Your SlideShare is downloading. ×
Competitic   sécurite informatique - numerique en entreprise
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Competitic sécurite informatique - numerique en entreprise

587
views

Published on

La sécurité de votre système d'information : un sujet toujours d'actualité …

La sécurité de votre système d'information : un sujet toujours d'actualité
      - Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
      - Comment assurer une protection efficace ?
      - Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
587
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire l'information (on parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité des traitements, les partages de données et l'interactivité ont augmenté de façon considérable — mais c'est également le cas des pannes — indisponibilités, incidents, erreurs, négligences et malveillances en particulier avec l'ouverture sur internet.
  • Transcript

    • 1. Le Sécurité de votre système d'information : un sujet toujours d'actualité Jeudi 21 novembre 2013
    • 2. Sécurité des systèmes d’information (SSI) Définition : Ensemble des moyens techniques, organisationnels, juridiques et humains pour conserver, rétablir et garantir : la disponibilité, l’intégrité, la confidentialité des informations de l’entreprise ou de l’organisme Source : wikipédia
    • 3. Le système d’information Véritable patrimoine de l’entreprise, il est nécessaire de le protéger en garantissant les ressources matérielles et logicielles (sécurité informatique)
    • 4. Les enjeux - Conserver l’intégrité des données - Assurer la confidentialité des informations - Garantir la disponibilité des informations - Permettre l’authentification des personnes
    • 5. Intervenant : Claude LELOUSTRE • Ingénieur conseil en systèmes d’information et sécurité de l’information • RSSI à temps partagé • Expert près la Cour d’Appel d’Aix-en-Provence et la Cour Administrative d’Appel de Marseille • Président du CLUSIR PACA
    • 6. Sommaire  Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....?  Comment assurer une protection efficace ?  Comment maintenir sa sécurité ?
    • 7. Problématique actuelle La sécurité informatique était autrefois centrée sur les machines, elle est aujourd’hui centrée sur l’utilisateur.
    • 8. Problématique actuelle - Mobilité des données - BYOD et Cloud computing - Environnement hétéroclite des systèmes
    • 9. • Quels sont les risques informatiques encourus par votre entreprise ? • Evolution des menaces • Nouvelles plates-formes: Windows 7/8, iPhone … • Nouvelles pratiques : • réseaux sociaux • confidentialité des données personnelles • frontière vie professionnelle / vie privée • divulgation compulsive d’information
    • 10. Les menaces - L’utilisateur du système lui-même - Une personne malveillante (via logiciels mal sécurisés par ex) - Un programme malveillant - Un sinistre (vol, incendie, dégât des eaux…)
    • 11. 50% des courriels sont du spam (95% en 2009) • une nouvelle page Web liée au spam toutes les 13 secondes • Près de 6 500 nouvelles pages par jour • Plus de 99% du spam est émis par des systèmes compromis (zombies ou ”bots”) • Les réseaux de botnets sont entre les mains des cybercriminels les plus sophistiqués
    • 12. Essor des menaces sur le Web  1 nouvelle page Web infectée toutes les 3,6 secondes (23 500 pages/jour)  83% appartiennent à des sites légitimes  1% des recherches retournent une page infectée  Tous les types de sites sont touchés      fans de séries télé sport hôtels musées etc …
    • 13. Le piratage, ça n’arrive pas qu’aux autres … Retours d’expérience d’un expert judiciaire  Attaque site web e-commerce  Piratage installation téléphonique  Prise en otage du nom de domaine  Vol données commerciales  Atteinte au droit d’image
