competitic sécurite informatique - numerique en entreprise
DESCRIPTION
La sécurité de votre système d'information : un sujet toujours d'actualité - Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,.... - Comment assurer une protection efficace ? - Comment maintenir sa sécurité ? Retour d'expériences et bonnes pratiquesTRANSCRIPT
Jeudi 21 novembre 2013
Le Sécurité de votre système d'information : un sujet toujours d'actualité
Sécurité des systèmes d’information (SSI)
Définition :Ensemble des moyens techniques, organisationnels,
juridiques et humains pour conserver, rétablir et garantir :
la disponibilité,
l’intégrité,
la confidentialité
des informations de l’entreprise ou de l’organisme
Source : wikipédia
Le système d’information
Véritable patrimoine de l’entreprise, il est nécessaire de le protéger en garantissant les ressources matérielles et logicielles (sécurité informatique)
Les enjeux
- Conserver l’intégrité des données
- Assurer la confidentialité des informations
- Garantir la disponibilité des informations
- Permettre l’authentification des personnes
• Ingénieur conseil
en systèmes d’information et sécurité de l’information
• RSSI à temps partagé
• Expert près la Cour d’Appel d’Aix-en-Provence et la
Cour Administrative d’Appel de Marseille
• Président du CLUSIR PACA
Claude LELOUSTRE
Intervenant :
Sommaire
Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....?
Comment assurer une protection efficace ?
Comment maintenir sa sécurité ?
Problématique actuelle
La sécurité informatique était autrefois centrée sur les machines, elle est aujourd’hui centrée sur l’utilisateur.
Problématique actuelle
- Mobilité des données
- BYOD et Cloud computing
- Environnement hétéroclite des systèmes
• Quels sont les risques informatiques
encourus par votre entreprise ?
• Evolution des menaces
• Nouvelles plates-formes: Windows 7/8, iPhone …
• Nouvelles pratiques :
• réseaux sociaux
• confidentialité des données personnelles
• frontière vie professionnelle / vie privée
• divulgation compulsive d’information
Les menaces
- L’utilisateur du système lui-même
- Une personne malveillante (via logiciels mal sécurisés par ex)
- Un programme malveillant
- Un sinistre (vol, incendie, dégât des eaux…)
50% des courriels sont du spam (95% en 2009)
• une nouvelle page Webliée au spam toutes les 13 secondes
• Près de 6 500 nouvelles pages par jour
• Plus de 99% du spam est émis par des systèmes compromis (zombies ou ”bots”)
• Les réseaux de botnets sont entre les mains des cybercriminels les plus sophistiqués
Essor des menaces sur le Web
1 nouvelle page Web infectée toutes les 3,6 secondes (23 500 pages/jour)
83% appartiennent à des sites légitimes
1% des recherches retournent une page infectée
Tous les types de sites sont touchés fans de séries télé
sport
hôtels
musées
etc …
Retours d’expérience d’un expert judiciaire Attaque site web e-commerce Piratage installation téléphonique Prise en otage du nom de domaine Vol données commerciales Atteinte au droit d’image
Le piratage, ça n’arrive pas qu’aux autres …
Ce qui s’est passéattaque massive en déni de servicesite paralyséperte de CA
Ce qu’il a fallu faire reconstruire le serveurcréer un honeypot « pot de miel »
Enseignements risque : entourage proche
Attaque site web e-commerce
Ce qui s’est passé18.000 € de facturation en une nuit
Ce qu’il a fallu fairecouper la ligne qq. jours paramétrer le PABXprocès, expertise
Enseignements le PABX fait partie du SIsurveiller les interventions du prestataire
Piratage installation téléphonique
Procès en cours
Ce qui s’est passéoubli échéance renouvellementachat par un tiers
Ce qu’il a fallu faire racheter son nom de domaine (1000$)
Enseignementsaffecter clairement cette tâche
Prise en otage du nom de domaine
Ce qui s’est passé licenciement commercialdétournement de clientèle
Ce qu’il a fallu faireplainte TC, procès, expertise
Enseignements Contrôler l’accès aux données sensibles par les
collaborateurs
Vol données commerciales
Ce qui s’est passé rupture de contrat rémanence de l’info (photos) sur le web
Ce qu’il a fallu faireprocès, expertisedemande d’effacement
Enseignements renforcer les contrats de droit à l’imagene pas introduire de clauses impossibles rendre techniquement impossible la copie de
données sensibles d’un site
Atteinte au droit d’image
Sommaire
Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....?
Comment assurer une protection efficace ?
Comment maintenir sa sécurité ?
Sécurité des systèmes d’information
Protéger son système d’information
est un véritable enjeu:
Protection de l’accessibilité au système d’information
Protection de l’intégrité de l’information
Protection de la confidentialité de l’information
Identification du périmètre à protéger Identification des risques :
vulnérabilitésmenaces
Plan d’actionarchitecture techniqueprojets organisationbudgets
Politique de sécurité des sytèmes d’information ( PSSI )
Assurer une protection efficace
Quels accidents peuvent survenir ?pannes : logiciel / matériel, énergie,..catastrophe naturelle : feu, eau, ….
