2011 05 26 Sécurisation documents electroniques by COMPETITIC

  • 583 views
Uploaded on

Quelles sont les priorités dans la sauvegarde des données ? Le point sur les responsabilités du dirigeant, les solutions disponibles pour permettre une récupération des données rapide et efficace en …

Quelles sont les priorités dans la sauvegarde des données ? Le point sur les responsabilités du dirigeant, les solutions disponibles pour permettre une récupération des données rapide et efficace en cas de problème.

More in: Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
583
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • L’étude Understanding Security Complexity in 21st Century IT Environments a été conduite indépendamment par le Ponemon Institute en février 2011. Le cabinet d’études a interrogé plus de 440 administrateurs informatiques en France, et plus de 2 400 administrateurs informatiques au total dans le monde, aux États-Unis, au Royaume-Uni, en France, en Allemagne et au Japon. L’échantillon retenu pour les besoins de l’étude est représentatif d’entreprises de toutes tailles issues de 14 secteurs d’activités différents, dont la finance, l’industrie, la défense, la grande distribution, la santé et l’éducation. Pour consulter la version intégrale du rapport, rendez-vous sur : http://www.checkpoint.com/campaigns/3d-security/index.html
  • Sauvegarde sur PC et disques externes Si votre entreprise compte seulement quelques PC, vous pouvez programmer les sauvegardes directement sur votre ordinateur. Vous devrez en parallèle sauvegarder régulièrement vos données sur un support amovible (DVD, clé USB, disques durs externes). Avantage : Si vous êtes mobile, vous pouvez sauvegarder vos données n'importe où. Inconvénients : Le point de restauration ne garantit pas la sauvegarde de vos données personnelles. Et la copie « manuelle » des données sur support externe prend du temps. Sauvegarde sur le serveur d'entreprise Installer un serveur d'entreprise (utile au-delà de 5 PC) limite considérablement les risques de pertes de fichiers. Le serveur est doté d'un lecteur de bandes magnétiques qui effectue une sauvegarde quotidienne. Avantages : les sauvegardes sont automatiques et sécurisées. Vous pouvez attribuer à vos collaborateurs des codes d'accès aux fichiers stockés sur le serveur (dans le cas d'un serveur web dynamique). Les coûts matériels sont relativement faibles. Inconvénients : Les sauvegardes réalisées ne se font pas toujours en temps réel (risques de pertes de données). La restauration peut nécessiter des compétences techniques. Télé-sauvegarde des données C'est un système de sauvegarde de données sur internet : votre ordinateur/réseau est alors connecté à une serveur distant qui effectue des sauvegardes soit en léger décalé, soit en temps réel (selon les offres des prestataires). Avantages : La sauvegarde est quasi synchrone (perte de données minimale en cas de problèmes). La gestion des données en ligne (récupération, classement) est relativement simple (codes d'accès administrateurs fournis). Vous pouvez stocker un grand volume de données (1000 Go et plus). Inconvénients : le temps de récupération des données depuis le serveur peut être assez long (en, fonction de votre connexion internet et du volume d'informations). En cas d'interruption de la connexion internet, les sauvegardes et les récupérations ne sont plus possibles. Enfin, le coût de l'abonnement peut être élevé.
  • L’ENSTA a défini la Sécurité des Systèmes d'Information comme l'ensemble des moyens humains et matériels permettant à un système, s'appuyant sur des moyens automatisés de traitement et d'échange d'information, de résister aux agressions qui compromettraient son bon fonctionnement. Pour répondre aux risques informatiques, pour préserver son patrimoine industriel, assurer son bon fonctionnement et garantir sa pérennité, une entreprise doit être sûre de son système d'information et en assurer : La disponibilité = aptitude d'un système à remplir une fonction requise à un instant donné ou pendant une période donnée. L' intégrité = qualité des données qui n'ont pas été altérées, détruite ou perdues par accident ou malveillance. La confidentialité s'obtient par l'établissement de procédures administratives, techniques, physiques et juridiques appropriées qui assurent le caractère secret des informations.
  • L’ENSTA a défini la Sécurité des Systèmes d'Information comme l'ensemble des moyens humains et matériels permettant à un système, s'appuyant sur des moyens automatisés de traitement et d'échange d'information, de résister aux agressions qui compromettraient son bon fonctionnement.
  • L’ENSTA a défini la Sécurité des Systèmes d'Information comme l'ensemble des moyens humains et matériels permettant à un système, s'appuyant sur des moyens automatisés de traitement et d'échange d'information, de résister aux agressions qui compromettraient son bon fonctionnement. Pour répondre aux risques informatiques, pour préserver son patrimoine industriel, assurer son bon fonctionnement et garantir sa pérennité, une entreprise doit être sûre de son système d'information et en assurer : La disponibilité = aptitude d'un système à remplir une fonction requise à un instant donné ou pendant une période donnée. L' intégrité = qualité des données qui n'ont pas été altérées, détruite ou perdues par accident ou malveillance. La confidentialité s'obtient par l'établissement de procédures administratives, techniques, physiques et juridiques appropriées qui assurent le caractère secret des informations.
  • L’ENSTA a défini la Sécurité des Systèmes d'Information comme l'ensemble des moyens humains et matériels permettant à un système, s'appuyant sur des moyens automatisés de traitement et d'échange d'information, de résister aux agressions qui compromettraient son bon fonctionnement. Pour répondre aux risques informatiques, pour préserver son patrimoine industriel, assurer son bon fonctionnement et garantir sa pérennité, une entreprise doit être sûre de son système d'information et en assurer : La disponibilité = aptitude d'un système à remplir une fonction requise à un instant donné ou pendant une période donnée. L' intégrité = qualité des données qui n'ont pas été altérées, détruite ou perdues par accident ou malveillance. La confidentialité s'obtient par l'établissement de procédures administratives, techniques, physiques et juridiques appropriées qui assurent le caractère secret des informations.
  • L’ENSTA a défini la Sécurité des Systèmes d'Information comme l'ensemble des moyens humains et matériels permettant à un système, s'appuyant sur des moyens automatisés de traitement et d'échange d'information, de résister aux agressions qui compromettraient son bon fonctionnement. Pour répondre aux risques informatiques, pour préserver son patrimoine industriel, assurer son bon fonctionnement et garantir sa pérennité, une entreprise doit être sûre de son système d'information et en assurer : La disponibilité = aptitude d'un système à remplir une fonction requise à un instant donné ou pendant une période donnée. L' intégrité = qualité des données qui n'ont pas été altérées, détruite ou perdues par accident ou malveillance. La confidentialité s'obtient par l'établissement de procédures administratives, techniques, physiques et juridiques appropriées qui assurent le caractère secret des informations. CONVOITER : la voler, la déformer, la modifier, la rendre inaccessible
  • Jean de la Bruyère (1645-1696) Thucydide (470 / 400 av. JC) La solution au problème de la guerre, Thucydide ne la voit pas dans une disposition morale, mais dans la puissance de l'intelligence,

