Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Verizon Business : Forensic, en cas de problème, conservez les preuves

juin 2008 par Marc Jacob

Verizon Business vient de publier son rapport intitulé « 2008 data breach investigations report », le résultat de 4 années (2004 – 2007) d’investigation forensic portant sur 500 cas et plus de 230 millions de données compromises. A cette occasion, A. Bryan Sartin, membre de la « Risk Team » de Verizon Business et un de ses auteurs, fait le tour du monde pour présenter les résultats. Ainsi, la filiale française a organisé une conférence animée par Christophe Bianco, Directeur des Ventes Europe Continentale, Solution de Sécurité Verizon Business, Maître Olivier Iteanu et Matthijs Van Der Wel, Managing Principle Forensics EMEA de Verizon Business. Durant ce débat riche en contenu, l’un des principaux conseils à retenir, est qu’en cas de problème, il ne faut surtout pas toucher au PC afin de conserver des preuves recevables par un juge.

Christophe Bianco

Après le mot de bienvenue de Christophe Bianco qui en a profité pour remercier la quarantaine de RSSI présents à ce débat, maître Olivier Iteanu a fait un état de la législation française et européenne en matière de NTIC. En préambule, il a rappelé que si dans le passé les cyber-criminels étaient des experts informatiques de haut niveau, il n’en est plus de même aujourd’hui. Aujourd’hui, un simple usager un peu averti peut devenir un cyber-criminel. Ainsi, on trouve de plus en plus de pirates informatiques de l’amateur éclairé à l’organisation criminelle. Ce business est devenu très rentable et suscite donc les « vocations » d’autant que les frontières et les législations limitent les possibilités d’investigations criminelles et les pouvoirs des polices.

Maître Olivier Iteanu

Il a rappelé les grands tendances juridiques qui dessinent le paysage légal tant en France qu’en Europe :

Toute preuve est admissible. Un juge ne peut donc refuser une preuve du fait de son support sous réserve, bien entendu, de l’avoir collectée de façon légale. C’est le principe de non discrimination de la preuve ;

Les opérateurs télécoms, mais aussi toutes entreprises ou particuliers faisant fonction de fournisseurs d’accès Internet, ont une obligation de conserver les traces de connexion sous peine d’un an de prison et de 75.000 € d’amende. A ce propos, il a rappelé l’affaire BNP condamné pour n’avoir pu fournir des informations sur un collaborateur.

Matthijs Van Der Wel

Matthijs Van Der Wel, Managing Principle Forensics EMEA de Verizon Business a donné des conseils en matière d’enquêtes forensic. Avec ses équipes, il traite des dossiers de toute nature qui vont de fraude financière avec des dossiers pouvant aller jusqu’à des millions d’euros à des enquêtes sur des photos pédophiles. Un simple mail peut contenir des traces importantes dans une enquête forensic. Lors d’une enquête suite à un « braquage informatique » de banque, les pirates utilisent souvent plusieurs pays pour effectuer leurs transactions et ainsi brouiller les pistes. Si pour ses équipes, il a affirmé pouvoir retrouver les traces et suivre la piste, il est, par contre, souvent difficile aux policiers d’arrêter les pirates du fait du manque de coordinations et surtout des législations. Mais ce type d’attaques n’est pas encore monnaie courante. Par contre, les fuites d’informations venant de l’interne ou de sous traitants commencent à se multiplier. Pour les responsables sécurité qui constatent des incidents ou des transactions inhabituelles sur leur SI, il a donné quelques conseils.

Il a rappelé que dans une scène de crime physique, l’usage est de ne toucher à rien. Dans le domaine de l’IT, dès qu’un problème est repéré, il y a toujours quelqu’un qui veut résoudre le problème ou simplement comprendre ce qui se passe. Ainsi, les traces sont très souvent effacées ou non recevables car modifiées. Ainsi, il a conseillé au responsable de l’IT de ne toucher à rien.
Par ailleurs, durant ses enquêtes, il est aussi difficile de savoir « qui a fait quoi, pour quelles raisons, à quel moment et de quel endroit ». Il est donc important de mettre en place un système de traçabilité et d’impliquer l’IT pour obtenir rapidement des éléments de preuves en partant des traces laissées sur les différents outils de sécurité comme les firewalls par exemple. Il a insisté sur l’importance de préparer les équipes à fournir des preuves exploitables par un avocat et/ou un juge donc par un néophyte en informatique.
Enfin, il semble que de nombreux incidents se passent les week-ends et les jours fériés, et sont provoqués de façon involontaire par des collaborateurs. Il est donc important de mettre en place des procédures pour connaître les actions à mener en cas de problèmes.
Bien entendu, suite à un incident avéré, il est important de tirer des conclusions afin d’éviter qu’il ne se reproduise.

A. Bryan Sartin

Cette conférence s’est poursuivie par la présentation, par A. Bryan Sartin, membre de la « Risk Team » de Verizon Business, des conclusions du rapport « 2008 data breach investigations report ». Cette étude a recensé des informations sur 4 années (2004 – 2007) d’investigation forensic portant sur 500 cas et plus de 230 millions de données compromises.

Pour introduire sa présentation, il a souligné que le cyber-crime ne pouvait exister s’il n’y avait pas de gains. Le « marché du piratage » est constitué de plus en plus d’individus et d’organisations qui sévissent depuis toutes les régions du monde. Entre 2005 et 2007, le nombre de cas avérés a été multiplié quasiment par deux. Si les fraudes externes sont encore majoritaires, les fuites d’informations et les malveillances venues de l’interne sont en constante augmentation. Enfin, les sous-traitants et partenaires sont à l’origine de problèmes de plus en plus nombreux.

Concernant la fraude interne, le rapport montre que près de 50% des problèmes proviennent des départements IT et des administrateurs. Les autres employés seraient à l’origine de 41% des problèmes, les 9% restants se répartissent entre les dirigeants, des agents extérieurs…

Pour ce qui est de la fraude en provenance des sous-traitants et partenaires, 73% des problèmes viendraient des prestataires informatiques, le reste étant du aux autres catégories de fournisseurs présents sur les sites.

Le rapport fait la démonstration que l’erreur humaine par omission constitue 79% des problèmes dus à des erreurs de manipulation, les erreurs techniques n’en représentant que 1%. En ce qui concerne le piratage, les applications sont particulièrement ciblées avec 39% des attaques, l’exploitation de vulnérabilités connues ne représente que 18%. Par contre, il semble que le défaut d’application de patch de sécurité de faille ayant plus d’un an reste important puisqu’il constitue 71% des attaques abouties.

Pour conclure son intervention, A. Bryan Sartin a donné quelques conseils pour améliorer la sécurité des SI mais aussi pouvoir agir de façon pro-active. Il a rappelé l’importance d’aligner les processus sur la politique de sécurité, de sécuriser les connexions des partenaires et sous-traitants. Il a recommandé de créer un plan de protection des données et bien sûr de sécuriser les transactions sur celles-ci. Il a souligné l’importance de déployer un système de gestion de logs. Il a aussi conseillé de monter un plan de réponse en cas d’incident et de le tester en montant des scenarii avec des collaborateurs. Enfin, il a insisté sur l’importance de la sensibilisation des employés de l’entreprise.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants