Upload
leo-pillet
View
28
Download
1
Embed Size (px)
Citation preview
Identifier vos
essentiels
et renforcer votre
cyber stratégie
Consulting
&
Services
Identifier vos
essentiels
et renforcer votre
cyber stratégie
Consulting
&
Services
Sensibilisation à la Cybersécurité Assistant de direction
Plan
Introduction
I. Présentation de l’environnement métier
II.Exemples d’attaques
III.Règles et solutions à suivre
Introduction
Qu’est ce que la cybersécurité ?
C’est ce qui permet de protéger l’entreprise
des attaques qui pourraient compromettre
les données, services, et tout autres éléments
du système d’information.
Introduction 9ème pays le plus
touché par les
cyberattaques
431M de
malwares
différents
5 585 nouvelles
vulnérabilité
découvertes en 2015
Le danger est bien présent :
Introduction
Le danger est bien présent :
992M
attaques de
rançongiciels
par jour
Un total de 362K
rançongiciels
différents en 2015
1 e-mail sur
220 contient
un malware 46 attaques de
spear phishing
par jour
1 e-mail sur 1846
est un e-mail de
phishing
Introduction
60 % des
PME ferment
après une
attaque
80 % des
attaques sont liés
au facteur humain
77 % des
attaques concernent
les PME
Pourquoi cette formation ?
Environnement Métier
Assistant de direction
1. Environnement
Comptes rendu
de réunion
Dates des
rendez-vous
Finances de
l’entreprise (RIB, carte
bleue, factures, …)
Informations sur
les partenaires et
les clients
Evènements
marquants, actualité
quelconque pouvant
être utilisée
Informations sur la
direction
(coordonnées, etc)
Données accessibles
1. Environnement
Ingénierie sociale
Espionnage industriel
Détournement d’argent
Informations sur
les partenaires
et les clients Finances de
l’entreprise (RIB, carte
bleue, factures, …)
Dates des
rendez-vous
Informations sur la
direction
(coordonnées, etc)
Evènements
marquants, actualité
quelconque pouvant
être utilisée
Comptes rendu
de réunion
Pourquoi ces données sont elles intéressantes pour les cybercriminels ?
Attaques types
Assistant de direction
II. Exemples d’attaques
L’ingénierie sociale, ou social engineering, est une forme d’acquisition déloyale d’information
personnelle dans le but d’obtenir d’autrui un bien, un service ou des informations confidentielles.
Pour cela, l’escroc utilise son charisme et ses connaissances et il exploite la confiance, la
crédulité et la courtoisie des gens. Il aime usurper l’identité d’autrui.
Il y a plusieurs méthode d’ingénierie social, les deux plus communes sont :
o La récolte d’information « directe » (réseau sociaux, contact direct)
o Le phishing et Spear phishing
L’ingénierie social est très souvent utilisé en tant que première étape d’une attaque
informatique. Elle permet de réunir les informations qui seront nécessaire à cette attaque
1. L’ingénierie sociale
II. Exemples d’attaques Les réseaux
sociaux
La première étape consiste à collecter le maximum d’information sur les réseaux sociaux
L’escroc peut facilement connaitre :
o Votre adresse, adresse mail, numéro de téléphone, …
o Votre entreprise et lieux de travail, ainsi que votre poste
o Si vous êtes en congé ou non
o Toutes autres informations ou détails utilisables pour renforcer sa crédibilité
1. L’ingénierie sociale
II. Exemples d’attaques Contact direct
L’escroc continu sa pêche aux infos en usurpant des identités,
en jouant sur la naïveté et la bonté des gens. Il peut :
Utiliser une fausse
adresse mail
Usurper une identité
au téléphone
L’escroc peut usurper l’identité :
o D’un collaborateur
o D’un client
o D’un employé absent
1. L’ingénierie sociale
II. Exemples d’attaques
Le phishing est une technique utilisée pour obtenir des renseignements personnels. Elle consiste à faire
croire que la victime s’adresse à un tiers de confiance (banque, collègues, administration, etc)
Il peut se faire par :
o Mail
o Sites web
o SMS (SMishing)
Le phishing
1. L’ingénierie sociale
II. Exemples d’attaques Le phishing
Username
Password
Votre banque / application /
client …
Les mails de phishing vous
demandent de remplir un
formulaire ou vous redirigent vers
un lien.
1. L’ingénierie sociale
Le phishing utilise des adresses web
déguisées !
