment:
1,5 millions de cartes
bancaires compromis sur
ses serveurs
transactionnels
Le réseau social
professionnel LinkedIn
piraté: 6,5 millions de
mots de passe
compromis
9
Novembre
2012
Piratage de l’Elysée
pendant la campagne
présidentielle: phishing et
réseaux sociaux
Évolution de la cybercriminalité
Une menace mondialisée
Une difficulté à attribuer de manière fiable les attaques mais des tendances ressortent
Europe de l’est
Hacktivistes
Mafia organisée sur
du vols de données
clients / fraudes
spécialisés (et
marché noir des
outils d’attaques)
Capacité à lancer des
attaques « coups de
poings » depuis
partout dans le
monde
États
Capacité d’attaque
ciblée sur des
cibles précises
États belliqueux
Destruction de
systèmes pour
déstabiliser un pays
ou ses processus
essentiels
Maghreb / Afrique
Attaques
opportunistes de
type phishing ou
fraudes financières
10
Asie
Intrusion large pour
voler le maximum de
données d’entreprise
Source : Solucom
Évolution de la cybercriminalité
Les chiffres clés de la cybercriminalité
Des attaques réussissant
très rapidement
84%
des attaques
réussissent en moins
d’une journée
Des attaques auxquelles les
grandes organisations ne
sont pas préparées
Des conséquences
financières importantes
1,7Mds€
de pertes
engendrées en
France
en moyenne
243jpour détecter
une
Source : ONDRP, 2010
attaque ciblée
69%
des exfiltrations
ont lieu en moins
d’une journée
2,5M€
63%
des attaques
signalées par un
tiers
11
Source : Verizon 2013
perdus en moyenne
par violation de données
d’une entreprise en France
Source : Ponemon Institute, 2011
Évolution de la cybercriminalité
Les cibles de la cybercriminalité
Tous les secteurs sont touchés
36%
24%
20%
20%
Finance
Distribution
Service
Industrie
Vol de données clients
Vol de données
confidentielles ou de
données clients
Vol de données
clients
Vol données
confidentielles
Piégeage de
sites Web
(réseau industriel,
R&D, innovations)
Fraude
Vol de données
Fusions & Acquisitions
12
Source : Verizon 2013
Evolution de la cybercriminalité
Hier
Aujourd’hui
Célébrité (attaques
visibles)
Simple curiosité
Activisme
Attaques silencieuses
et invisibles
pour gagner de l’argent
Type ?
Sans cible précise
Diffusion massive
visant le grand public
Ciblée
(entreprises / dirigeants /
états) avec un niveau
de complexité adapté
à la cible
Cible ?
Visant les organismes
les moins sécurisés
Attaques non inscrites
dans la durée
Vols d’information
et préjudices financiers
Nombre ?
Quelques centaines
par an
et évolution lente
Plusieurs milliers
et évolution rapide
Objectif ?
13
Demain
?
Anatomie d’une attaque

Social
engineering





Phishing
&
0-day
Backdoor
Mouvement
Récupération
de données
Evasion
14
La saga de l’été 2013 : l’affaire PRISM
15
L’affaire PRISM
Les enseignements
Ca n’est pas une surprise,
■ mais une telle ampleur, sur tous les niveaux de l’informatique mondiale;
■ on ne pourra plus dire que c’est de l’ordre du « roman d’espionnage »;
■ une application claire à l’intelligence économique / espionnage économique.
Opérateurs / constructeurs américains
la menace est prouvée
Opérateurs / constructeurs britanniques, chinois, russes
la menace est probable…
Les « admin sys » dans nos propres services informatiques…
……. La NSA est vulnérable !
16
Une nouvelle forme d’escroquerie
 L’arnaque « au faux président »: faux ordres de virements bancaires
1 – L’escroc se fait passer pour le dirigeant de la société
(usage d'un faux nom ou d'une fausse qualité, abus d'une qualité vraie, emploi de manœuvres
frauduleuses)
2 – Obtient du responsable financier un virement bancaire conséquent vers un établissement
financier situé à l’étranger (hors U.E.)
Plus de 180 sociétés victimes en France en 2 ans, pour plus de 100 millions d’euros de préjudice.
17
La géostratégie des Cyber Risks et
l’impact sur les Entreprises
Politiques de prévention/protection face
aux Cyber attaques & aux nouvelles
règlementations?
Solutions d’assurance?
18
Quelles politiques de prévention/protection face aux
Cyber attaques & aux nouvelles règlementations?
