View
80
Download
4
Category
Preview:
Citation preview
Identifier vos
essentiels
et renforcer votre
cyber stratégie
Consulting
&
Services
Identifier vos
essentiels
et renforcer votre
cyber stratégie
Consulting
&
Services
Sensibilisation à la Cybersécurité Ressources Humaines
Plan
Introduction
I. Présentation de l’environnement métier
II.Exemples d’attaques
III.Règles et solutions à suivre
Introduction
C’est ce qui permet de protéger l’entreprise
des attaques qui pourraient compromettre
les données, services, et tout autres éléments
du système d’information.
Qu’est ce que la cybersécurité ?
Introduction 9ème pays le plus
touché par les
cyberattaques
431M de
malwares
différents
5 585 nouvelles
vulnérabilité
découvertes en 2015
Le danger est bien présent :
Introduction
Le danger est bien présent :
992M
attaques de
rançongiciels
par jour
Un total de 362K
rançongiciels
différents en 2015
1 e-mail sur
220 contient
un malware 46 attaques de
spear phishing
par jour
1 e-mail sur 1846
est un e-mail de
phishing
Introduction
60 % des
PME ferment
après une
attaque
80 % des
attaques sont liés
au facteur humain
77 % des
attaques concernent
les PME
Pourquoi cette formation ?
Environnement Métier
Ressources Humaines
1. Environnement
Données accessibles
Adresse personnelle
Numéros de téléphone
Dossier Médical
Fiches de paie
Horaires de travail
Adresse mail
Numéros de sécurité
sociale
Données accessibles
1. Environnement Pourquoi ces données sont elles intéressantes pour les cybercriminels ?
Ingénierie sociale Espionnage industriel
Adresses mail
Horaires de travail
Fiches de paie Adresse personnelle
Numéros de
téléphone
Phishing
Spam
Syndicats
Ciblage de vol
Assurance et
banque (intéressées
pour refuser des prêts,
des contrats …)
Numéros de
sécurité sociale
Dossier
Médical
Revente sur
le marché
noir
Attaques types
Ressources Humaines
Etape 1 : Propagation par e-mail et/ou clé USB
Etape 2 : Chiffrement des données du PC, des serveurs, etc
Etape 3 : Demande de rançon en échange de la clé
II. Attaques types
1. Rançongiciel
Un rançongiciel ou ransomware est un programme informatique malveillant qui
prend en otage les données d’un système informatique en les chiffrant.
• Mail spam envoyé via un réseau de bot nets :
o L’objet est souvent suspect
o Contient toujours une pièce jointes :
Document Word, Excel
Exemple du rançongiciel Locky
II. Attaques types
Etape 1 :
Propagation Etape 2 Etape 3
• Moyens de propagations :
Pièces jointes Clé USB
1. Rançongiciel
II. Attaques types
Etape 1 :
Propagation Etape 2 Etape 3
La pièce jointe peut être un document .pdf, .doc, etc.
Exemple du rançongiciel Locky
La suite Office possède une fonctionnalité qui
permet de se protéger de ce genre d’attaque !
(les macros sont désactivées)
En les activant vous autorisez les
éventuels malwares à venir s’installer
NB:
1. Rançongiciel
• Le malware chiffre toutes les données présentes :
o sur le PC
o sur les serveurs accessibles via le partage réseau
II. Attaques types
Etape 1 Etape 2 :
Chiffrement Etape 3
1. Rançongiciel
• Une fois les données chiffrées, l’ordinateur
affiche les instructions à suivre pour payer la
rançon en échange de la clé permettant le
déchiffrement
• La monnaie utilisée est le bitcoin
II. Attaques types
Etape 1
Etape 2
Etape 3 :
Rançon
Exemple de fond d’écran du rançongiciel Locky
1. Rançongiciel
II. Attaques types
Etape 1
Etape 2
Etape 3 :
Rançon
Le prix moyen d’une
rançon est de 640 €
Payer la rançon ne permet pas toujours
d’avoir la clé ! Sur les 50% des décideurs IT qui décident de
payer, seulement 32% d’entre eux récupèrent
réellement la clé
1. Rançongiciel
10 avril 2016 :
PME du Béarn, souhaitant garder l’anonymat
23 salariés
- Réception en nombre d’un mail contenant une
pièce jointe piégée.
Etape 1 : Propagation
II. Attaques types
1. Rançongiciel
10 avril 2016 :
PME du Béarn, souhaitant garder l’anonymat
23 salariés
- Ouverture de la pièce jointe par plusieurs
collaborateurs.
Chiffrement des données.
Etape 2 : Le
chiffrement
II. Attaques types
1. Rançongiciel
11 avril 2016 :
- Toutes les données de l’entreprise sont
chiffrées
- Le fond d’écran d’un ordinateur affiche les
exigences d’une rançon
Tous les employés sont au chômage technique
Les jours suivants :
- La rançon double chaque jour
- Après près d’une semaine, le chef d’entreprise paye 3 000 €
Etape 3 : La rançon
PME du Béarn, souhaitant garder l’anonymat
23 salariés
II. Attaques types
1. Rançongiciel
2. L’ingénierie sociale
II. Exemples d’attaques
L’ingénierie sociale, ou social engineering, est une forme d’acquisition déloyale d’information
personnelle dans le but d’obtenir d’autrui un bien, un service ou des informations confidentielles.
