71
Entreprise et informatique, sécurité et identité numérique Jacques Folon Partner Just In Time Management Group Professeur ICHEC – ISFSC - IHECS Professeur invité Université de Metz

Cergeco informatique de gestion

Embed Size (px)

DESCRIPTION

Cours donné au Cergeco, ICHEC, durant l'année 2009-2010

Citation preview

Page 1: Cergeco informatique de gestion

Entreprise et informatique, sécurité et identité numérique

Jacques Folon

Partner Just In Time Management Group

Professeur ICHEC – ISFSC - IHECS

Professeur invité Université de Metz

Page 2: Cergeco informatique de gestion

DRH SAV Production

Achats

Marketing

Publicité

Vente

Sous-Traitant

Producteur de Machines

Fournisseurs

Supply Chain Managt B to B

Web

Fournisseurs

Soc de Service Push

Banque

Actionnaires

Sites de Recrutement

E-learning Télé-Tutoring

C

L

I

E

N

T

S

DistributeurMarchand

e-commerce

Sites d ’appel d ’offre

CONCURRENTS

Marketing one to one

Site Financier

e-mailing, bandeaux,site promotionnel...

trackingLogistique

CLIENTS

Back-up techniciens

SVP réclamations

TutoringClub utilisateur

Télémaintenance

B to B

Co-ingienerie

Extranet

Administr@tions

Sitedecrise

DG

Bureau d’Etude

Maintenance

EDI

Back-up commerciaux

Partenaires

Veille Concurrentielle et Intelligence Economique

$

Gestion Trésorerie

Dématérialisationdes procédures

Télémaintenance machines

Veille Technologique

Recherche nouveaux FournisseursMarket-Place

Télétravail

ASP

Gestion

Page 3: Cergeco informatique de gestion

DRH SAV Production

Achats

Marketing

Publicité

Vente

Sous-Traitant

Producteur de Machines

Fournisseurs

Supply Chain Managt B to B

Web

Fournisseurs

Soc de Service Push

Banque

Actionnaires

Sites de Recrutement

E-learning Télé-Tutoring

C

L

I

E

N

T

S

DistributeurMarchand

e-commerce

Sites d ’appel d ’offre

CONCURRENTS

Marketing one to one

Site Financier

e-mailing, bandeaux,site promotionnel...

trackingLogistique

CLIENTS

Back-up techniciens

SVP réclamations

TutoringClub utilisateur

Télémaintenance

B to B

Co-ingienerie

Extranet

administrations

Sitedecrise

DG

Bureau d’Etude

Maintenance

EDI

Back-up commerciaux

Partenaires

Veille Concurrentielle et Intelligence Economique

$

Gestion Trésorerie

Dématérialisationdes procédures

Télémaintenance machines

Veille Technologique

Recherche nouveaux FournisseursMarket-Place

Télétravail

ASP

Gestion

SCM

Extranet

KM C R MINTRANET

ERP

Page 4: Cergeco informatique de gestion

L’ informatique est parfaite!

Nous ne risquons rien!

Page 5: Cergeco informatique de gestion

Crédit: http://www2.istockphoto.com/file_thumbview_approve/4914894/2/istockphoto_4914894-mature-african-manager-in-the-office.jpg

La sécurité informatique ?

•On n’a jamais été attaqué !•Les informaticiens s’en occupent !•Pourquoi serait-on attaqué?•Nos données n’intéressent personne!•On a des mots de passe donc tout va bien !

Page 6: Cergeco informatique de gestion

Ce qui a changé depuis 1998 ?

• 89/90 : Le gouvernement US autorise l'usage commercial de l’Internet

• 92 : Le "World Wide Web"=> ouverture au monde PC=> ouverture au commerce électronique !?

