March 2018 - Cloud Security Knowledge Sharing By Guy-Bertrand Kamga

Month: March 2018

Lutte contre les fraudes à la carte bancaire: les banques ont-elles vraiment tout essayé?

On 18 March 2018

Comme de millions d’usagers de banque (y compris moi-même), vous utilisez sans doute des cartes bancaires pour régler vos achats au quotidien chez les commerçants en direct ou à distance, entre autres parce que c’est simple et pratique.

Selon les chiffres du groupement qui gère les cartes bancaires (CB) en France, en 2016, il y avait environ 66,5 millions de cartes CB en circulation (soit autant que le nombre d’habitants), assurant plus de 12 milliards de transactions pour un chiffre d’affaires de plus de 592 milliards€.

Le cas de fraude à la carte bancaire décrit dans cet article pourrait être le vôtre.

Découvrez comment un ami s’est fait dépouiller environ 200€ pendant deux semaines par un arnaqueur qui effectuait des achats par Internet avec sa CB en douce, sans que sa banque ne bronche.

Récit du cas récent de fraude à la CB par Internet d’un proche

J’ai toujours suivi des histoires de fraude à la carte bancaire (CB) de loin, notamment à la télévision mais cette semaine, j’ai été témoin d’un cas concret.

En effet, jeudi 15 mars dernier, un ami à moi résidant en région parisienne, s’est connecté à son compte bancaire (domicilié dans une grande banque du CAC 40) pour vérifier la situation de son compte.

A sa grande surprise, il constate que le solde de son compte ne correspond pas à ce à quoi il s’attendait.

En analysant de plus près les dernières opérations enregistrées, il se rend compte que les 5 dernières opérations concernent des achats par Internet pour une même entreprise dont les détails ne laissent aucun doute qu’elle se trouve à l’étranger (voir capture d’écran ci-dessous du relevé de compte). Après une petite enquête, le commerçant impliqué existe bien et a son siège social à Tallinn (Estonie).

Cas réel de fraude liée aux paiements par carte bancaire à distance

Mon ami comprend tout de suite que sa carte bancaire a été piratée et comme il est plus de 23 heures, il envoie un e-mail (courriel) à son gestionnaire de compte.

Le lendemain matin à 9h, il appelle son gestionnaire de son compte, qui n’avait pas encore pris connaissance du mail envoyé la veille.

Il explique la situation par téléphone et le gestionnaire se connecte à son compte, constate les opérations et lui dit :

« Si vous ne reconnaissez pas ces achats, vous devez faire opposition à votre carte, télécharger en ligne ou passer à l’agence retirer un kit d’opposition pour contester formellement les achats par écrit, envoyer la contestation à notre service de gestion de litiges, afin de vous faire rembourser ces montants. Attention, avant de faire opposition à votre carte, retirez de l’argent car après l’opposition, il faudra attendre 4 à 5 jours pour que nous vous envoyons une nouvelle carte bancaire ».

Mon ami lui dit que ce n’est pas grave, il peut tenir 4 à 5 jours car il a une autre CB d’un 2^e compte domicilié dans une autre banque (l’expression « il ne faut pas mettre tous ses œufs dans le même panier » prend tout son sens 😊).

Son gestionnaire transfère son appel vers le service d’opposition et c’est ainsi qu’il fait opposition à sa carte par téléphone. Il reçoit dans la foulée un SMS confirmant que son opposition a bien été enregistrée.

Mon analyse de ce cas de fraude

Certes, la FBF (Fédération Bancaire de France) fait beaucoup d’effort pour maintenir le taux de fraude en dessous de 0,1%, notamment avec la mise en place du protocole interbancaire 3D Secure, il n’est pas normal que ce genre d’histoire soit encore possible en 2018.

Ce qui n’est pas normal, ce n’est pas tant que la fraude soit encore possible, mais plus le fait que la banque n’ait pas pu découvrir par elle-même ces opérations frauduleuses, étalées sur deux semaines, concernant un même commerçant situé à l’étranger et jusqu’à 2 opérations certains jours (les 6 et 13 mars).

