CYBERDÉFENSE ET DÉTECTION DU HACKING
La croissance exponentielle des atteintes de plus en plus sophistiquées à la sécurité informatique amène aujourd’hui la plupart des grandes organisations à protéger leur patrimoine informationnel et leurs actifs sensibles. Les RSSI combattent quotidiennement de nombreuses attaques virales aux conséquences anodines, souvent préjudiciables, mais pouvant parfois s’avérer également extrêmement dévastatrices. L’évolution récente de ces attaques masque une réalité plus sournoise. L’emploi de codes malveillants conçus pour infiltrer le cœur d’un SI, espionner les activités stratégiques d’une grande entreprise ou d’un pays, rançonner les organisations, prendre furtivement le contrôle à distance de fonctions essentielles ou, si besoin, programmer la paralysie d’un système vital ou la destruction d’un site industriel, est une réalité de plus en plus palpable. L’analyse de quelques unes des techniques employées par les malwares actuels, nous permettra de mesurer la capacité offensive de ces cyber-armes et d’appréhender leur impact sur nos intérêts économiques.
Depuis des années, en multipliant les actions dans le domaine de la Cyber-défense, la France affiche une forte volonté de lutte contre la cyber-menace. La loi de Programmation Militaire est un vecteur essentiel du renforcement de la cyber-résilience des systèmes d’information chez les opérateurs stratégiques. La professionnalisation des processus de détection et de traitement d’incidents instaure progressivement une barrière efficace à l’entrée des systèmes. Les témoignages d’OIV, de grands fournisseurs de services et d’industriels spécialisés dans le design d’architectures de SI sécurisés, nous présenteront les récentes évolutions visant à intégrer toujours plus de sécurité au cœur des systèmes.
Pour mener à bien une lutte efficace contre les menaces de la cybercriminalité il faut entretenir une forme de coopération européenne. A l’issue de ce séminaire, nous évoqueront les initiatives en cours et à venir, et nous analyserons leurs retombées sur le cyberespace européen.
COORDINATION SCIENTIFIQUE
Patrick Legand (Xirius Informatique)
|
DATE & LIEU
01 décembre 2016
8h30 - 17h15
École Polytechnique,
Amphithéâtre Becquerel
91120 Palaiseau
Organisateurs et partenaires
PROGRAMME
Accueil & café
PARTIE 3 : POLITIQUE EUROPÉENNE DE LUTTE CONTRE LES MENACES ET LA CYBERCRIMINALITÉ
ACTE DU SÉMINAIRE :
RETOUR SUR UN CAS HISTORIQUE : ENIGMA, 2ÈME GUERRE MONDIALE | PATRICK LEGAND
Les actifs et informations hautement sensibles sont associés à des dispositifs de sécurité spéciaux, dotés de mécanismes réputés presque inviolables. Pourtant, lorsque le jeu en vaut la chandelle, la détermination et les moyens mobilisés par les adversaires pour casser ces mécanismes de sécurité dépassent tout bonnement l’imagination. A la lumière de l’attaque de la machine Enigma à la veille de la 2nde Guerre Mondiale, nous montrerons les trésors d’ingéniosité déployés par un ennemi motivé pour démonter les mécanismes cryptographiques les plus puissants et accéder coûte que coûte à l’information.
Ce cas historique constitue un enseignement précieux à mettre en perspective avec les architectures informatiques actuelles.
IS TRADITIONAL AV DEAD? REAL-TIME MACHINE-LEARNING DETECTION OF MODERN MALWARE DOWNLOADS | MARCO BALDUZZI
With the advent of organized cybercrime, malware authors are constantly looking for new strategies to defeat AV solutions. The increase in adoption of polymorphism, code obfuscation and packing, as well as the rise in sophistication of drive-by-downloads and C&C server communications, has made traditional AV industry’s technologies less effective.
In this talk, we propose a new system based on machine learning for real-time detection of new malware downloads, including files and URLs from which these files originated from. Our system uses a combination of system- and network-level information collected at endpoint to build a tripartite graph and to implement a graph-based machine-learning classifier. The content-agnostic approach and statistical-based classifier overcomes the limitation of existing solutions like static and dynamic code analysis, and allows fast and real-time identification on new threats.
FOCUS SUR LE “RANSOMWARE”, MONÉTISATION DU CRIME. FINALITÉS, FONCTIONNEMENT ET RISQUES. MOYENS POUR S'EN PRÉMUNIR | MARTINE GIRALT
Nous présenterons l’état de la menace que représentent les malware Android et nous ferons le point sur les techniques classiques d’analyse de malware. Nous nous intéresserons plus particulièrement à l’utilisation du suivi de flux d’information dans l’analyse dynamique de ces malware. Enfin, nous nous attarderons sur les mécanismes de défense de ces malware contre les différentes techniques d’analyse.
PROCESSUS DE MISE EN CONFORMITÉ LPM CHEZ UN OPÉRATEUR D'IMPORTANCE VITALE (OIV) | GUILLAUME KADDOUCH
La Loi de Programmation Militaire s’appliquant désormais sur les Opérateurs d’Importance Vitale, le Grand Port Maritime de Rouen partage son expérience sur le démarrage du processus de mise en conformité. Quelles sont les contraintes rencontrées, et quels sont les axes principaux de mise en place de la LPM au Port de Rouen.
