Le FIC 2020 vu par notre RSSI Pictime Groupe …

Par Fabien Dachicourt
Publié le 13 mars 2020
Lecture : 14 min.
Fabien Dachicourt, notre RSSI groupe était présent sur le salon du FIC afin d’assister à un certain nombre de conférences. Nous vous proposons un petit récapitulatif des sujets de cette année. Les deux grandes thématiques de cette année ont tourné autour de l’humain au centre de la cybersécurité et le concept de Zero Trust.
7 #Techno

La volonté affiché de l’état est de donner des outils pragmatiques aux PME / TPE. On peut citer ce site :cybermalveillance.gouv.fr   après une phase expérimentale dans la région des Hauts de France en 2017, il s’est fortement étoffé en 2019. Il permet de comprendre les menaces et d’agir, d’adopter les bonnes pratiques. Sur ce site, il est également possible d’être accompagné et d’être aidé suite à une attaque.

Autre point intéressant sur le FIC : GCA met des outils gratuits pour les petites entreprises (https://gcatoolkit.org/fr/petites-entreprises/) notamment pour protéger sa messagerie et se défendre contre les ransomwares et autres virus).

« Ingénierie sociale, hacke moi si tu peux »

Une des conférences à laquelle Fabien a assisté sur la partie humain était : « Ingénierie sociale, hacke moi si tu peux » : Une intervenante démontre qu’elle est capable d’usurper l’identité de sa cible de façon très simple (changement de voix, usurpation de numéro de téléphone personnel…) par la simple utilisation d’application mobile. Elle exploite et met en évidence un vrai manque de sécurisation des centres d’appel et autres services clients. Cette facilité à récupérer des informations personnelles est un vrai risque d’usurpation d’identité. Son conseil est de limiter les informations personnelles que vous laissées sur les réseaux sociaux et plus généralement sur le web.
Pour attaquer une cible, les hackers, ne recherchent pas simplement les informations personnelles de la personne mais également celle de son environnement proche. Pour atteindre leur cible, ils peuvent d’abord usurper l’identité d’un proche.

Concernant la partie Zero Trust, en tant qu’organisation, il s’agit d’affirmer qu’il n’y a plus de barrières et donc de ne croire en rien ni personne : l’objectif du Zero Trust est de tout authentifier et de tout vérifier.
Il s’agit par exemple de trouver une authentification qui s’adapte en fonction du comportement de l’utilisateur et au contexte de l’utilisation, ceci afin de limiter l’impact sur l’expérience utilisateur de cette approche.
Plusieurs implémentations de cette approche utilise de l’IA soit à base de moteurs de règles, soit en utilisant le Machine Learning. La question de la maitrise des algorithmes et de la capacité à expliquer les choix va être un véritable enjeu, notamment si les solutions veulent aller jusqu’au blocage sans intervention humaine. La plupart des entreprises ne dispose pas forcément de suffisamment de données adaptées à leur contexte, les outils vont donc d’abord s’alimenter avec des données externes, mais pouvant générer des erreurs d’interprétation, donc solliciter l’intervention humaine. Mais la technique va aussi permettre de voir des choses que l’on n’aurait pas vues autrement.

Ainsi, L’homme, l’iA, et le Zero Trust sont étroitement liés.

La sécurité permet d’augmenter la confiance

Lors du FIC, Carrefour a pris la parole lors d’une intervention sur le fait suivant : La sécurité permet d’augmenter la confiance.  En effet, enseigne de la grande distribution, Carrefour a un énorme atout confiance à jouer pour ses clients. C’est pour cela que l’enseigne a mis en place des éléments de blockchain et de traçabilité, la mise en place de stratégie UX, le chiffrement sur leur SI, ainsi qu’un focus sur leurs données.

La conférence « SecurityScorecard – Cyber Risk Scoring», présentait un outil qui scan les informations que l’on peut récupérer de manière publique afin de définir un score de sécurité. Les entreprises qui obtiennent de bonnes notations, ont, potentiellement 5 fois moins de chance d’avoir des fuites de données. Les clients de cette solution peuvent être des assurances comme AXA ou des agences de notation comme Moody’s, cela illustre bien le fait que le niveau de sécurité d’une organisation impact sa valorisation.

Sécurité by design

La Conférence lybero.net  explique le partage de fichiers avec chiffrement de bout en bout pour les applications web :
L’idée est de faire de la sécurité by design et de bout en bout jusque sur le navigateur de l’utilisateur, mais sans les problématiques de clés.
Quand on fait du chiffrement, le problème c’est l’échange des clés de chiffrement. Cette solution permet donc de retirer les barrières techniques (pas de logiciel à installer, pas d’échange de mots de passe, compatible avec tous les navigateurs et pas besoin de compte pour l’expéditeur). Le plus de la société c’est qu’il propose une gestion des chiffrements à seuil ELGamal (recouvrement autorisé par un quorum de personnes en cas de perte de clés), de plus il existe en version SAAS, mais aussi un SDK pour l’intégrer dans les applications, une solution à approfondir de manière évidente en santé notamment dans les échanges avec les patients, mais pourquoi pas dans certain cas d’usage retail.