Ça donne l’impression que même les emails personnels sur le web sont plus protégés que les achats par CB à distance. En effet, dans la plupart des solutions de messagerie grand public (Gmail, Yahoo, Outlook, etc.), dès qu’une connexion se fait à partir d’un terminal non connu, d’un pays inhabituel ou de tout nouveau contexte, vous recevez un email ou SMS tout de suite pour vous informer qu’une connexion inhabituelle s’est déroulée sur votre compte. Certaines solutions comme Office 365 vont encore plus loin avec le concept de contrôle d’accès conditionnel.

Avec toutes ces nouvelles technologies qui existent aujourd’hui, que ça soit le Cloud (capacités élastiques de calcul), la Cybersécurité (accès au service en fonction du contexte de l’utilisateur), le Big data (analyse de grande quantité de données), l’Intelligence Artificielle (détection automatique de situations anormales), ça devient presque la norme d’avoir des robots (machines ou agents intelligents) qui détectent des opérations suspectes ou anormales, et de prendre des décisions adéquates, comme avertir le client par email ou SMS qu’une opération suspecte a été effectuée sur son compte, ou lui demander de bien confirmer qu’il s’agit bien de lui (par exemple en lui envoyant un code temporaire à saisir).

Les clients reçoivent (généralement par SMS) un code d’authentification pour les achats par CB seulement à partir d’un certain montant.

Qui (banque, commerçant ou autre) décide du montant à partir duquel une authentification du client est requise ?

Même si les mesures actuelles de réduction des fraudes liées aux achats par CB à distance peuvent être satisfaisantes pour les banques, commerçants, etc., le risque résiduel (risque restant après la mise en place des contre-mesures des fraudes) reste significatif pour les clients.

Pour bien le comprendre, en cas de fraude, l’impact est significatif pour le client :

Risque de rejet de paiements légitimes: les achats frauduleux réduisent la capacité d’achat du client, tant que les achats frauduleux n’ont pas été découverts (181,40€ en 2 semaines pour le cas ci-dessus)
Perte de temps au client : le client doit surveiller régulièrement son compte, appeler sa banque en cas de fraudes, faire opposition à sa carte, remplir le formulaire de réclamation, l’envoyer au service des litiges et attendre son remboursement.
Interruption de service: le client n’a plus de carte bancaire pendant 4 à 5 jours à partir de l’opposition (et pourtant il continue de payer les même frais)
Risque de perte/vol d’argent : le client doit avoir suffisamment d’espèces avec lui dans l’attente de sa nouvelle carte
Perte/diminution de confiance du client en sa banque : le client a l’impression que la banque donne plus de priorité à sa marge qu’à ses clients (ce qui peut être légitime mais a un impact négatif sur la réputation de la banque)

Mes recommandations pour réduire/limiter davantage ce genre de fraude

Pourquoi ne pas authentifier systématiquement les utilisateurs pour tous les achats par CB à distance, notamment quand l’acte d’achat se passe à l’étranger ou quand le commerçant se trouve à l’étranger ?

Cette mesure aurait empêché toutes les 5 opérations frauduleuses du cas ci-dessus.

Ou alors, si ce n’est pas possible d’authentifier en direct toutes les opérations concernant l’usage des CB à distance, mettre en place des systèmes de détection des opérations suspectes qui avertissent en temps réel ou en léger différé le client, afin qu’il confirme être bien l’auteur de l’opération.

Cette autre mesure aurait détecté la 1^ère des 5 opérations frauduleuses du cas ci-dessus et les 4 suivantes auraient pu être évitées.

Est-ce que ces mesures de sécurité coûtent aussi chères qu’auparavant ?

Si nous prenons par exemple le taux de fraude lié aux paiements CB à distance (100 millions € en 2010), ça représente 1 milliards€ sur dix ans.

Est-ce qu’il n’est pas préférable d’investir cette somme colossale pour empêcher ces fraudes liées aux paiements à distance, au lieu de laisser les arnaqueurs se servir dans les comptes des clients ?

