La sécurité de votre système d'information : un sujet toujours d'actualité
- Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
- Comment assurer une protection efficace ?
- Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques
Competitic - Choisir son nom de domaine - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
1. Jeudi 21 novembre 2013
Le Sécurité de votre système d'information : un
sujet toujours d'actualité
2. Sécurité des systèmes d’information
(SSI)
Définition :
Ensemble des moyens techniques, organisationnels,
juridiques et humains pour conserver, rétablir et garantir :
la disponibilité,
l’intégrité,
la confidentialité
des informations de l’entreprise ou de l’organisme
Source : wikipédia
3. Le système d’information
Véritable patrimoine de l’entreprise, il est nécessaire de le protéger en
garantissant les ressources matérielles et logicielles (sécurité
informatique)
4. Les enjeux
- Conserver l’intégrité des données
- Assurer la confidentialité des informations
- Garantir la disponibilité des informations
- Permettre l’authentification des personnes
8. • Ingénieur conseil
en systèmes d’information et sécurité de l’information
• RSSI à temps partagé
• Expert près la Cour d’Appel d’Aix-en-Provence et la
Cour Administrative d’Appel de Marseille
• Président du CLUSIR PACA
Claude LELOUSTRE
Intervenant :
9. Sommaire
Les risques induits par les nouveaux usages en
entreprise : mobilité, cloud, réseaux sociaux,....?
Comment assurer une protection efficace ?
Comment maintenir sa sécurité ?
10. Problématique actuelle
La sécurité informatique était autrefois centrée sur les
machines, elle est aujourd’hui centrée sur l’utilisateur.
12. • Quels sont les risques informatiques
encourus par votre entreprise ?
• Evolution des menaces
• Nouvelles plates-formes: Windows 7/8, iPhone …
• Nouvelles pratiques :
• réseaux sociaux
• confidentialité des données personnelles
• frontière vie professionnelle / vie privée
• divulgation compulsive d’information
13. Les menaces
- L’utilisateur du système lui-même
- Une personne malveillante (via logiciels mal sécurisés par ex)
- Un programme malveillant
- Un sinistre (vol, incendie, dégât des eaux…)
14. 50% des courriels sont du spam
(95% en 2009)
• une nouvelle page Web
liée au spam toutes les 13 secondes
• Près de 6 500 nouvelles pages par jour
• Plus de 99% du spam est émis par des
systèmes compromis (zombies ou ”bots”)
• Les réseaux de botnets sont
entre les mains
des cybercriminels
les plus sophistiqués
15. Essor des menaces sur le Web
1 nouvelle page Web infectée
toutes les 3,6 secondes (23 500 pages/jour)
83% appartiennent à des sites légitimes
1% des recherches retournent une page infectée
Tous les types de sites sont touchés
fans de séries télé
sport
hôtels
musées
etc …
16. Retours d’expérience d’un expert judiciaire
Attaque site web e-commerce
Piratage installation téléphonique
Prise en otage du nom de domaine
Vol données commerciales
Atteinte au droit d’image
Le piratage, ça n’arrive pas qu’aux autres …
17. Ce qui s’est passé
attaque massive en déni de service
site paralysé
perte de CA
Ce qu’il a fallu faire
reconstruire le serveur
créer un honeypot « pot de miel »
Enseignements
risque : entourage proche
Attaque site web e-commerce
18. Ce qui s’est passé
18.000 € de facturation en une nuit
Ce qu’il a fallu faire
couper la ligne qq. jours
paramétrer le PABX
procès, expertise
Enseignements
le PABX fait partie du SI
surveiller les interventions du prestataire
Piratage installation téléphonique
Procès en cours
19. Ce qui s’est passé
oubli échéance renouvellement
achat par un tiers
Ce qu’il a fallu faire
racheter son nom de domaine (1000$)
Enseignements
affecter clairement cette tâche
Prise en otage du nom de domaine
20. Ce qui s’est passé
licenciement commercial
détournement de clientèle
Ce qu’il a fallu faire
plainte TC, procès, expertise
Enseignements
Contrôler l’accès aux données sensibles par les
collaborateurs
Vol données commerciales
21. Ce qui s’est passé
rupture de contrat
rémanence de l’info (photos) sur le web
Ce qu’il a fallu faire
procès, expertise
demande d’effacement
Enseignements
renforcer les contrats de droit à l’image
ne pas introduire de clauses impossibles
rendre techniquement impossible la copie de
données sensibles d’un site
Atteinte au droit d’image
22. Sommaire
Les risques induits par les nouveaux usages en
entreprise : mobilité, cloud, réseaux sociaux,....?
Comment assurer une protection efficace ?
Comment maintenir sa sécurité ?
23. Sécurité des systèmes d’information
Protéger son système d’information
est un véritable enjeu:
• Protection de l’accessibilité au système d’information
• Protection de l’intégrité de l’information
• Protection de la confidentialité de l’information
24. Identification du périmètre à protéger
Identification des risques :
vulnérabilités
menaces
Plan d’action
architecture technique
projets
organisation
budgets
Politique de sécurité des sytèmes d’information
( PSSI )
Assurer une protection efficace
25. Quels accidents peuvent survenir ?
pannes : logiciel / matériel, énergie,..
catastrophe naturelle : feu, eau, ….
