Antoine Gailly, Président de la CCI de Paris

Après les traditionnels messages de bienvenue du Président de la CCI de Paris, Pierre-Antoine Gailly, et d’Henri Cukiermann, Président de la CCFI, qui ont rappelé l’importance des relations économiques franco-israéliennes, les débats ont été lancés et animés par Dominique Bourra, CEO de la société NanoJV .

Henri Cukiermann, Président de la CCFI

Les PME au cœur des cyber-attaques

La première table ronde avait pour thème cyber-attaques ciblées et guerre économique, l’équipement des PME dans la ligne de mire. Elle réunissait Pascal Lointier, Président du CLUSIF, Christian Harbulot, Directeur de l’Ecole de Guerre Economique et Itzik Kotler, CTO de Security Art. Pour Pascal Lointier, les équipements industriels de production sont aujourd’hui la cible des pirates informatiques, car ils sont accessibles par les réseaux. Par contre, les entreprises sont mal préparées à ces attaques. Il faudra plusieurs années aux Grands Comptes pour réduire ces risques. Il a cité le M2M qui est particulièrement vulnérable car la sécurité n’a pas été prévue. Cette technologie est embarquée dans de nombreux outils comme les imprimantes… Si dans les Grands Comptes le risque est mal pris en compte, c’est pire dans les PME…

Pascal Lointier, Christian Harbulot et Itzik Kotler

Pour Christian Harbulot, directeur de l’Ecole de Guerre Economique (EGE), créée il y a 10 ans, la cyber-guerre c’est à la fois des attaques sur des réseaux mais aussi la guerre de l’information. Cette dernière n’est pas nouvelle, déjà durant la guerre du Vietnam les Etats-Unis avaient certes gagné la guerre au niveau militaire, mais avaient perdu celle de l’information. Effectivement, reprend Pascal Lointier, l’informatique offensive a été utilisé lors de la guerre du Kosovo pour cartographier l’impact des cibles stratégiques détruits comme les réseaux de communication. Par contre, il a précisé qu’il ne faut pas confondre la cyber-guerre et les cyber-attaques. Pour nos intervenants, viser les PME c’est aussi agir pour déstabiliser les Etats.
Itzik Kotler, CTO de Security Art, société de conseils israélienne spécialisée entre autres dans l’audit de vulnérabilités, a montré que les attaquants pouvaient utiliser des bombes logiques, des attaques en DDOS permanents, mais aussi du social engineering qui reste une arme très dangereuse. Bien sûr, reprend Pascal Lointier, on peut avoir tous les outils de sécurité, l’agression psychologique est la plus difficile à parer : « bien souvent en étant poli on peut obtenir ce que l’on veut ». Ainsi, les actions de sensibilisation doivent être répétées afin que les utilisateurs adoptent un comportement sécuritaire sans tomber dans la paranoïa. Pour Christian Harbulot au-delà des failles humaines, il y a celle de la connaissance et de l’information. Itzik Kotler a présenté des outils permettant de produire des attaques ciblées quasiment imparables. Ainsi, il est possible d’attaquer les CPU, de faire de l’overvolting, du Power cycling… Pour lui, aucun outil de sécurité ne protège à 100%, il s’agit donc pour un attaquant de trouver une seule faille pour s’y engouffrer. Souvent il ne s’agit pas d’utiliser des outils mais uniquement du social engineering en passant par les réseaux sociaux. Toutes ces attaques peuvent aussi être associées à des bombes logiques ou des DDOS. Christian Harbulot a déploré une absence de vision globale qui prendrait en compte la guerre de l’information. Pascal Lointier estime qu’il manque dans les entreprises une cartographie des enjeux de l’entreprise et une sécurisation des principales parties du SI à sécuriser en priorité. Dans ce contexte, les PME doivent bénéficier d’un accompagnement pour déployer des outils et faire une analyse de risque.