Chers clients des banques, en attendant que ces mesures soient implémentées, il faut continuer à appliquer quelques bonnes pratiques :

Ne saisissez votre numéro de carte ainsi que le cryptogramme que sur des sites que vous connaissez et qui sont sécurisés (connexion en https et non http, avec le symbole d’un cadenas vert à gauche de “https” dans la barre d’adresse du navigateur; ce qui signifie que la connexion est sécurisée)
Faites attention aux messages reçus par e-mail, contenant des liens semblables à vos principaux sites de confiance (ex. Banque, Impôts, Edf, Caf, Sécurité sociale, etc.) et qui vous demandent vos informations confidentielles. Prendre soin de bien vérifier la cible de ces liens (en passant la souris dessus sans cliquer)
Éviter tant que possible, de communiquer votre numéro de carte et le cryptogramme par téléphone
Ne perdez pas des yeux votre carte bancaire quand vous la remettez à un commerçant pour effectuer un paiement (c’est souvent pendant ces moments que certains commerçants véreux profitent pour récupérer le cryptogramme de votre CB : les 3 derniers chiffres de votre CB ou les 4 chiffres à l’avant de la carte Amex)
Ayez le réflexe d’identifier et de blacklister les commerçants véreux. La plupart des commerçants sont de bonne foi ; ils vous donnent le terminal de paiement afin que vous y mettiez par vous-même votre CB ou bien ils le font généralement sous vos yeux. Cependant, chez d’autres, vous devez systématiquement leur remettre votre CB et c’est là qu’il faut être très vigilant. Certains vont faire semblant de chercher quelque chose derrière leur comptoir et profiter pour mémoriser votre cryptogramme. Si ça vous arrive une fois, évitez si vous pouvez ce commerçant ou alors utilisez un autre moyen de paiement comme les espèces.
Ne laissez pas votre portefeuille contenant votre CB à la portée des personnes auxquelles vous n’avez pas confiance. Il est plus facile, voir plus rentable à un malintentionné de relever discrètement votre numéro de carte et son cryptogramme que de voler votre CB (car vous allez le constater et faire opposition très vite)
Surveillez régulièrement les opérations effectuées sur votre compte (ça tombe bien, on peut les consulter en ligne même à partir des smartphones). Il faut noter que certaines banques sont plus vigilantes que d’autres. Je me souviens en 2012, je m’étais rendu dans un pays étranger pour la 1^ère fois et j’avais effectué un retrait de 150€ dans un DAB (Distributeur Automatique de Billets). Trois jours plus tard, mon conseiller clientèle m’avait appelé pour me demander si c’est bien moi qui avais effectué un retrait à l’étranger et cela m’avait beaucoup rassuré et augmenté par la même occasion mon degré de satisfaction pour cette banque.

Si avec toutes ces recommandations, vous êtes quand même victime, les délais de contestation d’après la directive européenne (DSP Directive sur les Services de Paiement), transposée en droit français sont les suivants:

13 mois pour les paiements effectués dans l’Espace Économique Européen (EEE)
70 jours pour les paiements hors EEE

Si vous avez lu cet article jusqu’à la fin, je vous en remercie car je reconnais qu’il est long. J’ai partagé ce cas de fraude subi par cet ami dans le seul but qu’ensemble, nous contribuons à réduire, voire empêcher ces fraudes.

Si vous avez aimé cet article, n’hésitez pas à le partager via votre LinkedIn, Facebook, WhatsApp, Telegram, Google+, etc. car il peut être utile aussi à vos proches et amis.

7 steps to become a CCSP (Certified Cloud Security Professional)

By Guy-Bertrand Kamga

On 12 March 2018

In Awareness, Training and Certification

If you are in one of the following situations:

looking for a new IT Security Certification
looking for a way to challenge your Cloud Security knowledge and expertise
looking for a vendor-neutral Cloud Security Certification
planning to pass the CCSP but don’t know what effort it requires

Learn in this article how to get the CCSP certification, one of the highest cloud security certification recognized in the industry.

1) Start by learning some facts about the CCSP

Introduced in 2015 by 2 leading non-profit organizations focused on cloud and information security (ISC2 & CSA)
Ranked #1 on The Next Big Thing list as the certification to earn in 2017 & 2016 (Certification Magazine)
Named one of the Top 5 Vendor-Neutral Cloud Security Certifications of 2017 ( Tripwire)
Named one of 8 Valuable Security Certifications for 2017 (Dark Reading)
Named #1 of the Top 5 IT Security Certifications to Target in 2016 (Firebrand Training)
ANSI-accredited (compliant with ISO/IEC 17024 Standards)
Opportunity to be part of a network of 125.000+ cybersecurity professionals (ISC2 members)

The below table lists the number of CCSP vs CISSP in OECD countries as of Jan 1, 2018.

