Ceci est une ancienne révision du document !




Cyberdéfense et détection du hacking


Séminaire Jeudi 1er décembre 2016, à l'Ecole Polytechnique à Palaiseau, Amphithéâtre Becquerel,

Correspondances bus/autocars à partir de la gare de Massy-Palaiseau





Introduction

La croissance exponentielle des atteintes de plus en plus sophistiquées à la sécurité informatique amène aujourd'hui la plupart des grandes organisations à protéger leur patrimoine informationnel et leurs actifs sensibles. Les RSSI combattent quotidiennement de nombreuses attaques virales aux conséquences anodines, souvent préjudiciables, mais pouvant parfois s'avérer également extrêmement dévastatrices. L'évolution récente de ces attaques masque une réalité plus sournoise. L'emploi de codes malveillants conçus pour infiltrer le cœur d'un SI, espionner les activités stratégiques d'une grande entreprise ou d'un pays, rançonner les organisations, prendre furtivement le contrôle à distance de fonctions essentielles ou, si besoin, programmer la paralysie d'un système vital ou la destruction d'un site industriel, est une réalité de plus en plus palpable. L'analyse de quelques unes des techniques employées par les malwares actuels, nous permettra de mesurer la capacité offensive de ces cyber-armes et d'appréhender leur impact sur nos intérêts économiques.

Depuis des années, en multipliant les actions dans le domaine de la Cyber-défense, la France affiche une forte volonté de lutte contre la cyber-menace. La loi de Programmation Militaire est un vecteur essentiel du renforcement de la cyber-résilience des systèmes d'information chez les opérateurs stratégiques. La professionnalisation des processus de détection et de traitement d'incidents instaure progressivement une barrière efficace à l'entrée des systèmes. Les témoignages d'OIV, de grands fournisseurs de services et d'industriels spécialisés dans le design d'architectures de SI sécurisés, nous présenteront les récentes évolutions visant à intégrer toujours plus de sécurité au cœur des systèmes.

Pour mener à bien une lutte efficace contre les menaces de la cybercriminalité il faut entretenir une forme de coopération européenne. A l'issue de ce séminaire, nous évoqueront les initiatives en cours et à venir, et nous analyserons leurs retombées sur le cyberespace européen.





Coordination scientifique :

  • Patrick Legand (Xirius Informatique)



Téléchargez l'affiche du séminaire

le dossier de "La Jaune et la Rouge" en Janvier 2016 : "La cybersécurité au coeur du monde de demain"

...et le programme


Programme

08h30-09h00 Accueil & café
09h00-09h10 Introduction, présentation de la journéePatrick LegandXirius Informatique
09h10-09h40 Retour sur un cas historique : Enigma, 2ème guerre mondialePatrick LegandXirius Informatique
Partie 1 : Qualification des risques opérationnels et stratégiques induits par la cyber-menace
09h40-10h10 Analyse comportementale des virus (APT) Philippe Baumard Akheros
10h10-10h40 Is traditional AV Dead? Real-time Machine-learning Detection of Modern Malware Downloads Marco Balduzzi Trend Micro
10h40-11h10 Analyse dynamique de malware Android Valérie Viet Triem TongCentrale Supelec
11h10-11h30 Pause café
11h30-12h00 Cas avérés d'attaques, conséquences sur les intérêts économiques, commerciaux et stratégiques d'une entreprise ou d'un pays Hervé HosyOPPIDA
12h00-12h20 Focus sur le "ransomware", monétisation du crime. Finalités, fonctionnement et risques. Moyens pour s'en prémunirMartine GiraltThales/Cert IST
12h20-13h35 Déjeuner buffet au salon d'Honneur
Partie 2 : Renforcer la cyber-résilience du SI des entreprises, des administrations et des processus vitaux
13h35-13h55 Processus de mise en conformité LPM chez un Opérateur d'Importance Vitale (OIV)Guillaume KaddouchGrand Port Maritime de Rouen
13h55-14h25 Cyberdéfense et détection : plateforme et exercicePhilippe DelaunayDCI
14h25-14h55 L'approche « Security by design » : Conception d'architectures sécuriséesGwenn FeunteunACCEIS
14h55-15h25 La détection et la réponse aux incidents de sécuritéNicolas PrigentLSTI
15h25-15h45 Pause café
15h45-16h05 La Threat Intelligence piquée au sérum de véritéJérôme RobertOrange Cyberdéfense
16h05-16h35 Recherche et Innovation en cyber sécuritéFlorent KirchnerCEA
Partie 3 : Politique européenne de lutte contre les menaces et la cybercriminalité
16h35-17h05 Comment enclencher réellement la mise en mouvement des organisations au niveau Sécurité Opérationnelle ?Gérard GaudinG2C
17h05-17h15 Conclusions de la journéePatrick LegandXirius Informatique



