View
18
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Cours donné au Cergeco, ICHEC, durant l'année 2009-2010
Citation preview
Entreprise et informatique, sécurité et identité numérique
Jacques Folon
Partner Just In Time Management Group
Professeur ICHEC – ISFSC - IHECS
Professeur invité Université de Metz
DRH SAV Production
Achats
Marketing
Publicité
Vente
Sous-Traitant
Producteur de Machines
Fournisseurs
Supply Chain Managt B to B
Web
Fournisseurs
Soc de Service Push
Banque
Actionnaires
Sites de Recrutement
E-learning Télé-Tutoring
C
L
I
E
N
T
S
DistributeurMarchand
e-commerce
Sites d ’appel d ’offre
CONCURRENTS
Marketing one to one
Site Financier
e-mailing, bandeaux,site promotionnel...
trackingLogistique
CLIENTS
Back-up techniciens
SVP réclamations
TutoringClub utilisateur
Télémaintenance
B to B
Co-ingienerie
Extranet
Administr@tions
Sitedecrise
DG
Bureau d’Etude
Maintenance
EDI
Back-up commerciaux
Partenaires
Veille Concurrentielle et Intelligence Economique
$
Gestion Trésorerie
Dématérialisationdes procédures
Télémaintenance machines
Veille Technologique
Recherche nouveaux FournisseursMarket-Place
Télétravail
ASP
Gestion
DRH SAV Production
Achats
Marketing
Publicité
Vente
Sous-Traitant
Producteur de Machines
Fournisseurs
Supply Chain Managt B to B
Web
Fournisseurs
Soc de Service Push
Banque
Actionnaires
Sites de Recrutement
E-learning Télé-Tutoring
C
L
I
E
N
T
S
DistributeurMarchand
e-commerce
Sites d ’appel d ’offre
CONCURRENTS
Marketing one to one
Site Financier
e-mailing, bandeaux,site promotionnel...
trackingLogistique
CLIENTS
Back-up techniciens
SVP réclamations
TutoringClub utilisateur
Télémaintenance
B to B
Co-ingienerie
Extranet
administrations
Sitedecrise
DG
Bureau d’Etude
Maintenance
EDI
Back-up commerciaux
Partenaires
Veille Concurrentielle et Intelligence Economique
$
Gestion Trésorerie
Dématérialisationdes procédures
Télémaintenance machines
Veille Technologique
Recherche nouveaux FournisseursMarket-Place
Télétravail
ASP
Gestion
SCM
Extranet
KM C R MINTRANET
ERP
L’ informatique est parfaite!
Nous ne risquons rien!
Crédit: http://www2.istockphoto.com/file_thumbview_approve/4914894/2/istockphoto_4914894-mature-african-manager-in-the-office.jpg
La sécurité informatique ?
•On n’a jamais été attaqué !•Les informaticiens s’en occupent !•Pourquoi serait-on attaqué?•Nos données n’intéressent personne!•On a des mots de passe donc tout va bien !
Ce qui a changé depuis 1998 ?
• 89/90 : Le gouvernement US autorise l'usage commercial de l’Internet
• 92 : Le "World Wide Web"=> ouverture au monde PC=> ouverture au commerce électronique !?
• Explosion des réseaux IP (97)• Réalité industrielle (98)
Le phénomène Internet a fait prendre
conscience aux décideurs des problèmes existants de la
sécurité
Avancée rapide des technologies
Des besoins qui murissent
Reconnaissancedu marché
Publication d’informationPublication d’information
…l’utilisation évolue 1968 1998
Applications métiersApplications métiers
FonctionnalitésFonctionnalités Amélioration de la Amélioration de la
bande passantebande passante AdministrabilitéAdministrabilité Performance des Performance des
servicesservices
FonctionnalitésFonctionnalités Publication facilePublication facile Accès simplifié à Accès simplifié à
l’informationl’information Contenu richeContenu riche
ExemplesExemples MarketingMarketing JeuxJeux Commerce Commerce
électroniqueélectronique Téléphonie et visioTéléphonie et visio
Exemples Exemples d’applicationsd’applications
Rapports d’activités Rapports d’activités Liste de prix, Liste de prix,
catalogues catalogues
Pourquoi se Protéger ?
