Upload
hanhan
View
222
Download
0
Embed Size (px)
Citation preview
Cybersécurité : les asset
managers français ont-ils
les armes pour faire face
aux nouvelles menaces ?
9 juin 2016
Intervenants
Arnaud TANGUY, Président du GT Cybersécurité et procédures
de l’AFG, Chief Information Security Officer d’AXA IM,
Fréderic GLEIZER, Responsable Information Security & IT
Risk de BNP Paribas AM,
Christine TRAN FAUCHER, Responsable de la Sécurité des
Systèmes d’Information de Groupama AM,
Yves JUSSOT, Agence Nationale de la Sécurité des Systèmes
d'Information (ANSSI),
Table ronde animée par Valentine BONNET, en charge du GT
Cybersécurité et procédures de l’ AFG.
2
Rôles, enjeux et bonnes pratiques de la cybersécurité
Association Française de la Gestion financière9 juin 2016
Yves JUSSOTBureau de Coordination Sectorielle
Que s’est-il passé ?
ANSSI 2
Ordre du jour
ANSSI 3
L’état de la menace cyber
La réaction de l’Etat
Un nouveau dispositif réglementaire pour la cybersécurité
Les bonnes pratiques de l’informatique
Ordre du jour
ANSSI 4
L’état de la menace cyber
La réaction de l’Etat
Un nouveau dispositif réglementaire pour la cybersécurité
Les bonnes pratiques de l’informatique
Une réalité quotidienne
ANSSI 5
09/05/2016 – ÉMIRATS ARABES UNIS – Les données à cara ctère personnel de clients de l'établissement bancaire InvestBank ont été publiées sur Internet
Ces données sont contenues dans des dossiers nommés "Account Master", "Customer Master" et "Branch Master". Un tableur nommé "Cards" contient notamment plus de 18000 numéros de cartes bancaires émises par InvestBank. Un autre fichier contient pour sa part 3383 relevés bancaires, tandis qu'un dossier nommé "Passports" inclut des copies numérisées de cartes d'identité, cartes de visite professionnelles, passeports, cartes d'assurance et photos de clients. Ces données ont été publiées en ligne par un groupe d'attaquants baptisé Bozkurt Hackers.
International Business Times [PDF] http://www.ibtimes.co.uk/investbank-uae-hack-database-containing-credit-card-details-passport-scans-leaks-online-1558730
Une réalité quotidienne
ANSSI 6
10/05/2016 – BANGLADESH/MONDE – Détournement de 81 mi llions de US$
Selon une déclaration du responsable de l'équipe en charge de l'investigation sur l'attaque contre la Banque centrale du Bangladesh, de mauvaises manipulations des techniciens lors d'une mise à jour auraient exposé les systèmes de la banque. Il s'agit plus spécifiquement de la procédure de branchement entre la messagerie SWIFT et le système de règlement brut en temps réel qui n'aurait pas été respectée permettant des accès distants par simple mot de passe. Pour information, le système de règlement brut en temps réel permet de connecter la banque centrale d'un pays avec toutes les banques du pays et de compenser les flux monétaires, les deux parties ne devant au final que payer la différence sur l'ensemble des transactions. En parallèle, SWIFT a annoncé la publication de la mise à jour de son système de messagerie de Swift 2.2 vers 3.0 d'ici 4 à 6 semaines.
- Reuters [PDF] http://www.reuters.com/article/us-usa-fed-bangladesh-swift-exclusive-idUSKCN0Y001H - The Next Web [PDF] http://thenextweb.com/apple/2016/05/09/swift-3-0-developer-previews-wwdc/ - SWIFT [PDF] https://swift.org/blog/swift-3-0-release-process/
Une réalité quotidienne
ANSSI 7
29/04/2016 – ÉTATS-UNIS - L'association des dentistes américains a envoyé des clefs USB malveillantes
L'association des dentistes américains, une association à but non lucratif, a envoyé à ses membres un fichier PDF sur une clef USB, dont une partie contenait un maliciel qui tentait de télécharger d'autres maliciels permettant aux cyberattaquants d'avoir un accès total à l'ordinateur infecté. L'association a présenté ses excuses en expliquant que le problème se situait au niveau de la production des clefs USB de son sous-traitant chinois.
- DSL Reports [PDF] https://www.dslreports.com/forum/r30717075-ADA-just-sent-me-a-surprise - Krebson Security [PDF] http://krebsonsecurity.com/2016/04/dental-assn-mails-malware-to-members/
Eléments constitutifs d’une menace
ANSSI 8
Une menace peut-être décrite au regard des éléments/acteurs qui la constitue :
Un ou plusieurs attaquant(s) Une cible
Un chemin d’attaque
Comprenant un vecteur initial
Une ou plusieurs finalité(s)
Motivations et profils des attaquants
ANSSI 9
LUCRATIVECyber-mercenaires
Officines
IDEOLOGIQUEHacktivistes
Cyber-terroristesCyber-patriotes
ÉTATIQUEUnités
spécialisées
LUDIQUEAdolescents désœuvrés
(script-kiddies)
TECHNIQUEHackers
chevronnésDéveloppeurs
PATHOLOGIQUEVengeursEmployés
mécontents
0110001001000110001000010000110111001110110020011010001100001010010010010111100100100100100100100100100100100100100100100100100100100100101100010010001010101010101010010101010000101010110110101010101010101010
Marché noir : quelques exemples de prix
ANSSI 10
Les tarifs du marché noir numérique (en 2015)
Produit ou service vendu Prix minimum constaté Prix maximum constaté
Attaque par déni de service (prix à l’heure) $ 10 $ 200
Installation d’un botnet (par lot de 1000 machines) $ 20 $ 100
Numéro d’une carte Visa Premier
ou MasterCard Gold (France)Gratuit $ 50
Accès à un compte bancaire Gratuit $ 50
Accès à un compte Paypal Gratuit $ 50
Source :
Marché noir : quelques exemples de produits
ANSSI 11
Finalités poursuivies
ANSSI 12
ESPIONNAGE PRÉ-POSITIONNEMENT STRATÉGIQUE
(INVASION)
AGITATION -PROPAGANDE
DESTRUCTION FRAUDE NEUTRALISATION
���� 01100010010001100010000100001101110011101100000110100011000010100100100101111
Principaux constats
ANSSI 13
80 %Des attaques n’aurait pas abouti par :
• l’application de mesures simples de sécurité
• une sensibilisation des collaborateurs
Tendances globales observées
ANSSI 14
- Le nombre d’attaques informatiques augmentent.
- Les motivations des attaquants demeurent quasiment les mêmes.
- Les cibles sont changeantes, les technologies et usages aussi :
- Les mobiles/tablettes sont de plus en plus puissantes, possèdent plus
d’interfaces réseau et d’applications que les PC traditionnels.
- Les frontières entre les usages pro et perso s’estompent.
- L’ Internet des Objets (IoT) complexifie la mise en œuvre de mesures de
cybersécurité.
- Les technologies des systèmes industriels convergent …
…du mécanique à l’informatique.
Ordre du jour
ANSSI 15
L’état de la menace cyber
La réaction de l’Etat
Un nouveau dispositif réglementaire pour la cybersécurité
Les bonnes pratiques de l’informatique
L’ANSSI
Autorité nationale en matière
de sécurité et de défense des Systèmes d’Information
ANSSI 16
2 sites
Hôtel National des Invalides
Quai de Grenelle
Plus de 450 agents civils et militaires
L’ANSSI
Créée le 7 juillet 2009, l’ANSSI :
� est l’autorité nationale en matière de défense et de sécurité des systèmes d’information ;� décret n° 2009-834 du 7 juillet 2009 ;
� modifié par le décret n° 2011-170 du 11 février 2011 ;
� est rattachée au Secrétaire Général de la Défense et de la Sécurité Nationale, lien direct avec le cabinet du Premier ministre ;
� est un réservoir de compétences au profit des administrations et des opérateurs d’importance vitale (OIV) ;
� développe et acquiert des produits de sécurité essentiels à la sécurité des réseaux les plus sensibles de l’Etat.