Transcript

  • 1. Jeudi 26 mai 2011 Sécurisez vos documents électroniques
  • 2. Le dispositif Performance PME TIC ? Cette action s’insère dans le dispositif régional Son objectif est de développer la compétitivité des entreprises par un meilleur usage des Technologies de l’information et de la communication www.lenumeriquepourmonentreprise.com
  • 3. INTERVENANTS Claude Leloustre CLUSIR 06 07 84 70 13 [email_address] Marlène Korsia CCI Marseille Provence 04 91 39 56 99 [email_address] L’enjeu sécurité pour l’entreprise Sauvegarder et protéger vos informations électroniques : quoi et comment ?
  • 4. L’entreprise, son système d’information et ses données
    • Une évolution des outils utilisés :
        • Augmentation de l’utilisation des services Cloud
        • Augmentation des services mobiles
        • Augmentation des outils de communication web 2.0
        • Augmentation d’utilisation d’applications de partage de fichiers
        • = Difficultés à concilier sécurité et conformité
  • 5. PANNES INCENDIE INONDATION MALVEILLANCE VOL DEFAILLANCE DES SUPPORTS DE SAUVEGARDE VIRUS Les différents risques de pertes de données Etc…
  • 6. L’entreprise, son système d’information et ses données
    • Perte de données = conséquences dramatiques
    • Origines : vols, sinistres, défaillance informatique, piratage, virus, etc…
  • 7. Pourquoi sauvegarder ses données ?
    • Préserver l’activité de l’entreprise
    • Eviter les pertes financières (estimées à 1,9 millions d’euros en moyenne – Etude Ponemon Institute 2010)
  • 8. Choisir un système de sauvegarde
    • Adapter les solutions aux besoins de l’entreprise selon :
        • le suivi de version des documents
        • les accès web (disponibilité)
        • les conditions de sécurisation attendues
        • la fréquence des synchronisations de fichiers à sauvegarder
  • 9. Quel type de sauvegarde
    • 3 grands types de sauvegarde pour les TPE/PME :
        • Sauvegarde sur PC et disques externes
        • Sauvegarde sur le serveur de l’entreprise
        • Télé-sauvegarde des données
    • Notion de 3D security :
        • aspect technologique
        • facteur humain
        • politiques sécuritaires & process
  • 10. Sécurisez vos documents électroniques Sauvegardez et protégez vos informations
  • 11. Sécurité de l’information : Enjeux
    • Risques pour l’entreprise
    • Chiffres et exemples
  • 12. Rappel des principes fondateurs de la SSI
    • Une entreprise doit être sûre de son système d'information et en assurer :
      • Disponibilité
      • Intégrité
      • Confidentialité
    DIC … et la notion de preuve (traçabilité, auditabilité, …) Seules les personnes habilitées peuvent accéder à l´information On ne peut modifier l’information qu'à l´issue d'un acte légitime et volontaire On ne peut entraver ou neutraliser les fonctions de délivrance de l'information
  • 13. Quelques questions à se poser ...
    • Quelles sont les informations à protéger ?
    • Quel risque juridique pour le chef d’entreprise ?
    • Quelles sont les solutions techniques disponibles ?
    • Quelle stratégie mettre en œuvre ?
  • 14. Informations à protéger
    • Notion de patrimoine informationnel de l’entreprise
    • Inventaire des données « sensibles »
    • Où sont elles ?
    • Qui y a accès ?
    • Qui donne les droits d’accès ?
  • 15. Risque juridique
    • pour le chef d’entreprise
    • pour ses salariés
    • pour ses fournisseurs : prestataires, hébergeurs,…
    quid dans un contexte « cloud » ???
  • 16. Obligation légale Sécuriser son système d’information
        • Protéger le patrimoine informationnel de l’entreprise