Résumés des présentations

Retour sur un cas historique : Enigma, 2ème guerre mondiale Patrick Legand

Les actifs et informations hautement sensibles sont associés à des dispositifs de sécurité spéciaux, dotés de mécanismes réputés presque inviolables. Pourtant, lorsque le jeu en vaut la chandelle, la détermination et les moyens mobilisés par les adversaires pour casser ces mécanismes de sécurité dépassent tout bonnement l'imagination. A la lumière de l'attaque de la machine Enigma à la veille de la 2nde Guerre Mondiale, nous montrerons les trésors d'ingéniosité déployés par un ennemi motivé pour démonter les mécanismes cryptographiques les plus puissants et accéder coûte que coûte à l'information.

Ce cas historique constitue un enseignement précieux à mettre en perspective avec les architectures informatiques actuelles.

Is traditional AV Dead? Real-time Machine-learning Detection of Modern Malware Downloads Marco Balduzzi

With the advent of organized cybercrime, malware authors are constantly looking for new strategies to defeat AV solutions. The increase in adoption of polymorphism, code obfuscation and packing, as well as the rise in sophistication of drive-by-downloads and C&C server communications, has made traditional AV industry's technologies less effective.

In this talk, we propose a new system based on machine learning for real-time detection of new malware downloads, including files and URLs from which these files originated from. Our system uses a combination of system- and network-level information collected at endpoint to build a tripartite graph and to implement a graph-based machine-learning classifier. The content-agnostic approach and statistical-based classifier overcomes the limitation of existing solutions like static and dynamic code analysis, and allows fast and real-time identification on new threats.

Focus sur le “ransomware”, monétisation du crime. Finalités, fonctionnement et risques. Moyens pour s'en prémunir Martine Giralt

Nous présenterons l’état de la menace que représentent les malware Android et nous ferons le point sur les techniques classiques d’analyse de malware. Nous nous intéresserons plus particulièrement à l’utilisation du suivi de flux d’information dans l’analyse dynamique de ces malware. Enfin, nous nous attarderons sur les mécanismes de défense de ces malware contre les différentes techniques d’analyse.

Processus de mise en conformité LPM chez un Opérateur d'Importance Vitale (OIV) Guillaume Kaddouch

La Loi de Programmation Militaire s’appliquant désormais sur les Opérateurs d’Importance Vitale, le Grand Port Maritime de Rouen partage son expérience sur le démarrage du processus de mise en conformité. Quelles sont les contraintes rencontrées, et quels sont les axes principaux de mise en place de la LPM au Port de Rouen.

Cyberdéfense et détection : plateforme et exercice Philippe Delaunay

Au-delà de l’aspect technique, la détection est réalisée au sein d’une organisation, et s’inscrit dans des processus. Les performances et l’efficacité peuvent varier selon les conditions de réalisation, notamment les deux niveaux de gestion : technique et chaine de commandement. Le scénario proposé prévoit un incident majeur à traiter. L’immersion dans un environnement réaliste (événements, configurations, outils, scénario, etc.) doit amener les participants à prendre en compte l’organisation, la planification, la conduite des opérations en parallèle avec les investigations techniques et de renseignement. La présentation décrira les moyens déployés pour la réalisation de ce type d’exercice.

En s’inspirant de l’approche militaire et en l’adaptant à la cyberdefense, DCI a conçu avec des experts, les protocoles, les supports, les processus , les données techniques et d’environnement : déclencheurs, base de temps, flux réseau, données de compromission, malware, etc.

