Jeudi 20 décembre 2012

Sécurisez vos données

pour protéger votre entreprise !

Mettez en place une “organisation sécurité” pour vos données informatiques

Le dispositif Performance PME TIC ?

Cette action s’insère dans le dispositif régional

Son objectif est de développer la compétitivité des entreprises par un meilleur usage des Technologies

de l’informationet de la communication

www.lenumeriquepourmonentreprise.com

Découvrez les usages des TIC, les actualités, l’agenda

des évènements et les entreprises de la filière TIC

régionale sur le « portail des usages »

Consultez le support de cette présentation :

www.lenumeriquepourmonentreprise.com

Intervenant :

Claude LELOUSTRE

ingénieur conseil

en systèmes d’information et sécurité de l’information

expert près la Cour d’Appel d’Aix-en-Provence et la

Cour Administrative d’Appel de Marseille

président du CLUSIR PACA

Sécurité des systèmes d’information (SSI)

Définition :Ensemble des moyens techniques, organisationnels,

juridiques et humains pour conserver, rétablir et garantir :

la disponibilité,

l’intégrité,

la confidentialité

des informations de l’entreprise ou de l’organisme

Sécurité des systèmes d’information

Selon l’enquête « menaces

informatiques et pratiques de

sécurité 2012 » du CLUSIF :

80% des entreprises interrogées (350 entreprises de plus de 200

salariés) disent avoir un besoin fort de leur système d’information

19% un besoin modéré

Soit, 99% pensent ne pas pouvoir se passer de leur système

informatique

Source : www.clusif.fr

Sécurité des systèmes d’information

Protéger son système d’information

est un véritable enjeu:

Protection de l’accessibilité au système d’information

Protection de l’intégrité de l’information

Protection de la confidentialité de l’information

Quels sont les risques encourus ?

Quelle est votre responsabilité en matière de sécurité informatique ?

Quels sont les outils disponibles et leur coût ?

Quels sont les bons réflexes ?

Quels sont les risques informatiques

encourus par votre entreprise ?

Evolution des menaces

Nouvelles pratiques: réseaux sociaux

Nouvelles plates-formes: Windows 7/8, iPhone …

Confidentialité des données personnelles

Un environnement en pleine évolution

PCI-DSSHIPAA

CSB 1386

GLBA 95/46/EC

Contractors, outsourcing

Partners, customers

Web 2.0

Mobile workers

Firewall

Corporate data

$Customerdata

Intellectual

property

Personally identifiableinformation

Targeted

...targeting commercial data

Complex threats....

Web-based,

Invisible

Fast changi

ng

Contraintes réglementaires et atteintes à la réputation

Essor de la génération Web 2.0 Vol d’information - pas des graffitis

50% des courriels sont du spam (95% en 2009)

une nouvelle page Webliée au spam toutes les 13 secondes

Près de 6 500 nouvelles pages par jour

Plus de 99% du spam est émis par des systèmes compromis (zombies ou ”bots”)

Les réseaux de botnets sont entre les mainsdes cybercriminels les plus sophistiqués

Essor des menaces sur le Web1 nouvelle page Web infectée

toutes les 3,6 secondes (23 500 pages/jour)

83% appartiennent à des sites légitimes

1% des recherches retournent une page infectée

Tous les types de sites sont touchés

fans de séries télé

sport

hôtels

musées

etc …

Fédèrent des cohortes de rabatteursChargés de recruter des victimes vers le site central du réseauTouchent un pourcentage sur l’argent extorqué à ces victimes

Grande variétés de techniquesSpamMalwaresInfection de sites légitimesBlackHat SEOAttaques sur les réseaux sociaux

Animation du réseauToolkitsOutils de gestionIncentives

Partnerkas russes et autres réseaux d’affiliés

Production de masse et dissimulation

Production de masse

Les SophosLabs reçoivent plus de 50 000

échantillons suspects à analyser chaque jour

Le laboratoire indépendant AV-Test.org conserve

une collection de plus de 22,5 millions de malwares

Utilisation croissante de techniques

de dissimulation

polymorphisme (variation de la signature)

furtivité (rootkits)

chiffrement / compression (crypter/packer)

BlackHat SEO : les faux antivirusAttaque en plusieurs étapes

1. Recherche une faille de sécurité pour installer un malware

2. Utilise l’ingénierie sociale pour aboutir au même résultat

3. Récupère les coordonnées bancaires, en bonus !

Distribués à travers des réseaux d’affiliés (Partnerkas ...)

