1. Sécurité informatique
Des risques et des solutions
Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008
2. Présentation de l’association
72 adhérents qui représentent le secteur des TIC dans le département.
Développer la filière.
Promouvoir nos offres.
Contribuer au développement économique.
Concevoir et diffuser des réalisations collectives.
Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008
3. Sécurité informatique
Approche proposée
Les risques par catégorie
Les solutions pratiques
Les actions à conduire
Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008
4. Organisation
informatique classique
…en contact avec des tiers…
…raccordés à un réseau local…
…désormais à Internet…
Des collaborateurs qui
utilisent des micro
ordinateurs…
…souvent avec un serveur…
…et assistés par des techniciens pressés.
…mais pas toujours…
Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008
5. Les risques par catégorie
-Altération (virus)
-Altération (bug programme)
Informations (données/logiciels) -Perte (manipulation)
-Perte (obsolescence)
-Altération (accès non souhaité )
Transportées sur des réseaux -Altération (détournement)
-Perte (panne technique)
-Perte (diffusion intempestive)
-Indisponibilité (panne mécanique)
Stockées dans des ordinateurs/serveurs -Indisponibilité(erreur logicielle)
-Perte (panne mécanique)
-Perte (destruction intempestive)
-Destruction (dégâts eaux, feu… )
Situés dans des locaux -Indisponibilité (énergie)
-Perte (vol)
-Non autorisées (mot de passe )
-Maladroites (non informées)
Utilisées par des personnes
-Malveillantes
-Non destinatrices / satisfaites
6. Une protection standard
Actions Coûts
Faire l’analyse des risques et situer le curseur 3 jours en interne.
de protection. 1 jour par an.
Collaborateurs Rédiger et faire signer des documents. 2 jours en interne.
Mettre en place une gestion des droits d’accès. Appui d’un expert.
Vérifier le niveau des compétence.
Tiers Rédiger / Lire les contrats avec les tiers. Assurance adaptée :
Souscrire un contrat d’assurance adapté.
Locaux Protéger les accès. Un verrou à clavier : 150 eht
Mettre un onduleur/batterie. Un onduleur 5PC : 400 eht
Une clim mobile : 500 eht
Climatiser la salle informatique.
Un ensemble détecteurs : 2 000 eht
Mettre des détecteurs incendie/humidité. (caméra, détecteur fumée, humidité..)
Equipements Surveiller les contrats de maintenance.
Identifier les équipements critiques, les « doubler ». Des disques « miroirs » : + 20%
Sauvegarder en ligne 10GO :
Gérer les dossiers et les droits d’accès. 100eht/an
Sauvegarder les données. Une unité de sauvegarde : 500 eht
Réseaux Séparer les réseaux « publics » et « privés ». Un pare-feu évolué : 1 000 eht et 200
eht/an.
Interdire ce qui n’est pas autorisé.
Identifier les solutions de secours.
Données Mettre en œuvre une solution antivirale. Un antivirus : 20eht/an/poste.
Gérer le stockage des données et les sauvegardes. Un coffre fort : 300 eht
Maintenir les logiciels en rapport avec les données.