Qui peut me vouloir du mal ?personnellement : salarié, concurrent, proche,…collectivement : spam, malware, escroc, hacker
PSSI : Identifier les risques
Assurer une protection efficace
les accepter
les réduire à un niveau acceptable
les transférer
les refuser ou les éviter
PSSI : Traiter les risques
Assurer une protection efficace
Les « Dix Commandements » de la CNIL
1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB)
4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles
5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles
6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions …
7. Sécuriser l’accès physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données – conservez les données
d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de
stockage mobiles par chiffrement
9. Anticiper et formaliser une politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »
- I - Connaître le système d’information et ses utilisateurs- II - Maîtriser le réseau- III - Mettre à niveau les logiciels- IV - Authentifier l’utilisateur- V - Sécuriser les équipements terminaux- VI - Sécuriser l’intérieur du réseau- VII - Protéger le réseau interne de l’Internet- VIII - Surveiller les systèmes- IX - Sécuriser l’administration du réseau- X - Contrôler l’accès aux locaux et la sécurité physique- XI - Organiser la réaction en cas d’incident- XII - Sensibiliser- XIII - Faire auditer la sécurité
Guide d’hygiène informatique (ANSSI - 2013)
Sommaire
Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....?
Comment assurer une protection efficace ?
Comment maintenir sa sécurité ?
Eduquez les utilisateurs
• Présentations
• Menaces à la sécurité des données
• Conséquences des fuites de données
• Recommandations sur
la protection des données
• Livre blanc
• Protection des informations
à caractère personnel
• Vidéos sur la sécurisation des mots de passe
• Vidéos sur la protection des données
Eduquez les utilisateurs
• Recommandations
sur l’utilisation des réseaux sociaux
• Présentations
• Menaces sur les réseaux sociaux
• Impact sur les entreprises
• Statistiques et exemples
• Vidéos sur la sécurisation
des mots de passe
• Vidéos sur le phishing
• Dictionnaire des menaces
Rien n’est jamais terminé
La sécurité est un processus continuPDCA roue du Deming
to PLANto DOto CHECKto ACT
En guise de conclusion
Continuons à échanger …
: twitter.com/competitic
: communauté competitic
: lenumeriquepourmonentreprise.com
Découvrez les usages des TIC, les actualités, l’agenda des évènements et les entreprises de la filière TIC régionale sur le « portail des usages »
Consultez le support de cette présentation :
www.lenumeriquepourmonentreprise.com
« Système d’information, télécomunications, internet » : quand la quête de performance passe nécessairement par une intégration des TIC dans les industries, les CCI de la région PACA, l’Europe, le Conseil Régional Provence Alpes Côte D’azur et la DIRRECTE PACA se mobilisent pour vous proposer un programme d’accompagnement unique
PETITES ET MOYENNES INDUSTRIES : MODERNISEZ-VOUS GRÂCE AU NOUVEAU PROGRAMME D’ACCOMPAGNEMENT « COMPETITIC PRO DE L’INDUSTRIE »
GM
AO
GPA
O
PLA
TEFO
RM
E C
OLLA
BO
RA
TIV
E
PLM
ER
P
EC
OM
MER
CE
WA
REH
OU
SE M
AN
AG
EM
EN
T S
YSTEM
TR
AN
SPO
RT M
AN
AG
EM
EN
T S
YSTEM
CO
NC
EPTIO
N A
SSIS
TÉE P
AR
OR
DIN
ATEU
R
SU
PPLY
CH
AIN
EV
EN
T M
AN
AG
EM
EN
T
PLA
NIF
ICA
TIO
N A
VA
NC
ÉE S
OU
S C
ON
TR
AIN
TE
INFO
RM
ATIQ
UE D
ÉC
ISIO
NN
ELLE
CLO
UD
ÉC
HA
NG
E D
E D
ON
NÉES IN
FO
RM
ATIS
ÉES
GESTIO
N É
LEC
TR
ON
IQU
E D
OC
UM
EN
TA
IRE
BA
AS
CR
M
IMPR
IMA
NTE 3
D
APPLIC
ATIO
N M
OB
ILE
TR
AÇ
AB
ILITÉ C
OD
E B
AR
RE
RFID
NFC
SI R
ESSO
UR
CES
HU
MA
INES
SI FIN
AN
CIE
R
« COMPETITIC PRO DE L’INDUSTRIE » UN PROGRAMME A FORTE VALEUR AJOUTEE…
1 audit de la stratégie de votre système d’information
3 Ateliers d’approfondissement
Jusqu’à 3 jours de conseil
• Réaliser avec l’aide d’un consultant
• un état des lieux du système d’information de votre PMI
• Une liste de préconisations contribuant à la croissance de votre PMI
• Permettre aux dirigeants de monter en compétences en matière de gestion du système d’information. Ces ateliers pourront porter, par exemple, sur les thématiques suivantes :
• Quels sont les enjeux de l’intégration des TIC pour l’industrie ?
• Comment acheter de l’informatique ?
• Quel est le rôle du dirigeant dans un projet « système d’information » structurant ?
• Comment sécuriser son système d’information ?
• Disposer d’un expertise d’un consultant dans la mise en œuvre d’une à deux actions structurantes identifiées lors de l’audit
• Réaliser un bilan avec votre conseiller TIC de l’impact du programme « COMPETITIC PRO DE L’INDUSTRIE » dans votre PMI
Forfait : 1 audit de votre stratégie numérique3 ateliers d’approfondissement et de
formation à la gestion du SI dans une PMI1 bilan individuel1 séminaire de clôture du programme
Prestation complémentaires : 1 à 3 jours de conseil et
d’accompagnement personnalisé
Prix public Pris en chargeCoût pour
l’entreprise
500€ HT
150€ HT/jour
2550€ HT
1000€ HT/jour
2050€ HT
850€ HT/jour
Action conduite par : Action soutenue par :
Nombre de places limitées, contactez vite votre CCI ! Dossier de candidature à rendre avant le 15 JANVIER 2013
UNE FORTE IMPLICATION DES PARTENAIRES POUR SOUTENIR LA MODERNISATION DE VOTRE PMI
Jeudi 28 novembre 2013
Gérez vos achats et vos approvisionnements avec les TIC
La prochaine action