• Explosion des réseaux IP (97)• Réalité industrielle (98)

Le phénomène Internet a fait prendre

conscience aux décideurs des problèmes existants de la

sécurité

Page 7: Cergeco informatique de gestion

Avancée rapide des technologies

Des besoins qui murissent

Reconnaissancedu marché

Publication d’informationPublication d’information

…l’utilisation évolue 1968 1998

Applications métiersApplications métiers

FonctionnalitésFonctionnalités Amélioration de la Amélioration de la

bande passantebande passante AdministrabilitéAdministrabilité Performance des Performance des

servicesservices

FonctionnalitésFonctionnalités Publication facilePublication facile Accès simplifié à Accès simplifié à

l’informationl’information Contenu richeContenu riche

ExemplesExemples MarketingMarketing JeuxJeux Commerce Commerce

électroniqueélectronique Téléphonie et visioTéléphonie et visio

Exemples Exemples d’applicationsd’applications

Rapports d’activités Rapports d’activités Liste de prix, Liste de prix,

catalogues catalogues

Page 8: Cergeco informatique de gestion

Pourquoi se Protéger ?

• Protéger le SI de l’entreprisepour lutter contre le piratage informatique

• Identifier les collaborateurs (authentification)• Échanges avec vos partenaires (confidentialité)• Virus (intégrité)• Messagerie (pollution des boites Email )• Commerce électronique

Page 9: Cergeco informatique de gestion

Les risques par domaine50% des risques viennent de l’intérieur des

entreprises

Page 10: Cergeco informatique de gestion

Access control & identity management

Id : mon prénomPassword : toto

Page 11: Cergeco informatique de gestion

La sécurité informatique

Le phénomène "Internet" a fait ressurgir les problèmes de sécurité informatique de l’entreprise

Prise de conscience de la direction Le responsable sécurité : RSSILa sécurité est un problème de culture et non

de technologie

Page 12: Cergeco informatique de gestion

Internet / Intranet / Extranetles outils de l’entreprise

Intranet : ensemble des technologies de l’Internet appliquées au domaine privé de l’entreprise. (réseau local IP)

Internet / Intranet : à la frontière entre Internet et Intranet doit exister une machine qui met en œuvre la politique de sécurité de l’entreprise

Extranet : doit exister une solution qui met en œuvre l'identification des partenaires

Page 13: Cergeco informatique de gestion

Serveur Web

Internet : la vision du public

RéseauTéléphoniqueou d’Entreprise

Internet

BanquesIntermédiaires(tiers de confiance)

Client Web

Commerce

Consommateurs

POP

Page 14: Cergeco informatique de gestion

Intranet et Internet : La vision de l’entreprise

Serveurs Web privés :Communication,Travail en groupe

Client Web

Collaborateur

Intranet

Internet

Applicatifs etBases de donnéesexistantes

Serveur Web public

PartenairesAccès à l’existant

Page 15: Cergeco informatique de gestion

Solutions de Sécurité

Technologie des «firewalls» (murs pare-feu)Serveur ProxyHébergement du serveur chez un prestataire externeGestion de la stratégie de la sécurité (Mdp + Id)Contrôle d'accès logique : SmartcardCryptographieTiers de confianceDisaster recovery

Page 16: Cergeco informatique de gestion

Cache hiérarchiqueCache hiérarchique

ParisParis

LyonLyon MarseilleMarseille

Internet

Page 17: Cergeco informatique de gestion

FIRE WALL

Internet

Agence de l'entreprise

Réseau privéLAN distant

Utilisateur en accès distant

SI de l'Entreprise

Utilisateur en accès local

Page 18: Cergeco informatique de gestion

Virtual Private Network

Internet

AltaVista Tunnel, ed. groupe

Réseau privéLAN distant

AltaVistal Tunnel, ed. personnelle

AltaVista Tunnel, ed. groupe

Page 19: Cergeco informatique de gestion

Vous êtes une cible !

Crédit: http://sbttacticalgear.free.fr/cible_2.jpg

Page 20: Cergeco informatique de gestion

Maîtres mots de la sécurité

Interdire tout ce qui n’est pas explicitement autoriséRéagir aux actions anormales ou hostilesJournaliser toute l’activitéÉduquer les administrateurs et les utilisateursNommer un responsable sécurité et lui donner les

pouvoirs nécessaires

Page 21: Cergeco informatique de gestion
Page 22: Cergeco informatique de gestion

Mot de passe

Crédithttp://pro.corbis.com/images/42-20485123.jpg?size=67&uid=%7B35602575-FF7F-47AF-8859-A758B65D95DA%7D

Page 23: Cergeco informatique de gestion

Votre mot de passe est important !