    L ’article 42 de la Loi du 6 Janvier 1978 impose au maître du fichier « …de prendre toutes les précautions utiles afin de préserver la sécurité … » des informations automatisées
    • C ’est l’article 226 -17 du nouveau Code Pénal qui érige en infraction spécifique le fait de manquer à la sécurité
    • « ..le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d’emprisonnement et de 300 000 € d’amende  » ….
  • 17.
    • L'article 1384 - alinéa 1 du Code Civil stipule :
    • " On est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est causé par des personnes dont on doit répondre ou des choses que l'on a sous sa garde."
    • Cet article a établi une présomption de responsabilité du gardien.
    • L'entreprise sera présumée responsable :
      • des personnes qui sont sous sa dépendance
      • des biens dont elle a la garde
      • Pour s'exonérer, il faut prouver que la cause est exogène.
    Responsabilité du chef d’entreprise
    • Contrat de travail = lien de subordination
      • Salarié, ( stagiaire … )
    • Responsabilité pénale
  • 18. LSQ ( sécurité quotidienne) 15/11/01 Conservation des données de connexion (12 mois - Cf. décret 25/02/11) Déchiffrement et accès aux données par les autorités Dernières évolutions législatives
    • LCEN (confiance en l’économie numérique) 21/06/04
      • Modifie la loi Informatique & Libertés de 1978
        • Renforce les pouvoirs de la CNIL
        • Contrôles a priori et a posteriori
      • Pouvoir de sanction
      • Responsabilité des hébergeurs
      • Correspondance privée
      • Publicité électronique
      • Notion de commerçant électronique
    et de nombreuses jurisprudences
  • 19. Dernières évolutions législatives HADOPI ( création et internet) 12/06/09 Le conseil constitutionnel instaure comme fondamental le droit à l’internet LOPPSSI 2 (orientation et programmation pour la performance de la sécurité intérieure) 12/06/09 - mouchards électroniques - usurpation d’identité en ligne - listes noires - vidéoprotection - création d’un Conseil National du Numérique - … avant go ût de ACTA (traité internat. sur la contrefaçon)
  • 20.
      • Le dirigeant est responsable des informations dont il est le dépositaire.
      • Il doit pouvoir justifier de mesures concrètes visant à protéger son système d’information.
    Ce qu’il faut retenir … Impact du RGS ??? RGS = référentiel général de sécurité
  • 21. Solutions techniques
    • Sauvegarde
          • - locale / distante
          • - internalisée / externalisée
          • - totale / différentielle / incrémentale
    • Archivage
          • - Coffre fort électronique
          • - durée de conservation ?
          • - chiffrement ?
          • - moyens de relecture ?
          • - renouvellement des supports ?
  • 22. Solutions techniques (suite)
    • Signature électronique :
    • Chiffrement : e-mails, disques, clés USB,…..
    • Contr ôle et traçabilité des accès
    • Anti-intrusion
    • … sans oublier
    • Sensibilisation
    • Contr ôles et audits
    dans le cadre d’une PSSI to PLAN to DO to CHECK to ACT
  • 23. Stratégie de mise en œuvre
    • Analyse de risque (ISO 27005 / EBIOS / MEHARI)
    • - enjeux, inventaire des infos sensibles,…
    • Rédaction d’une PSSI (autorisation, sauvegarde,…)
    • Architecture
    • Déploiement (en mode projet)
    • Mesures d’accompagnement
    • Contr ôles et audits périodiques
    to P LAN to D O to C HECK to A CT
  • 24. Si vous voulez en savoir plus … www.clusif.asso.fr www.cnil.fr www.ssi.gouv.fr
  • 25. En guise de conclusion …
    • Toute révélation d’un secret est la faute de celui qui l’a confié La Bruyère
    • Ce qui compte, ce n’est pas l’épaisseur du mur, mais la volonté de le défendre Thucydide