competitic securite données - numerique en entreprise
DESCRIPTION
Sécuriser ses données informatiques est devenu essentiel dans la pérennité de son activité...TRANSCRIPT
Jeudi 20 décembre 2012
Sécurisez vos données
pour protéger votre entreprise !
Mettez en place une “organisation sécurité” pour vos données informatiques
Le dispositif Performance PME TIC ?
Cette action s’insère dans le dispositif régional
Son objectif est de développer la compétitivité des entreprises par un meilleur usage des Technologies
de l’informationet de la communication
www.lenumeriquepourmonentreprise.com
Découvrez les usages des TIC, les actualités, l’agenda
des évènements et les entreprises de la filière TIC
régionale sur le « portail des usages »
Consultez le support de cette présentation :
www.lenumeriquepourmonentreprise.com
Intervenant :
Claude LELOUSTRE
ingénieur conseil
en systèmes d’information et sécurité de l’information
expert près la Cour d’Appel d’Aix-en-Provence et la
Cour Administrative d’Appel de Marseille
président du CLUSIR PACA
Sécurité des systèmes d’information (SSI)
Définition :Ensemble des moyens techniques, organisationnels,
juridiques et humains pour conserver, rétablir et garantir :
la disponibilité,
l’intégrité,
la confidentialité
des informations de l’entreprise ou de l’organisme
Sécurité des systèmes d’information
Selon l’enquête « menaces
informatiques et pratiques de
sécurité 2012 » du CLUSIF :
80% des entreprises interrogées (350 entreprises de plus de 200
salariés) disent avoir un besoin fort de leur système d’information
19% un besoin modéré
Soit, 99% pensent ne pas pouvoir se passer de leur système
informatique
Source : www.clusif.fr
Sécurité des systèmes d’information
Protéger son système d’information
est un véritable enjeu:
Protection de l’accessibilité au système d’information
Protection de l’intégrité de l’information
Protection de la confidentialité de l’information
Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
Quels sont les risques informatiques
encourus par votre entreprise ?
Evolution des menaces
Nouvelles pratiques: réseaux sociaux
Nouvelles plates-formes: Windows 7/8, iPhone …
Confidentialité des données personnelles
Un environnement en pleine évolution
PCI-DSSHIPAA
CSB 1386
GLBA 95/46/EC
Contractors, outsourcing
Partners, customers
Web 2.0
Mobile workers
Firewall
Corporate data
$Customerdata
Intellectual
property
Personally identifiableinformation
Targeted
...targeting commercial data
Complex threats....
Web-based,
Invisible
Fast changi
ng
Contraintes réglementaires et atteintes à la réputation
Essor de la génération Web 2.0 Vol d’information - pas des graffitis
50% des courriels sont du spam (95% en 2009)
une nouvelle page Webliée au spam toutes les 13 secondes
Près de 6 500 nouvelles pages par jour
Plus de 99% du spam est émis par des systèmes compromis (zombies ou ”bots”)
Les réseaux de botnets sont entre les mainsdes cybercriminels les plus sophistiqués
Essor des menaces sur le Web1 nouvelle page Web infectée
toutes les 3,6 secondes (23 500 pages/jour)
83% appartiennent à des sites légitimes
1% des recherches retournent une page infectée
Tous les types de sites sont touchés
fans de séries télé
sport
hôtels
musées
etc …
Fédèrent des cohortes de rabatteursChargés de recruter des victimes vers le site central du réseauTouchent un pourcentage sur l’argent extorqué à ces victimes
Grande variétés de techniquesSpamMalwaresInfection de sites légitimesBlackHat SEOAttaques sur les réseaux sociaux
Animation du réseauToolkitsOutils de gestionIncentives
Partnerkas russes et autres réseaux d’affiliés
Production de masse et dissimulation
Production de masse
Les SophosLabs reçoivent plus de 50 000
échantillons suspects à analyser chaque jour
Le laboratoire indépendant AV-Test.org conserve
une collection de plus de 22,5 millions de malwares
Utilisation croissante de techniques
de dissimulation
polymorphisme (variation de la signature)
furtivité (rootkits)
chiffrement / compression (crypter/packer)
BlackHat SEO : les faux antivirusAttaque en plusieurs étapes
1. Recherche une faille de sécurité pour installer un malware
2. Utilise l’ingénierie sociale pour aboutir au même résultat
3. Récupère les coordonnées bancaires, en bonus !
Distribués à travers des réseaux d’affiliés (Partnerkas ...)