Une étude effectuée à Londres a démontré que 70% des personnes

interrogées ont donné leur mot de passe et login professionnels en échange

d’une sucrerie !

Page 24: Cergeco informatique de gestion

Les mots de passe des absents…

Page 25: Cergeco informatique de gestion
Page 26: Cergeco informatique de gestion
Page 27: Cergeco informatique de gestion

Utilisation du PC d’un collègue

• Utiliser son PC• Son mot de

passe• Son adresse

mail• …

Page 28: Cergeco informatique de gestion

Espérons que votre sécurité ne ressemble jamais à ceci !

Page 29: Cergeco informatique de gestion

3 types d’entreprises

• « liquidités trop faibles » pour passer le cap du ralentissement économique

• en « crise » dûs à des problèmes structurels (banques, industrie automobile, … )

• « solvabilité appréciable » (75% des PME belges (Deloitte))

OSEZ REPENSER VOTRE ENTREPRISEEnvironnement économique

Les pirates informatiques

existent !

Page 30: Cergeco informatique de gestion

Source: WHID

Page 31: Cergeco informatique de gestion

QUELQUES FAITS

•EN 2000 le chiffre d’affaire de la cybercriminalité a dépassé celui de la criminalité classique•70% du vol de données se fait avec la complicité volontaire ou non du personnel•On trouve sur la marché des clés USB de 200 Giga•Pas d’obligation en Europe de signaler les vols de données

Page 32: Cergeco informatique de gestion

SOURCE : http://www.slideshare.net/LumensionSecurity/2009-security-mega-trends-emerging-threats-presentation

Page 33: Cergeco informatique de gestion

Statistique récente aux USA• Chaque minute 19 personnes sont victime de vols de

données• Plus de 200 millions d’américains victimes en trois ans!• Un vol de données coute en moyenne 4 millions $• En moyenne dans les 1000 plus importantes sociétés

américaines – 2% des PC ne sont pas localisables– Un PC par jour disparaît

Source: http://www.slideshare.net/ramsesgallego/network-security-conference-ramss-gallego

Page 34: Cergeco informatique de gestion

DEFACEMENT

Page 35: Cergeco informatique de gestion

Quels sont les risques?

•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance•Sanctions pénales et civiles

On en parlera !

Page 36: Cergeco informatique de gestion

36

Le respect de la vie privée

http://www.villiard.com/images/informatique/vie-privee/vie-privee.jpg

Page 37: Cergeco informatique de gestion

AVANT

Page 38: Cergeco informatique de gestion

Ce que vous croyez

Page 39: Cergeco informatique de gestion

En réalité…

Page 40: Cergeco informatique de gestion

Ou êtes-vous?

Ou êtes-vous?

Page 41: Cergeco informatique de gestion

OSEZ REPENSER VOTRE ENTREPRISEEnvironnement

Les média sociaux

Page 42: Cergeco informatique de gestion

200.000.000 BlogsSur 100 internautes78% les consultent48% en ont créé un39% souscrivent à des flux RSS

Page 43: Cergeco informatique de gestion

57% ont rejoint les média sociaux55% ont exporté des photos83% regardent des vidéos

Page 44: Cergeco informatique de gestion

Commerce électronique• Le commerce électronique a besoin de sécurité

– (accès, transport, transactions)

• Les technologies correspondantes sont connues et disponibles, mais contrôlées par le gouvernement– Le SCSSI impose un tiers de confiance

• Leur déploiement sur l’Internet est en cours– SSL (Netscape), https

– SET,CSET (Microsoft, Netscape, IBM, Visa, Mastercard)

• ( signature et chiffrement )

Page 45: Cergeco informatique de gestion

Les employés envoient des informations vers le monde extérieur

Page 46: Cergeco informatique de gestion

Bienvenue dans l’économie numérique!