7. Collaborateurs
Rappel à la loi sur l’écran de connexion
Saisie et changement mot de passe
Procédures Exploitation / Production:
- Serveurs / Stations
- Droits Utilisateurs
- Messagerie
- Stockage / Archivage / Sauvegarde
- Pare-Feux / Routeurs / Concentrateurs
- Téléphonie IP / Analogique
Gestion du mot de passe:
Procédure entrée/sortie collaborateur - Nbre de caractères minimum
- Règlement intérieur - Validité
- Données personnelles - Complexité (Majuscule, chiffre, autres)
- Boîte aux lettres (Mail)
- Accès aux répertoires de l ’entreprise
8. Tiers
• Contrats ou Convention de Services
– Les services Rendus
• Exhaustivité des services rendus
– Temps
• Réponse
• Exécution
• Résultat
• Continuité d’effort
• Escalade
– Personnels intervenants
• Qualification
• Rôle
– Pénalités
14. Le contexte des entreprises
Democratisation de l’ADSL
Ouverture des ports
Multiplication des applications
Applications web
Nomadisme
Evolution des sites distants
Croissance du WIFI
2 Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY
15. Les problematiques
Complexite des dangers
Turn Over
Extranet
Relations Fournisseurs/ Clients
Evolution des methodes de travail
Complexification du nomadisme
Sous traitance
Gestion de la messagerie
3 Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY
16. Les dangers, les risques et les consequences
Attaques ordonnees (intrusions, trojans, worms, …)
Attaques desordonnees (spyware, phishing, pharming, keylogging…)
Utilisations des ressources
Usurpation d’identite
Interruptions des services
Perte, vol ou corruption des donnees
Atteinte a l’image
Risques juridiques et financiers
Vulnerabilites
Spams
4 Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY
17. Qui sont-ils et quelles sont leurs motivations
Script kiddies
Hackers
Social Engineering
5 Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY
18. Pourquoi les PME et les administrations
Peu de ressources
Peu de connaissances
Responsabilités peu assumées
Mutualisation des competences
6 Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY
19. Les besoins
Contrôle d’accès
Confidentialite
Productivite
Verification d’identite
Gestion de la bande passante
Les acces nomades
Les donnees
Les utilisateurs
Risque juridique
Le reporting
7 Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY
20. Les solutions
Le Firewall
La DMZ
Le VPN
Le filtrage de contenu
La sauvegarde en continu
L’authentification
L’analyse de logs
La supervision et l’administration centralisée
8 Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY
21. La sécurité SonicWALL
SÉCURITÉ SÉCURISATION DE SAUVEGARDE
ACCÈS DISTANT
PÉRIMÉTRIQUE LA MESSAGERIE EN CONTINU
Firewall UTM VPN SSL Antispam Boîtiers de
sauvegarde
EX-750/1600/2500 ES 6000/8000
NSA E5500/E6500/E7500
CDP
NSA 2400/3500/4500/5000 1440i/2400i/3400i/4400i
SSL-VPN 200/2000/4000
ES 200/300/400/500
TZ 150/180/190
Global Management System
9 Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY
25. A la réception, contrôle de la signature
Ce symbole matérialise
un message signé :
cliquer dessus pour
vérifier la validité
26. Vérification de la validité de la signature
La signature
est valide …
…car chaque point
de vérification est
positif
27. Les conditions sont réunies
• Les technologies ont atteint un niveau
d’ergonomie et de fiabilité suffisant pour
être déployés en masse.
• Les méthodologies d’approche sont
maintenant claires.
• Dispositions légales et réglementaires
suffisamment claires.
28. Apports de la dématérialisation
Diminution des coûts Diminution des délais
C
D
Q
Accroissement de la
qualité
29. Diminution des coûts
Coût de logistique interne
Coût de secrétariat
frappe duplication emballage
Coût de fournitures
amortissements consommables
Coût de logistique externe
30. Diminution des délais
Délais de logistique interne
Délais de construction du document final
Délais de duplication
Délais d’emballage
Délais de logistique externe
31. Chambersign
• Chambersign : Entité dédiée des Chambres de
Commerce qui délivre la carte d’identité ou le
passeport électronique qui permet à chaque
personne identifiée au sein d’une entreprise
d’échanger de manière légale et sécurisée.
• Les Chambres de Commerce sont là,
localement, pour assurer le lien entre la carte
d’identité virtuelle et la réalité de l’entreprise
32. Un réseau de proximité
• 107 points d’enregistrements répartis sur
l’ensemble du territoire français
– 250 opérateurs professionnels formés
aux besoins des entreprises
– 10 réseaux de Chambres de Commerce
européennes sous le label
ChamberSign
33. Les classes de certificats
Pas de contrôle Contrôle sans Contrôle avec
d’identité face à face face à face
Support physique
sécurisé
Support physique
Support logiciel
a le
ob
é Gl
r it
S écu
34. Les services associés
• Assurance des services de certification auprès de
Fia Net, courtier spécialisé dans les risques liés à
l’internet marchand
• Remplacement du certificat :
– En cas de perte, vol, ou destruction
– Montant assuré : le prix du certificat
• Utilisation frauduleuse du certificat:
– Remboursement des pertes financières en cas
d'utilisation malveillante ou frauduleuse du certificat et en
charge des frais et pertes divers.