Puis plusieurs dirigeants d’entreprises israéliennes partenaires de l’événement ont présenté leur solution :
Access Layers : contrôle d’accès
Covertix protection des données sensibles
GreenSQL est un firewall de base de données en Open Source
LynuxWorks, séiociété américaine d’analyse de malware
LynxSecure securité des solutions de virtualisation
Radware load balancing entre autre
Skybox système automatique de gestion des risque et de compliance
TeQual Sété de service en Outsourcing compagnie née d’une joint venture israélo-palestinienne
Whitebox Security : IAM

Roy Zisapel, CEO de Radware

Wikileaks : quand les attaquants se servent des réseaux sociaux

Roy Zisapel, CEO de Radware, a fait une analyse des attaques qui ont eu lieu pour défendre Wikileaks. En préambule, il a montré que les attaques en DDOS se multiplient depuis 2009. De nouvelles techniques ont été mises en œuvre par les pirates informatiques comme le Slowloris qui permet de réaliser un DDOS lentement. Cette technique permet de contourner les outils de sécurité car les requêtes semblent normales. Dans l’affaire de Wikileaks, il faut noter que les attaquants sont passés par les réseaux sociaux pour diffuser leur malware destiner aux opérateurs bancaires VISA, MASTERCARD, PAYPAL… Pour cette attaque, les supporters de Wikileaks n’avaient qu’un outil à télécharger et saisir une l’URL de la société ciblée pour réaliser l’attaque.

Dominique Bourra, Yves Tenenbaum, Nicolas Ruff et Ofer Maor

Les applications Web dans la tourmente

Pour nos trois intervenants, Ofer Maor, Président de l’OWASP Israël, Nicolas Ruff, Expert en Sécurité EADS et Yves Tenenbaum, Directeur Commercial France de Seculert, les applications web sont particulièrement vulnérables. Ofer Maor citant les statistiques de l’OWASP montre que 97% des applications Web sont vulnérables et plus de 90% des attaques se concentrent sur ces applications. Dans le Top des attaques on trouve comme à l’habitude les injections SQL, les attaques XSS, les mots de passes faibles… Pour lui, il est nécessaire de faire du test de pénétration, se protéger avec des WAF, mais surtout d’utiliser des méthodes de développement sécurisé comme le SDLC. Ce dernier point pourrait être le « Saint Graal ». Toutefois, il faut tout d’abord former les développeurs, avoir des outils de test fiables…Mais c’est aussi un problème de coût de développement, car il faut faire à la fois du test automatique et manuel. Pour y arriver, il faut aussi le soutien des managers et qu’ils allouent des budgets sécurité et R&D. Yves Tenenbaum a présenté rapidement l’offre de Seculert un système d’alerte pour trouver les machines infectées. Il considère que l’on sous-estime régulièrement les risques liés à la navigation Web, d’autant que les antimalwares n’arrêtent en moyenne que 40% des malwares, de même les outils qui se basent sur la réputation web….
Nicolas Ruff a déploré qu’il n’y ait pas de procédure formelle de développement des applications Web. Pour lui, le W3C et l’HTML5 sont de véritables catastrophes en termes de sécurité. Il a rappelé que le SSL a été développé par un stagiaire et est régulièrement piraté. Les entreprises font trop souvent appel pour le développement des applications à des entreprises Offshore qui utilisent des processus et des outils industriels sans aucune notion de sécurité. Ainsi, on arrive souvent à des problèmes qui au final peuvent coûter aux entreprises. Ainsi, citant l’exemple de la récente affaire des pertes de données des bases de données par RSA, ces Tokens sont devenus peu sûrs.

Pour lui, la plupart des outils de sécurité ne protègent pas à la hauteur des « discours des vendeurs ». Enfin, il a conclu son intervention en s’étonnant qu’à ce jour il n’y ait pas encore de « Class Action » contre les vendeurs de solutions de sécurité !

Yossi Gal

La journée a été conclu par son Excellence Yossi Gal, Ambassadeur d’Israël en France, qui a lui aussi rappelé l’importance des relations et des échanges franco-israéliens, en particulier en matière de nouvelles technologies.