 « Avez-vous confiance en votre certificat TLS ? »

La Conférence : « Avez-vous confiance en votre certificat TLS ? » était une conférence technique. Tous les certificats publique RSA ont été récupéré (méthode de chiffrement), afin de mettre en évidence des lacunes de ces utilisations, notamment la génération des clefs. La conclusion a été qu’une cinquantaine de constructeurs (iot et réseaux) ne sont pas au niveau et qu’ils génèrent donc des failles de sécurité. Ce qu’il faut retenir, c’est qu’il ne faut pas truster les certificats pas défaut de ses constructeurs. Certaines autorités de certification présentent également des vulnérabilités. Cela laisse présager de nouvelles vulnérabilité TLS dans les semaines à venir.

« Comment être le moyen fort de la sécu de nos clients ? »

Ce qu’il faut retenir de la conférence : « comment être le moyen fort de la sécu de nos clients ? » c’est qu’il faut faire attention à ne pas mettre de côté la sécurité au profit d’un Time To Market plus important. Idéalement il faudrait passer au Zero Trust.
Le niveau de sécurité de l’entreprise c’est le niveau de sécurité de son écosystème (partenaire, sous-traitant etc). Dans le panorama des attaques, pour atteindre une entreprise, les hackers privilégient le cercle fermé des sous-traitant et des partenaires pour obtenir de l’information ou les accès nécessaires.

« Responsable oui mais jusqu’où ? » 

La conférence « Responsable oui mais jusqu’où ? » a permis d’identifier les évolutions du RSSI.
La volonté est de dire que le RSSI doit devenir un business partner au sein d’une entreprise, et doit être celui qui va conseiller sur les sujets technologiques et stratégiques pour donner une vision globale de la sécurité (Problématiques techniques mais aussi problématiques juridiques, Savoir bien négocier pour que l’ensemble fonctionne.) Le RSSI a pour but de communiquer au sein de l’entreprise et doit réussir à convaincre le management des risques à couvrir.  Le RSSI ne doit pas employer la peur pour faire prendre conscience des risques à courir. Si un risque est à venir il doit apporter des réponses très concrètes.

Cyber reasoning systems

Un conférence technique « cyber reasoning systems » a permis de mettre l’accent sur la sécurité au niveau du développement d’applications.
Aujourd’hui pour la cybersécurité, le développement devrait regarder l’analyse de vulnérabilités par l’analyse du code pour déterminer s’il présente des bugs critiques de sécurité.
Les avancées récentes en analyse sémantique de code permettent d’automatiser en partie ces tâches complexe. La vérification formelle de code qui prouve de manière mathématique la sureté du code se base sur trois clefs, la sémantique du programme, l’algorithme à vérifier et la propriété à vérifier. Elle est utilisée depuis longtemps dans l’aviation, l’automobile ou le nucléaire. Un exemple d’analyse formelle est l’exécution dynamique symbolique qui est une méthode robuste, sans faux positif et qui passe à l’échelle. Elle se traduit dans des outils comme Pex, Klee, S2E… La méthode formelle limite des pans complets d’attaque. La sûreté et la sécurité dans le développement sont liés. Pour le secteur de la santé, il faudrait, à certains endroits, utiliser des méthodes d’analyse de code qui peuvent fonctionner sur certaines façons de coder pour développer l’aspect sureté. Les méthodes de programmation devraient parfois évoluer dans ce sens, même si cela implique un développement plus long et donc plus couteux à court terme pour le client.

Conclusion

En 2020, l’humain est bien au centre de la cybersécurité, d’ailleurs au FIC, nous avons pu remarquer que de nombreuses entreprises ont mis en avant cette année la sensibilisation à la sécurité quand les années précédentes cela était encore peu présent. La mise en place de la RGPD y est pour quelque chose et a permis de faire naitre de nouvelles entreprises dans ce secteur.
Mais de la sensibilisation, les entreprises en font depuis longtemps cependant ce n’est pas infaillible. Même des personnes sensibilisées font des erreurs de sécurité et il y a un réel besoin de faire des tests concrets (comme par exemple sur le phishing). La Gamification est également un bon moyen pour mettre l’accent sur la sensibilisation des individus aux risques que l’on peut encourir.

Le Zero Trust reste un concept intéressant dans notre monde fortement ouvert et interconnecté, mais il n’est à ce jour que partiellement implémenté, et plutôt adapté à des entreprises matures en termes de sécurité. Les progrès de l’IA devraient venir à terme aider les entreprises moins matures, mais cela ne doit pas se faire sans un arbitrage final par l’homme.


Vous aimerez aussi

7 #Techno
Retour sur la conférence CoRI&In 2020 …

En parallèle du FIC se déroule la conférence CoRI&IN: Conférence sur la Réponse aux Incidents & l’Investigation Numérique. Notre équipe sécurité vous propose un récapitulatif des faits marquants.

Lire la suite
7 #Techno
Le modèle de développement serverless : avantages et contraintes

Depuis plusieurs années, le développement d’applications monolithiques a fait place, spécialement dans les entreprises en transformation digitale, au développement d’applications découpées en conteneurs et en micro services, en conjonction avec la popularité croissante du « cloud first » et du modèle DevOps.

Lire la suite