bysoftchina - securité des réseaux informatique - ccifc - 5 juillet 2013

WWW.BYSOFTCHINA.COMBYSOFTCHINA

SECURITE DES RESEAUX

CCIFC SHANGHAI – 9th of July 2013


“We help you from

set-up Your e-commerce

to get

real performance”


Magento/ Drupal/

Hybris

System Integration

Hosting

Maintenance

Expertise

SEO

SEM /PPC

Social Network

Web Analytics

Optimization

E-MARKETING

UX

Brand Consistency

Online Creative

Mobile Design

Interactive Design

CREATIVE

Content

Management

Order Management

Call Center

Operations

Reporting

Content Site Admin

OPERATIONS Mobile WebSite

Responsive Design

Marketing App

Shop App

Android & iOS

PLATFORM

MOBILE

Tmall

JD / Amazon

Shop Set-up

Merchandising

Promotion

MARKETPLACEDIGITAL

STRATEGY&

SOLUTIONS


OPERATING THEPLATFORM

HOSTINGCONSULTING

& DIGITAL STRATEGY

E-MARKETINGSEO / SEM-PPCSOCIALMEDIA

+ + +SET UP THE

E-COMMERCEPLATFORM +

TMALL / TAOBAO STORE


SKILLS SOLUTION TECHNOLOGY

10 years of E-commerce expertise

Full e-Commerce Agency with all services at one place

State-of-the-art solutions

Winner of the SME Excellency Award 2010 in China

Senior Digital Marketing team : Consulting / Performance Marketing

Technical expertise : Magento Gold Partner / Technically Certified team

Deep knowledge of Chinese market for our Worldwide customers

Deep knowledge of the European and North American markets for our Chinese customers


"Que l'on me donne six heures pour couper un arbre et j'en

prendrai quatre pour préparer ma hache«

Abraham Lincoln


Plus de 155 vulnérabilités sont déclarées par semaine.

Le temps moyen entre la publication de la vulnérabilité et de son exploitation est

de 5,6 jours.

Le délai de survie d’un ordinateur sans correctif de sécurité et sans protection vis-à-vis

d’Internet est

en moyenne de 10 minutes !


Menace : Hostilité avérée / Signe (plus ou moins pregnant) de quelque chose que l'on doit craindre

Risque : Le risque est défini par un actif présentant une valeur, une vulnérabilité de cet actif, une menace fondée sur cette vulnérabilité, et pouvant porter atteinte à la valeur de l'actif.

Sécurité de l'information : La sécurité de l'information est assurée par la préservation de trois qualités : la confidentialité, la disponibilité, l'intégrité (CID) et par extension l'authentification et la preuve (non répudiation)


La sécurité informatique coûte cher mais elle ne

rapporte rien.


Impacts liés à un problème de sécurité

Perte de crédibilité, d'exploitation (indisponibilité des outils), de compétitivité (vol d'informations), de savoir faire (destruction de données).

Atteinte à la disponibilité de l'information peut directement affecter l'activité, voire la réputation et la capacité de non-répudiation (faire la preuve).


« Jérôme Kerviel aurait profité des défaillances de la politique de sécurité informatique. Le trader à l’origine de la

fraude record de 5 milliards d’euros aurait simplement exploité les lacunes de la

politique de sécurité de la Société générale.

Des identifiants et mots de passe permettant

l'accès à des applications sensibles n’étaient pas changés régulièrement ! »


Motivation

Pirate informatique : Défi, Amour-propre, Rébellion, Statut, Argent

Escroc informatique : Destruction d'informations, Divulgation illégale d'informations, Gain financier, Modification non autorisée de données

Terroriste : Chantage, Destruction, Exploitation, Vengeance, Avantage politique, Couverture médiatique

Espionnage industriel : Avantage concurrentiel, Espionnage économique

A l'intérieur : Curiosité, Amour-propre, Renseignement, Gain financier, Vengeance (mais surtout : Erreurs et omissions involontaires)


Buts des Attaques

• Interruption: vise la disponibilité des informations

• Interception: vise la confidentialité des informations

• Modification: vise l’intégrité des informations

• Fabrication: vise l’authenticité des informations


Capture


Analyse de Trafic


Masquarade / Usurpation d’Identité


Replay


Man in the Middle


DoS : Denial of Services


Anatomie d'une pénétration

1. Collecte d'infos2. Recherche de vulnérabilité3. Pénétration4. Effacement des traces5. Emprise6. éventuellement Extraction de données7. Retour à l'étape n°1 => rebond


Services de Sécurité

• Confidentialité : les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d’un tiers non-autorisé.

• Authenticité : l’identité des acteurs de la communication est vérifiée.

• Intégrité : les données de la communication n’ont pas été altérées.

• Non-répudiation : les acteurs impliqués dans la communication ne peuvent nier y avoir participer.

• Disponibilité : les acteurs de la communication accèdent aux données dans de bonnes conditions.


• Chiffrement• Signature• Bourrage de trafic• Notarisation• Contrôle d’accès• Antivirus• Pare-feu• Journalisation

Défense

• Analyse de vulnérabilité

• Détection d’intrusion• Contrôle du routage• Contrôle d’accès aux

communications• Horodatage• Certification• Distribution de clefs


Aucun des mécanismes de sécurité ne

suffit par lui-même.

Il les faut tous !


Les spécificités en Chine• Internet non privé• VPN a efficacité limité• Aucune protection de la vie privée• Aucun anonymat• Correspondant du PCC dans les entreprise

étrangères ? Une légende • Aucun lanceur d’alerte• Problème de confiance dans les employés locaux

pour certaines activités à très haute valeur ajoutée


La plupart des problèmes de sécurité observés dans les entreprises révèlent une responsabilité importante des utilisateurs

(les salariés).

La menace provient donc souvent de l’intérieur !

Mot de passe / Charte informatique / Logiciel pirate / BYOD - Bring your Own

Device


Processus/Politique de sécurité global

1. Prévenir: multiplier les barrières2. Bloquer : exclure les indésirables3. Limiter : sauvegarder, chiffrer4. Détecter : pour bloquer5. Réagir : être prêt en cas d'intrusion6. Veille : Inventaire complet


La différence entre la NSA et une PME locale réside :

dans la nature du risque (valeur de l'information, probabilité d'une attaque, type d'attaque potentiel,impact possible)

dans l'appréciation de ce risque (acceptation ou non)


Sécurisation à tous les étages

HumainAccès physique

SystèmesRéseau

Éviter l'alignement des vulnérabilités

Multiplier les barrières


Politique

Implémentation

Formation

Audit

Evaluation

Mise à jour


CONTACT US

Address: Junling Plaza, Unit 2501,No.500 North Chengdu Road, Huangpu District,200003,Shanghai

Tel: +86 (21) 6226 8616

@ [email protected]

CONTACT US

mailto:[email protected]

bysoftchina - securité des réseaux informatique - ccifc - 5 juillet 2013

Business

scurit perte

the european

senior digital marketing

scurit informatique

theart solutions winner

ppc socialmedia set

the sme excellency award

our chinese customers