Les réseaux sociaux: la nouvelle frontière

Un nouveau talon d’Achille

Collecte d’informations utilisable pour mener des attaques d’ingénierie sociale

Collecte d’informations sur l’organisation des entreprises

Les comptes utilisateurs sous le feu des attaques

Forte croissance des cas d’attaqueSPAM: + 70% en un an

PHISHING: + 42% en un an

MALWARES: + 69% en un an

Les utilisateurs doivent être conscients

des risques et activer les options de sécurité

• En mars 2010, un jeune auvergnat utilisant le pseudo Hacker Croll sur

Twitter est arrêté pour avoir fait acte de plusieurs opérations de piratage,

dont une concernant le compte du président américain Barack Obama

• Son mode opératoire:

• Identifier le compte email Yahoo! d’un des administrateurs de Twitter

• Comment ? ... une petite recherche dans les pages “About US” de Twitter

• Trouver les réponses aux questions pour récupérer le mot de passe “oublié”

• Date de naissance + code postal + pays

• Ville de naissance

• Où a-t-il trouvé ces informations ?

• Blog de 2002 + article de 2004 + whois

Ingénierie sociale et force brute

Spam sur les réseaux sociaux

Phishing sur les réseaux sociaux

Phishing sur les réseaux sociaux

Malware sur les réseaux sociaux

7 recommandations pour 1. Bloquez les menaces

Activer ASLR et DEP + installez un antimalware avec technologie HIPS

2. Protégez la navigation sur le WebUtilisez Explorer 8 et SmartScreen + utilisez un antimalware avec HBO

3. Déployez les correctifs de sécuritéUtilisez Action Center + vérifiez la conformité de vos systèmes (NAC …)

4. Prévenez la fuite des informationsChiffrez les disques + chiffrez les média USB + contrôlez les applications + contrôlez les données échangées … avec une gestion centralisée

5. Gérez les privilèges des utilisateursUtilisez UAC pour éviter de donner les droits administrateurs aux utilisateurs

6. Vérifiez la conformité des systèmes qui accèdent au réseau

Pour vérifier que les protections sont en places et à jour et qu’il n’y a pas d’applications indésirables

7. Eduquez les utilisateurs sur les bonnes pratiques en matière de sécuritéInformez-les sur votre charte de sécurité et diffusez les bonnes pratiques

Apple: une nouvelle cible ?

Quelques dizaines de malwares sur Mac OSXApparus depuis fin 2007

OSX/RSPlug (nov 2007 - mars 2009)Mêmes créateurs que Zlob (Windows)Installe Adwares et ‘Scareware’

OSX/iWorkS (janvier 2009)Infection largement répandueCrée un réseau de Botnet sur Mac OSX

OSX/Jahlav-C (juin 2009)Cheval de Troie qui télécharge des malwaresDiffusé à partir d’un blog sur Twitter

OSX/Pinhead-B alias HellRTS (avril 2010)Cheval de TroieApple vient de mettre à jour OS X pour s’en protéger

Linux: infections à faible bruit Peu de programmes malveillants

Quelques centaines à peineMoins de la moitié circulent réellement

Mais attention aussi aux vieux virusExemple: Linux/RST-B

Existe depuis 6 ansInfecte les exécutables ELFOuvre une porte dérobée

Au moins 0,24% des systèmes dans le monde sont infectés

… et aux excès de confiance ou de suffisance

Exemple: Troj/UnlRC-A

Cheval de Troie présent dans le code source de UnreallRCD.com depuis novembre 2009, mais découvert seulement en juin 2010

Ikee s’attaque aux iPhones débridés (“jailbreakés”)

Duh enfonce le clou !

Et Androïd entre dans la danse

Perte et vol d'information

Atteintes à l’image et la réputation

Perte de clients

Coûts internes de gestion des problèmes

Pertes de revenus associés à la propriété intellectuelle

4 entreprises sur 5 ont perdu des informations sensibles lors du vol de notebooks Ponemon Institute LLC and Symantec end-user survey, August 2009

10% des notebooks sont perdus ou volés par an Web & Collaboration Strategies 2009

1 disque USB sur 2 contient des informations sensiblesForrester Research, Inc. and Symantec Corp. survey, February 2008.