1. Aspects opérationnels du risque Cyber
 Non « visible » dans nombre de cas, et détecté très tard
 Pas de parade technique absolue
 Les facteurs de vulnérabilité sont aussi bien techniques qu’organisationnels
 Très généralement non judiciairement attribuables
 D’expérience, la définition de la remèdiation est plus ardue/lente que son
exécution
Les dommages indirects sont généralement bien supérieurs aux dommages
directs
19
Quelles sont les solutions d’assurance les mieux
adaptées?
2. Des réglementations en constante évolution
 Emergence de la protection des données personnelles et individuelles
(Législateur évoluant du cadre des recommandations au caractère impératif)
 Obligation de Notification
(absence de notification à la CNIL en cas de violation des données : amendes
minimales de € 300.000 + 5 ans emprisonnement)
 Règlementation et sanction
(caractère législatif strict des Etats-Unis se retrouve en Europe et en France)
 Dispositions particulières aux Opérateurs d’Importance Vitale « OIV »
(>200 entreprises/organisations en France, soumis à travers la Loi de
Programmation Militaire à des pratiques obligatoirement délivrées par des
partenaires certifiés)
20
Quelles politiques de prévention/protection face aux
Cyber attaques & aux nouvelles règlementations?
3. Pratiques de prévention recommandées
Mettre en place une supervision de sécurité dynamique (obligatoire pour les OIV)
Auditer régulièrement le périmètre SI et les pratiques de l’Entreprise (obligatoire pour les OIV)
Procéder à des exercices de gestion de crise Cyber, non limités à l’organisation DSI
Tester les attaques par pénétration testing (prestataires obligatoirement certifiés pour les OIV)
 Prévoir une équipe de remédiation impliquée dans les évaluations amont
21
Quelles sont les solutions d’assurance les mieux
adaptées?
4. Définition « assurantielle » d’un événement Cyber
Toute destruction, perte, altération, divulgation, ou accès non autorisé à des
données informatiques.
Un événement Cyber peut avoir différentes causes:
 Accidentelle
 Erreur Humaine
 Criminalité
 Malveillance
 Défaillance matérielle ou logicielle
La prise en charge sous une seule police des conséquences d’un événement Cyber
sous deux axes prioritaires :
 Indemnisation des frais engagés suite un événement
 Prise en charge des réclamations présentées par les tiers
22
Quelles sont les solutions d’assurance les mieux
adaptées?
5.Offre d’assurance
classique d’assurance
Cyber
Fait Générateur
Police
Dommage
Police RC
Police Cyber
& RC PRO
Atteinte aux données
Dommage Physique aux
données
Déni de Service
Pertes d‘Exploitation Suite
Evenement Cyber
Atteinte Media
Notification des Tiers
Transmission de Virus
Frais de Défense Enquête
Regulation
Atteinte aux données de Tiers
Vol données confidentielles
23
Fraude
Quelles politiques de prévention/protection face aux
Cyber attaques & aux nouvelles règlementations?
Quelles sont les solutions d’assurance les mieux adaptées?
6. Solution dédiée Cyber
C
Y
B
E
R
RC
Atteinte aux Données confidentielles et personnelles
Atteinte Média - Sécurité réseau - Frais de Notification
Pénalités Contractuelles
Dommages
Perte d’exploitation - Perte de données
Frais de Restauration
Cyber criminalité (vol & extorsion)
Régulateur
Frais de défense en cas d’enquête
Amendes civiles & pénalités
Coûts de prévention, décontamination, remédiation
Risk
------------------------------------------------------------------------------Management
Coûts de gestion de crise
24
Quelles politiques de prévention/protection face aux
Cyber attaques & aux nouvelles règlementations?
7. Le soutien « Consultant » de l’offre dédiée Cyber
Prestations de base:
Evaluation amont avant souscription
Remédiation
Adaptations possibles dans le cas premium:
Abonnement Force d’Intervention rapide pour garantie d’intervention pertinente
Possibilité d’audits réguliers et vérification de compliance
Faisant appel à partenaire qualifié:
Pour les tests de pénétration, y compris auprès d’OIV
Pour audits et exercices de gestion de crise
Pour supervision de sécurité, y compris pour OIV
25
Quelles sont les solutions d’assurance les mieux
adaptées?
8. Challenges du Marché Cyber
ANSSI
Capacité
OIV
Audit
Réaction du marché vis-à-vis des dernières publications de
l’ANSSI
Capacité disponible sur le marché 200 M€
Accompagnement des OIV suite aux prochains décrets
Comment répondre aux interrogations des comités
d’audit?
26
27