--- titre: Sécurité dans les projets et audits/contrôles (Cours 1) description: Sécurité dans les projets et audits/contrôles (Cours 1), 17/02/2020 tags: SECUP, jerome.tchan author: Jérôme Tchan --- # Sécurité dans les projets et audits/contrôles (Cours 1) > Les slides sont disponibles sur le Wiki SRS ## Introduction ### Constat Aujourd'hui, on ne fait pas ce qui est nécessaire pour être le moins vulnérable possible, malgré le fait qu'on sait comment se protéger. Cycle de vie d'un projet: - **Opportunité:** Enjeux pour l'entreprise, retour sur investissement - **Faisabilité:** Faisabilité, risques, coût, efficacité - **Conception générale:** Besoins fonctionnels, contraintes - **Conception détaillée:** Choix techniques, exigences - **Réalisation:** Développement, tests / recette - **Exploitation:** Déploiement, maintenance Il y a une multiplicité des acteurs: - Maîtrise d'oeuvre - Maîtrise d'ouvrage - CIL (RGPD) - Comité de pilotage - Utilisateurs - Experts techniques - Service juridique - RSSI (Responsable de la sécurité des systèmes d'information) Le RSSI est le seul acteur intervenant sur l'intégralité du cycle de vie d'un projet. Il y a des difficultés et incompréhensions: - Niveaux de connaissance différents - Vocabulaire différent - Objectifs potentiellement différents (rapidité vs sûreté) ### Enjeux et définitions - Promouvoir une "culture de la sécurité" - Moins d'experts, plus d'acteurs - Responsabiliser - Traiter tous les sujets au bon moment - Adapter les actions SSI selon les enjeux réels - Faire mieux sans faire trop - Eviter l'effet Mille-feuille - Maîtriser les risques tout au long du cycle de vie du SI - Être sûr de son SI et le rester L'audit de la phase d'analyse préliminaire d'un projet de développement d'une nouvelle application devra s'assurer que les exigences de sécurités ont été définies. Pour réduire le coût de la sécurité dans un projet de développement de système, les techniques de gestion de la sécurité devraient être appliquées de façon continue durant tout le projet. - **ISP:** Intégration de la Sécurité dans les Projets - **ISC:** Intégration de la Sécurité dans les Contrats - **ISO:** International Organization for Normalization - **OWASP:** Open Web Application Security Project - **PAS:** Plan d'Assurance Sécurité - **ANSSI:** Agence Nationale de la Sécurité des S.I. **RSSI => Garant de l'ISP** ## Attaques Objectifs: - Destruction - Atteinte à l'image - Gain financier Coût moyen en France des cyberattaques: **4,8M€ par entreprise (+20,5% sur un an)** Délai d'environ **243 jours** avant de détecter une brèche de sécurité Environ **43 jours** en France pour résoudre une cyberattaque **67%** des cyberattaques sont détectées par des acteurs externes Aujourd'hui, il est possible de s'offrir les services d'un hacker comme n'importe quel autre service IT (*"Rent a hacker"*) :::info En 2015, le taux de destinataires ouvrant un mail piégé de type phishing est de **23%**. En 2015, on estime le nombre de malwares circulant sur le net à **170 millions**. Le nombre d'incidents de sécurité liés à une erreur humaine est estimé à **30%**. *Source: Verizon* ::: Types d'attaques: - Spam - Social Engineering - Fraude au président - DDoS - Record: Mars 2018, 1,7 Tb/s - Phishing - Malware - Virus: se reproduit sur la machine infectée - Ver: se propage sur le réseau - Trojan - Backdoor - Rootkit - Cryptolocker **=> Faire des sauvegardes** Moyens de lutte: - Antivirus fonctionnel et à jour - Installer les mises à jour de sécurité - Maîtrise et filtrage des points de connexion à interne - La sauvegarde - La sensibilisation **Dridex:** malware utilisant une macro Word qui télécharge un exécutable (`botnet 120`) qui à son tour téléchargait le vrai malware (Dridex). Ce malware surveillait les actions de l'utilisateur, notamment les navigations sur les sites bancaires ou les réseaux sociaux. Si il détectait une connexion à ces derniers, il envoyait alors les identifiants sur un serveur malveillant. **Wannacry:** 300 000 victimes, 15 pays touchés **Stuxnet:** Attaque du programme nucléaire iranien, perte de contrôle de la puissance virale Déroulement d'une attaque: - Préparation - Social Engineering - Malware type 1: Récupérer des informations via des mails "génériques" - Attaque - Malware type 2: Rançonner via un mail ciblé - Cryptolocker Trois familles de mesures: - Maintien en condition de sécurité (mises à jour) - Protection / limitation d'impact - Antimalware, antivirus - Sensibilisation - Cloisonnement - Filtrage - Capacité à rétablir le service - Secours - Sauvegardes