Cybersécurité : les asset managers français ont-ils les ... · spécifiquement de la procédure de branchement entre la messagerie SWIFT et le système ... Eléments constitutifs

Cybersécurité : les asset

managers français ont-ils

les armes pour faire face

aux nouvelles menaces ?

9 juin 2016

Intervenants

Arnaud TANGUY, Président du GT Cybersécurité et procédures

de l’AFG, Chief Information Security Officer d’AXA IM,

Fréderic GLEIZER, Responsable Information Security & IT

Risk de BNP Paribas AM,

Christine TRAN FAUCHER, Responsable de la Sécurité des

Systèmes d’Information de Groupama AM,

Yves JUSSOT, Agence Nationale de la Sécurité des Systèmes

d'Information (ANSSI),

Table ronde animée par Valentine BONNET, en charge du GT

Cybersécurité et procédures de l’ AFG.

2

Rôles, enjeux et bonnes pratiques de la cybersécurité

Association Française de la Gestion financière9 juin 2016

Yves JUSSOTBureau de Coordination Sectorielle

Que s’est-il passé ?

ANSSI 2

Ordre du jour

ANSSI 3

L’état de la menace cyber

La réaction de l’Etat

Un nouveau dispositif réglementaire pour la cybersécurité

Les bonnes pratiques de l’informatique

Ordre du jour

ANSSI 4





Une réalité quotidienne

ANSSI 5

09/05/2016 – ÉMIRATS ARABES UNIS – Les données à cara ctère personnel de clients de l'établissement bancaire InvestBank ont été publiées sur Internet

Ces données sont contenues dans des dossiers nommés "Account Master", "Customer Master" et "Branch Master". Un tableur nommé "Cards" contient notamment plus de 18000 numéros de cartes bancaires émises par InvestBank. Un autre fichier contient pour sa part 3383 relevés bancaires, tandis qu'un dossier nommé "Passports" inclut des copies numérisées de cartes d'identité, cartes de visite professionnelles, passeports, cartes d'assurance et photos de clients. Ces données ont été publiées en ligne par un groupe d'attaquants baptisé Bozkurt Hackers.

International Business Times [PDF] http://www.ibtimes.co.uk/investbank-uae-hack-database-containing-credit-card-details-passport-scans-leaks-online-1558730


ANSSI 6

10/05/2016 – BANGLADESH/MONDE – Détournement de 81 mi llions de US$

Selon une déclaration du responsable de l'équipe en charge de l'investigation sur l'attaque contre la Banque centrale du Bangladesh, de mauvaises manipulations des techniciens lors d'une mise à jour auraient exposé les systèmes de la banque. Il s'agit plus spécifiquement de la procédure de branchement entre la messagerie SWIFT et le système de règlement brut en temps réel qui n'aurait pas été respectée permettant des accès distants par simple mot de passe. Pour information, le système de règlement brut en temps réel permet de connecter la banque centrale d'un pays avec toutes les banques du pays et de compenser les flux monétaires, les deux parties ne devant au final que payer la différence sur l'ensemble des transactions. En parallèle, SWIFT a annoncé la publication de la mise à jour de son système de messagerie de Swift 2.2 vers 3.0 d'ici 4 à 6 semaines.

- Reuters [PDF] http://www.reuters.com/article/us-usa-fed-bangladesh-swift-exclusive-idUSKCN0Y001H - The Next Web [PDF] http://thenextweb.com/apple/2016/05/09/swift-3-0-developer-previews-wwdc/ - SWIFT [PDF] https://swift.org/blog/swift-3-0-release-process/


ANSSI 7

29/04/2016 – ÉTATS-UNIS - L'association des dentistes américains a envoyé des clefs USB malveillantes

L'association des dentistes américains, une association à but non lucratif, a envoyé à ses membres un fichier PDF sur une clef USB, dont une partie contenait un maliciel qui tentait de télécharger d'autres maliciels permettant aux cyberattaquants d'avoir un accès total à l'ordinateur infecté. L'association a présenté ses excuses en expliquant que le problème se situait au niveau de la production des clefs USB de son sous-traitant chinois.

