Un regard sur la Sécurité de l’information en 2015 par Éric Hébert

09905cce02942fb076f958f4b69fd8f6?s=47 OWASP Montréal
September 08, 2015

Un regard sur la Sécurité de l’information en 2015 par Éric Hébert

Pour le lancement des activités corporatives de la saison 2015 - 2016, le 8 septembre prochain à 12:00, l'équipe OWASP Montréal convie les gestionnaires et artisants de la sécurité des TIC à venir entendre monsieur Éric Hébert qui nous présentera son interprétation des préoccupations actuelles de hauts dirigeants en matière de cybersécurité et de sécurité applicative. L'événement se tiendra au complexe Desjardins à la salle "Espace Desjardins".

Éric G. Hébert

ÉRIC G. HÉBERT, CISM, CISSP
Après plus de 20 ans passés dans le domaine de la sécurité des technologies de l’information, Éric se spécialise dans la mise en œuvre et la gestion d'équipes performantes, capables de relever les plus hauts défis de la cybersécurité moderne.
Capable de dialoguer avec les hauts dirigeants, il sait traduire et vulgariser les enjeux techniques complexes tout en respectant la nature et l'appétence au risque de ses clients. Dynamique et pourvu d'une expérience couvrant presque toutes les sphères de la SI, il fonce dans le respect de la culture établie tout en implantant des solutions pragmatiques et efficaces.
Depuis plus de 10 ans, il gravite principalement autour des entreprises du domaine financier (BNC, Desjardins, Fonds de solidarité FTQ...) et les accompagne dans la mise en place de solutions efficaces tenant compte à la fois des risques et des budgets.
En plus d’avoir fondé de nombreuses associations telles que le RéseauSécurIT et le RPSI, il maintient une présence régulière auprès des milieux associatifs professionnels et partage régulièrement ses expériences lors de conférences et d'entrevues avec divers médias.

09905cce02942fb076f958f4b69fd8f6?s=128

OWASP Montréal

September 08, 2015
Tweet

Transcript

  1. Un regard sur la Sécurité de l’information en 2015 8

    septembre 2015 Éric Hébert
  2. Introduction L’enjeu de la Sécurité de l’information n’est plus la

    technologie, ni sa mise en œuvre ou sa gouvernance; c’est la priorisation de cette dernière au sein de l’écosystème qu’est l’entreprise.
  3. Un peu d’histoire Source: http://www.quotium.com/resources/hackers-evolving-2015-version-history- internet-application-security/

  4. La sécurité applicative *SAMM: Software Assurance Maturity Model

  5. 2002 • Disable the remote administration capabilities of the website.

    Priority – High. • Validate all uploaded files for cross-site scripting, and command or SQL injection attacks if they are to be displayed or processed. Priority – High. • Scan all uploaded files for virus, worms, trojans. Priority – High. • Ensure permissions are set so that the least possible access is granted when processing those files (saving, opening) so that only specific permissions are set over specific agents, actions and directories. Priority – High. • Validate that XML documents contain the information and the format expected before processing.. Priority – High. • Revise the security scheme for the Extranet so users are not allowed to bypass login. • Ensure server has been patched with latest patch to fix some known buffer overflow and cross-site scripting vulnerabilities (see MS02-018 April10, 2002). Priority – High. • Completely validate and filter/escape/block all special characters from this email functionality in all fields to prevent cross-site scripting, buffer overflow and command injection attacks. Priority – High. • Do not embed sensitive info on static pages or on dynamically generated pages that the user is not intended to have.. Priority – High*. Extrait d’un rapport de tests d’intrusion…il y a 13 ans Qu’est-ce qui cloche?
  6. Pourquoi ca ne fonctionne pas? Source: Survey on Application Security

    Programs and Practices, Feb 2014, SANS Institute
  7. Pourtant…

  8. Ref: http://rafeeqrehman.com/ 2015: La job du CISO

  9. Ref: http://rafeeqrehman.com/ 2015: La job du CISO

  10. Le contexte de son patron. La naissance d’un plan Source:

    http://www.xmind.net/share/kanunski/
  11. Retenez ceci

  12. C’est bien beau tout ça mais maintenant je fais quoi?

  13. Étude de cas #1 • Entreprise de distribution • État

    de la SI : Pas grand-chose (de base). Vient de se faire arnaquer par une fraude au président pour 2,5M$ • Chiffre d’affaires 500M$ • Ressources TI: 50 • Budget TI: 20M$ (4%) • Budget Développement: 1M$ • Budget Opérations: 10M $ • Budget SI: 2M$ • Budget Ressources: 7M$
  14. Non non, ce sont de vrais chiffres…

  15. Vous êtes le nouveau CISO. On commence par quoi? •

    Budget :2,0M$ • Il reste 300,000$ • On achète un outil, on embauche du monde, on implante des processus, on externalise notre sécurité? • On sécurise les endpoints ou le périmètre? On fait de la sensibilisation? • Même si on gère avec une approche basée sur le risque, par où commence-t-on?
  16. Étude de cas #2

  17. • Entreprise de service Web • État de la SI

    : Pas grand-chose (de base). Vient de se faire … • Chiffre d’affaires (2012): 63M$ • Budget TI: – 4M$ (6.3%) (surtout du développement (AM Labs) • Budget pub: 27M$ • Budget Ressources: 12M$ • Autres : 2M$ • Profits : 15M$ Source: AM dump, Budget 2012 - _January 13 2012.xlsx
  18. • Tout est une question de contexte • De l’argent,

    il y en a mais pas pour tout • Il y en a moins que ce que vous aimeriez • Le risque est relatif au contexte • Ce sont des humains qui décident des budgets, des allocations et qui, en bout de ligne, livrent la valeur à l’entreprise…Donc… Rendu ici,
  19. La gestion des relations • Auprès des exécutifs – Les

    mettre en confiance • Parler leur langage. • Être CONCIS et savoir se taire. • Être honnête et intègre avec soi-même. • Faire la « job » politique (i.e. avant la réunion). • Ne pas les confronter de façon directe. • Se mettre à leur place, ce qui veut dire se projeter dans un rôle plus large pour comprendre leurs préoccupations.
  20. • Auprès des équipes – Mériter leur confiance • Les

    écouter. • Prendre des décisions rapides, mais celles qui vous reviennent! • Les supporter lorsqu’il y a des difficultés. • Parler à tous, régulièrement. • Ne jamais critiquer si les choses ne fonctionnement pas comme vous le voulez. • Les guider et leur indiquer la destination, pas la route à suivre. • Leur apprendre la différence entre ‘parfait’ et «good enough». La gestion des relations
  21. • Auprès des individus – Leur faire confiance • Les

    écouter. • Ne les pas les critiquer. • Vous intéresser à eux. • Les respecter non seulement pour ce qu’ils vous apportent mais aussi pour qui ils sont. • Les aider lorsqu’ils rencontrent des difficultés. La gestion des relations
  22. Dites-vous une chose • C’est toujours facile de critiquer. •

    C’est toujours facile de mettre la faute sur quelqu’un d’autre. • C’est très, très, très difficile de se mettre à la place des autres.
  23. Merci! Hebert.eric@gmail.com Eric G. Hébert