70% des données des entreprises sont dupliquées hors des serveurs (notebooks, clé USB …)Ponemon Institute, U.S. Survey: Confidential Data at Risk, August 2008

Fuite d’informations: Augmentation de 47% entre 2007 – 2009 Breach List and Statistics - Identity Theft Resource Center (ITCP) Date: 01/12/2010

Principales raisons de la fuite d’information :Perte de portables ou de device – 35%Ponemon Institute, 2009, Annual Study: Costs of Security Breaches

Des données mobiles de plus en plus exposées

700 portables perdus / volés à Roissy chaque semaine

12 000 portables perdus / volés dans les Aéroports US*

7 millions de laptops volés/perdus dans

le monde en 2009Computer Security Institute,2009

*July 2009, www.vnunet.com/vnunet/news/2223012/eu-travellers-losing-laptops-airports

Des données mobiles de plus en plus exposées

Exemple: Nationwide Building Society

Amende de £980,000 par la FSA (Financial Services Authority) à la suite de la

perte d’un portable contenant les détails de 11 millions de clients

Total des coûts directs identifiables

Impression de 11 millions de lettres ……………… £150,000

11 millions de copies de 2 brochures ………… £300,000

Envoi à 11 millions de clients …………………. £1.6 millions

Amende par la FSA ………………………….. £980,000

Autres coûts?

Coût de gestion de l’incident

Atteinte à la bonne réputation

Des coûts d’incidents de plus en plus élevés

Source: Prsonal Computer World www.vnunet.com/vnunet/news/2183332/nationwide-fined-980-exposing

Quels sont les risques encourus ?

Quelle est votre responsabilité en matière de sécurité informatique ?

Quels sont les outils disponibles et leur coût ?

Quels sont les bons réflexes ?

En quoi les TIC seraient-elles de nature différente des outils déjà en place dans les entreprises ?

Quelle part de vie privée et de libertés individuelles garantir aux salariés liés à leur employeur par un contrat de travail ( = un lien de subordination) ?

Que peut-on admettre comme usage privé d’outils mis à disposition des salariés par leur employeur ?

Y a-t-il des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les salariés ?

Les questions à se poser

OBLIGATION LEGALE :

Sécuriser son système d’information

Protéger le patrimoine informationnel de l’entreprise

Patrimoine de l’entreprise : matériel, humain, informationnel

L ’article 42 de la Loi du 6 Janvier 1978 impose au maître du fichier

« …de prendre toutes les précautions utiles afin de préserver la sécurité … » des informations automatisées

• C ’est l’article 226 -17 du nouveau Code Pénal qui érige en infraction spécifique le fait de manquer à la sécurité

« ..le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d’emprisonnement et de plus de 300 000 € d’amende » ….

L'article 1384 - alinéa 1 du Code Civil stipule :

"On est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est causé par des personnes dont on doit répondre ou des choses que l'on a sous sa garde."

Cet article a établi une présomption de responsabilité du gardien. L'entreprise sera présumée responsable :

des personnes qui sont sous sa dépendance des biens dont elle a la garde

Pour s'exonérer, il faut prouver que la cause est exogène.

Responsabilité du chef d’entreprise

Délit informatique

• Notion de Délit informatique sur le SI = Infraction pénale Loi Godfrain (1988) Code Pénal (1994)

• Atteinte à la Disponibilité, • intrusion, usurpation, ..

• Confidentialité, • Enregistrement, divulgation

• et à son Intégrité , Authenticité. • inoculation de virus, suppression, modification

NOTA : La loi GODFRAIN a été abrogée par la loi 92-1336 du 16 déc 1992 (nouveau Code Pénal) et n’est plus en vigueur depuis le 1er mars 1994, mais on parle toujours de loi Godfrain pour désigner les articles transposés dans le Code Pénal.

Surveillance des salariés

La loi du 31 décembre 1992 a posé les jalons d ’un droit « informatique et libertés » dans l’entreprise :

Principe de proportionnalité« Nul ne peut apporter aux droits des personnes et aux libertés

individuelles et collectives de restrictions qui ne seraient pas proportionnées au but recherché » - art L 120-2 du code du travail

Consultation du comité d ’entreprise lors de l’introduction de nouvelles technologies (art L 432-2)

Information préalable des salariés (art L 121-8)

Ces principes et droits font écho à la loi du 6 janvier 1978 qui impose que tout traitement de données personnelles soit déclaré à la CNIL, que les salariés soient informés de son existence et de ses caractéristiques et qu’ils aient accès aux informations les concernant.