Qui peut me vouloir du mal ?
personnellement : salarié, concurrent, proche,…
collectivement : spam, malware, escroc, hacker
PSSI : Identifier les risques
Assurer une protection efficace
26. les accepter
les réduire à un niveau acceptable
les transférer
les refuser ou les éviter
PSSI : Traiter les risques
Assurer une protection efficace
27. Les « Dix Commandements » de
la CNIL
1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB)
4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles
5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles
6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions …
7. Sécuriser l’accès physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données – conservez les données
d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de
stockage mobiles par chiffrement
9. Anticiper et formaliser une politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »
28. - I - Connaître le système d’information et ses utilisateurs
- II - Maîtriser le réseau
- III - Mettre à niveau les logiciels
- IV - Authentifier l’utilisateur
- V - Sécuriser les équipements terminaux
- VI - Sécuriser l’intérieur du réseau
- VII - Protéger le réseau interne de l’Internet
- VIII - Surveiller les systèmes
- IX - Sécuriser l’administration du réseau
- X - Contrôler l’accès aux locaux et la sécurité physique
- XI - Organiser la réaction en cas d’incident
- XII - Sensibiliser
- XIII - Faire auditer la sécurité
Guide d’hygiène informatique (ANSSI - 2013)
29. Sommaire
Les risques induits par les nouveaux usages en
entreprise : mobilité, cloud, réseaux sociaux,....?
Comment assurer une protection efficace ?
Comment maintenir sa sécurité ?
30. Eduquez les utilisateurs
• Présentations
• Menaces à la sécurité des données
• Conséquences des fuites de données
• Recommandations sur
la protection des données
• Livre blanc
• Protection des informations
à caractère personnel
• Vidéos sur la sécurisation des mots de passe
• Vidéos sur la protection des données
31. Eduquez les utilisateurs
• Recommandations
sur l’utilisation des réseaux sociaux
• Présentations
• Menaces sur les réseaux sociaux
• Impact sur les entreprises
• Statistiques et exemples
• Vidéos sur la sécurisation
des mots de passe
• Vidéos sur le phishing
• Dictionnaire des menaces
32. Rien n’est jamais terminé
La sécurité est un processus continu
PDCA roue du Deming
to PLAN
to DO
to CHECK
to ACT
En guise de conclusion
34. Découvrez les usages des TIC,
les actualités, l’agenda des
évènements et les entreprises
de la filière TIC régionale sur le
« portail des usages »
Consultez le support de cette
présentation :
www.lenumeriquepourmonentreprise.com
35. « Système d’information, télécomunications, internet » : quand la quête de performance passe nécessairement par une intégration
des TIC dans les industries, les CCI de la région PACA, l’Europe, le Conseil Régional Provence Alpes Côte D’azur et la DIRRECTE PACA se
mobilisent pour vous proposer un programme d’accompagnement unique
PETITES ET MOYENNES INDUSTRIES : MODERNISEZ-VOUS GRÂCE AU
NOUVEAU PROGRAMME D’ACCOMPAGNEMENT
« COMPETITIC PRO DE L’INDUSTRIE »
GMAO
GPAO
PLATEFORMECOLLABORATIVE
PLM
ERP
ECOMMERCE
WAREHOUSEMANAGEMENTSYSTEM
TRANSPORTMANAGEMENTSYSTEM
CONCEPTIONASSISTÉEPARORDINATEUR
SUPPLYCHAINEVENTMANAGEMENT
PLANIFICATIONAVANCÉESOUSCONTRAINTE
INFORMATIQUEDÉCISIONNELLE
CLOUD
ÉCHANGEDEDONNÉESINFORMATISÉES
GESTIONÉLECTRONIQUEDOCUMENTAIRE
BAAS
CRM
IMPRIMANTE3D
APPLICATIONMOBILE
TRAÇABILITÉCODEBARRE
RFID
NFC
SIRESSOURCESHUMAINES
SIFINANCIER
36. « COMPETITIC PRO DE L’INDUSTRIE » UN PROGRAMME A FORTE
VALEUR AJOUTEE…
1 audit
de la stratégie de votre système
d’information
3 Ateliers
d’approfondissement
Jusqu’à 3 jours de
conseil
• Réaliser avec l’aide d’un
consultant
• un état des lieux du système
d’information de votre PMI
• Une liste de préconisations
contribuant à la croissance
de votre PMI
• Permettre aux dirigeants de
monter en compétences en
matière de gestion du
système d’information. Ces
ateliers pourront porter, par
exemple, sur les thématiques
suivantes :
• Quels sont les enjeux de
l’intégration des TIC pour
l’industrie ?
• Comment acheter de
l’informatique ?
• Quel est le rôle du dirigeant
dans un projet « système
d’information » structurant ?
• Comment sécuriser son
système d’information ?
• Disposer d’un expertise d’un
consultant dans la mise en
œuvre d’une à deux actions
structurantes identifiées lors
de l’audit
• Réaliser un bilan avec votre
conseiller TIC de l’impact du
programme « COMPETITIC
PRO DE L’INDUSTRIE » dans
votre PMI
37. Forfait :
1 audit de votre stratégie numérique
3 ateliers d’approfondissement et de
formation à la gestion du SI dans une PMI
1 bilan individuel
1 séminaire de clôture du programme
Prestation complémentaires :
1 à 3 jours de conseil et
d’accompagnement personnalisé
Prix public Pris en charge
Coût pour
l’entreprise
500€ HT
150€ HT/jour
2550€ HT
1000€
HT/jour
2050€ HT
850€ HT/jour
Nombre de places limitées, contactez vite votre CCI ! Dossier de candidature à
rendre avant le 15 JANVIER 2013
UNE FORTE IMPLICATION DES PARTENAIRES POUR SOUTENIR LA
MODERNISATION DE VOTRE PMI
38. Jeudi 28 novembre 2013
Gérez vos achats et vos
approvisionnements avec les TIC
La prochaine action
Notas do Editor
De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire l'information (on parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité des traitements, les partages de données et l'interactivité ont augmenté de façon considérable — mais c'est également le cas des pannes — indisponibilités, incidents, erreurs, négligences et malveillances en particulier avec l'ouverture sur internet.