Number of CCSP vs CISSP in OECD Countries as of Jan 1, 2018

The number of CCSP for all countries can be found in this (ISC)2 website.

2) Check the CCSP‘s pre-requisites or requirements

CCSP requires 5 years of cumulative, paid and full-time work experience in IT, including 3 years in information security and 1 year in one or more of 6 domains of CCSP Common Body of Knowledge (CBK).

CCSP Common Body of Knowledge (CBK)

Important: earning the CSA’s CCSK (Certificate of Cloud Security Knowledge) can be substituted for one year of experience in one or more of the six domains of the CCSP CBK. Earning the (ISC)2 CISSP (Certified Information Systems Security Professional) can be substituted to the whole CCSP’s experience requirements.

3) Review the potential CCSP’s benefits

Instant credibility and differentiation (earn trust from your clients or senior leadership)
Unique recognition (highest standard for cloud security expertise)
Staying ahead (keep you current on evolving technologies, new threats and new mitigation strategies)
Versatility (vendor-neutral, valuable across a variety of different cloud platforms)
Career advancement (e.g. moving from internal subject matter expert to more strategic roles)

4) Check if the CCSP is appropriate for you

Ideal candidates for CCSP are generally people working (or planning to work) with cloud technologies as:

Systems Engineer
Systems Architect
Enterprise Architecture
Security Engineer
Security Analyst
Security Architecture
Security Consultant
Security Administrator
Security Manager

5) Select the right training format

Several training formats are available to prepare for CCSP. Depending on your level of cloud security knowledge and funding capabilities, one of the following formats can be selected:

In-person training seminars (classroom based training or private on-site training), 5 full days (40 hours)
Online training seminars (instructor-led or self-paced training), 2 to 3 months (2 to 5 hours per week)
Self-study using the (ISC)2 CCSP official study guide book available on Amazon’s e-commerce site and covering 100% of CCSP exam objectives.

The self-paced online training or self-study requires less budget and gives more flexibility to CCSP candidates, but they are appropriate for candidates already having enough experience on the 6 domains of CCSP CBK.

A training seminar with an instructor would be appropriate for those having less experience on the 6 domains of CCSP CBK.

Whatever the selected training format, several additional study tools are available for free on the (ISC)2 website.

6) Schedule for the exam

When you are ready, you must schedule your exam in a Pearson Vue testing center.

CCSP exam has the same structure as CISSP exam but with less number of questions and duration:

Duration: 4 hours
Number of questions: 125
Question format: Multiple choice
Passing grade: 700 out of 1000 points
Available language: English

7) Maintain the CCSP

To maintain the CCSP certification, you need to:

Abide by the (ISC)² Code of Ethics
Earn and post 30 Continuing Professional Education (CPE) credits per year
Pay your Annual Maintenance Fee (AMF), USD$100 per year

Additional information to prepare for the CCSP can be found on the (ISC)2 website.

Agile & Effective Cloud Security Strategy: A Cloud Usage Profile based approach

By Guy-Bertrand Kamga

On 11 March 2018

In Governance, Risk and Compliance

Your organization (as many other organizations around the world) are certainly looking for transforming your business by leveraging cloud services.

You (as a CEO, CIO, CISO, Security Manager, Solutions/Services Owner, Cloud Subject Matter Expert, etc.) are probably faced the following challenges:

Do we have a clear Cloud Strategy for our organization?
Do we know the real Cloud Usage within our organization?
How different is our real Cloud Usage compared to our target Cloud Usage?
Does our Cloud Usage compliant with the industry standards & best practices?
Does our Cloud Usage compliant with the relevant laws & regulations?
Does our Cloud Usage put our organization at risk?

Learn in this article, how you can define & maintain an Agile & Effective Strategy to address the above challenges.

Diverse and increasing usage of Cloud Services

Thanks to the promised benefits of cloud computing (e.g. flexibility, pay as you go model, reduced time to market, less capital costs, improved business continuity & disaster recovery, collaboration, etc.), organizations are currently using various types of cloud services (e.g. for content/file sharing, application development, hosting, business intelligence, etc.).