ANSSI 17
L’ANSSI
Réglementation
Qualification de produits et de prestataires
Conseils et soutien
Autorité de sécurité Autorité de défense
Veille et détection des attaques
Réaction aux attaques
ANSSI 18
Contrôles et inspections
Principal périmètre d’intervention : institutions, ministères et OIV
Qualification de prestataires SSI
PASSI – Prestataires d’Audit de la Sécurité des Systèmes d’InformationPDIS – Prestataire de Détection des Incidents de SécuritéPRIS – Prestataires de Réponses aux Incidents de Sécurité
ANSSI 19
Ordre du jour
ANSSI 20
L’état de la menace cyber
La réaction de l’Etat
Un nouveau dispositif réglementaire pour la cybersécurité
Les bonnes pratiques de l’informatique
La démarche de l’Etat
ANSSI 21
Douze secteurs d’importance vitale (SAIV)
Energie, communications électroniques, santé, finances , transports, gestion de l’eau, alimentation…
Les missions d’importance vitale sont décrites pour chaque secteur dans une directive nationale de sécurité (DNS) rédigée p ar le ministère coordonnateur.
Les opérateurs d’importance vitale (OIV)
“Un opérateur dont l’indisponibilité risquerait de d iminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation”
Plan de sécurité opérateur (PSO)- Il est rédigé par l’OIV.- Il décrit l’organisation et la politique de sécurité de l’opérateur. - Il prévoit des mesures de sécurité permanentes et graduées.
Loi de programmation militaire (LPM) - Article 22
Elle impose des obligations aux OIV en matière de SSI.
Qu’est ce que la LPM ?
ANSSI 22
Promulguée le 18 décembre 2013 , elle fait suite aux préconisations engagées
par le Livre blanc sur la défense et la sécurité nationale 2013.
Le chapitre IV de la LPM est spécifiquement dédié à la sécurité
des systèmes d’information.
L’article 22 de la LPM prévoit des mesures de renforcement de la sécurité des
opérateurs d’importance vitale (OIV).
Systèmes d’information d’importance vitale des OIV (SIIV) :
Systèmes dont l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer
d’une façon importante le potentiel de guerre ou économique, la sécurité ou la
capacité de survie de la Nation
Le champ d’application de la LPM
ANSSI 23
Acteurs
concernésOpérateurs d’importance vitale
Systèmes
concernés
Opérateurs publics ou privés qui
participent à ces systèmes
Soumis aux règles LPM via leurs contrats avec les O IVArt. R. 1332-41-19 du code de la défense
La déclinaison de l’article 22
ANSSI 24
Règles de
sécuritéArt. R. 1332-41-1
Règles techniques
� Définies par arrêtés sectoriels, applicables aux systèmes d’information d’importance vitale
� Abordent notamment les domaines suivants : cartographie, mécanismes d’authentification,
administration des systèmes, cloisonnement des réseaux, ...
� Prescriront la mise en oeuvre de systèmes qualifiés de détection administrés et exploités par des
prestataires qualifiés
Notification des
incidentsArt. R. 1332-41-10 à 11
Les OIV informent l’ANSSI des incidents affectant leurs systèmes d’importance vitale
� Notification directe à l’ANSSI par les opérateurs d’importance vitale
� Nature des incidents à notifier précisée par les arrêtés sectoriels
Contrôles de
sécuritéArt. R. 1332-41-12 à 17
Les systèmes d’information d’importance vitale des OIV seront soumis à des contrôles
� Effectués par l’ANSSI, par un autre service de l’Etat ou par un prestataire qualifié
� Destinés à vérifier le niveau de sécurité de l’OIV et le respect des règles de sécurité
Réponse aux
crisesArt. R. 1332-41-18
En cas de crise majeure, l’ANSSI pourra imposer des mesures aux OIV
Les articles ci-dessus font référence au code de la défense.
