Upload
stephane-droxler
View
481
Download
3
Embed Size (px)
Citation preview
Journée stratégique CLUSIS
23.01.2015 © UDITIS SA @SDroxler
Atelier Big Data - Contrôle des données
Cybercriminalité
Pouvoir Idéalisme Argent
34.40%
28.50%
27.30%
5.90%
2.40%
1.60%
Hackers
Publication accidentelle
Perte de laptop / DD
Fraude interne
Inconnu
Fraude externe
Principales causes de pertes de données(nombre d’incidents)
Source: Internet Security Threat Report 2014, Symantec
61.7%
CEO CISO
Sommes-nous protégés ?
Que font nos concurrents ?
Challenges
RISQUEET SECURITE
CO
NFI
DE
NT
IAL
Challenges
Business justwants to do business
Enjeux
RéputationClients
Enjeux
49%
47%
45%
40%
39%
25%
35%
38%
37%
44%
36%
20%
Achats en ligne
Participer à un concours /sondage en ligne
S'idenitifer sur un site web
Partager infos pour accéder à ducontenu en ligne (ex NYTimes.com)
Ouvrir une pub email
Télécharger une application
A quel point êtes-vous sensible à vos données personnelles, leur sécurité et protection lorsque vous faîtes l’une des actions suivantes:
(participants ayant répondu 4 ou 5 sur une échelle de 1 [pas du tout préoccupé] à 5 [très concerné]
US EU-7
Source: North American Technographics Online Benchmark Survey Q3-12 & European Technographics Consumer Technology Online Survey Q4-12
Enjeux
RéputationClientsIP
Enjeux
RéputationClientsIP
Une approche en trois étapes
27.01.2015 © UDITIS SA @SDroxler
IDENTIFIER
DISSEQUER
DEFENDRE
Enjeux
3’ Données sensibles traitées au sein de votre entreprise ?
Démarche
3P + IP = TDPCIPHIPII
Intellectualproperty
Toxic Data
Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
Démarche
IDENTIFIERDécouverte Classification
Data ID
Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
Schéma typique de classification
Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
# Level Description
1 Public Anything not company-internal
2 Internal Internal but not for public release
3 Confidential Not for distribution (memos, plans, strategy, …)
… Additional classifcation levels as appropriate
X Restricted Highly compartimentalized (salaries, regulatory information, …)
Radioactive
Toxic
Unclassified
Classification à trois niveaux
Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
Rôles
Créateur Propriétaire Utilisateur Auditeur
Comment ça marche?
Intéressé à en savoir plus. Les cinq slides suivants sont disponibles sur simple demande à:
[email protected] ou @SDroxler
Démarche
IDENTIFIER
DISSEQUER
Découverte ClassificationData ID
AnalysePrincipes audit
RenseignementImplications
Managers
Aligner priorités et investissements
Technologies disponibles (eDiscovery, DLP,NAV, encryption,classification, …)
Créateur / propriétaire Entreprise - Partenaires- Clients
Relation à la donnée Propriété Gardien
Risque Perte engendrerait un dégâtstratégique
Contractuel, légal
Conséquence Perte de revenus Coûts supplémentaires
Question clé Qui doit savoir ? Pourquoi la donnée circule t’elle ?
Priorité - Maîtriser la circulation- Réduire les abus
- Bloquer la circulation - Réduire l’usage
Protection Chiffrement Data Loss Prevention
Adapted fromby: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
Principe d’audit
Démarche
IDENTIFIER
DISSEQUER
DEFENDRE
Découverte ClassificationData ID
Analyse
Protection & contrôle données
Principes auditAnalyse
Implications
Accès Usage Archivage ‘Kill’
DEFENDREAccès Usage Archivage ‘Kill’
PCI DSS Reqs 7,8,9
ISO 27002 § 11
PCI DSS Req 10
ISO 27002 § 10.10
PCI DSS Req 3
ISO 27002 § 9.2.6§ 10.7.2§ 15.1.3
PCI DSS Reqs 3,4
ISO 27002 § 12.3
§ 10.5.1§ 15.1.6
CEO CISO
Sommes-nous protégés ?
IDENTIFIER
DISSEQUER
DEFENDRE
Découverte ClassificationData ID
Analyse
Protection & contrôle données
Principes auditAnalyse
Implications
Accès Usage Archivage ‘Kill’
On sait…
What we have
Why + Where we have it &Who is using it
How to protect it
CEO CISO
Que font nos concurrents ?
Grille de maturité InfoSec
DiU
DiM
DaR
DISCOVER CLASSIFY CONSOLIDATE DESIGN ENFORCE
Non adressé
Ponctuel, non consistent
Répétable, non documenté, occasionnelDéfini, documenté, prévisible
Mesuré, formalisé, automatisé
Optimisé, proactif
Stéphane Droxler Associé UDITIS SAExecutive Master in Economic Crime Investigation Economiste d’entreprise ESCEA
Tél. +41 32 557 55 01 / Mobile +41 79 458 43 [email protected]://www.uditis-forensic.blogspot.chhttp://ch.linkedin.com/in/stephanedroxler/