II. Exemples d’attaques Le phishing
Exemple de phishing par mail :
Ce formulaire vous
demandera très
surement plein
d’information très
intéressantes Syntaxe
étrange
1. L’ingénierie sociale
II. Exemples d’attaques Le Spear
Phishing
Le spear phishing est du phishing grandement personnalisé
et vise une seule personne (ou un petit groupe)
Username
Password
Bonjour Mr Martin, je suis
votre banquier
Le spear phishing est
encore plus discret que le
phishing
L’attaquant possède déjà
des informations sur vous
1. L’ingénierie sociale
II. Exemples d’attaques
Finalement l’escroc peut accéder aux informations qui l’intéresse vraiment
L’information
recherchée
o Adresse
o Email
o Numéros de téléphone
o Horaires de travail
o Habitudes
o Manière de communiquer
o …
o Nouveaux projets
o Situation juridique
o Situation financière
o Politique de l’entreprise
o Réussites et échecs de
l’entreprise
o …
Celles qui concernent le directeur
Celles qui concernent l’entreprise en général
1. L’ingénierie sociale
La deuxième utilité est d’accéder à des données
confidentielles de l’entreprise
II. Exemples d’attaques
1. L’ingénierie sociale Dans quel but ?
Espionnage industriel
Spear phishing
Arnaque au président
Ces informations peuvent être utilisées de plusieurs manières :
Ingénierie sociale
Le but principale est d’acquérir des connaissances qui
permettrons de mieux attaquer les collègues,
partenaires, clients, … L’attaque la plus courante est l’arnaque au président : se faire passer
pour le président pour demander à un comptable de détourner de
l’argent
II. Exemples d’attaques
2. Les dangers du B.Y.O.D.
Le B.Y.O.D. ou Bring Your Own Device est le fait d’utiliser du matériel personnel* à des
fins professionnelles. *smartphone, tablette, ordinateur portable, …
Même s’il ne s’agit pas de B.Y.O.D., utiliser un compte personnel (google, mail, cloud, etc) pose les
mêmes problématiques.
II. Exemples d’attaques
Répondre à un mail professionnel depuis son
ordinateur personnel ou mail personnel
Finir / reprendre / modifier un document chez soit
depuis un ordinateur personnel
Envoyer des documents professionnels vers son
compte cloud personnel (Google Drive, iCloud
Drive,…) pour les retrouver sur son ordinateur
personnel
Utiliser son matériel personnel
pour le travail
2. Les dangers du B.Y.O.D.
Ce qui amène à l’utilisation de matériel / compte personnel :
II. Exemples d’attaques
2. Les dangers du B.Y.O.D.
Pourquoi est-ce dangereux ?
L’accès à distance des données de l’entreprise
Le contrôle d’accès souvent faible (mot de passe
simple ou absent)
Les logiciels ne sont pas mis à jour (antivirus, suite
Office)
Le vol (dans un train, dans la voiture, à l’arraché)
Les données ne sont généralement pas chiffrées
II. Attaques types
2. Les dangers du B.Y.O.D.
Quelles sont les conséquences ?
La fuite de données sensibles et donc : un risque
d’espionnage industriel
Le B.Y.O.D. est très souvent un point d’entrée pour
les malwares
II. Attaques types
3. Les rançongiciels
Un rançongiciel ou ransomware est un programme informatique malveillant
qui prend en otage les données d’un système informatique en les chiffrant.
Le rançongiciel s’active à l’ouverture de la
pièce jointe ou à l’activation des macros s’il
s’agit un document de la suite Office
• Moyens de propagations :
Pièces jointes Clé USB
Exemple du rançongiciel Locky
II. Attaques types
3. Les rançongiciels
Une fois les données chiffrées, l’ordinateur affiche les
instructions à suivre pour payer la rançon en échange
de la clé permettant le déchiffrement
Exemple de fond d’écran du rançongiciel Locky Le prix moyen d’une
rançon est de 640 € Mais il peut aussi être de
plusieurs milliers d’euros
Payer la rançon ne permet pas toujours
d’avoir la clé ! Sur les 50% des décideurs IT qui décident de
payer, seulement 32% d’entre eux récupère
réellement la clé
Règles et solutions
Assistant de direction
III. Règles et solutions
Règle :
Ne divulguez pas trop d’informations sur internet
Les informations que vous complétez dans les réseaux sociaux peuvent
être publiques et visibles par tout le monde.
A minima, n’autorisez l’affichage de vos informations qu’à vos contact,
afin de maitriser la diffusion de celles-ci.
a) Collecte d’informations
1. Ingénierie sociale
III. Règles et solutions
Règle n°1 :
Analysez le contenu du mail.
• Adresse mail : Lorsque vous êtes face à un mail de phishing, l’adresse le mail semble venir d’un
tiers de confiance telle une organisation, un partenaire, un collaborateur, et peut être une parfaite
copie de l’originale.
Ne vous fiez pas uniquement à cette adresse, elle peut être usurpée.
• Elément joint : Si c’est un lien, survolez le lien afin de voir l’adresse vers lequel il redirige.
Si c’est une pièce jointe, portez attention sur le format de cette ci, s’il est inhabituel, ne lui accordez
pas votre confiance.