According to the last cloud usage trends published in the Skyhigh’s Cloud Adoption & Risk Report, the number of total cloud services can exceed 1400 for the average organization, which represents an increase of roughly 24% in 1 year.

Then, developing and maintaining an agile & effective Cloud Security Strategy to address the security risks inherent to these diverse cloud usages become more and more challenging.

Key components of a Cloud Security Strategy

A Cloud Security Strategy within an organization (acting as Cloud Customer) consists of a set of policies, processes, people and technologies required for ensuring the proper processing/storage of the organization’s information with cloud services, in accordance with the organization’s risk appetite (generally stated in the corporate security policies).

Key components of a Cloud Security Strategy

The definition of an effective Cloud Security Strategy within an organization requires a better understanding of all the elements which can significantly impact the cloud security posture of that organization.

Such elements can be identified by analyzing what I called the “Cloud Usage Profile” of the organization.

Core dimensions of an organization’s Cloud Usage Profile

Core dimensions of a Cloud Usage Profile

The 10 dimensions depicted in the above figure (data classification, user profile or pattern, device profile or pattern, user network connectivity, service model, hosting model, tenancy model, operation model, use cases and relevant compliances) should drive the definition of the corporate cloud security policies & baselines, the selection of cloud solutions, the selection of security controls for cloud services, the implementation of cloud solutions and all the rest of Cloud Security Strategy related activities within an organization, whatever its size, from small to large organizations.

The Cloud Usage Profile of an organization itself, should be governed by the organization’s overall strategy, the business requirements, the industry’s standards & trends and the laws & regulations.

The Cloud Usage Profile should be captured & regularly maintained by a multi-disciplinary team (e.g. Cloud Governance Steering Team, Cloud Competence Center, etc.) including the main impacted stakeholders (e.g. Business, IT, Cyber/Information Security, Legal & Compliance, Procurement, etc.) of the organization.

Not a unique Cloud Usage Profile within an organization

Obviously, there are two types of Cloud Usage Profile within an organization: the target and the real Cloud Usage Profiles.

The target Cloud Usage Profile is the one that the organization would like to have while the real Cloud Usage Profile is the one reflecting the exact cloud usages and practices within the organization, including the Shadow IT practices.

Ideally, the real Cloud Usage Profile should be as close as possible to the target Cloud Usage Profile, but it’s not easy to be aware of all the Shadow IT practices within an organization (e.g. employees can easily subscribe to cloud services for legitimate/illegitimate purposes using their credit card, their corporate ID, their corporate/personal devices, processing/storing corporate data). Solutions such as CASB (Cloud Access Security Broker) can help an organization to have a better visibility of its cloud usages, including some shadow IT practices and to adapt its Cloud Strategy (e.g. definition of corporate cloud security policies & baselines aligned to its risk appetite, employees’ training & awareness, etc.), resulting in a gap reduction between the target and real Cloud Usage Profiles.

Target Cloud Usage Profile as key enabler for an agile & effective Cloud Security Strategy

In addition to drive the definition of an organization’s Cloud Security Strategy, the Cloud Usage Profile is also a key support for the assessment of the completeness and effectiveness of that Cloud Security Strategy, as well as its continuous improvement.

Whenever, the organization’s Cloud Usage Profile changes (e.g. adoption of new cloud service and/or hosting models, new cloud operations model, processing/storage of more sensitive data in public clouds, authorization of new device pattern, introduction of new standard or regulation, etc.), it’s easy to figure out what needs to be changed or adapted in the Cloud Security Strategy.

Main steps of a Cloud Usage Profile driven Cloud Security Strategy

With this Cloud Usage Profile based approach, consisting in 7 steps structured following the PDCA:Plan-Do-Check-Act model, an organization can seamlessly address all the continuous changes in the cloud area, whatever the nature and source of the changes (from the Business, the Industry and/or the Regulations), by relying on a flexible Security Strategy adapted to cloud services. In short, this approach enables a Cloud Security Strategy which can better support the organization’s business transformation in an agile mode.

Although I only described in this article how the approach can be applied to an entire organization, it can obviously be applied to a business group within an organization, a subsidiary of an organization, a specific functional domain (e.g. Human Resources, Finance) within an organization, etc.

Cloud Security Knowledge Sharing By Guy-Bertrand Kamga

To promote a Secure Cloud-Based Digital Transformation