Sébastien Léonnet SGC/DGA-CIS/Unité Sécurité des SIC-Sensibles

Sébastien Léonnet SGC/DGA-CIS/Unité Sécurité des SIC-Sensibles LA CAPACITE EN DEFENSE DES RESEAUX DU CONSEIL DE L’UE

Plan • Introduction • Historique • De la théorie à la pratique

Introduction • Le Conseil de l’UE • Le contexte • L’organisation « Information Assurance » en place • Présentation de l’Unité « Sécurité des SIC-Sensibles » • +/- 35 systèmes classifiés, 20 types de boîtiers de chiffrement UE, des réseaux connectant une centaine de sites, des systèmes présents en Afghanistan, Irak, Géorgie, Afrique, ex-Yougoslavie, +/- 170 documents de sécurité « system specific » à maintenir, … • La problématique des systèmes « non classifiés » mais sensibles et connectés à l’Internet.

Historique Depuis 2008 • « Défacement » du site de presse de J. Solana • Nombreux audits du réseau et découverte de comportements suspects. • Attaques en déni de service (accords ACTA). • Actuellement: 20 à 30 tentatives d’attaques par mois, plusieurs centaines autour des sommets. Décisions fin 2008, deux choix: déconnecter Internet (et tuer le réseau…) ou créer une capacité en défense des réseaux.

De la théorie à la pratique La théorie, c'est d'abord des questions fondamentales: • C'est quoi une capacité en défense des réseaux ? c'est quoi une cyber défense ? C'est quoi une défense en profondeur ? • Combien ça coûte ??? • Combien en terme de ressources humaines ??? • Ca s'achète où ???

De la théorie à la pratique Une fois que l'on a compris la problématique NDC, l’autre théorie c'est qu'il faut que ça marche tout de suite (surtout sur le papier). Et dans la pratique, on fait n'importe quoi: • Recrutement de personnels non qualifiés (déterminant s’il s’agit du chef de projet). • Solutions inadaptées faute d'expérience. • Solutions sous-utilisées faute de moyens. • Solutions inefficaces si des contre mesures structurelles ne sont pas mises en place (gestion mots de passe, comptes d'administration, topologie réseau, etc.).

De la théorie à la pratique Les bonnes pratiques • Trouver le bon chef de projet. • Fixer des enjeux politiques orientés gestion du risque. • En déduire une stratégie adaptée à l'organisation dans un contexte où: • Il faut un budget conséquent. • Une gestion "temps réel" est illusoire (temps de retard par rapport à l'attaquant). • Quelle que soit la solution en place, il faut s'attendre au pire (Root-kit, 0-days, APT, etc.) et il faut y préparer la hiérarchie.

De la théorie à la pratique • En déduire une stratégie adaptée à l'organisation dans un contexte où: • Les "briques" d'une NDC ne correspondent à aucun standard, sont extraordinairement complexes et onéreuses. • Les "vrais" experts dans le domaine sont rares et chers. • La mise en place des outils prend du temps (1 an pour un SIEM) et demande le concours des différentes unités techniques (sécurité, réseaux, administrateurs). • L'exploitation des outils est extrêmement coûteuse en ressources (mais stratégie gagnante sur le long terme). • Les formations/certifications (SANS) sont coûteuses. • La mise en place des outils a un impact au plan opérationnel.

De la théorie à la pratique La stratégie doit intégrer: • Une stratégie d'emploi (ne pas raisonner par système mais par niveau de classification/sensibilité des données). • Une stratégie de révision des topologies réseau existantes. • Un plan budgétaire pluriannuel (y inclus un budget de consultance). • Un plan de recrutement ou de redistribution des ressources.

De la théorie à la pratique La stratégie doit intégrer: • La mise en place de comités (SCB, CMB). • Un plan de formation et de partage d'expérience. • Un plan de sensibilisation (utilisateurs, administrateurs, VIP). • Des réseaux d’information (d’ordre INTEL principalement). • Dans notre cas, des réseaux de diffusion de l’information/alerte.

Sébastien Léonnet SGC/DGA-CIS/Unité Sécurité des SIC-Sensibles LA CAPACITE EN DEFENSE DES RESEAUX DU CONSEIL DE L’UE

Sébastien Léonnet SGC/DGA-CIS/Unité Sécurité des SIC-Sensibles