- DSL Reports [PDF] https://www.dslreports.com/forum/r30717075-ADA-just-sent-me-a-surprise - Krebson Security [PDF] http://krebsonsecurity.com/2016/04/dental-assn-mails-malware-to-members/

Eléments constitutifs d’une menace

ANSSI 8

Une menace peut-être décrite au regard des éléments/acteurs qui la constitue :

Un ou plusieurs attaquant(s) Une cible

Un chemin d’attaque

Comprenant un vecteur initial

Une ou plusieurs finalité(s)

Motivations et profils des attaquants

ANSSI 9

LUCRATIVECyber-mercenaires

Officines

IDEOLOGIQUEHacktivistes

Cyber-terroristesCyber-patriotes

ÉTATIQUEUnités

spécialisées

LUDIQUEAdolescents désœuvrés

(script-kiddies)

TECHNIQUEHackers

chevronnésDéveloppeurs

PATHOLOGIQUEVengeursEmployés

mécontents

0110001001000110001000010000110111001110110020011010001100001010010010010111100100100100100100100100100100100100100100100100100100100100101100010010001010101010101010010101010000101010110110101010101010101010

Marché noir : quelques exemples de prix

ANSSI 10

Les tarifs du marché noir numérique (en 2015)

Produit ou service vendu Prix minimum constaté Prix maximum constaté

Attaque par déni de service (prix à l’heure) $ 10 $ 200

Installation d’un botnet (par lot de 1000 machines) $ 20 $ 100

Numéro d’une carte Visa Premier

ou MasterCard Gold (France)Gratuit $ 50

Accès à un compte bancaire Gratuit $ 50

Accès à un compte Paypal Gratuit $ 50

Source :

Marché noir : quelques exemples de produits

ANSSI 11

Finalités poursuivies

ANSSI 12

ESPIONNAGE PRÉ-POSITIONNEMENT STRATÉGIQUE

(INVASION)

AGITATION -PROPAGANDE

DESTRUCTION FRAUDE NEUTRALISATION

�� 01100010010001100010000100001101110011101100000110100011000010100100100101111

Principaux constats

ANSSI 13

80 %Des attaques n’aurait pas abouti par :

• l’application de mesures simples de sécurité

• une sensibilisation des collaborateurs

Tendances globales observées

ANSSI 14

- Le nombre d’attaques informatiques augmentent.

- Les motivations des attaquants demeurent quasiment les mêmes.

- Les cibles sont changeantes, les technologies et usages aussi :

- Les mobiles/tablettes sont de plus en plus puissantes, possèdent plus

d’interfaces réseau et d’applications que les PC traditionnels.

- Les frontières entre les usages pro et perso s’estompent.

- L’ Internet des Objets (IoT) complexifie la mise en œuvre de mesures de

cybersécurité.

- Les technologies des systèmes industriels convergent …

…du mécanique à l’informatique.

Ordre du jour

ANSSI 15





L’ANSSI

Autorité nationale en matière

de sécurité et de défense des Systèmes d’Information

ANSSI 16

2 sites

Hôtel National des Invalides

Quai de Grenelle

Plus de 450 agents civils et militaires

L’ANSSI

Créée le 7 juillet 2009, l’ANSSI :

� est l’autorité nationale en matière de défense et de sécurité des systèmes d’information ;� décret n° 2009-834 du 7 juillet 2009 ;

� modifié par le décret n° 2011-170 du 11 février 2011 ;

� est rattachée au Secrétaire Général de la Défense et de la Sécurité Nationale, lien direct avec le cabinet du Premier ministre ;

� est un réservoir de compétences au profit des administrations et des opérateurs d’importance vitale (OIV) ;

� développe et acquiert des produits de sécurité essentiels à la sécurité des réseaux les plus sensibles de l’Etat.