• Orthographe : Les mails de phishing ont pendant longtemps été reconnaissables par leurs fautes
d’orthographe. Même s’il en contiennent aujourd’hui de moins en moins, recherchez-les ainsi que les
erreurs de syntaxe.
Vérifier la cohérence du mail dans son ensemble.
b) Le phishing
1. Ingénierie sociale
III. Règles et solutions
Règle n°2 :
Ne renseignez pas de données sensibles.
Dans le cas où vous n’auriez pas identifié un mail de phishing, et que vous avez cliqué sur le lien contenu
dans le mail.
Ce lien pourra vous rediriger vers le site web d’un tiers de confiance. Ce site sera une copie d’un vrai site,
à la différence qu’il vous invitera à remplir des données confidentielles telles que des informations
bancaires sur un formulaire.
Aucun n’organisme n’est amené à vous demander ce genre d’informations, quittez ce site sans compléter
les informations demandées.
b) Le phishing
1. Ingénierie sociale
III. Règles et solutions
Règle :
Soyez encore plus vigilent.
Le spearphishing étant similaire au phishing, à la différence qu’une collecte d’informations sur vous et votre
environnement a été faite au préalable afin de d’accroitre la crédibilité du message. Le message sera plus
crédible que le phishing de part :
• Son format : il ne contiendra que peut de fautes de syntaxe ou d’orthographe.
• Son contenu : il sera très pertinent avec des informations très précises, il pourra évoquer des
collaborateurs, des projets sur lesquels vous êtes impliqués.
Méfiez vous des demandes que vous jugerez « inhabituelles».
c) Le spearphishing
1. Ingénierie sociale
III. Règles et solutions
2. Les dangers du B.Y.O.D.
Règle n°1 :
N’enregistrez pas de données professionnelles sur
vos appareil personnels.
Bien que le côté pratique vous y incite, enregistrer des données de votre entreprise
revient à mettre en danger votre entreprise.
Votre appareil personnel ne possède pas toutes les protections nécessaires à protéger les
données qu’il contient.
Ce manque de sécurité permettra à un attaquant d’accéder au contenu de votre appareil,
et donc aux potentielles données sensibles qu’il contient.
III. Règles et solutions
Règle n°2 :
N’utilisez vos appareils personnels que dans
un cadre prédéfini. Incitez votre entreprise à mettre en place des mesures permettant aux
employés d’utiliser leur matériel personnel dans un cadre défini.
La politique de sécurité sur les matériels sera ainsi appliquée sur vos appareils
que vous pourrez utiliser en toute sécurité.
2. Les dangers du B.Y.O.D.
III. Règles et solutions
3. Rançongiciel
Règle :
Méfiez vous des mails suspects. Contrôlez les éléments principaux d’un mail :
• L’expéditeur : vérifiez son adresse, si celle si vous est inconnu, le
message est d’autant plus suspect.
• L’objet : il fera souvent référence à une facture. Vérifiez la cohérence de
celle-ci avec l’expéditeur. Si vous n’attendez pas ce genre d’élément pour
un expéditeur donné, il s’agit certainement d’un leurre.
• L’élément joint : si celui-ci vous invite à activer les macros, redoublez de
vigilance, surtout s’il s’agit d’un document que vous n’attendiez pas.
III. Règles et solutions
Règle :
Choisissez un mot de passe long et avec
plusieurs type de caractères
o Une longueur de 8 caractères est un minimum.
o Utilisez des majuscules, des minuscules, des chiffres et des
caractères spéciaux.
o Utilisez des phrases comme moyen mnémotechnique.
4. Bien choisir son mot de passe
Exemple : le père Fouras connait deux nains : Passe-partout et Passe-muraille lpFc2n:PeP!
Temps nécessaire pour casser
un mot de passe avec un PC,
par force brute :
• 6 lettres minuscules : 3 sec
• L’exemple : + de 10 ans
Règles et bonnes pratiques
Règle n°1 :
Contrôler les informations que
vous publiez sur internet.
Règle n°2 :
Vérifiez les adresses mails
des expéditeurs.
Règle n°3 :
N’ouvrez que les pièces
jointes qui vous semble sûres.
Règle n°4 :
N’utilisez pas votre
messagerie personnelle pour
votre travail.
Règle n°5 :
N’utilisez pas votre matériel
personnel si ce n’est pas
prévu par votre entreprise.
Règle n°6 :
N’utilisez pas de supports
amovibles : clé USB.
Règle n°7 :
Mettez à jour vos
équipements professionnels.
Règle n°8 :
Utilisez des mots de passe
robuste.
Règle n°9 :
Ne renseignez pas de
données sensibles sur un site
web.
Merci Léo PILLET
Vincent BOULANGER
Elèves ingénieur Telecom Lille
INGE3, 2016/2017
Projet Scientifique et Technologique