Pour cela, l’escroc utilise son charisme et ses connaissances et il exploite la confiance, la
crédulité et la courtoisie des gens. Il aime usurper l’identité d’autrui.
Il y a plusieurs méthode d’ingénierie social, les deux plus communes sont :
o La récolte d’information « directe » (réseau sociaux, contact direct)
o Le phishing et Spear phishing
L’ingénierie social est très souvent utilisé en tant que première étape d’une attaque
informatique. Elle permet de réunir les informations qui seront nécessaire à cette attaque
II. Exemples d’attaques Les réseaux
sociaux
La première étape consiste à collecter le maximum d’information sur les réseaux sociaux
L’escroc peut facilement connaitre :
o Votre adresse, adresse mail, numéro de téléphone, …
o Votre entreprise et lieux de travail, ainsi que votre poste
o Si vous êtes en congé ou non
o Toutes autres informations ou détails utilisables pour renforcer sa crédibilité
2. L’ingénierie sociale
II. Exemples d’attaques Contact direct
L’escroc continu sa pêche aux infos en usurpant des identités,
en jouant sur la naïveté et la bonté des gens. Il peut :
Utiliser une fausse
adresse mail
Usurper une identité
au téléphone
L’escroc peut usurper l’identité :
o D’un collaborateur
o D’un client
o D’un employé absent
2. L’ingénierie sociale
II. Exemples d’attaques
Le phishing est une technique utilisée pour obtenir des renseignements personnels. Elle consiste à faire
croire que la victime s’adresse à un tiers de confiance (banque, collègues, administration, etc)
Il peut se faire par :
o Mail
o Sites web
o SMS (SMishing)
Le phishing
2. L’ingénierie sociale
II. Exemples d’attaques Le phishing
Username
Password
Votre banque / application /
client …
Les mails de phishing vous
demandent de remplir un
formulaire ou vous redirigent vers
un lien.
Le phishing utilise des adresses web
déguisées !
2. L’ingénierie sociale
II. Exemples d’attaques Le phishing
Exemple de phishing par mail :
Ce formulaire vous
demandera très
surement plein
d’information très
intéressantes Syntaxe
étrange
2. L’ingénierie sociale
II. Exemples d’attaques Le Spear
Phishing
Le spear phishing est du phishing grandement personnalisé
et vise une seule personne (ou un petit groupe)
Username
Password
Bonjour Mr Martin, je suis
votre banquier
Le spear phishing est
encore plus discret que le
phishing
L’attaquant possède déjà
des informations sur vous
2. L’ingénierie sociale
o Adresses
o Adresses mail
o Numéros de téléphone
o Dossier Médical
o Numéros de sécurité social
o Fiches de paie
o Primes
o Horaires de travail
II. Exemples d’attaques
Finalement l’escroc peut accéder aux informations qui l’intéresse vraiment
L’information
recherchée 2. L’ingénierie sociale
Pourquoi est-ce dangereux ?
L’accès à distance des données de l’entreprise
Le contrôle d’accès souvent faible : mot de passe simple ou
absent
Les logiciels ne sont pas mis à jour : antivirus, suite Office
Le vol : dans un train, dans la voiture, à l’arraché
Les données ne sont généralement pas chiffrées
Le B.Y.O.D. ou Bring Your Own Device est le fait d’utiliser du
matériel personnel à des fins professionnelles.
II. Attaques types
3. Les dangers du B.Y.O.D.
Règles et solutions
Ressources Humaines
III. Règles et solutions
Règle n°1 :
Méfiez vous des pièces jointes suspectes. Ne pas ouvrir les pièces jointes dont on n’est pas sûr de la source et
dont l’extension est issue d’un document Word ou Excel.
Transférez ces mails vers la personne en charge de la sécurité du
système d’information.
1. Rançongiciel
III. Règles et solutions
Règle n°2 :
Vérifiez l’adresse mail.
En général, l’adresse mail n’est pas connue ou ressemble fortement à
celle pour qui elle se fait passer.
La vérifier est une première étape pour contrer une arnaque.
1. Rançongiciel
III. Règles et solutions
Règle n°3 :
Mettez à jour vos équipements. Toujours effectuer les mises à jour de votre ordinateur, vos logiciels et
votre antivirus.
Ceci évitera à un potentiel attaquant d’exploiter des failles de sécurité
connues présentes dans les logiciels ou dans l’ordinateur.
1. Rançongiciel
III. Règles et solutions
Règle n°4 :
Méfiez vous des clés USB. De manière générale, n’utilisez pas de supports amovibles de type clé
USB ou carte SD dont vous ne connaissez pas l’origine.
Ceux-ci peuvent contenir des virus ou des logiciels malveillants sans
que vous le sachiez.
