Competitic sécurite informatique - numerique en entreprise

Jeudi 21 novembre 2013

Le Sécurité de votre système d'information : un sujet toujours d'actualité

Sécurité des systèmes d’information (SSI)

Définition :Ensemble des moyens techniques, organisationnels,

juridiques et humains pour conserver, rétablir et garantir :

la disponibilité,

l’intégrité,

la confidentialité

des informations de l’entreprise ou de l’organisme

Source : wikipédia

Le système d’information

Véritable patrimoine de l’entreprise, il est nécessaire de le protéger en garantissant les ressources matérielles et logicielles (sécurité informatique)

Les enjeux

- Conserver l’intégrité des données

- Assurer la confidentialité des informations

- Garantir la disponibilité des informations

- Permettre l’authentification des personnes

• Ingénieur conseil

en systèmes d’information et sécurité de l’information

• RSSI à temps partagé

• Expert près la Cour d’Appel d’Aix-en-Provence et la

Cour Administrative d’Appel de Marseille

• Président du CLUSIR PACA

Claude LELOUSTRE

Intervenant :

Sommaire

Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....?

Comment assurer une protection efficace ?

Comment maintenir sa sécurité ?

Problématique actuelle

La sécurité informatique était autrefois centrée sur les machines, elle est aujourd’hui centrée sur l’utilisateur.

Problématique actuelle

- Mobilité des données

- BYOD et Cloud computing

- Environnement hétéroclite des systèmes

• Quels sont les risques informatiques

encourus par votre entreprise ?

• Evolution des menaces

• Nouvelles plates-formes: Windows 7/8, iPhone …

• Nouvelles pratiques :

• réseaux sociaux

• confidentialité des données personnelles

• frontière vie professionnelle / vie privée

• divulgation compulsive d’information

Les menaces

- L’utilisateur du système lui-même

- Une personne malveillante (via logiciels mal sécurisés par ex)

- Un programme malveillant

- Un sinistre (vol, incendie, dégât des eaux…)

50% des courriels sont du spam (95% en 2009)

• une nouvelle page Webliée au spam toutes les 13 secondes

• Près de 6 500 nouvelles pages par jour

• Plus de 99% du spam est émis par des systèmes compromis (zombies ou ”bots”)

• Les réseaux de botnets sont entre les mains des cybercriminels les plus sophistiqués

Essor des menaces sur le Web

1 nouvelle page Web infectée toutes les 3,6 secondes (23 500 pages/jour)

83% appartiennent à des sites légitimes

1% des recherches retournent une page infectée

Tous les types de sites sont touchés fans de séries télé

sport

hôtels

musées

etc …

Retours d’expérience d’un expert judiciaire Attaque site web e-commerce Piratage installation téléphonique Prise en otage du nom de domaine Vol données commerciales Atteinte au droit d’image

Le piratage, ça n’arrive pas qu’aux autres …

Ce qui s’est passéattaque massive en déni de servicesite paralyséperte de CA

Ce qu’il a fallu faire reconstruire le serveurcréer un honeypot « pot de miel »

Enseignements risque : entourage proche

Attaque site web e-commerce

Ce qui s’est passé18.000 € de facturation en une nuit

Ce qu’il a fallu fairecouper la ligne qq. jours paramétrer le PABXprocès, expertise

Enseignements le PABX fait partie du SIsurveiller les interventions du prestataire

Piratage installation téléphonique

Procès en cours

Ce qui s’est passéoubli échéance renouvellementachat par un tiers

Ce qu’il a fallu faire racheter son nom de domaine (1000$)

Enseignementsaffecter clairement cette tâche

Prise en otage du nom de domaine

Ce qui s’est passé licenciement commercialdétournement de clientèle

Ce qu’il a fallu faireplainte TC, procès, expertise

Enseignements Contrôler l’accès aux données sensibles par les

collaborateurs

Vol données commerciales

Ce qui s’est passé rupture de contrat rémanence de l’info (photos) sur le web

Ce qu’il a fallu faireprocès, expertisedemande d’effacement

Enseignements renforcer les contrats de droit à l’imagene pas introduire de clauses impossibles rendre techniquement impossible la copie de

données sensibles d’un site

Atteinte au droit d’image

Sommaire




Sécurité des systèmes d’information

Protéger son système d’information

est un véritable enjeu:

Protection de l’accessibilité au système d’information

Protection de l’intégrité de l’information

Protection de la confidentialité de l’information

Identification du périmètre à protéger Identification des risques :

vulnérabilitésmenaces

Plan d’actionarchitecture techniqueprojets organisationbudgets

Politique de sécurité des sytèmes d’information ( PSSI )

Assurer une protection efficace

Quels accidents peuvent survenir ?pannes : logiciel / matériel, énergie,..catastrophe naturelle : feu, eau, ….