    • 14. Attaque site web e-commerce  Ce qui s’est passé  attaque massive en déni de service  site paralysé  perte de CA  Ce qu’il a fallu faire  reconstruire le serveur  créer un honeypot « pot de miel »  Enseignements  risque : entourage proche
    • 15. Piratage installation téléphonique  Ce qui s’est passé  18.000 € de facturation en une nuit  Ce qu’il a fallu faire  couper la ligne qq. jours  paramétrer le PABX  procès, expertise Procès en cours  Enseignements  le PABX fait partie du SI  surveiller les interventions du prestataire
    • 16. Prise en otage du nom de domaine  Ce qui s’est passé  oubli échéance renouvellement  achat par un tiers  Ce qu’il a fallu faire  racheter son nom de domaine (1000$)  Enseignements  affecter clairement cette tâche
    • 17. Vol données commerciales  Ce qui s’est passé  licenciement commercial  détournement de clientèle  Ce qu’il a fallu faire  plainte TC, procès, expertise  Enseignements  Contrôler l’accès aux données sensibles par les collaborateurs
    • 18. Atteinte au droit d’image  Ce qui s’est passé  rupture de contrat  rémanence de l’info (photos) sur le web  Ce qu’il a fallu faire  procès, expertise  demande d’effacement  Enseignements  renforcer les contrats de droit à l’image  ne pas introduire de clauses impossibles  rendre techniquement impossible la copie de données sensibles d’un site
    • 19. Sommaire  Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....?  Comment assurer une protection efficace ?  Comment maintenir sa sécurité ?
    • 20. Sécurité des systèmes d’information Protéger son système d’information est un véritable enjeu: • Protection de l’accessibilité au système d’information • Protection de l’intégrité de l’information • Protection de la confidentialité de l’information
    • 21. Assurer une protection efficace Politique de sécurité des sytèmes d’information ( PSSI )  Identification du périmètre à protéger  Identification des risques :  vulnérabilités  menaces  Plan d’action  architecture technique  projets  organisation  budgets
    • 22. Assurer une protection efficace PSSI : Identifier les risques Quels accidents peuvent survenir ? pannes : logiciel / matériel, énergie,.. catastrophe naturelle : feu, eau, …. Qui peut me vouloir du mal ? personnellement : salarié, concurrent, proche,… collectivement : spam, malware, escroc, hacker
    • 23. Assurer une protection efficace PSSI : Traiter les risques  les accepter  les réduire à un niveau acceptable  les transférer  les refuser ou les éviter
    • 24. Les « Dix Commandements » de la CNIL 1. Adopter une politique de mot de passe rigoureuse 2. Concevoir une procédure de création et de suppression des comptes utilisateurs 3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB) 4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles 5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles 6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions … 7. Sécuriser l’accès physique aux locaux 8. Anticiper le risque de perte ou de divulgation des données – conservez les données d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de stockage mobiles par chiffrement 9. Anticiper et formaliser une politique de sécurité du système d’information 10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »
    • 25. Guide d’hygiène informatique (ANSSI - 2013) - I - Connaître le système d’information et ses utilisateurs - II - Maîtriser le réseau - III - Mettre à niveau les logiciels - IV - Authentifier l’utilisateur - V - Sécuriser les équipements terminaux - VI - Sécuriser l’intérieur du réseau - VII - Protéger le réseau interne de l’Internet - VIII - Surveiller les systèmes - IX - Sécuriser l’administration du réseau - X - Contrôler l’accès aux locaux et la sécurité physique - XI - Organiser la réaction en cas d’incident - XII - Sensibiliser - XIII - Faire auditer la sécurité
