Stratégie d’une cyber défense EBIOS / ISO27005

1. Nom de l’évènement date

2. Comment agir à la vitesse des électrons ! Stratégie d’une cyber défenseEBIOS / ISO27005 Nom de l’évènement date

3. La Russie attaque l’Estonie avant l’invasion Attaque Conficker Attaque de Google par la Chine Le 8 avril 2010, la Chine détourne vers elle 15% du trafic Internet mondial Stuxnet => attaque des systèmes industriels Attaque des réseaux électriques américains Partisans Wikileaks attaquent les banques Cyber attaque = Acte de piraterie? Acte de guerre? La Cyber défense exemple d’emploi Nom de l’évènement date

4. 2010 , La Chatham House publie un rapport sur la cyber-guerre intitulé "On Cyberwarfare". 4 points essentiels : distinguer le champ de la cyber-sécurité de celui de la cyber-guerre ; le cyberespace doit être considéré comme le "5ème champ de bataille" ; la cyber-guerre est asymétrique et offre une puissance disproportionnée à toute sorte d'acteurs Le domaine est encore aujourd'hui mal compris par la classe politique Nom de l’évènement date

5. EBIOS / ISO 27005 Différences et convergences Gestion du risque Définition du risque Méthode EBIOS Le Risque appliqué à la Cyber défense Cyber défense, risques particuliers Planification de sa stratégie Principales difficultés Vision multi-niveau vision mondiale Plan Nom de l’évènement date

6. EBIOS Expression des Besoins et Identification des Objectifs de Sécurité : Méthode de gestion des risques de l'ANSSI. ISO 27005 Lignes directrices relatives à la gestion de risque. Absence de méthodologie spécifique. Dérive très fortement de la méthode EBIOS (notion de menace) grâce à une importante implication de l’ANSSI dans sa définition. EBIOS / ISO 27005 Nom de l’évènement date

7. Un risque est la possibilité qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actifs et nuise donc à l’organisation. Le risque est mesuré en termes de combinaison entre la vraisemblance d’un événement et ses conséquences. R = M x V - Risque = Menace x Vulnérabilité M = S x A - Menace = Source/Origine x Méthode attaque nR = R x P x I - Niveau de risque = Risque x Probabilité x Impact Gestion du risque Nom de l’évènement date

8. Méthode de définition du Risque EBIOS Nom de l’évènement date

9. Processus de gestion des risquesISO 27005 Nom de l’évènement date

10. Critères d’évaluation du risque Il convient d’élaborer des critères d'évaluation du risque afin d'évaluer le risque de l'organisme en sécurité de l'information en prenant en compte les éléments suivants : • la valeur stratégique des processus informationnels métier, • la criticité des actifs informationnels concernés, • les exigences légales et réglementaires ainsi que les obligations contractuelles, • l’importance opérationnelle et métier de la disponibilité, de la confidentialité et de l’intégrité, • les attentes et les perceptions des parties prenantes ainsi que les conséquences négatives sur la valorisation financière et la réputation de l’organisme. En outre, les critères d’évaluation du risque peuvent être utilisés pour spécifier les priorités du traitement du risque. Critères d’impact Il convient que les critères d’impact soient élaborés et spécifiés en fonction du niveau de dommages ou de coûts pour l’organisme pouvant être causés par un événement lié à la sécurité de l’information, en tenant compte des points suivants : • le niveau de classification de l’actif informationnel impacté, • l’atteinte à la sécurité de l’information (par exemple, une perte de confidentialité, d’intégrité et de disponibilité), • les erreurs opérationnelles (équipes internes ou tierces parties), • la perte d’activité métier et de valeur financière, • la perturbation des plans d’actions et des délais, • les atteintes à la réputation, • le non respect des exigences légales, réglementaires ou contractuelles. Processus de gestion des risquesISO 27005 Nom de l’évènement date

11. Faire de la cyber défense c’est considérer que le risque n’est plus probable mais qu’il est présent le risque est généré par une menace humaine et définie les vulnérabilités du système sont connues par l’adversaire Le Risque appliqué à la Cyber défense Nom de l’évènement date

12. Détecter l’attaque Comprendre la méthode d’attaque Identifier l’attaquant Technique - Diplomatique Corriger les vulnérabilités Technique - Organisationnel Bloquer l’attaquant Technique - Diplomatique - Juridique Riposter Technique - Juridique Processus de cyber défense Nom de l’évènement date

13. Détecter ou anticiper une attaque : Remontées d’informations techniques, suffisantes et centralisées. Moyens humains de grande qualité, la technique ne remplace pas l’interprétation humaine Moyens humains en quantité Comprendre une attaque Moyens humains de grande qualité Réseaux d’experts (CERT, CERTA…) Planification Nom de l’évènement date

14. Mise en œuvre des moyens internes : Disposer d’un plan de réduction de vulnérabilité Disposer d’un MCS industriel Redonder les moyens de communication interne Disposer d’un PRA/PCA Anticiper les moyens techniques de blocage Mise en œuvre des moyens externes Anticiper les relations externes (diplomatiques, juridiques et techniques) Anticiper les solutions diplomatiques et juridiques de blocage Définir des canaux de communication sécurisés Planification Nom de l’évènement date

15. Délocalisation de l’attaquant Comment riposter lorsque l’attaque est perpétrée à partir d’un serveur localisé dans un Etat neutre ? Attaquant non-étatique ne possédant aucun actif stratégique, réduisant ainsi à néant toute possibilité ou volonté de riposte. Base de représailles difficile à identifier. Attaquant innocent Comment condamner un usager sur le sol Français dont l’ordinateur a été piraté à son insu. Difficultés Nom de l’évènement date

16. Entrainement difficile, guerre facile : Il est vital d’entrainer les équipes et la direction. Faire des tests d’intrusion réguliers et vérifier les capacités de détection des équipes. Jouer au moins 1 fois par an les PCA et PRA. Jouer les chaines de communications redondés. Jouer régulièrement et réellement les chaines de communication avec l’extérieur. Entrainement Nom de l’évènement date

17. Entrainement difficile, guerre facile : OTAN : Cyber Storm (novembre). UE : Cyber Europe (novembre) Franco-Français : Piranet (Septembre) La défense : PainVain (mai et décembre) Entrainement de la DIRISI Nom de l’évènement date

18. Ligne Maginot : Le routage IP a été conçu pour contourner les lignes Maginot. On ne maitrise jamais vraiment ses réseaux : modem oublié, télé-administration, réseau secondaire etc. Surestimer les moyens nécessaires Le niveau de compétence nécessaire aux attaque est en perpétuelle baisse. Existence de communautés structurées de pirates Rapport cout efficacité important pour l’attaquant Les travers à éviter Nom de l’évènement date

19. Définir une stratégie de cyber défense c’est : déterminer et maintenir une organisation et des responsabilités relatives au processus de gestion du risque, élaborer un processus de gestion du risque SSI adapté à l'organisme, identifier et analyser les parties prenantes, définir les rôles et responsabilités de toutes les parties, à la fois internes et externes à l’organisme, établir des relations entre l’organisme et les parties prenantes; hiérarchique, technique, juridique, et opérationnel déterminer des processus d’escalade, spécifier des enregistrements à conserver. Conclusion Nom de l’évènement date

20. Questions ? Nom de l’évènement date