– Montant assuré : 3000 Euros par certificat et par année
d'assurance.
35. La chaîne de confiance
La confiance ne s’acquiert pas de facto
ChamberSign et ses partenaires forment une chaîne de
la confiance.
Appels Coffre fort Facture
d’offres électronique
Certificat
Télé électronique Vote
procédures
procé ChamberSign électronique
Courrier Contrats Horodatage
électronique électroniques
37. LE RISQUE INFORMATIQUE
Quel que soit le secteur d’activité de votre entreprise, les
défaillances informatiques peuvent impacter sur :
– La gestion des approvisionnements
– La production
– La gestion des ventes
– La consolidation des informations financières
– La gestion du personnel
38. LE RISQUE INFORMATIQUE
–La panne ou dysfonctionnement des systèmes d’information ou destruction
physique des équipements informatiques
Exemple : Suppression de l’accès Internet suite à panne électrique chez le
fournisseur d’accès
Exemple : Site web non accessible du fait de liens défectueux
–La fraude informatique, notamment du fait de la non sécurisation d’un site
Internet, la malveillance
–La propagation de virus informatiques en l’absence de système anti-virus
ou firewall
–La perte de données – nécessité de sauvegardes internes ou externalisées
Exemple : Endommagement de données suite à problème technique sur le serveur.
39. LE RISQUE INFORMATIQUE
–L’endommagement de matériel, équipement informatique, Unité centrale, PC
portable…confiés par les clients pour entretien ou réparation.
–La vente d’un logiciel inadapté ou défaillant
–Le détournement de codes, de données par un préposé ou un sous-traitant de
votre entreprise
Exemple : le sabotage des programmes informatiques d’une chaîne de
production a conduit une entreprise à stopper sa chaîne lorsque la non-
conformité des produits à la sortie a été détectée
Les informations stockées ou véhiculées par les systèmes d’informations représentent
une valeur patrimoniale supérieure à celle du Système d’information lui-même.
40. LE RISQUE INFORMATIQUE
– Un relevé d’informations erroné, une erreur d’analyse, d’interprétation
– Une faute commise dans le traitement des données relevées n’aboutissant
pas au résultat escompté tel que par exemple à l’amélioration de la productivité
d’une entreprise.
Exemple : Une erreur de paramétrage lors des mises à jour de base de données pour une
entreprise de marketing par mailing n’a pas été détectée immédiatement. Lorsque la
détection a eu lieu, l’entreprise a constaté que les bases de données
sauvegardées depuis 6 mois étaient systématiquement fausses.
- La perte de données
41. LES RÉPONSES ASSURANCES À CES RISQUES
Deux réponses assurances complémentaires.
La RESPONSABILITE CIVILE PROFESSIONNELLE répondant à une
mise en cause de la Société.
La RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
répondant à une mise en cause personnelle du dirigeant.
43. L’ASSURANCE RESPONSABILITE CIVILE
PROFESSIONNELLE
1. Objet de la garantie
Cette assurance garantit votre société contre les
conséquences pécuniaires de la Responsabilité civile
qu’elle peut encourir vis-à-vis des tiers, en raison des
tiers
négligences et fautes commises par les collaborateurs,
préposés, dans l'exercice de leurs activités.
2. Intervention de l’assureur :
Prise en charge (dans les limites et conditions fixées
dans votre contrat) des frais engagés par le tiers victime
afin de le remettre dans la situation dans laquelle il aurait
été en l’absence du préjudice.
44. QUELQUES CONSEILS
A L’ATTENTION DES SOCIETES INFORMATIQUES
•Prévoir des solutions de back-up internes ou externes pour assurer la
continuité de la maintenance et assistance informatique pour pallier à
tout imprévu.
•Contrôler les sous-traitants
Votre responsabilité peut être mise en cause du fait de
l’intervention de vos sous-traitants.
•Vérifier qu’aucune clause de renonciation à recours ne soit intégrée
dans les contrats que vous passés avec vos sous-traitants.
45. QUELQUES CONSEILS
A L’ATTENTION DES SOCIETES INFORMATIQUES
•Demander une attestation d’assurance Responsabilité Civile
Professionnelle à vos sous-traitants afin de s’assurer d’une facilité de
recours en cas de sinistre.
•S’assurer contre les risques professionnels liés à vos activités,
notamment pour une erreur ou un défaut de conseil
46. QUELQUES CONSEILS
A L’ATTENTION DES TOUTES SOCIETES
•Réaliser régulièrement des sauvegardes de données au moyen d’un
système interne ou externe.
•Disposer d’un système anti-virus et Firewall
•Sécuriser votre site Internet notamment si vous pratiquez l’e-commerce.
•S’assurer contre les risques liés à l’exercice de vos activités
48. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Qui est assuré ?
Dirigeant de Droit (qui a un titre comme PDG, Gérant, Président
d’Association)
• Dirigeant de fait (qui est reconnu par le tribunal comme ayant eu la
possibilité de causer le dommage et qui est donc tenu de le réparer )
•Les bénéficiaires d’une délégation ou sous délégation de pouvoir
même non écrite
•Toute personne dans l’entreprise mise en cause au titre d’une faute
liée à l’emploi (ex: harcèlement, discrimination,…)
•Toute personne dans l’entreprise mis en cause personnellement, au
moins pour des frais de défense qui viseront à démontrer que cette
personne n’a pas eu la capacité de causer le dommage.
49. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Qui peut être mettre en cause un dirigeant ?
Créanciers Fournisseurs Autorités de régulation
Autres Dirigeants Clients
Tous actionnaires
Anciens dirigeants DIRIGEANT Actionnaires familiaux,
Minoritaires ou institutionnels
Concurrents Pouvoirs Publics
Employés, Anciens
L’entreprise Maison mère
Employés, Candidats
50. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Les fondements de la mise en cause
Les exemples de mises en causes se retrouvent :
• Quel que soit le type de société commerciales ou Association,
• Et, quelle que soit sa taille, son activité, sa forme juridique (en effet
la forme juridique ne peut faire écran et protéger le dirigeant)
Les mises en causes peuvent venir de tous ceux qui peuvent justifier
d’un préjudice causé par une personne considérée comme dirigeant
Ces personnes morales ou physiques peuvent demander la réparation
du préjudice pour leur propre compte ou pour celui de la société.
51. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Les fondements de la mise en cause
Selon la loi du 24/ 07/ 1966, les dirigeants sont responsables
individuellement et solidairement, sur leurs biens propres…
• Des infractions aux lois et règlements
• Des violations des statuts de leur entreprise
• Des fautes de gestion
Ainsi une simple erreur, omission, imprudence, déclaration inexacte,
voire négligence peut-être considérée comme une faute de gestion
Et, dans un sens plus large, toutes fautes liées à l’emploi (harcèlement,
discrimination, …)
52. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Que couvre le contrat ?
Philosophie :
Au-delà de la protection financière personnelle du dirigeant par la prise
en charge de ses frais de défense et le paiement éventuel de dommages
et intérêts, le contrat intervient :
• Avant la procédure : prise en charge des frais de défense sans
attendre une mise en cause formelle afin d’éviter celle-ci.
•Pendant la procédure : défense civile ou pénale du dirigeant et
proposition, si besoin, ainsi qu’à son entourage, d’un soutien
psychologique personnalisé (coach ou traumatologue)
• Après la procédure : Paiement d’éventuels dommages et intérêts. En
revanche, si la responsabilité du dirigeant n’est pas engagée,
accompagnement dans la réhabilitation de son image de dirigeant.
53. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
La procédure dans le temps
Avant Pendant Après
Non
Soutien Reconstitution
reconnaissance
psychologique D’image
De responsabilité
Frais de
Frais de
+ Soit Défense
Représentation
supplémentaires
Reconnaissance
Frais Dommages
De
de défense et intérêts
responsabilité
Mise en cause Jugement du tribunal Nouvelle Mise en
cause d’un dirigeant
54. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Quelques exemples de sinistres
Retard dans la présentation des comptes annuels :
Le souscripteur, une société d’ingénierie, n’avait pas présenté ses comptes annuels dans le délai
imparti. Le souscripteur a par la suite fait faillite et le liquidateur judicaire a mis en cause les dirigeants
pour faute de gestion, une telle faute étant présumée dès lors que les comptes n’ont pas été présentés
à temps. Devant les Tribunaux, les dirigeants ont pu échapper aux condamnations en démontrant que
les conditions de marché, et non une faute de gestion de leur part, avaient été à l’origine de la faillite.
Dans un grand nombre de cas, la faillite d’une société a pour effet quasi-automatique la mise en
cause en justice des dirigeants par le liquidateur judiciaire, pour le compte de la société et/ou
des créanciers. Plusieurs pays européens disposent d’un arsenal juridique spécifique
aggravant la responsabilité des dirigeant en cas de faillite.
Emploi de main-d’œuvre clandestine par un sous-traitant
Le souscripteur, dirigeant d’un groupe de distribution important, était poursuivi pour recel de main
d’œuvre clandestine. Un de ses sous-traitants employait le travailleur clandestin.
Selon la législation du travail, le dirigeant aurait dû s’assurer que son sous-traitant appliquait des
procédure d’embauche régulières, et plus particulièrement qu’il n’employait que de la main-d’œuvre
déclarée. Le dirigeant n’ayant pas respecté la législation locale a été condamné pénalement.
L’amende imposée par le Tribunal n’entre pas dans le champ de la garantie. En revanche, la
police prend en charge les frais de défense encourus par un assuré dans le cadre de la
procédure pénale.
55. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Quelques exemples de sinistres
Délit d’initié et information trompeuse
Le souscripteur annonça un « profit warning ». Cette annonce entraînera une baisse substantielle de
la valeur des actions cotées en bourse. Les investisseurs estimèrent qu’ils avaient été trompés par
des informations incorrectes sur la situation financière de la société, ce qui leur avait causé un
préjudice. Une enquête officielle a été ouverte à l’égard de certains dirigeants pour délits d’initié
Affaire toujours en cours
Comblement de passif
Dans le cadre de la cession d’une filiale, les dirigeants sont responsables sur leurs biens propres du
passif suite au soutien financier abusif de cette filiale en difficulté.
Négligence dans la supervision du recouvrement de créance :
Le souscripteur, un imprimeur, avait reçu une commande de catalogues d’un client d’Europe de l’Est
pour un montant de 300.000 €. Le contrat stipulait que l’impression ne commencerait qu’après
réception intégrale du paiement. Le client confirmera qu’il avait donné l’ordre à sa banque de verser
les fonds.
L’impression fut donc lancée et les catalogues livrés. Entre temps, la banque du client fait faillite avant
d’avoir versé les fonds au souscripteur. Une somme de 100.000 € put être récupérée auprès du client,
mais le solde resta impayé.
Les actionnaires ont introduit une action contre les dirigeants du souscripteur et leur responsabilité fut
retenue.
56. LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Quelques exemples de sinistres
Défaut de consultation des organes représentatifs :
Les dirigeants d’un hôpital avaient réorganisé le département obstétrique et modifié le
contrat de travail d’un représentant syndical sans consultation du comité d’ entreprise.
Une procédure administrative a été engagée à la suite de ce manquement. Des
indemnités furent versées au représentant syndical et au syndicat lui-même.
Cette affaire reflète la garantie accordée aux dirigeants lorsqu’ils sont mise en cause
dans le cadre d’actions devant les juridictions administratives et condamnés à payer
d’éventuels dommages et intérêts.
1 Allées Catherine de Bourbon, 64000 PAU/ Tél : 05 59 02 20 60 / Fax : 05 59 02 20 80 / e-mail : egatine@roussille-gestion.com
Site : www.roussille-gestion.com