• Protéger le SI de l’entreprisepour lutter contre le piratage informatique
• Identifier les collaborateurs (authentification)• Échanges avec vos partenaires (confidentialité)• Virus (intégrité)• Messagerie (pollution des boites Email )• Commerce électronique
Les risques par domaine50% des risques viennent de l’intérieur des
entreprises
Access control & identity management
Id : mon prénomPassword : toto
La sécurité informatique
Le phénomène "Internet" a fait ressurgir les problèmes de sécurité informatique de l’entreprise
Prise de conscience de la direction Le responsable sécurité : RSSILa sécurité est un problème de culture et non
de technologie
Internet / Intranet / Extranetles outils de l’entreprise
Intranet : ensemble des technologies de l’Internet appliquées au domaine privé de l’entreprise. (réseau local IP)
Internet / Intranet : à la frontière entre Internet et Intranet doit exister une machine qui met en œuvre la politique de sécurité de l’entreprise
Extranet : doit exister une solution qui met en œuvre l'identification des partenaires
Serveur Web
Internet : la vision du public
RéseauTéléphoniqueou d’Entreprise
Internet
BanquesIntermédiaires(tiers de confiance)
Client Web
Commerce
Consommateurs
POP
Intranet et Internet : La vision de l’entreprise
Serveurs Web privés :Communication,Travail en groupe
Client Web
Collaborateur
Intranet
Internet
Applicatifs etBases de donnéesexistantes
Serveur Web public
PartenairesAccès à l’existant
Solutions de Sécurité
Technologie des «firewalls» (murs pare-feu)Serveur ProxyHébergement du serveur chez un prestataire externeGestion de la stratégie de la sécurité (Mdp + Id)Contrôle d'accès logique : SmartcardCryptographieTiers de confianceDisaster recovery
Cache hiérarchiqueCache hiérarchique
ParisParis
LyonLyon MarseilleMarseille
Internet
FIRE WALL
Internet
Agence de l'entreprise
Réseau privéLAN distant
Utilisateur en accès distant
SI de l'Entreprise
Utilisateur en accès local
Virtual Private Network
Internet
AltaVista Tunnel, ed. groupe
Réseau privéLAN distant
AltaVistal Tunnel, ed. personnelle
AltaVista Tunnel, ed. groupe
Vous êtes une cible !
Crédit: http://sbttacticalgear.free.fr/cible_2.jpg
Maîtres mots de la sécurité
Interdire tout ce qui n’est pas explicitement autoriséRéagir aux actions anormales ou hostilesJournaliser toute l’activitéÉduquer les administrateurs et les utilisateursNommer un responsable sécurité et lui donner les
pouvoirs nécessaires
Mot de passe
Crédithttp://pro.corbis.com/images/42-20485123.jpg?size=67&uid=%7B35602575-FF7F-47AF-8859-A758B65D95DA%7D
Votre mot de passe est important !
Une étude effectuée à Londres a démontré que 70% des personnes
interrogées ont donné leur mot de passe et login professionnels en échange
d’une sucrerie !
Les mots de passe des absents…
Utilisation du PC d’un collègue
• Utiliser son PC• Son mot de
passe• Son adresse
mail• …
Espérons que votre sécurité ne ressemble jamais à ceci !
3 types d’entreprises
• « liquidités trop faibles » pour passer le cap du ralentissement économique
• en « crise » dûs à des problèmes structurels (banques, industrie automobile, … )
• « solvabilité appréciable » (75% des PME belges (Deloitte))
OSEZ REPENSER VOTRE ENTREPRISEEnvironnement économique
Les pirates informatiques
existent !
Source: WHID
QUELQUES FAITS
•EN 2000 le chiffre d’affaire de la cybercriminalité a dépassé celui de la criminalité classique•70% du vol de données se fait avec la complicité volontaire ou non du personnel•On trouve sur la marché des clés USB de 200 Giga•Pas d’obligation en Europe de signaler les vols de données
SOURCE : http://www.slideshare.net/LumensionSecurity/2009-security-mega-trends-emerging-threats-presentation
Statistique récente aux USA• Chaque minute 19 personnes sont victime de vols de
données• Plus de 200 millions d’américains victimes en trois ans!• Un vol de données coute en moyenne 4 millions $• En moyenne dans les 1000 plus importantes sociétés
américaines – 2% des PC ne sont pas localisables– Un PC par jour disparaît
Source: http://www.slideshare.net/ramsesgallego/network-security-conference-ramss-gallego
DEFACEMENT
Quels sont les risques?