– « L’Entreprise 2.0 désigne l’usage de plateformes collaboratives et sociales au sein d’une entreprise ou de plusieurs entreprises et ses partenaires et clients »(Collaborative Attitude par Fred Cavazza)

– « Donner de la vitesse aux Entreprises 2.0 qui possèdent de la valeur sur un modèle de PRM» (Run your Network par Eric Herschkorn)

Page 47: Cergeco informatique de gestion

S’inscrire, pour avoir une identité numérique !

Page 48: Cergeco informatique de gestion

Identité: 2.0 ? La part de l’entrepriseIdentité: 2.0 ? La part de l’entreprisePersonnelle

Professionnelle

PubliquePrivée ID

contrôle

fonction - rôle

statut

liberté

Page 49: Cergeco informatique de gestion

Un risque pour la maîtrise de l’identité!

• Des services et des usages 2.0– Chat on line– Gestion de Contact– Courrier électronique– Courrier mensuel (newsletter)– Applications

• Portabilité des services multi réseaux

Page 50: Cergeco informatique de gestion

Identité numérique• Une simple réponse dans un blog ! avec usurpation d’identité

– Mais vous n’avez jamais répondu !!!

Quelle confiance dans ce nouvel environnement d’usages?

Page 51: Cergeco informatique de gestion

Besoin d’identité, mais pour quels sites ?

B2B

B2C

BusinessLoisirs

RSP

Media

Alumni

Rencontres

Cadran Magic RSP 2.0 by Sparinc –mars 2008

Page 52: Cergeco informatique de gestion
Page 53: Cergeco informatique de gestion
Page 54: Cergeco informatique de gestion
Page 55: Cergeco informatique de gestion

La transparence est devenue indispensable !

Page 56: Cergeco informatique de gestion

Comment faire pour protéger

vos données?

Page 57: Cergeco informatique de gestion

Stratégies incompatibles ?

Page 58: Cergeco informatique de gestion

Trois définitions importantes

Page 59: Cergeco informatique de gestion

On entend par "données à caractère personnel" toute information concernant une personne physique identifiée ou identifiable, désignée ci-après "personne concernée"; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs Éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale

Donnée personnelle

Page 60: Cergeco informatique de gestion

Par "traitement", on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés

Automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement,

l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute

autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que

le verrouillage, l'effacement ou la destruction de données à caractère personnel.

Traitement de données

Page 61: Cergeco informatique de gestion

Par "responsable du traitement", on entend la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Responsable de traitement

Page 62: Cergeco informatique de gestion

1. Loyauté2. Finalité3. Proportionalité4. Exactitude des données5. Conservation non excessive6. Securité7. Confidentialité8. Finalité expliquée avant le consentement9. Information à la personne concernée10. Consentement indubitable (opt in)11. Déclaration à la commission de la vie privée

Responsabilités du responsable de traitement

Page 63: Cergeco informatique de gestion

Droits du citoyen

6 PRINCIPES:

1. Droit d’accès2. Droit de rectification3. Droit de refuser le marketing direct4. Droit de retrait5. Droit à la sécurité6. Acceptation préalable

Page 64: Cergeco informatique de gestion

Données reçues et transférées

Page 65: Cergeco informatique de gestion

Informations sensibles

•Race•Opinions politiques•Opinions religieuses ou philosophiques•Inscriptions syndicales•Comportement sexuel•Santé•Décisions judiciaires

Page 66: Cergeco informatique de gestion

Sécurité légale

Page 67: Cergeco informatique de gestion
Page 68: Cergeco informatique de gestion

Quelle procédure suivre ?

Page 69: Cergeco informatique de gestion

Sinon votre sécurité ce sera ça…

Page 70: Cergeco informatique de gestion

JUST IN TIME MANAGEMENT GROUP

Executive Expertise for Top Management

Contact: Jacques [email protected] Tél: +32 475 98 21 15

www.jitm.eu

Page 71: Cergeco informatique de gestion

Merci pour votre attention