Qui peut me vouloir du mal ?personnellement : salarié, concurrent, proche,…collectivement : spam, malware, escroc, hacker

PSSI : Identifier les risques


les accepter

les réduire à un niveau acceptable

les transférer

les refuser ou les éviter

PSSI : Traiter les risques


Les « Dix Commandements » de la CNIL

1. Adopter une politique de mot de passe rigoureuse

2. Concevoir une procédure de création et de suppression des comptes utilisateurs

3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB)

4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles

5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles

6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions …

7. Sécuriser l’accès physique aux locaux

8. Anticiper le risque de perte ou de divulgation des données – conservez les données

d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de

stockage mobiles par chiffrement

9. Anticiper et formaliser une politique de sécurité du système d’information

10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »

- I - Connaître le système d’information et ses utilisateurs- II - Maîtriser le réseau- III - Mettre à niveau les logiciels- IV - Authentifier l’utilisateur- V - Sécuriser les équipements terminaux- VI - Sécuriser l’intérieur du réseau- VII - Protéger le réseau interne de l’Internet- VIII - Surveiller les systèmes- IX - Sécuriser l’administration du réseau- X - Contrôler l’accès aux locaux et la sécurité physique- XI - Organiser la réaction en cas d’incident- XII - Sensibiliser- XIII - Faire auditer la sécurité

Guide d’hygiène informatique (ANSSI - 2013)

Sommaire




Eduquez les utilisateurs

• Présentations

• Menaces à la sécurité des données

• Conséquences des fuites de données

• Recommandations sur

la protection des données

• Livre blanc

• Protection des informations

à caractère personnel

• Vidéos sur la sécurisation des mots de passe

• Vidéos sur la protection des données

Eduquez les utilisateurs

• Recommandations

sur l’utilisation des réseaux sociaux

• Présentations

• Menaces sur les réseaux sociaux

• Impact sur les entreprises

• Statistiques et exemples

• Vidéos sur la sécurisation

des mots de passe

• Vidéos sur le phishing

• Dictionnaire des menaces

Rien n’est jamais terminé

La sécurité est un processus continuPDCA roue du Deming

to PLANto DOto CHECKto ACT

En guise de conclusion

Continuons à échanger …

: twitter.com/competitic

: communauté competitic

: lenumeriquepourmonentreprise.com

Découvrez les usages des TIC, les actualités, l’agenda des évènements et les entreprises de la filière TIC régionale sur le « portail des usages »

Consultez le support de cette présentation :

www.lenumeriquepourmonentreprise.com

« Système d’information, télécomunications, internet » : quand la quête de performance passe nécessairement par une intégration des TIC dans les industries, les CCI de la région PACA, l’Europe, le Conseil Régional Provence Alpes Côte D’azur et la DIRRECTE PACA se mobilisent pour vous proposer un programme d’accompagnement unique

PETITES ET MOYENNES INDUSTRIES : MODERNISEZ-VOUS GRÂCE AU NOUVEAU PROGRAMME D’ACCOMPAGNEMENT « COMPETITIC PRO DE L’INDUSTRIE »

GM

AO

GPA

O

PLA

TEFO

RM

E C

OLLA

BO

RA

TIV

E

PLM

ER

P

EC

OM

MER

CE

WA

REH

OU

SE M

AN

AG

EM

EN

T S

YSTEM

TR

AN

SPO

RT M

AN

AG

EM

EN

T S

YSTEM

CO

NC

EPTIO

N A

SSIS

TÉE P

AR

OR

DIN

ATEU

R

SU

PPLY

CH

AIN

EV

EN

T M

AN

AG

EM

EN

T

PLA

NIF

ICA

TIO

N A

VA

NC

ÉE S

OU

S C

ON

TR

AIN

TE

INFO

RM

ATIQ

UE D

ÉC

ISIO

NN

ELLE

CLO

UD

ÉC

HA

NG

E D

E D

ON

NÉES IN

FO

RM

ATIS

ÉES

GESTIO

N É

LEC

TR

ON

IQU

E D

OC

UM

EN

TA

IRE

BA

AS

CR

M

IMPR

IMA

NTE 3

D

APPLIC

ATIO

N M

OB

ILE

TR

AÇ

AB

ILITÉ C

OD

E B

AR

RE

RFID

NFC

SI R

ESSO

UR

CES

HU

MA

INES

SI FIN

AN

CIE

R

« COMPETITIC PRO DE L’INDUSTRIE » UN PROGRAMME A FORTE VALEUR AJOUTEE…

1 audit de la stratégie de votre système d’information

3 Ateliers d’approfondissement

Jusqu’à 3 jours de conseil

• Réaliser avec l’aide d’un consultant

• un état des lieux du système d’information de votre PMI

• Une liste de préconisations contribuant à la croissance de votre PMI

• Permettre aux dirigeants de monter en compétences en matière de gestion du système d’information. Ces ateliers pourront porter, par exemple, sur les thématiques suivantes :

• Quels sont les enjeux de l’intégration des TIC pour l’industrie ?

• Comment acheter de l’informatique ?

• Quel est le rôle du dirigeant dans un projet « système d’information » structurant ?

• Comment sécuriser son système d’information ?

• Disposer d’un expertise d’un consultant dans la mise en œuvre d’une à deux actions structurantes identifiées lors de l’audit

• Réaliser un bilan avec votre conseiller TIC de l’impact du programme « COMPETITIC PRO DE L’INDUSTRIE » dans votre PMI

Forfait : 1 audit de votre stratégie numérique3 ateliers d’approfondissement et de

formation à la gestion du SI dans une PMI1 bilan individuel1 séminaire de clôture du programme

Prestation complémentaires : 1 à 3 jours de conseil et

d’accompagnement personnalisé

Prix public Pris en chargeCoût pour

l’entreprise

500€ HT

150€ HT/jour

2550€ HT

1000€ HT/jour

2050€ HT

850€ HT/jour

Action conduite par : Action soutenue par :

Nombre de places limitées, contactez vite votre CCI ! Dossier de candidature à rendre avant le 15 JANVIER 2013

UNE FORTE IMPLICATION DES PARTENAIRES POUR SOUTENIR LA MODERNISATION DE VOTRE PMI

Jeudi 28 novembre 2013

Gérez vos achats et vos approvisionnements avec les TIC

La prochaine action

Business

Competitic sécurite informatique - numerique en entreprise