CYBERDÉFENSE ET DÉTECTION : PLATEFORME ET EXERCICE | PHILIPPE DELAUNAY
Au-delà de l’aspect technique, la détection est réalisée au sein d’une organisation, et s’inscrit dans des processus. Les performances et l’efficacité peuvent varier selon les conditions de réalisation, notamment les deux niveaux de gestion : technique et chaine de commandement. Le scénario proposé prévoit un incident majeur à traiter. L’immersion dans un environnement réaliste (événements, configurations, outils, scénario, etc.) doit amener les participants à prendre en compte l’organisation, la planification, la conduite des opérations en parallèle avec les investigations techniques et de renseignement. La présentation décrira les moyens déployés pour la réalisation de ce type d’exercice.
En s’inspirant de l’approche militaire et en l’adaptant à la cyberdefense, DCI a conçu avec des experts, les protocoles, les supports, les processus , les données techniques et d’environnement : déclencheurs, base de temps, flux réseau, données de compromission, malware, etc.
Ce type d’exercice est utile pour comprendre les interactions au sein d’une organisation soumise à des conditions de crise. Il permet également de mieux appréhender les phases de conception d’un SOC (définition, interfaces, déploiement), incluant le volet humain (postes, profils, formations, expériences, évaluation).
L'APPROCHE « SECURITY BY DESIGN » : CONCEPTION D'ARCHITECTURES SÉCURISÉES | GWENN FEUNTEUN
La notion d’architecture de sécurité existe depuis de nombreuses années maintenant. Les principes qui en découlent sont largement connus et constituent le socle de la lutte informatique défensive. Leur mise en œuvre permet (théoriquement) de garantir une protection sans faille des actifs de l’organisation. Pourtant, les cas de compromission se multiplient et les volumes de données exfiltrées se comptent au minimum en giga-octets. Est-ce alors le signe de son échec ?
À partir d’un cas concret (l’hébergement d’un site Internet), nous verrons comment appliquer le concept de « défense en profondeur » pour offrir un niveau de sécurité maximal. La complexité de sa mise en œuvre, ainsi que les contraintes qui en découlent seront mises en évidence à cette occasion. Il sera alors possible d’appréhender les limites du modèle et de mieux comprendre pourquoi ce qui paraît simple et redoutablement efficace sur le papier, se révèle l’être beaucoup moins confronté à la réalité du terrain.
LA DÉTECTION ET LA RÉPONSE AUX INCIDENTS DE SÉCURITÉ | NICOLAS PRIGENT
Alors que les menaces se font de plus en plus précises et que les solutions purement défensives montrent jour après jour leurs limites, la détection et la réponse aux incidents de sécurité se doivent désormais de faire partie de l’arsenal des défenseurs. Durant cette présentation, en nous basant sur les référentiels PRIS et PDIS de l’ANSSI ainsi que sur des travaux de recherche de ces dernières années, nous montrerons que ces deux activités rentrent actuellement dans leur phase de maturité et nous tenterons d’en identifier les prochaines évolutions.
LA THREAT INTELLIGENCE PIQUÉE AU SÉRUM DE VÉRITÉ | JÉRÔME ROBERT
Alors que les menaces se font de plus en plus précises et que les solutions purement défensives montrent jour après jour leurs limites, la détection et la réponse aux incidents de sécurité se doivent désormais de faire partie de l’arsenal des défenseurs. Durant cette présentation, en nous basant sur les référentiels PRIS et PDIS de l’ANSSI ainsi que sur des travaux de recherche de ces dernières années, nous montrerons que ces deux activités rentrent actuellement dans leur phase de maturité et nous tenterons d’en identifier les prochaines évolutions.
COMMENT ENCLENCHER RÉELLEMENT LA MISE EN MOUVEMENT DES ORGANISATIONS AU NIVEAU SÉCURITÉ OPÉRATIONNELLE ? | GÉRARD GAUDIN
Malgré une mobilisation globale inégalée et des initiatives tous azimuts depuis quelques années, la mise en mouvement des organisations et entreprises au niveau Cyber Défense et Sécurité Opérationnelle reste très insuffisante, les résultats constatés étant bien maigres et les frustrations souvent perceptibles au sein de la profession dans de nombreux pays. L’objectif de l’intervention est ainsi de présenter de nouvelles pistes pour remédier à cette situation, et en particulier une démarche quantitative novatrice organisée autour d’un jeu complet d’indicateurs afin d’évaluer l’efficacité des mesures de sécurité prises.
Ces indicateurs, notamment standardisés dans le cadre de l’initiative ETSI ISI issue des travaux du Club R2GS, doivent être idéalement situés au carrefour de la gouvernance et de l’expertise sécurité. En combinant autour de ceux-ci des approches “top-down” et “bottom-up”, il est possible de stimuler de nombreux usages, tant globaux et managériaux au niveau de l’entreprise que techniques au niveau des SOCs et de l’administration locale, et de faciliter la mobilisation de l’entreprise pour sa cyber défense