Cette année encore, XMCO était présent au Forum International de la Cybercriminalité. Ce dernier avait lieu les 25 et 26 janvier 2016 au Grand Palais de Lille.
Un rendez-vous important pour les décideurs, RSSI et DSI, mais aussi pour les étudiants avec de nombreuses offres de stage et d’emploi proposés par les partenaires. Il s’agissait également d’une date importante pour les amateurs de challenge CTF, puisque deux challenges étaient proposés le 25 janvier.
Le FIC est également un évènement important pour les vendeurs qui ont la possibilité de rencontrer de nombreux clients (la réciproque est évidemment valable). D’autre part, les décideurs et experts ont eux accès à de nombreuses conférences de haut niveau alternant retour d’expérience, débats sécuritaires ou encore réglementaires.
La version 2016 du FIC a accueilli les discours de personnages politiques (Xavier Bertrand, Bernard Cazeneuve, Günter Oettinger, Frédéric Lefebvre) et d’autres personnalités telles que Stéphane Richard, PDG d’Orange, ou encore le chercheur Christopher Soghoian.
Différents types d’ateliers et conférences étaient accessibles, certaines plus techniques que d’autres, permettant aux différentes populations visitant le FIC d’apprécier leur participation.
Voici une synthèse de certains ateliers auquel XMCO a pu participer :
De Frutas à JSocket : analyse d’une famille de RAT, par François Paget
Le chercheur en sécurité François Paget a analysé une famille de RAT (Remote Administration Tool) Java sur plusieurs années.
Fin 2014, le chercheur reçoit plusieurs fichiers en provenance de l’OCLCTIC (Office Central de Lutte Contre la Criminalité Liée aux Technologies de l’Information et de la Communication). Ces fichiers dont l’extension est « uYg » sont en réalité des fichiers JAVA appartenant à un outil de prise en main à distance de type Unrecom (Universal Remote Control Multi-Platform).
En réalisant une analyse approfondie de ce malware, le chercheur a pu en récupérer le code source. Il a ensuite pu observer l’évolution de celui-ci ainsi que sa commercialisation sur Internet.
Ainsi, il a pu observer l’ajout de plug-ins, l’amélioration des méthodes de chiffrement de communication, ou encore le support d’autres systèmes d’exploitation tel que Linux, Mac OS X ou encore Android sur une période s’étalant sur plusieurs années.
Cybersécurité et oiv : quelles obligations ?
Un tour de table était organisé avec différents acteurs du monde de la cybersécurité afin d’échanger autour des réglementations actuelles et à venir pour la sécurisation des OIV.
Les principales obligations pour les OIV sont les suivantes :
- rapporter les différents systèmes critiques à l’ANSSI ;
- déclarer les incidents de sécurité à l’ANSSI ;
- faire des contrôles de sécurité par des prestataires qualifiés par l’ANSSI.
Pour protéger les OIV, et plus particulièrement leurs systèmes critiques, l’ANSSI recommande de définir des périmètres cloisonnés du reste du SI, et d’appliquer des règles d’hygiène sur ces systèmes.
Des homologations de ces systèmes devraient avoir lieu, même si aucune information n’est pour l’heure disponible. Toutefois, on sait que cette homologation pourrait ressembler au PCI-DSS, une certification pour les systèmes stockant, transmettant ou manipulant des cartes bancaires.
La perception des enjeux de la cybersécurité par les dirigeants d’entreprises
Orange Business Services a réalisé une enquête auprès de 222 dirigeants d’entreprise afin de comprendre comment ces derniers abordaient les enjeux, l’importance et les problématiques liés à la cybersécurité.
Afin de préserver un niveau d’impartialité maximal, cette étude a été réalisée par une entreprise tiers : OpinionWay.
Sans grande surprise, les résultats démontrent que la perception des dirigeants est bien différente de celle des équipes opérationnelles. En outre, la moitié d’entre eux voient cette thématique comme des problématiques IT. C’est ainsi que, alors qu’un incident de cybersécurité peut avoir un impact sur tous les domaines d’une entreprise (relation client, continuité opérationnelle, impact sur l’image de l’entreprise), la gestion de ces problématiques est entièrement déléguée à la DSI sans forcément qu’un budget ne soit spécifiquement alloué à la gestion de ces dites problématiques.
Parmi les autres chiffres mis en évidence par cette étude, on y apprend que :
- 64% des dirigeants déclarent avoir subi une défaillance liée au domaine de la cybersécurité. En outre, la moitié de ces défaillances étaient issues d’une cyberattaque externe.
- Le principal frein à la mise en place d’une politique et des mesures de cybersécurité est le coût que cela représente, d’autant plus qu’il est difficile de mesurer le retour sur investissement.
Mise en place d’un SOC
Cet autre atelier évoquait la mise en place, dans de bonnes conditions, d’un Security Operation Center.
Il était présenté par des prestataires d’Orange, de Sopra, ainsi que des clients finaux, RSSI et membres du CLUSIF.
Ce débat révélait tout d’abord l’inexistence de définition unanime d’un SOC, ou encore de l’effet de mode de ce type de service, probablement dû aux grands coups marketing des vendeurs sur les dirigeants.
Le CLUSIF expliquait avoir longtemps débattu sur la définition et les rôles d’un SOC, chacun ayant une vision différente. Selon eux, un SOC serait donc un service de gestion des évènements de sécurité utile à des fins de prévention, de détection ou encore de réaction.
Une fois mis en place, la difficulté réside dans les éléments de recherche. L’exemple suivant était ainsi donné : « chercher une aiguille dans une meule d’aiguille ».
Selon les intervenants, les éléments suivants sont alors prépondérants à la mise en place d’un SOC :
- définir ce qui est sous-entendu par le terme SOC et les rôles attendus ;
- réfléchir au besoin d’un tel service, en général, ce besoin passe par :
- une nécessité de conformité par rapport à un niveau de sécurité attendu ;
- un besoin de répondre au règlement européen sur les données personnelles, notamment sur la déclaration des incidents de sécurité.
- savoir quels évènements il sera nécessaire de rechercher au sein des données. Pour cela, il est important de définir l’analyse du risque associé à chaque SI pour alimenter les spécialistes SOC pour permettre de détecter déni de service, vols d’information, etc.
- débuter par un périmètre très restreint, puis déployer par couche.
- impliquer les équipes métiers, et production dès le début du projet afin de montrer l’apport concret du service et ne pas se retrouver dans une situation politique gênante.
Cette édition du Forum International de la Cybercriminalité a été une nouvelle fois une réussite, en mobilisant un très large panel d’intervenant.