ANSSI 17

L’ANSSI

Réglementation

Qualification de produits et de prestataires

Conseils et soutien

Autorité de sécurité Autorité de défense

Veille et détection des attaques

Réaction aux attaques

ANSSI 18

Contrôles et inspections

Principal périmètre d’intervention : institutions, ministères et OIV

Qualification de prestataires SSI

PASSI – Prestataires d’Audit de la Sécurité des Systèmes d’InformationPDIS – Prestataire de Détection des Incidents de SécuritéPRIS – Prestataires de Réponses aux Incidents de Sécurité

ANSSI 19

Ordre du jour

ANSSI 20





La démarche de l’Etat

ANSSI 21

Douze secteurs d’importance vitale (SAIV)

Energie, communications électroniques, santé, finances , transports, gestion de l’eau, alimentation…

Les missions d’importance vitale sont décrites pour chaque secteur dans une directive nationale de sécurité (DNS) rédigée p ar le ministère coordonnateur.

Les opérateurs d’importance vitale (OIV)

“Un opérateur dont l’indisponibilité risquerait de d iminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation”

Plan de sécurité opérateur (PSO)- Il est rédigé par l’OIV.- Il décrit l’organisation et la politique de sécurité de l’opérateur. - Il prévoit des mesures de sécurité permanentes et graduées.

Loi de programmation militaire (LPM) - Article 22

Elle impose des obligations aux OIV en matière de SSI.

Qu’est ce que la LPM ?

ANSSI 22

Promulguée le 18 décembre 2013 , elle fait suite aux préconisations engagées

par le Livre blanc sur la défense et la sécurité nationale 2013.

Le chapitre IV de la LPM est spécifiquement dédié à la sécurité

des systèmes d’information.

L’article 22 de la LPM prévoit des mesures de renforcement de la sécurité des

opérateurs d’importance vitale (OIV).

Systèmes d’information d’importance vitale des OIV (SIIV) :

Systèmes dont l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer

d’une façon importante le potentiel de guerre ou économique, la sécurité ou la

capacité de survie de la Nation

Le champ d’application de la LPM

ANSSI 23

Acteurs

concernésOpérateurs d’importance vitale

Systèmes

concernés

Opérateurs publics ou privés qui

participent à ces systèmes

Soumis aux règles LPM via leurs contrats avec les O IVArt. R. 1332-41-19 du code de la défense

La déclinaison de l’article 22

ANSSI 24

Règles de

sécuritéArt. R. 1332-41-1

Règles techniques

� Définies par arrêtés sectoriels, applicables aux systèmes d’information d’importance vitale

� Abordent notamment les domaines suivants : cartographie, mécanismes d’authentification,

administration des systèmes, cloisonnement des réseaux, ...

� Prescriront la mise en oeuvre de systèmes qualifiés de détection administrés et exploités par des

prestataires qualifiés

Notification des

incidentsArt. R. 1332-41-10 à 11

Les OIV informent l’ANSSI des incidents affectant leurs systèmes d’importance vitale

� Notification directe à l’ANSSI par les opérateurs d’importance vitale

� Nature des incidents à notifier précisée par les arrêtés sectoriels

Contrôles de

sécuritéArt. R. 1332-41-12 à 17

Les systèmes d’information d’importance vitale des OIV seront soumis à des contrôles

� Effectués par l’ANSSI, par un autre service de l’Etat ou par un prestataire qualifié

� Destinés à vérifier le niveau de sécurité de l’OIV et le respect des règles de sécurité

Réponse aux

crisesArt. R. 1332-41-18

En cas de crise majeure, l’ANSSI pourra imposer des mesures aux OIV

Les articles ci-dessus font référence au code de la défense.

Ordre du jour

ANSSI 25






ANSSI 26

ww

w.s

si.g

ouv.

fr


ANSSI 27

Pour votre système d’information traitant vos données :

1 Analyser vos risques régulièrement

2 Cartographier votre écosystème informatique

3 Surveiller vos réseaux informatiques

4 Cloisonner et filtrer les flux entre vos réseaux informatiques

5Attribuer le bon niveau de permissions à vos utilisateurs et

informaticiens

Pensez également à la désignation d’un représentant pour la sécurité informatique, à l’écriture d’une

politique de sécurité des systèmes d’information, à l’établissement d’indicateurs pour mesurer le niveau

de sécurité de votre organisation, …

AGENCE NATIONALE DE LA SECURITE DES SYSTEMES D’INFORMATION

Yves JUSSOTBureau de Coordination Sectorielle

Merci pour votre attention

Cybersécurité : les asset managers

français ont-ils les armes pour faire

face aux nouvelles menaces?

Groupe de travail Cybersecurité et procédures

2 Cybersécurité : les asset managers français ont-ils les armes pour faire face aux nouvelles menaces?

Groupe de travail Cybersécurité et procédures de l’AFG

Echanges du Groupe de Travail

Résultats de notre première enquête annuelle sur la cybersécurité des asset managers français

Promouvoir l’usage de bonnes pratiques homogènes en matière de cybersécurité au sein des assets managers français

Rattaché au comité déontologie et conformité


Un sujet émergent qui fait maintenant partie des priorités des directions

Renforcement de la réglementation 50%

Des directions valident les orientations stratégiques

Clients, partenaires, RFP

http://www.chamberpartnershipnew.co.uk/wordpress/wp-content/uploads/2013/12/fca-logo.png

http://www.businessmediationet.com/wp-content/uploads/2012/02/Fotolia_28454150_M1.jpg

http://www.orangeboxasia.net/images/MAS-Logo.jpg

https://upload.wikimedia.org/wikipedia/commons/thumb/d/d4/US-SecuritiesAndExchangeCommission-Seal.svg/600px-US-SecuritiesAndExchangeCommission-Seal.svg.png


Des risques opérationnels forts pour les asset managers…

…générant des risques opérationnels majeurs…

89%

Une grande variété des menaces …

Fraude Corruption destruction

Vol / perte de données

Attaques virales

…et réputationnel


It takes 20 years to build a

reputation and five minutes to

ruin it. If you think about that,

you'll do things differently.

Warren Buffett



…qui se traduisent par des incidents fréquents

Asset Managers ayant subi des incidents de sécurité au cours de l’année 2015


…qui se traduisent par des incidents fréquents


“La question n’est pas de

savoir “si” l’on sera victime

d’une cyber attaque mais

“quand”



Des moyens et des ressources en hausse mais disparates entre Assets Managers

Des budgets en hausse..

+10%

…inférieurs aux

benchmarks* sectoriels…

5,2% 6,4%

* Source Gartner 2016, secteur des services financiers

…et disparates entre assets managers


Organisation interne : un axe majeur à renforcer

La fonction RSSI n’est pas généralisée

RSSI

DG DSI CRO CDO

Plusieurs lignes de rattachement


Facteurs clés de succès

• Autorité et moyens suffisants

• Fonction dédiée

• Orientations stratégiques fixées

par la direction

• Mise en œuvre transverse à

l’ensemble des fonctions

• Procédures formalisées et

partagées

Facteurs clés de succès

• Autorité et moyens suffisants

• Fonction dédiée

• Orientations stratégiques fixées

par la direction

• Mise en œuvre transverse à

l’ensemble des fonctions

• Procédures formalisées et

partagées



Des basiques de sécurité et continuité d’activité acquis…

*taux de réponse positive

Résilience face aux cyber-incidents: 92%

Plan de continuité d’activité: 100%

Sauvegarde et tests des sauvegardes: 58%


… à compléter par un renforcement des dispositifs

de gouvernance et …

La mise en place d’une politique de sécurité (61%*)

La nomination d’un RSSI (69%*)

Une généralisation de la sensibilisation (70%*)

Une intégration de la sécurité dans tous les projets (64%*)

La mise en place d’un tableau de bord sécurité (40%*) afin de piloter ses risques

G

O

U

V

E

R

N

A

N

C

E


… la mise en œuvre de moyens techniques

*taux de réponse positive

Renforcement des moyens de détection/intrusion (62%*) et de réaction à incident (41%*)

Renforcement du filtrage internet (68%*)

Durcissement des postes informatiques (67%)

Gestion des patchs (correctifs) de sécurité (62%*)

Implémentation d’authentification forte pour les accès distants (56%*)

T

E

C

H

N

I

Q

U

E

S


Prochaines étapes du groupe de travail

Guide de bonnes pratiques sectoriel

Guide de sensibilisation

Questionnaire en fin d’année 2016

Crédits photo: www.pixabay.com, www.flaticon.com

Documents

Cybersécurité : les asset managers français ont-ils les ... · spécifiquement de la procédure de branchement entre la messagerie SWIFT et le système ... Eléments constitutifs