•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance•Sanctions pénales et civiles
On en parlera !
36
Le respect de la vie privée
http://www.villiard.com/images/informatique/vie-privee/vie-privee.jpg
AVANT
Ce que vous croyez
En réalité…
Ou êtes-vous?
Ou êtes-vous?
OSEZ REPENSER VOTRE ENTREPRISEEnvironnement
Les média sociaux
200.000.000 BlogsSur 100 internautes78% les consultent48% en ont créé un39% souscrivent à des flux RSS
57% ont rejoint les média sociaux55% ont exporté des photos83% regardent des vidéos
Commerce électronique• Le commerce électronique a besoin de sécurité
– (accès, transport, transactions)
• Les technologies correspondantes sont connues et disponibles, mais contrôlées par le gouvernement– Le SCSSI impose un tiers de confiance
• Leur déploiement sur l’Internet est en cours– SSL (Netscape), https
– SET,CSET (Microsoft, Netscape, IBM, Visa, Mastercard)
• ( signature et chiffrement )
Les employés envoient des informations vers le monde extérieur
Bienvenue dans l’économie numérique!
– « L’Entreprise 2.0 désigne l’usage de plateformes collaboratives et sociales au sein d’une entreprise ou de plusieurs entreprises et ses partenaires et clients »(Collaborative Attitude par Fred Cavazza)
– « Donner de la vitesse aux Entreprises 2.0 qui possèdent de la valeur sur un modèle de PRM» (Run your Network par Eric Herschkorn)
S’inscrire, pour avoir une identité numérique !
Identité: 2.0 ? La part de l’entrepriseIdentité: 2.0 ? La part de l’entreprisePersonnelle
Professionnelle
PubliquePrivée ID
contrôle
fonction - rôle
statut
liberté
Un risque pour la maîtrise de l’identité!
• Des services et des usages 2.0– Chat on line– Gestion de Contact– Courrier électronique– Courrier mensuel (newsletter)– Applications
• Portabilité des services multi réseaux
Identité numérique• Une simple réponse dans un blog ! avec usurpation d’identité
– Mais vous n’avez jamais répondu !!!
Quelle confiance dans ce nouvel environnement d’usages?
Besoin d’identité, mais pour quels sites ?
B2B
B2C
BusinessLoisirs
RSP
Media
Alumni
Rencontres
Cadran Magic RSP 2.0 by Sparinc –mars 2008
La transparence est devenue indispensable !
Comment faire pour protéger
vos données?
Stratégies incompatibles ?
Trois définitions importantes
On entend par "données à caractère personnel" toute information concernant une personne physique identifiée ou identifiable, désignée ci-après "personne concernée"; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs Éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale
Donnée personnelle
Par "traitement", on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés
Automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement,
l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute
autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que
le verrouillage, l'effacement ou la destruction de données à caractère personnel.
Traitement de données
Par "responsable du traitement", on entend la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
Responsable de traitement
1. Loyauté2. Finalité3. Proportionalité4. Exactitude des données5. Conservation non excessive6. Securité7. Confidentialité8. Finalité expliquée avant le consentement9. Information à la personne concernée10. Consentement indubitable (opt in)11. Déclaration à la commission de la vie privée
Responsabilités du responsable de traitement
Droits du citoyen
6 PRINCIPES:
1. Droit d’accès2. Droit de rectification3. Droit de refuser le marketing direct4. Droit de retrait5. Droit à la sécurité6. Acceptation préalable
Données reçues et transférées
Informations sensibles
•Race•Opinions politiques•Opinions religieuses ou philosophiques•Inscriptions syndicales•Comportement sexuel•Santé•Décisions judiciaires
Sécurité légale
Quelle procédure suivre ?
Sinon votre sécurité ce sera ça…
JUST IN TIME MANAGEMENT GROUP
Executive Expertise for Top Management
Contact: Jacques [email protected] Tél: +32 475 98 21 15
www.jitm.eu
Merci pour votre attention