aux Cyberattaques de grande ampleur Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Ensemble pour un Internet meilleur
formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra La gestion de crise et la résilience Comment se préparer à la gestion d’une crise cyber ? La Crise et les enjeux de la communication Approche par les Risques S’exercer à la gestion de crise (simulation)
Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra ERROUSSAFI Elmehdi • Expert lutte contre la fraude et cybersécurité • 10+ Ans d’expérience dans la gestion d’incident/crise chez un acteur telecom. • Président de la délégation régionale de Casablanca du CMRPI • Lauréat de l’école TELECOM Saint Etienne • Lead Auditor ISO 27001 • Formateur Web : www.cmrpi.ma Email : [email protected]
associé C. Exemples d’attaques récentes D. Impacts financiers, qualification de crise. E. Définitions : Incident, Problème, Crise, Attaque Cyber et Crise Cyber F. Security by design G. Risques et Crises H. Enjeux et typologies I. Media : Naissance d’une crise chez TV5 Monde (Extrait reportage) J. Retour d’expérience : 5 points clés Agenda de l’après midi Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Le Centre Marocain de Recherches Polytechniques et d’Innovation (CMRPI) est une Association Savante Marocaine, positionnée dans l’optique recherche, développement et innovation et est à but non lucratif, fondée en Juin 2012 et qui a la mission de : • Rassembler des personnes physiques et morales concernées par les sciences et techniques dans plusieurs domaines de l’industrie et de la recherche scientifique • Faciliter l’implication des chercheurs marocains, de l’intérieur du pays et également à l’étranger, dans la contribution au développement du Maroc • Contribuer dans le transfert du savoir vers le milieu socio-économique national et international • Distinguer parmi ses membres les meilleurs spécialistes dans chaque domaine • Favoriser des contacts fréquents avec d’autres membres, dans leurs spécialités ou hors de leurs spécialités, tout particulièrement pour les plus jeunes • Développer une importante source d’informations spécialisées • Constituer une tribune qui permette à ses membres de faire connaître leur point de vue et leurs travaux • Représenter l’ensemble de ses membres auprès d’autres sociétés scientifiques et techniques marocaines ou étrangères.
Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Campagne Nationale de Lutte Contre la Cybercriminalité (2014-2017), lancée par le CMRPI sous l’égide du Ministère de l’Industrie, du Commerce, de l’Investissement et de l’Economie Numérique, en collaboration avec le Ministère de l’Education Nationale et de la formation professionnelle (Programme GENIE), avec des partenaires universitaires, la CNDP, la DGSN, et des Associations
Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Pour renouveler l’engagement du CMRPI aux cotés de ses partenaires, la campagne Nationale Maroc Confiance 2018-2022 compte continuer sur l’ensemble des actions engagées afin de monter en compétences et dérouler les actions déterminées dans le cadre du plan d’action national.
pirates dans une des plus grandes attaques de tous les temps. • En 2016, Uber a signalé que des pirates ont dérobés les informations de 57 millions de chauffeurs et de clients. • En 2017, 412 millions d’utilisateurs ont vu leur comptes d’un site adulte exposés sur internet. • En 2017, 147.9 millions d’utilisateurs ont vu leur données de credit risk impactés par l’attaque Equifax. Quelques chiffres Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
aux états unis par année en 2017, et ce chiffre augmente de 27 pour cents chaque année. • 31% des entreprises mondiales ont declares avoir subi une cyber attaque au moins en 2017. • 100000 entreprises dans 150 pays, et plus de 400000 machines ont été infectées par le Ransomware WANNACRY, avec un cout de 4$ milliards de dollars • Les attaques de type “cryptojacking” ont augmenté de 8500% en 2017. • 24000 applications mobiles malicieuses sont bloquées chaque jour. Quelques Chiffres (suite) Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
avec une augmentation de 23% des dépenses des entreprises pour contenir les incidents par rapport à 2016. Soit une moyenne de 11,7 millions USD. • Le cout moyen d’une attaque Malware est de 2.4 millions de dollars. • Le cout moyen d’une attaque malware en temps de rétablissement est de 50 jours. • Les dommages causes par un Ransomware ont dépassé 5 milliars de dollars, soit 15 fois le cout en 2015. • En moyenne, le cout par individu, de l’information perdue ou volée est de 141$. • Ce cout varie en function des pays : USA 225$, Canada 190$ Couts d’une cyberattaque Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
: « Tout événement qui ne fait pas partie du fonctionnement standard d’un service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de ce service. » Définition Incident Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Problème : Un problème est la cause inconnue d'un incident significatif ou de plusieurs incidents présentant les mêmes symptômes affectant le bon fonctionnement du système d'information ou du "métier" de l'entreprise.
de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Attaque Cyber : « une attaque mettant en œuvre des moyens numériques et effectuée au travers de réseaux informatiques» visant à déstabiliser ou à interrompre le bon fonctionnement d’un système informatique.
formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Crise : « Événement soudain causant des pertes et des dommages importants, entraînant une interruption d’une ou plusieurs activités critiques ou un arrêt de l’organisme, ayant des impacts à long terme et nécessitant le recours à la Cellule de crise et, le cas échéant, à un site alternatif. Une crise peut avoir des conséquences sur la survie même de l’entreprise.»
de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Crise Cyber : « une crise cyber est une crise liée à une attaque cyber qui vise spécifiquement le patrimoine numérique, les infrastructures techniques ou le Système d’Informations d’une entreprise.»
de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra La notion de risque Notion apparue dans les contrats de transport maritimes italiens du XIIe Siècle, désigne un pari sur la possibilité de voir la marchandise acheminée à bon port. Définition : potentialité de la survenue d’un événement négatif. La notion de crise Du grec « décision » ou « jugement ». Définition : moment décisif, tournant, instant où les structures anciennes s’effondrent, déterminant l’avenir.
Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Les enjeux autour des risques Les risques sont partout et toujours présents. L’enjeu est de savoir les identifier et les gérer au quotidien. Les enjeux autour de la crise Les crises sont des évènements délimités dans le temps, qui surviennent de façon itérative. L’enjeu est de savoir les détecter et les gérer hors des processus routiniers.
un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Technique Politique Economiq ue Juridique Social Environne mental Sanitaire Image -Technique → Vulnérabilité SMB Windows (eternal blue) -Politique → Sony et le film The Interview - Economique→WannaCry - Juridique→Hack Equifax (Données personnelles) - Social→Hacktivisme, Anonymous - Environnemental→StuxNet - Sanitaire→Attaque de laboratoires, NHS UK - Image→Blackout TV5 Monde
un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Réponse à l’incident de sécurité Un plan de réponse aux incidents de sécurité se concentre sur les problèmes de sécurité quotidiens, tels que les infections de logiciels malveillants et les attaques par déni de service distribuées. Réponse à la crise cyber En revanche, un plan de gestion de crise de cybersécurité se concentre sur les actions et les processus qui doivent être entrepris pour protéger et défendre la réputation de l'organisation, de ses produits et de ses services. Les situations de crise peuvent inclure la perte massive de numéros de carte de crédit, de numéros de sécurité sociale, d'informations financières ou d'informations de santé protégées.
des projets lors des phases des études d’opportunité, de faisabilité et de conception (design) • Mener une analyse de risques pour répondre aux questions suivantes : – Quels sont les risques engendrés sur mon SI par la mise en place de ce projet? – Quelles sont les solutions à mettre en place pour remédier aux risques encourus? – Quels sont les risques résiduels qu’on peut accepter ou non ? • Disposer d’outils d’évaluation du niveau de sécurité avant la mise en service des projets • Offrir au management les éléments nécessaires pour décider des risques à couvrir et les risques résiduels ▪ Maîtrise des risques SSI dans la mise en œuvre des nouveaux projets ▪ Adaptation des investissements en sécurité selon les besoins de sécurité ▪ Prise de conscience des risques résiduels suite à la mise en place d’un nouveau composant SI ( Risque zéro n’existe pas) Enjeux Objectifs du Security By Design Ensemble pour un Internet meilleur
Toutefois, le niveau d’analyse dépendra de la sensibilité du projet selon des critères identifiés. • Le chef de projet disposera d’un questionnaire sécurité lui permettant de qualifier la sensibilité du projet. • Si le projet n’est pas considéré sensible, un contrôle de l’équipe sécurité est nécessaire pour confirmer et proposer des recommandations si besoin. • Dans le cas ou le projet est jugé sensible : ❑ Une étude sécurité est nécessaire et devra faire l’objet d’une analyse de risques et d’un dossier de sécurité initié depuis la phase étude du projet et mis à jour jusqu’à la mise en production du projet ❑ Des tests d’intrusion sont nécessaires lorsqu’il s’agit de plateformes exposées sur un réseau externe ou sur Internet ❑ Un audit de code est nécessaire dans le cas des projets WEB Qualification et étude d’impact Ensemble pour un Internet meilleur
le niveau d’analyse et de contrôle diffère selon la sensibilité des projets. Tout projet traitant des données sensibles (besoin de confidentialité ou d’intégrité de l’information, …) ou établissant des liens avec un réseau externe peut être considéré comme sensible. Il s’agit en particulier des projets pour lesquels : ❑ Les entités métiers jugent que la concrétisation d'une menace aurait des conséquences INACCEPTABLES sur les activités de l’entreprise. Les menaces à envisager sont celles portant atteinte à la confidentialité ou à l'altération de données et/ou aux résultats de traitement ❑ La concrétisation d'une menace porterait atteinte à l'image de marque de l’entreprise ❑ La concrétisation d'une menace mettrait en péril les Systèmes d’Information et de communication notamment à travers l’ouverture sur des réseaux externes ou l’externalisation d’activités ❑ Tous les projets avec ouverture sur l’extérieur sont systématiquement considérés comme sensibles Qu’est ce qu’un projet sensible ? Ensemble pour un Internet meilleur
Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Pilotage et connaissance de la situation par la cellule de crise
Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Retour d’expérience : Former le TOP Management • Dans une situation de crise, le PDG et ses subordonnés directs sont à l'avant-garde de la réponse aux clients, aux autorités locales, aux partenaires commerciaux et aux médias. Ils veulent tous répondre rapidement et bien vouloir. • Cependant, souvent il leur arrive de transmettre des messages contradictoires ou fournir trop peu ou trop d'informations qui brouillent le message et amplifie l’impression de débâcle. • Il est donc essentiel de les former à l'avance. • Ces dirigeants doivent être familiarisés avec leurs fonctions et rôles spécifiques pendant une crise et doivent être en mesure de suivre un manuel et des modes opératoires, ainsi que de maitriser les éléments de language.
Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Formalisation du plan de gestion de crise. • J’ai souvent trouvé que les modèles de communication (templates) étaient peut-être l'élément le plus utile de la « toolbox » de gestion de crise. Pendant une crise, il est vraiment difficile de trouver les bons mots pour communiquer avec vos clients et d'autres tiers intéressés. • Une seule notification aux clients a pris plus d'une semaine pour finaliser car la sécurité de l'information, les communications d'entreprise et les services juridiques ne pouvaient pas s'entendre sur le contenu, sur les impacts ni sur les éléments de langage. • Ce que vous dites pourrait faire ou défaire l'organisation. • Réfléchissez donc aux différents scénarios et créez des modèles de communication génériques qui ont été examinés par les services de communication, de conformité et juridiques de votre entreprise.
Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Exemples de documents à formaliser : • Nom des parties prenantes exécutives; • Représentation juridique, confidentialité, conformité et communications d'entreprise; • Procédures d’investigation, de gestion d’incident par plateforme, par flux impacté, par service rendu. • Délimitation des rôles et responsabilités spécifiques de chacun des cadres; • Matrice des menaces avec niveaux de gravité et protocoles de réponse associés; • Déclarations pour les clients, les partenaires commerciaux, les médias et les agences externes; • Modèles de communication préfabriqués pour les notifications de violation comme requis par les lois de confidentialité de l'État; • Templates de communiqués de presse …
formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Un exercice nécessaire pour bien se préparer • Encadrez les dirigeants et les leaders critiques dans un exercice de simulation qui simule un scénario de violation. Trouvez un tiers de bonne réputation pour vous aider à mener cet effort. • Un nombre croissant d'entreprises proposent ce service. Les offres varient largement en termes de contenu, de format et de prix. • Trouvez quelque chose qui vous convient en fonction de votre budget et de votre culture organisationnelle.
un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Préparer votre contrat avec le cabinet de forensics qui vous aidera à traiter et à comprendre • Une fois qu'une attaque est détectée et que son impact évalué, il est extrêmement urgent d'enquêter ou de l'atténuer. • Le soutien d'experts en forensics/inspection est généralement requis. En ce moment de crise, trouver un tiers approprié et rédiger un contrat-cadre de services ou un énoncé de travail devient un défi. • Par conséquent, il est impératif que les services de sécurité des informations, de conformité et juridiques d'une entreprise consacrent conjointement du temps à l'évaluation et à la sélection des fournisseurs de sécurité potentiels à l'avance.
de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra L'un des domaines critiques sur lesquels porter l'attention au cours d'une attaque devrait être la «protection du secret». Les mécanismes juridiques (NDA) sur les contrats sont d’une importance capitale pour protéger toute communication ou information sensible (telle que la cause de la crise ou l'étendue de la perte d'informations) contre toute divulgation forcée par des tiers, y compris les clients, les concurrents et les autorités répressives. Sans cette protection, une organisation peut être vulnérable à des poursuites civiles ou pénales avocats de votre entreprise vous aideront à vous assurer que les clauses appropriées sont incluses dans les contrats et les SOW associés pour garder le travail avec les tiers impliqués dans la résolution/gestion de la crise confidentiel.
Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Ce n'est qu'une question de temps avant que votre organisation se retrouve dans la situation malheureuse de se rendre compte soudainement qu'elle a subi une attaque ciblée de grande ampleur. Par conséquent, il est impératif de se préparer à l'avance et d'être prêt à répondre de manière à garantir que vos clients ainsi que les intérêts de votre organisation soient correctement protégés. Cette préparation peut être matérialisée par un travail de fond sur la résilience, et un plan officiel de gestion des crises en général, et de cybersécurité en particulier.
mehdierroussafi
isaoshimizu
infiniteloop_inc
toru_kubota
pamelafox
egmc
pacificspatialsolutions
nagix
nakasho
matsuihidetoshi
tsukasa_ishimaru
qsona
coconala_engineer
kastner
lemiorhan
chrisshort
chriscoyier
eileencodes
bryan
cherdarchuk
kneath
kevinliebholz
myddelton
ufuk