Les réseaux sociaux: la nouvelle frontière
Un nouveau talon d’Achille
Collecte d’informations utilisable pour mener des attaques d’ingénierie sociale
Collecte d’informations sur l’organisation des entreprises
Les comptes utilisateurs sous le feu des attaques
Forte croissance des cas d’attaqueSPAM: + 70% en un an
PHISHING: + 42% en un an
MALWARES: + 69% en un an
Les utilisateurs doivent être conscients
des risques et activer les options de sécurité
• En mars 2010, un jeune auvergnat utilisant le pseudo Hacker Croll sur
Twitter est arrêté pour avoir fait acte de plusieurs opérations de piratage,
dont une concernant le compte du président américain Barack Obama
• Son mode opératoire:
• Identifier le compte email Yahoo! d’un des administrateurs de Twitter
• Comment ? ... une petite recherche dans les pages “About US” de Twitter
• Trouver les réponses aux questions pour récupérer le mot de passe “oublié”
• Date de naissance + code postal + pays
• Ville de naissance
• Où a-t-il trouvé ces informations ?
• Blog de 2002 + article de 2004 + whois
Ingénierie sociale et force brute
Spam sur les réseaux sociaux
Phishing sur les réseaux sociaux
Phishing sur les réseaux sociaux
Malware sur les réseaux sociaux
7 recommandations pour 1. Bloquez les menaces
Activer ASLR et DEP + installez un antimalware avec technologie HIPS
2. Protégez la navigation sur le WebUtilisez Explorer 8 et SmartScreen + utilisez un antimalware avec HBO
3. Déployez les correctifs de sécuritéUtilisez Action Center + vérifiez la conformité de vos systèmes (NAC …)
4. Prévenez la fuite des informationsChiffrez les disques + chiffrez les média USB + contrôlez les applications + contrôlez les données échangées … avec une gestion centralisée
5. Gérez les privilèges des utilisateursUtilisez UAC pour éviter de donner les droits administrateurs aux utilisateurs
6. Vérifiez la conformité des systèmes qui accèdent au réseau
Pour vérifier que les protections sont en places et à jour et qu’il n’y a pas d’applications indésirables
7. Eduquez les utilisateurs sur les bonnes pratiques en matière de sécuritéInformez-les sur votre charte de sécurité et diffusez les bonnes pratiques
Apple: une nouvelle cible ?
Quelques dizaines de malwares sur Mac OSXApparus depuis fin 2007
OSX/RSPlug (nov 2007 - mars 2009)Mêmes créateurs que Zlob (Windows)Installe Adwares et ‘Scareware’
OSX/iWorkS (janvier 2009)Infection largement répandueCrée un réseau de Botnet sur Mac OSX
OSX/Jahlav-C (juin 2009)Cheval de Troie qui télécharge des malwaresDiffusé à partir d’un blog sur Twitter
OSX/Pinhead-B alias HellRTS (avril 2010)Cheval de TroieApple vient de mettre à jour OS X pour s’en protéger
Linux: infections à faible bruit Peu de programmes malveillants
Quelques centaines à peineMoins de la moitié circulent réellement
Mais attention aussi aux vieux virusExemple: Linux/RST-B
Existe depuis 6 ansInfecte les exécutables ELFOuvre une porte dérobée
Au moins 0,24% des systèmes dans le monde sont infectés
… et aux excès de confiance ou de suffisance
Exemple: Troj/UnlRC-A
Cheval de Troie présent dans le code source de UnreallRCD.com depuis novembre 2009, mais découvert seulement en juin 2010
Ikee s’attaque aux iPhones débridés (“jailbreakés”)
Duh enfonce le clou !
Et Androïd entre dans la danse
Perte et vol d'information
Atteintes à l’image et la réputation
Perte de clients
Coûts internes de gestion des problèmes
Pertes de revenus associés à la propriété intellectuelle
4 entreprises sur 5 ont perdu des informations sensibles lors du vol de notebooks Ponemon Institute LLC and Symantec end-user survey, August 2009
10% des notebooks sont perdus ou volés par an Web & Collaboration Strategies 2009
1 disque USB sur 2 contient des informations sensiblesForrester Research, Inc. and Symantec Corp. survey, February 2008.