LSQ ( loi sécurité quotidienne) 15/11/01

Conservation des données de connexion (6-12 mois) Déchiffrement et accès aux données par les autorités

Dernières évolutions

LCEN (loi pour la confiance en l’économie numérique) 21/06/04

Modifie la loi Informatique & Libertés de 1978• Renforce les pouvoirs de la CNIL• Contrôles a priori et a posteriori• Pouvoir de sanction

Responsabilité des hébergeurs Correspondance privée Publicité électronique Notion de commerçant électronique

et de nombreusesjurisprudences

LOPPSI 2 (14 mars 2011)

• mouchards électroniques : sur autorisation juge des libertés

• usurpation d’identité en ligne : délit (prison 1 an + 15.000€)

• listes noires : les FAI doivent bloquer les sites désignés, filtrer des @ IP

• vidéo protection : délai de conservation des vidéos < 1mois

Dernières évolutions

HADOPI ( création et internet) 12/06/09

Le conseil constitutionnel instaure comme fondamental le droit à l’internet

Le dirigeant est responsable des informations dont il est le dépositaire.

Il doit pouvoir justifier de mesures concrètes visant à protéger son système d’information.

La fraude informatique prouvée est réprimée

Matérialiser l’infraction est difficile

Principes de loyauté et de transparence

Importance de la CHARTE TIC

Ce qu’il faut retenir …

Le Sénat légifère sur la vie privéeEn mars, le Sénat a adopté la proposition de loi n° 93 (2009-2010)

Vise à modifier sensiblement la loi Informatique et Libertés de 1978

Issue d’un an de travail d’un groupe dirigé

par les sénateurs Anne-Marie Escoffier et Yves Détraigne

Confirme le caractère obligatoire des correspondants « informatique et

libertés » (CIL) lorsqu’une autorité publique ou un organisme privé recourt à un

traitement de données à caractère personnel et que plus de 100 personnes y ont

directement accès ou sont chargées de sa mise en œuvre

Vise à renforcer le pouvoir et les sanctions de la CNIL

« En cas d'atteinte au traitement de données à caractère personnel, le

responsable du traitement avertit sans délai la CNIL (Commission nationale de

l'informatique et des libertés) qui peut, si cette atteinte est de nature à affecter les

données à caractère personnel d'une ou de plusieurs personnes physiques, exiger

du responsable du traitement qu'il avertisse également ces personnes. »

Quels sont les risques encourus ?

Quelle est votre responsabilité en matière de sécurité informatique ?

Quels sont les outils disponibles et leur coût ?

Quels sont les bons réflexes ?

Coûts de la SSI

Outils et coûts de la SSI

• infrastructures• poste de travail• projets• formation des informaticiens• éducation des utilisateurs• organisation de la SSI

• politiques (autorisation, authentification, sauvegarde, chiffrement, audit,…)

• charte utilisation TIC

Quels sont les risques encourus ?

Quelle est votre responsabilité en matière de sécurité informatique ?

Quels sont les outils disponibles et leur coût ?

Quels sont les bons réflexes ?

Les « Dix Commandements » de la CNIL

1. Adopter une politique de mot de passe rigoureuse

2. Concevoir une procédure de création et de suppression des comptes utilisateurs

3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB)

4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles

5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles

6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions …

7. Sécuriser l’accès physique aux locaux

8. Anticiper le risque de perte ou de divulgation des données – conservez les données

d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de

stockage mobiles par chiffrement

9. Anticiper et formaliser une politique de sécurité du système d’information

10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »

Eduquez les utilisateurs

www.sophos.fr/lp/threatbeaters-dp

• Présentations

• Menaces à la sécurité des données

• Conséquences des fuites de données

• Recommandations sur

la protection des données

• Livre blanc

• Protection des informations

à caractère personnel

• Vidéos sur la sécurisation des mots de passe

• Vidéos sur la protection des données

• Exemples de politiques de sécurité des données

Eduquez les utilisateurs

• Recommandations

sur l’utilisation des réseaux sociaux

• Présentations

• Menaces sur les réseaux sociaux

• Impact sur les entreprises

• Statistiques et exemples

• Vidéos sur la sécurisation

des mots de passe

• Vidéos sur le phishing

• Dictionnaire des menaces

• Rapport 2010 sur les menaces à la sécuritéwww.sophos.fr/lp/threatbeaters

Merci de votre écouteMerci de votre écoute

Vos questionsVos questions

Claude LELOUSTRE

06 07 84 70 13

www.managis.fr

managis@managis.fr

Comment poursuivre les échanges ?

En se connectant sur la communauté Competi’TIC sous VIADEO

www.viadeo.com

Continuons à échanger …

: twitter.com/competitic

: communauté competitic

: lenumeriquepourmonentreprise.com

La prochaine action ...

Rendez vous en Janvier

Et bonnes fêtes