    • 26. Sommaire  Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....?  Comment assurer une protection efficace ?  Comment maintenir sa sécurité ?
    • 27. Eduquez les utilisateurs • Présentations • Menaces à la sécurité des données • Conséquences des fuites de données • Recommandations sur la protection des données • Livre blanc • Protection des informations à caractère personnel • Vidéos sur la sécurisation des mots de passe • Vidéos sur la protection des données
    • 28. Eduquez les utilisateurs • Recommandations sur l’utilisation des réseaux sociaux • Présentations • Menaces sur les réseaux sociaux • Impact sur les entreprises • Statistiques et exemples • Vidéos sur la sécurisation des mots de passe • Vidéos sur le phishing • Dictionnaire des menaces
    • 29. En guise de conclusion Rien n’est jamais terminé La sécurité est un processus continu PDCA roue du Deming to PLAN to DO to CHECK to ACT
    • 30. Continuons à échanger … : twitter.com/competitic : communauté competitic : lenumeriquepourmonentreprise.com
    • 31. Découvrez les usages des TIC, les actualités, l’agenda des évènements et les entreprises de la filière TIC régionale sur le « portail des usages » Consultez le support de cette présentation : www.lenumeriquepourmonentreprise.com
    • 32. PETITES ET MOYENNES INDUSTRIES : MODERNISEZ-VOUS GRÂCE AU NOUVEAU PROGRAMME D’ACCOMPAGNEMENT « COMPETITIC PRO DE L’INDUSTRIE » « Système d’information, télécomunications, internet » : quand la quête de performance passe nécessairement par une intégration des TIC dans les industries, les CCI de la région PACA, l’Europe, le Conseil Régional Provence Alpes Côte D’azur et la DIRRECTE PACA se mobilisent pour vous proposer un programme d’accompagnement unique PLANIFICATION AVANCÉE SOUS CONTRAINTE GESTION ÉLECTRONIQUE DOCUMENTAIRE CONCEPTION ASSISTÉE PAR ORDINATEUR ÉCHANGE DE DONNÉES INFORMATISÉES SUPPLY CHAIN EVENT MANAGEMENT WAREHOUSE MANAGEMENT SYSTEM TRANSPORT MANAGEMENT SYSTEM INFORMATIQUE DÉCISIONNELLE PLATEFORME COLLABORATIVE SI RESSOURCES HUMAINES TRAÇABILITÉ CODE BARRE APPLICATION MOBILE IMPRIMANTE 3D ECOMMERCE SI FINANCIER CLOUD GMAO GPAO BAAS CRM PLM RFID NFC ERP
    • 33. « COMPETITIC PRO DE L’INDUSTRIE » UN PROGRAMME A FORTE VALEUR AJOUTEE… 1 audit de la stratégie de votre système d’information • Réaliser avec l’aide d’un consultant • un état des lieux du système d’information de votre PMI • Une liste de préconisations contribuant à la croissance de votre PMI 3 Ateliers d’approfondissement • Permettre aux dirigeants de monter en compétences en matière de gestion du système d’information. Ces ateliers pourront porter, par exemple, sur les thématiques suivantes : • Quels sont les enjeux de l’intégration des TIC pour l’industrie ? • Comment acheter de l’informatique ? • Quel est le rôle du dirigeant dans un projet « système d’information » structurant ? • Comment sécuriser son système d’information ?  Jusqu’à 3 jours de conseil • Disposer d’un expertise d’un consultant dans la mise en œuvre d’une à deux actions structurantes identifiées lors de l’audit • Réaliser un bilan avec votre conseiller TIC de l’impact du programme « COMPETITIC PRO DE L’INDUSTRIE » dans votre PMI
    • 34. UNE FORTE IMPLICATION DES PARTENAIRES POUR SOUTENIR LA MODERNISATION DE VOTRE PMI Prix public Pris en charge Coût pour l’entreprise 2550€ HT 2050€ HT 500€ HT 1000€ HT/jour 850€ HT/jour 150€ HT/jour Forfait :  1 audit de votre stratégie numérique  3 ateliers d’approfondissement et de formation à la gestion du SI dans une PMI  1 bilan individuel  1 séminaire de clôture du programme Prestation complémentaires : 1 à 3 jours de conseil et d’accompagnement personnalisé Nombre de places limitées, contactez vite votre CCI ! Dossier de candidature à rendre avant le 15 JANVIER 2013 Action conduite par : Action soutenue par :
    • 35. La prochaine action Gérez vos achats et vos approvisionnements avec les TIC Jeudi 28 novembre 2013