70% des données des entreprises sont dupliquées hors des serveurs (notebooks, clé USB …)Ponemon Institute, U.S. Survey: Confidential Data at Risk, August 2008
Fuite d’informations: Augmentation de 47% entre 2007 – 2009 Breach List and Statistics - Identity Theft Resource Center (ITCP) Date: 01/12/2010
Principales raisons de la fuite d’information :Perte de portables ou de device – 35%Ponemon Institute, 2009, Annual Study: Costs of Security Breaches
Des données mobiles de plus en plus exposées
700 portables perdus / volés à Roissy chaque semaine
12 000 portables perdus / volés dans les Aéroports US*
7 millions de laptops volés/perdus dans
le monde en 2009Computer Security Institute,2009
*July 2009, www.vnunet.com/vnunet/news/2223012/eu-travellers-losing-laptops-airports
Des données mobiles de plus en plus exposées
Exemple: Nationwide Building Society
Amende de £980,000 par la FSA (Financial Services Authority) à la suite de la
perte d’un portable contenant les détails de 11 millions de clients
Total des coûts directs identifiables
Impression de 11 millions de lettres ……………… £150,000
11 millions de copies de 2 brochures ………… £300,000
Envoi à 11 millions de clients …………………. £1.6 millions
Amende par la FSA ………………………….. £980,000
Autres coûts?
Coût de gestion de l’incident
Atteinte à la bonne réputation
Des coûts d’incidents de plus en plus élevés
Source: Prsonal Computer World www.vnunet.com/vnunet/news/2183332/nationwide-fined-980-exposing
Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
En quoi les TIC seraient-elles de nature différente des outils déjà en place dans les entreprises ?
Quelle part de vie privée et de libertés individuelles garantir aux salariés liés à leur employeur par un contrat de travail ( = un lien de subordination) ?
Que peut-on admettre comme usage privé d’outils mis à disposition des salariés par leur employeur ?
Y a-t-il des limites au contrôle et à la surveillance que les employeurs peuvent exercer sur les salariés ?
Les questions à se poser
OBLIGATION LEGALE :
Sécuriser son système d’information
Protéger le patrimoine informationnel de l’entreprise
Patrimoine de l’entreprise : matériel, humain, informationnel
L ’article 42 de la Loi du 6 Janvier 1978 impose au maître du fichier
« …de prendre toutes les précautions utiles afin de préserver la sécurité … » des informations automatisées
• C ’est l’article 226 -17 du nouveau Code Pénal qui érige en infraction spécifique le fait de manquer à la sécurité
« ..le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d’emprisonnement et de plus de 300 000 € d’amende » ….
L'article 1384 - alinéa 1 du Code Civil stipule :
"On est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est causé par des personnes dont on doit répondre ou des choses que l'on a sous sa garde."
Cet article a établi une présomption de responsabilité du gardien. L'entreprise sera présumée responsable :
des personnes qui sont sous sa dépendance des biens dont elle a la garde
Pour s'exonérer, il faut prouver que la cause est exogène.
Responsabilité du chef d’entreprise
Délit informatique
• Notion de Délit informatique sur le SI = Infraction pénale Loi Godfrain (1988) Code Pénal (1994)
• Atteinte à la Disponibilité, • intrusion, usurpation, ..
• Confidentialité, • Enregistrement, divulgation
• et à son Intégrité , Authenticité. • inoculation de virus, suppression, modification
NOTA : La loi GODFRAIN a été abrogée par la loi 92-1336 du 16 déc 1992 (nouveau Code Pénal) et n’est plus en vigueur depuis le 1er mars 1994, mais on parle toujours de loi Godfrain pour désigner les articles transposés dans le Code Pénal.
Surveillance des salariés
La loi du 31 décembre 1992 a posé les jalons d ’un droit « informatique et libertés » dans l’entreprise :
Principe de proportionnalité« Nul ne peut apporter aux droits des personnes et aux libertés
individuelles et collectives de restrictions qui ne seraient pas proportionnées au but recherché » - art L 120-2 du code du travail
Consultation du comité d ’entreprise lors de l’introduction de nouvelles technologies (art L 432-2)
Information préalable des salariés (art L 121-8)
Ces principes et droits font écho à la loi du 6 janvier 1978 qui impose que tout traitement de données personnelles soit déclaré à la CNIL, que les salariés soient informés de son existence et de ses caractéristiques et qu’ils aient accès aux informations les concernant.