1. Rançongiciel
III. Règles et solutions
Règle :
Ne divulguez pas trop d’informations sur internet
Les informations que vous complétez dans les réseaux sociaux peuvent
être publiques et visibles par tout le monde.
A minima, n’autorisez l’affichage de vos informations qu’à vos contact,
afin de maitriser la diffusion de celles-ci.
a) Collecte d’informations
2. Ingénierie sociale
III. Règles et solutions
Règle n°1 :
Analysez le contenu du mail.
• Adresse mail : Lorsque vous êtes face à un mail de phishing, l’adresse le mail semble venir d’un
tiers de confiance telle une organisation, un partenaire, un collaborateur, et peut être une parfaite
copie de l’originale.
Ne vous fiez pas uniquement à cette adresse, elle peut être usurpée.
• Elément joint : Si c’est un lien, survolez le lien afin de voir l’adresse vers lequel il redirige.
Si c’est une pièce jointe, portez attention sur le format de cette ci, s’il est inhabituel, ne lui accordez
pas votre confiance.
• Orthographe : Les mails de phishing ont pendant longtemps été reconnaissables par leurs fautes
d’orthographe. Même s’il en contiennent aujourd’hui de moins en moins, recherchez-les ainsi que les
erreurs de syntaxe.
Vérifier la cohérence du mail dans son ensemble.
b) Le phishing
2. Ingénierie sociale
III. Règles et solutions
Règle n°2 :
Ne renseignez pas de données sensibles.
Dans le cas où vous n’auriez pas identifié un mail de phishing, et que vous avez cliqué sur le lien contenu
dans le mail.
Ce lien pourra vous rediriger vers le site web d’un tiers de confiance. Ce site sera une copie d’un vrai site,
à la différence qu’il vous invitera à remplir des données confidentielles telles que des informations
bancaires sur un formulaire.
Aucun n’organisme n’est amené à vous demander ce genre d’informations, quittez ce site sans compléter
les informations demandées.
b) Le phishing
2. Ingénierie sociale
III. Règles et solutions
Règle :
Soyez encore plus vigilent.
Le spearphishing étant similaire au phishing, à la différence qu’une collecte d’informations sur vous et votre
environnement a été faite au préalable afin de d’accroitre la crédibilité du message. Le message sera plus
crédible que le phishing de part :
• Son format : il ne contiendra que peut de fautes de syntaxe ou d’orthographe.
• Son contenu : il sera très pertinent avec des informations très précises, il pourra évoquer des
collaborateurs, des projets sur lesquels vous êtes impliqués.
Méfiez vous des demandes que vous jugerez « inhabituelles».
c) Le spearphishing
2. Ingénierie sociale
III. Règles et solutions
3. Les dangers du B.Y.O.D
Règle n°1 :
N’enregistrez pas de données professionnelles sur
vos appareil personnels.
Bien que le côté pratique vous y incite, enregistrer des données de votre entreprise
revient à mettre en danger votre entreprise.
Votre appareil personnel ne possède pas toutes les protections nécessaires à protéger les
données qu’il contient.
Ce manque de sécurité permettra à un attaquant d’accéder au contenu de votre appareil,
et donc aux potentielles données sensibles qu’il contient.
III. Règles et solutions
Règle n°2 :
N’utilisez vos appareils personnels que dans
un cadre prédéfini. Incitez votre entreprise à mettre en place des mesures permettant aux
employés d’utiliser leur matériel personnel dans un cadre défini.
La politique de sécurité sur les matériels sera ainsi appliquée sur vos appareils
que vous pourrez utiliser en toute sécurité.
3. Les dangers du B.Y.O.D
III. Règles et solutions
Règle :
Choisissez un mot de passe long et avec
plusieurs type de caractères
o Une longueur de 8 caractères est un minimum.
o Utilisez des majuscules, des minuscules, des chiffres et des
caractères spéciaux.
o Utilisez des phrases comme moyen mnémotechnique.
4. Bien choisir son mot de passe
Exemple : le père Fouras connait deux nains : Passe-partout et Passe-muraille lpFc2n:PeP!
Temps nécessaire pour casser
un mot de passe avec un PC,
par force brute :
• 6 lettres minuscules : 3 sec
• L’exemple : + de 10 ans
Règles et bonnes pratiques
Règle n°1 :
Contrôler les informations que
vous publiez sur internet.
Règle n°2 :
Vérifiez les adresses mails
des expéditeurs.
Règle n°3 :
N’ouvrez que les pièces
jointes qui vous semble sûres.
Règle n°4 :
N’utilisez pas votre
messagerie personnelle pour
votre travail.
Règle n°5 :
N’utilisez pas votre matériel
personnel si ce n’est pas
prévu par votre entreprise.
Règle n°6 :
N’utilisez pas de supports
amovibles : clé USB.
Règle n°7 :
Mettez à jour vos
équipements professionnels.
Règle n°8 :
Utilisez des mots de passe
robuste.
Règle n°9 :
Ne renseignez pas de
données sensibles sur un site
web.
Merci Léo PILLET
Vincent BOULANGER
Elèves ingénieur Telecom Lille
INGE3, 2016/2017
Projet Scientifique et Technologique
Recommended