Ordre du jour
ANSSI 25
L’état de la menace cyber
La réaction de l’Etat
Un nouveau dispositif réglementaire pour la cybersécurité
Les bonnes pratiques de l’informatique
Les bonnes pratiques de l’informatique
ANSSI 26
ww
w.s
si.g
ouv.
fr
Les bonnes pratiques de l’informatique
ANSSI 27
Pour votre système d’information traitant vos données :
1 Analyser vos risques régulièrement
2 Cartographier votre écosystème informatique
3 Surveiller vos réseaux informatiques
4 Cloisonner et filtrer les flux entre vos réseaux informatiques
5Attribuer le bon niveau de permissions à vos utilisateurs et
informaticiens
Pensez également à la désignation d’un représentant pour la sécurité informatique, à l’écriture d’une
politique de sécurité des systèmes d’information, à l’établissement d’indicateurs pour mesurer le niveau
de sécurité de votre organisation, …
AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D’INFORMATION
Yves JUSSOTBureau de Coordination Sectorielle
Merci pour votre attention
Cybersécurité : les asset managers
français ont-ils les armes pour faire
face aux nouvelles menaces?
Groupe de travail Cybersecurité et procédures
2 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
Groupe de travail Cybersécurité et procédures de l’AFG
Echanges du Groupe de Travail
Résultats de notre première enquête annuelle sur la cybersécurité des asset managers français
Promouvoir l’usage de bonnes pratiques homogènes en matière de cybersécurité au sein des assets managers français
Rattaché au comité déontologie et conformité
3 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
Un sujet émergent qui fait maintenant partie des priorités des directions
Renforcement de la réglementation 50%
Des directions valident les orientations stratégiques
Clients, partenaires, RFP
4 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
Des risques opérationnels forts pour les asset managers…
…générant des risques opérationnels majeurs…
89%
Une grande variété des menaces …
Fraude Corruption destruction
Vol / perte de données
Attaques virales
…et réputationnel
5 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
It takes 20 years to build a
reputation and five minutes to
ruin it. If you think about that,
you'll do things differently.
Warren Buffett
5 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
6 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
…qui se traduisent par des incidents fréquents
Asset Managers ayant subi des incidents de sécurité au cours de l’année 2015
7 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
…qui se traduisent par des incidents fréquents
8 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
“La question n’est pas de
savoir “si” l’on sera victime
d’une cyber attaque mais
“quand”
8 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
9 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
Des moyens et des ressources en hausse mais disparates entre Assets Managers
Des budgets en hausse..
+10%
…inférieurs aux
benchmarks* sectoriels…
5,2% 6,4%
* Source Gartner 2016, secteur des services financiers
…et disparates entre assets managers
10 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
Organisation interne : un axe majeur à renforcer
La fonction RSSI n’est pas généralisée
RSSI
DG DSI CRO CDO
Plusieurs lignes de rattachement
11 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
Facteurs clés de succès
• Autorité et moyens suffisants
• Fonction dédiée
• Orientations stratégiques fixées
par la direction
• Mise en œuvre transverse à
l’ensemble des fonctions
• Procédures formalisées et
partagées
Facteurs clés de succès
• Autorité et moyens suffisants
• Fonction dédiée
• Orientations stratégiques fixées
par la direction
• Mise en œuvre transverse à
l’ensemble des fonctions
• Procédures formalisées et
partagées
11 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
12 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
Des basiques de sécurité et continuité d’activité acquis…
*taux de réponse positive
Résilience face aux cyber-incidents: 92%
Plan de continuité d’activité: 100%
Sauvegarde et tests des sauvegardes: 58%
13 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
… à compléter par un renforcement des dispositifs
de gouvernance et …
La mise en place d’une politique de sécurité (61%*)
La nomination d’un RSSI (69%*)
Une généralisation de la sensibilisation (70%*)
Une intégration de la sécurité dans tous les projets (64%*)
La mise en place d’un tableau de bord sécurité (40%*) afin de piloter ses risques
G
O
U
V
E
R
N
A
N
C
E
14 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
… la mise en œuvre de moyens techniques
*taux de réponse positive
Renforcement des moyens de détection/intrusion (62%*) et de réaction à incident (41%*)
Renforcement du filtrage internet (68%*)
Durcissement des postes informatiques (67%)
Gestion des patchs (correctifs) de sécurité (62%*)
Implémentation d’authentification forte pour les accès distants (56%*)
T
E
C
H
N
I
Q
U
E
S
15 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?
Prochaines étapes du groupe de travail
Guide de bonnes pratiques sectoriel
Guide de sensibilisation
Questionnaire en fin d’année 2016
Crédits photo: www.pixabay.com, www.flaticon.com