LSQ ( loi sécurité quotidienne) 15/11/01
Conservation des données de connexion (6-12 mois) Déchiffrement et accès aux données par les autorités
Dernières évolutions
LCEN (loi pour la confiance en l’économie numérique) 21/06/04
Modifie la loi Informatique & Libertés de 1978• Renforce les pouvoirs de la CNIL• Contrôles a priori et a posteriori• Pouvoir de sanction
Responsabilité des hébergeurs Correspondance privée Publicité électronique Notion de commerçant électronique
et de nombreusesjurisprudences
LOPPSI 2 (14 mars 2011)
• mouchards électroniques : sur autorisation juge des libertés
• usurpation d’identité en ligne : délit (prison 1 an + 15.000€)
• listes noires : les FAI doivent bloquer les sites désignés, filtrer des @ IP
• vidéo protection : délai de conservation des vidéos < 1mois
Dernières évolutions
HADOPI ( création et internet) 12/06/09
Le conseil constitutionnel instaure comme fondamental le droit à l’internet
Le dirigeant est responsable des informations dont il est le dépositaire.
Il doit pouvoir justifier de mesures concrètes visant à protéger son système d’information.
La fraude informatique prouvée est réprimée
Matérialiser l’infraction est difficile
Principes de loyauté et de transparence
Importance de la CHARTE TIC
Ce qu’il faut retenir …
Le Sénat légifère sur la vie privéeEn mars, le Sénat a adopté la proposition de loi n° 93 (2009-2010)
Vise à modifier sensiblement la loi Informatique et Libertés de 1978
Issue d’un an de travail d’un groupe dirigé
par les sénateurs Anne-Marie Escoffier et Yves Détraigne
Confirme le caractère obligatoire des correspondants « informatique et
libertés » (CIL) lorsqu’une autorité publique ou un organisme privé recourt à un
traitement de données à caractère personnel et que plus de 100 personnes y ont
directement accès ou sont chargées de sa mise en œuvre
Vise à renforcer le pouvoir et les sanctions de la CNIL
« En cas d'atteinte au traitement de données à caractère personnel, le
responsable du traitement avertit sans délai la CNIL (Commission nationale de
l'informatique et des libertés) qui peut, si cette atteinte est de nature à affecter les
données à caractère personnel d'une ou de plusieurs personnes physiques, exiger
du responsable du traitement qu'il avertisse également ces personnes. »
Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
Coûts de la SSI
Outils et coûts de la SSI
• infrastructures• poste de travail• projets• formation des informaticiens• éducation des utilisateurs• organisation de la SSI
• politiques (autorisation, authentification, sauvegarde, chiffrement, audit,…)
• charte utilisation TIC
Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
Les « Dix Commandements » de la CNIL
1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB)
4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles
5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles
6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions …
7. Sécuriser l’accès physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données – conservez les données
d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de
stockage mobiles par chiffrement
9. Anticiper et formaliser une politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »
Eduquez les utilisateurs
www.sophos.fr/lp/threatbeaters-dp
• Présentations
• Menaces à la sécurité des données
• Conséquences des fuites de données
• Recommandations sur
la protection des données
• Livre blanc
• Protection des informations
à caractère personnel
• Vidéos sur la sécurisation des mots de passe
• Vidéos sur la protection des données
• Exemples de politiques de sécurité des données
Eduquez les utilisateurs
• Recommandations
sur l’utilisation des réseaux sociaux
• Présentations
• Menaces sur les réseaux sociaux
• Impact sur les entreprises
• Statistiques et exemples
• Vidéos sur la sécurisation
des mots de passe
• Vidéos sur le phishing
• Dictionnaire des menaces
• Rapport 2010 sur les menaces à la sécuritéwww.sophos.fr/lp/threatbeaters
Merci de votre écouteMerci de votre écoute
Vos questionsVos questions
Comment poursuivre les échanges ?
En se connectant sur la communauté Competi’TIC sous VIADEO
www.viadeo.com
Continuons à échanger …
: twitter.com/competitic
: communauté competitic
: lenumeriquepourmonentreprise.com
La prochaine action ...
Rendez vous en Janvier
Et bonnes fêtes