Nom de l’évènement date
Stratégie d’une cyber défense EBIOS / ISO 27005 Comment agir à la vitesse des électrons ! Nom de l’évènement date
La Cyber défense exemple d’emploi • • La Russie attaque l’Estonie avant l’invasion Attaque Conficker Attaque de Google par la Chine Le 8 avril 2010, la Chine détourne vers elle 15% du trafic Internet mondial • Stuxnet => attaque des systèmes industriels • Attaque des réseaux électriques américains • Partisans Wikileaks attaquent les banques • Cyber attaque = Acte de piraterie? Acte de guerre? Nom de l’évènement date
• 2010 , La Chatham House publie un rapport sur la cyber-guerre intitulé "On Cyberwarfare". • 4 points essentiels : – distinguer le champ de la cyber-sécurité de celui de la cyberguerre ; – le cyberespace doit être considéré comme le "5ème champ de bataille" ; – la cyber-guerre est asymétrique et offre une puissance disproportionnée à toute sorte d'acteurs – Le domaine est encore aujourd'hui mal compris par la classe politique Nom de l’évènement date
Plan • EBIOS / ISO 27005 – Différences et convergences • Gestion du risque – Définition du risque – Méthode EBIOS • Le Risque appliqué à la Cyber défense – Cyber défense, risques particuliers – Planification de sa stratégie – Principales difficultés • Vision de l’évènement Nom multi-niveau vision mondiale date
EBIOS / ISO 27005 • EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité : Méthode de gestion des risques de l'ANSSI. • ISO 27005 – Lignes directrices relatives à la gestion de risque. – Absence de méthodologie spécifique. – Dérive très fortement de la méthode EBIOS (notion de menace) grâce à une importante implication de l’ANSSI dans sa définition. Nom de l’évènement date
Gestion du risque • Un risque est la possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et nuise donc à l’organisation. • Le risque est mesuré en termes de combinaison entre la vraisemblance d’un événement et ses conséquences. R = M x V - Risque = Menace x Vulnérabilité M = S x A - Menace = Source/Origine x Méthode attaque n. R = R x P x I - Niveau de risque = Risque x Probabilité x Impact Nom de l’évènement date
Méthode de définition du Risque EBIOS Nom de l’évènement date
Processus de gestion des risques ISO 27005 Nom de l’évènement date
Processus de gestion des risques ISO 27005 • • Critères d’évaluation du risque Il convient d’élaborer des critères d'évaluation du risque afin d'évaluer le risque de l'organisme en sécurité de l'information en prenant en compte les éléments suivants : – – – • • la valeur stratégique des processus informationnels métier, • la criticité des actifs informationnels concernés, • les exigences légales et réglementaires ainsi que les obligations contractuelles, • l’importance opérationnelle et métier de la disponibilité, de la confidentialité et de l’intégrité, • les attentes et les perceptions des parties prenantes ainsi que les conséquences négatives sur la valorisation financière et la réputation de l’organisme. En outre, les critères d’évaluation du risque peuvent être utilisés pour spécifier les priorités du traitement du risque. Critères d’impact Il convient que les critères d’impact soient élaborés et spécifiés en fonction du niveau de dommages ou de coûts pour l’organisme pouvant être causés par un événement lié à la sécurité de l’information, en tenant compte des points suivants : – – – – • le niveau de classification de l’actif informationnel impacté, • l’atteinte à la sécurité de l’information (par exemple, une perte de confidentialité, d’intégrité et de disponibilité), • les erreurs opérationnelles (équipes internes ou tierces parties), • la perte d’activité métier et de valeur financière, • la perturbation des plans d’actions et des délais, • les atteintes à la réputation, • le non respect des exigences légales, réglementaires ou contractuelles. Nom de l’évènement date
Le Risque appliqué à la Cyber défense • Faire de la cyber défense c’est considérer que – le risque n’est plus probable mais qu’il est présent – le risque est généré par une menace humaine et définie – les vulnérabilités du système sont connues par l’adversaire Nom de l’évènement date
Processus de cyber défense • Détecter l’attaque • Comprendre la méthode d’attaque • Identifier l’attaquant – Technique - Diplomatique • Corriger les vulnérabilités – Technique - Organisationnel • Bloquer l’attaquant – Technique - Diplomatique - Juridique • Riposter – Technique - Juridique Nom de l’évènement date
Planification • Détecter ou anticiper une attaque : – Remontées d’informations techniques, suffisantes et centralisées. – Moyens humains de grande qualité, la technique ne remplace pas l’interprétation humaine – Moyens humains en quantité • Comprendre une attaque – Moyens humains de grande qualité – Réseaux d’experts (CERT, CERTA…) Nom de l’évènement date
Planification • Mise en œuvre des moyens internes : – – – Disposer d’un plan de réduction de vulnérabilité Disposer d’un MCS industriel Redonder les moyens de communication interne Disposer d’un PRA/PCA Anticiper les moyens techniques de blocage • Mise en œuvre des moyens externes – Anticiper les relations externes (diplomatiques, juridiques et techniques) – Anticiper les solutions diplomatiques et juridiques de blocage – Définir des canaux de communication sécurisés Nom de l’évènement date
Difficultés • Délocalisation de l’attaquant – Comment riposter lorsque l’attaque est perpétrée à partir d’un serveur localisé dans un Etat neutre ? – Attaquant non-étatique ne possédant aucun actif stratégique, réduisant ainsi à néant toute possibilité ou volonté de riposte. – Base de représailles difficile à identifier. • Attaquant innocent – Comment condamner un usager sur le sol Français dont l’ordinateur a été piraté à son insu. Nom de l’évènement date
Entrainement • Entrainement difficile, guerre facile : – Il est vital d’entrainer les équipes et la direction. – Faire des tests d’intrusion réguliers et vérifier les capacités de détection des équipes. – Jouer au moins 1 fois par an les PCA et PRA. – Jouer les chaines de communications redondés. – Jouer régulièrement et réellement les chaines de communication avec l’extérieur. Nom de l’évènement date
Entrainement de la DIRISI • Entrainement difficile, guerre facile : – – OTAN : Cyber Storm (novembre). UE : Cyber Europe (novembre) Franco-Français : Piranet (Septembre) La défense : Pain. Vain (mai et décembre) Nom de l’évènement date
Les travers à éviter • Ligne Maginot : – Le routage IP a été conçu pour contourner les lignes Maginot. – On ne maitrise jamais vraiment ses réseaux : modem oublié, télé-administration, réseau secondaire etc. • Surestimer les moyens nécessaires – Le niveau de compétence nécessaire aux attaque est en perpétuelle baisse. – Existence de communautés structurées de pirates – Rapport cout efficacité important pour l’attaquant Nom de l’évènement date
Conclusion • Définir une stratégie de cyber défense c’est : – déterminer et maintenir une organisation et des responsabilités relatives au processus de gestion du risque, – élaborer un processus de gestion du risque SSI adapté à l'organisme, – identifier et analyser les parties prenantes, – définir les rôles et responsabilités de toutes les parties, à la fois internes et externes à l’organisme, – établir des relations entre l’organisme et les parties prenantes; hiérarchique, technique, juridique, et opérationnel – déterminer des processus d’escalade, – spécifier des enregistrements à conserver. Nom de l’évènement date
Questions ? Nom de l’évènement date
Скачать презентацию Nom de l évènement date Stratégie d une cyber
6a1244f2efa448d9370b423e534d1613.ppt