Ce type d’exercice est utile pour comprendre les interactions au sein d’une organisation soumise à des conditions de crise. Il permet également de mieux appréhender les phases de conception d’un SOC (définition, interfaces, déploiement), incluant le volet humain (postes, profils, formations, expériences, évaluation).

L'approche « Security by design » : Conception d'architectures sécurisées Gwenn Feunteun

La notion d’architecture de sécurité existe depuis de nombreuses années maintenant. Les principes qui en découlent sont largement connus et constituent le socle de la lutte informatique défensive. Leur mise en œuvre permet (théoriquement) de garantir une protection sans faille des actifs de l’organisation. Pourtant, les cas de compromission se multiplient et les volumes de données exfiltrées se comptent au minimum en giga-octets. Est-ce alors le signe de son échec ?

À partir d’un cas concret (l’hébergement d’un site Internet), nous verrons comment appliquer le concept de « défense en profondeur » pour offrir un niveau de sécurité maximal. La complexité de sa mise en œuvre, ainsi que les contraintes qui en découlent seront mises en évidence à cette occasion. Il sera alors possible d’appréhender les limites du modèle et de mieux comprendre pourquoi ce qui paraît simple et redoutablement efficace sur le papier, se révèle l’être beaucoup moins confronté à la réalité du terrain.

La détection et la réponse aux incidents de sécurité Nicolas Prigent

Alors que les menaces se font de plus en plus précises et que les solutions purement défensives montrent jour après jour leurs limites, la détection et la réponse aux incidents de sécurité se doivent désormais de faire partie de l’arsenal des défenseurs. Durant cette présentation, en nous basant sur les référentiels PRIS et PDIS de l’ANSSI ainsi que sur des travaux de recherche de ces dernières années, nous montrerons que ces deux activités rentrent actuellement dans leur phase de maturité et nous tenterons d’en identifier les prochaines évolutions.

La Threat Intelligence piquée au sérum de vérité Jérôme Robert

Alors que les menaces se font de plus en plus précises et que les solutions purement défensives montrent jour après jour leurs limites, la détection et la réponse aux incidents de sécurité se doivent désormais de faire partie de l’arsenal des défenseurs. Durant cette présentation, en nous basant sur les référentiels PRIS et PDIS de l’ANSSI ainsi que sur des travaux de recherche de ces dernières années, nous montrerons que ces deux activités rentrent actuellement dans leur phase de maturité et nous tenterons d’en identifier les prochaines évolutions.

Comment enclencher réellement la mise en mouvement des organisations au niveau Sécurité Opérationnelle ? Gérard Gaudin

Malgré une mobilisation globale inégalée et des initiatives tous azimuts depuis quelques années, la mise en mouvement des organisations et entreprises au niveau Cyber Défense et Sécurité Opérationnelle reste très insuffisante, les résultats constatés étant bien maigres et les frustrations souvent perceptibles au sein de la profession dans de nombreux pays. L’objectif de l'intervention est ainsi de présenter de nouvelles pistes pour remédier à cette situation, et en particulier une démarche quantitative novatrice organisée autour d'un jeu complet d'indicateurs afin d'évaluer l'efficacité des mesures de sécurité prises.

Ces indicateurs, notamment standardisés dans le cadre de l'initiative ETSI ISI issue des travaux du Club R2GS, doivent être idéalement situés au carrefour de la gouvernance et de l’expertise sécurité. En combinant autour de ceux-ci des approches “top-down” et “bottom-up”, il est possible de stimuler de nombreux usages, tant globaux et managériaux au niveau de l’entreprise que techniques au niveau des SOCs et de l’administration locale, et de faciliter la mobilisation de l'entreprise pour sa cyber défense


Speakers, Chairs, Committee members

Patrick Legand Philippe Baumard Thiên-Hiêp Lê
Martine Giralt Nicolas Prigent Philippe Delaunay Gérard Gaudin
Guillaume Kaddouch Marco Balduzzi Gwenn Feunteun Hervé Hosy
Valérie Viet Triem Tong Gérald Oualid Régine Lombard
sem_cyber.1480941213.txt.gz · Dernière modification: 2016/12/05 13:33 par lombard
CC Attribution-Noncommercial-Share Alike 3.0 Unported
www.chimeric.de Creative Commons License Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0