Un regard sur la Sécurité de l’information en 2015 8 septembre 2015 Éric Hébert

Introduction L’enjeu de la Sécurité de l’information n’est plus la technologie, ni sa mise en œuvre ou sa gouvernance; c’est la priorisation de cette dernière au sein de l’écosystème qu’est l’entreprise.

Un peu d’histoire Source: http://www.quotium.com/resources/hackers-evolving-2015-version-history- internet-application-security/

La sécurité applicative *SAMM: Software Assurance Maturity Model

2002 • Disable the remote administration capabilities of the website. Priority – High. • Validate all uploaded files for cross-site scripting, and command or SQL injection attacks if they are to be displayed or processed. Priority – High. • Scan all uploaded files for virus, worms, trojans. Priority – High. • Ensure permissions are set so that the least possible access is granted when processing those files (saving, opening) so that only specific permissions are set over specific agents, actions and directories. Priority – High. • Validate that XML documents contain the information and the format expected before processing.. Priority – High. • Revise the security scheme for the Extranet so users are not allowed to bypass login. • Ensure server has been patched with latest patch to fix some known buffer overflow and cross-site scripting vulnerabilities (see MS02-018 April10, 2002). Priority – High. • Completely validate and filter/escape/block all special characters from this email functionality in all fields to prevent cross-site scripting, buffer overflow and command injection attacks. Priority – High. • Do not embed sensitive info on static pages or on dynamically generated pages that the user is not intended to have.. Priority – High*. Extrait d’un rapport de tests d’intrusion…il y a 13 ans Qu’est-ce qui cloche?

Pourquoi ca ne fonctionne pas? Source: Survey on Application Security Programs and Practices, Feb 2014, SANS Institute

Pourtant…

Ref: http://rafeeqrehman.com/ 2015: La job du CISO

Ref: http://rafeeqrehman.com/ 2015: La job du CISO

Le contexte de son patron. La naissance d’un plan Source: http://www.xmind.net/share/kanunski/

Retenez ceci

C’est bien beau tout ça mais maintenant je fais quoi?

Étude de cas #1 • Entreprise de distribution • État de la SI : Pas grand-chose (de base). Vient de se faire arnaquer par une fraude au président pour 2,5M$ • Chiffre d’affaires 500M$ • Ressources TI: 50 • Budget TI: 20M$ (4%) • Budget Développement: 1M$ • Budget Opérations: 10M $ • Budget SI: 2M$ • Budget Ressources: 7M$

Non non, ce sont de vrais chiffres…

Vous êtes le nouveau CISO. On commence par quoi? • Budget :2,0M$ • Il reste 300,000$ • On achète un outil, on embauche du monde, on implante des processus, on externalise notre sécurité? • On sécurise les endpoints ou le périmètre? On fait de la sensibilisation? • Même si on gère avec une approche basée sur le risque, par où commence-t-on?

Étude de cas #2

• Entreprise de service Web • État de la SI : Pas grand-chose (de base). Vient de se faire … • Chiffre d’affaires (2012): 63M$ • Budget TI: – 4M$ (6.3%) (surtout du développement (AM Labs) • Budget pub: 27M$ • Budget Ressources: 12M$ • Autres : 2M$ • Profits : 15M$ Source: AM dump, Budget 2012 - _January 13 2012.xlsx

• Tout est une question de contexte • De l’argent, il y en a mais pas pour tout • Il y en a moins que ce que vous aimeriez • Le risque est relatif au contexte • Ce sont des humains qui décident des budgets, des allocations et qui, en bout de ligne, livrent la valeur à l’entreprise…Donc… Rendu ici,

La gestion des relations • Auprès des exécutifs – Les mettre en confiance • Parler leur langage. • Être CONCIS et savoir se taire. • Être honnête et intègre avec soi-même. • Faire la « job » politique (i.e. avant la réunion). • Ne pas les confronter de façon directe. • Se mettre à leur place, ce qui veut dire se projeter dans un rôle plus large pour comprendre leurs préoccupations.

• Auprès des équipes – Mériter leur confiance • Les écouter. • Prendre des décisions rapides, mais celles qui vous reviennent! • Les supporter lorsqu’il y a des difficultés. • Parler à tous, régulièrement. • Ne jamais critiquer si les choses ne fonctionnement pas comme vous le voulez. • Les guider et leur indiquer la destination, pas la route à suivre. • Leur apprendre la différence entre ‘parfait’ et «good enough». La gestion des relations

• Auprès des individus – Leur faire confiance • Les écouter. • Ne les pas les critiquer. • Vous intéresser à eux. • Les respecter non seulement pour ce qu’ils vous apportent mais aussi pour qui ils sont. • Les aider lorsqu’ils rencontrent des difficultés. La gestion des relations

Dites-vous une chose • C’est toujours facile de critiquer. • C’est toujours facile de mettre la faute sur quelqu’un d’autre. • C’est très, très, très difficile de se mettre à la place des autres.

Merci! [email protected] Eric G. Hébert