propos de moi
Frdric BOURLA Chief Security Specialist chez High-Tech Bridge SA
[frederic.bourla@htbridge.com]
Sommaire
0x00 - propos de moi 0x01 - propos de cette confrence
0x05 - Dmonstration
0x06 - Conclusion
Quelques faits
Dans notre monde contemporain, linformation est le nerf de la guerre. Linformation na de de sens que lorsquelle circule. Les rseaux dentreprise se sont donc tourns vers l'extrieur Et tout le monde est aujourdhui plus ou moins interconnect.
Sur le plan de la communication et du traitement informatis, nous profitons dune re technologique considrable.
Quelques faits
Ce monde interconnect est hostile. Chacun dentre vous de trs fortes [mal]chances de devenir proie [cible ou alatoire].
Quelques faits
Daprs lInternet Security Alliance, 1 milliard de dollars serait annuellement drob travers le monde grce au vol de proprits intellectuelles ou la subtilisation dinformations sensibles chez les socits victimes. Les attaques cyberntiques ont malheureusement beaucoup volu ces dernires annes. Il y a nettement moins de Hacking For Fun , et considrablement plus de Hacking For Profit . La cybercriminalit est ainsi devenue une entreprise complexe disposant dune conomie souterraine florissante : Les cyber-attaques sont devenues sophistiques. Elles ne sont pas toujours cibles. Il n'est pas rare aujourdhui d'observer des attaques orchestres par des groupes spcialiss la solde de concurrents dloyaux.
2011 High-Tech Bridge SA www.htbridge.ch
Quelques faits
Les cybercriminels daujourdhui n'ont plus dvelopper leurs propres codes... Ils peuvent louer des botnets et mme acheter des logiciels malveillants sous licence, disposant alors eux-mmes dun support technique. De nombreuses informations peuvent tre intressantes pour un attaquant, notamment celles relatives aux clients, aux parties prenantes, au marketing ou aux donnes financires. Tout le monde est concern De la petite PME aux multinationales en passant par les particuliers et les agences gouvernementales.
Sommaire
0x00 - propos de moi 0x01 - propos de cette confrence
0x05 - Dmonstration
0x06 - Conclusion
Scurit de linformation
Il faut donc protger l'information dun vaste ventail de menaces dans le but d'assurer la continuit des activits et de rduire les dommages ventuels pour lentreprise tout en maximisant le retour sur investissement et les opportunits d'affaires. Vous pouvez globalement comparer la scurit de l'information la robustesse d'une porte, qui peut souffrir de 3 faiblesses distinctes : Laspect architectural Est-elle construite avec des matriaux solides ? Laspect li limplmentation A-t-elle t installe correctement ? Laspect oprationnel Conservez-vous une cl sous le paillasson ?
Scurit de linformation
La scurit de l'information implique la prservation de: La confidentialit. Cela consiste s'assurer que l'information nest divulgue quaux personnes autorises. Lintgrit. Cela consiste assurer l'exactitude et l'exhaustivit des informations et des processus. La disponibilit. Cela consiste s'assurer que l'information et les actifs affrents sont accessibles aux personnes autorises quand elles en ont besoin. Ce principe fondamental dit CIA est la base du concept de scurit informatique. Le concept de CIA est trs simple sur le plan thorique Mais en pratique, cela peut tre trs difficile accomplir.
Scurit de linformation
Lune des raisons de ces difficults rencontres sur le terrain repose notamment sur le fait que la longue chane de la scurit de l'information est aussi forte que son maillon le plus faible.
Scurit de linformation
Ainsi le concept mme de scurit informatique est asymtrique. Les gentils ont plthore de variables complexes maitriser, mais il suffit quune seule tombe sous le joug des mchants pour quun effet domino soit redouter sur tout ou partie de la triade CIA.
Scurit de linformation
La disponibilit est probablement moins vitale pour vous que la confidentialit ou lintgrit. Lintgrit est en effet importante pour les assureurs, et potentiellement galement pour lensemble des courtiers. Imaginez quun pirate accde vos emails et supprime les courriels de prise de contact des prospects ? La confidentialit est encore plus importe dans votre secteur dactivits. Courtiers financiers, courtiers en assurances et assureurs ont tous un devoir de confidentialit. Les courtiers financiers sont mme soumis la FINMA, et ont ainsi les obligations que les banques en termes de confidentialit.
Scurit de linformation
Imaginez galement que Monsieur X prenne une police dassurance pour sa maitresse Madame Y Et quaprs piratage de la plateforme des courtiers chez lassureur, ladultre soit bruit sur la toile ? Les assureurs proposent parfois des produis de dfiscalisation Cela pourrait tre dommageable que le Fisc de certains pays tombent dessus. Dautant plus que cest la mode ces dernires annes, entre la Suisse, la France, les Etats Unis et lAllemagne. Le march secondaire de lassurance vie est courant Etats-Unis, mais peut galement se commercialiser en Suisse Quadviendrait-il si le client qui vient de racheter lassurance dcs parvient savoir qui est lassur ? Il pourrait envisager dacclrer son trpas pour encaisser la prime et rentabiliser son investissement.
2011 High-Tech Bridge SA www.htbridge.ch
Scurit de linformation
Pour les courtiers en assurances, un concurrent dloyal pourrait par exemple tre trs heureux dobtenir la liste de vos clients avec les mandats de gestion pour rtrocession des primes. Et mme sans aller jusque l, avec LAMAL quadviendrait-il en cas de fuite dinformations de sant et de questionnaires mdicaux ?
Scurit de linformation
Sommaire
0x00 - propos de moi 0x01 - propos de cette confrence
0x05 - Dmonstration
0x06 - Conclusion
Sommaire
0x00 - propos de moi 0x01 - propos de cette confrence
0x05 - Dmonstration
0x06 - Conclusion
Sommaire
0x00 - propos de moi 0x01 - propos de cette confrence
0x05 - Dmonstration
0x06 - Conclusion
Conclusion
Comme vous venez de le voir dans cette dmonstration, une simple faille sur le site Web dun assureur peut permettre de compromettre lensemble des courtiers, et potentiellement permettre dusurper leur identit chez dautres assureurs. Une telle attaques permettrait donc de drober des donnes confidentielles simultanment chez plusieurs assureurs, tout en offrant lopportunit de nuire aux courtiers et leur propres clients. Cette attaque, comme beaucoup dautres, peut tre vite si articulez votre rflexion autour de la formation du personnel, de la scurisation de votre site Web et de la fortification de votre rseau interne.