Your SlideShare is downloading. ×
0
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Competitic   securite données - numerique en entreprise
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Competitic securite données - numerique en entreprise

695

Published on

Sécuriser ses données informatiques est devenu essentiel dans la pérennité de son activité...

Sécuriser ses données informatiques est devenu essentiel dans la pérennité de son activité...

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
695
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
29
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Sécurisez vos données pour protéger votre entreprise !Mettez en place une “organisation sécurité” pour vos données informatiqu Jeudi 20 décembre 2012
  • 2. Le dispositif Performance PME TIC ? Cette action s’insère dans le dispositif régional Son objectif est de développer la compétitivité des entreprises par un meilleur usage des Technologies de l’information et de la communication www.lenumeriquepourmonentreprise.com
  • 3. Découvrez les usages desTIC, les actualités, l’agenda des évènements et lesentreprises de la filière TIC régionale sur le « portail des usages » Consultez le support de cette présentation : www.lenumeriquepourmonentreprise.com
  • 4. Intervenant :Claude LELOUSTRE ingénieur conseil en systèmes d’information et sécurité de l’information expert près la Cour d’Appel d’Aix-en-Provence et la Cour Administrative d’Appel de Marseille président du CLUSIR PACA
  • 5. Sécurité des systèmes d’information(SSI) Définition : Ensemble des moyens techniques, organisationnels, juridiques et humains pour conserver, rétablir et garantir : la disponibilité, l’intégrité, la confidentialité des informations de l’entreprise ou de l’organisme
  • 6. Sécurité des systèmes d’information Selon l’enquête « menaces informatiques et pratiques de sécurité 2012 » du CLUSIF : 80% des entreprises interrogées (350 entreprises de plus de 200 salariés) disent avoir un besoin fort de leur système d’information 19% un besoin modéré Soit, 99% pensent ne pas pouvoir se passer de leur système informatique Source : www.clusif.fr
  • 7. Sécurité des systèmes d’information Protéger son système d’information est un véritable enjeu: • Protection de l’accessibilité au système d’information • Protection de l’intégrité de l’information • Protection de la confidentialité de l’information
  • 8.  Quels sont les risques encourus ? Quelle est votre responsabilité en matière de sécurité informatique ? Quels sont les outils disponibles et leur coût ? Quels sont les bons réflexes ?
  • 9. Quels sont les risques informatiquesencourus par votre entreprise ? Evolution des menaces Nouvelles pratiques: réseaux sociaux Nouvelles plates-formes: Windows 7/8, iPhone … Confidentialité des données personnelles
  • 10. Un environnement en pleine évolution Essor de la génération Web 2.0 Vol d’information - pas des graffitis Firewall Complex threats.... $ Corporate Mobile data workers Fast Web- Targe changi based, ted ng Invisible ...targeting commercial data Contractors, outsourcing Partners, customers Personally Intellectu Custo identifiable al mer Web 2.0 information property data Contraintes réglementaires et atteintes à la réputation SS GL PCI-D B 95/4 CSB 1386 A 6/EC HIPAA
  • 11. 50% des courriels sont du spam(95% en 2009) une nouvelle page Web liée au spam toutes les 13 secondes Près de 6 500 nouvelles pages par jour Plus de 99% du spam est émis par des systèmes compromis (zombies ou ”bots”) Les réseaux de botnets sont entre les mains des cybercriminels les plus sophistiqués
  • 12. Essor des menaces sur le Web 1 nouvelle page Web infectée toutes les 3,6 secondes (23 500 pages/jour) 83% appartiennent à des sites légitimes 1% des recherches retournent une page infectée Tous les types de sites sont touchés fans de séries télé sport hôtels musées etc …
  • 13. Partnerkas russes et autres réseauxd’affiliésFédèrent des cohortes de rabatteurs Chargés de recruter des victimes vers le site central du réseau Touchent un pourcentage sur l’argent extorqué à ces victimesGrande variétés de techniques Spam Malwares Infection de sites légitimes BlackHat SEO Attaques sur les réseaux sociauxAnimation du réseau Toolkits Outils de gestion Incentives
  • 14. Production de masse etdissimulation Production de masse Les SophosLabs reçoivent plus de 50 000 échantillons suspects à analyser chaque jour Le laboratoire indépendant AV-Test.org conserve une collection de plus de 22,5 millions de malwares Utilisation croissante de techniques de dissimulation polymorphisme (variation de la signature) furtivité (rootkits) chiffrement / compression (crypter/packer)
  • 15. BlackHat SEO : les faux antivirus Attaque en plusieurs étapes 1. Recherche une faille de sécurité pour installer un malware 2. Utilise l’ingénierie sociale pour aboutir au même résultat 3. Récupère les coordonnées bancaires, en bonus ! Distribués à travers des réseaux d’affiliés (Partnerkas ...)
  • 16. Les réseaux sociaux: lanouvelle frontière Un nouveau talon d’Achille Collecte d’informations utilisable pour mener des attaques d’ingénierie sociale Collecte d’informations sur l’organisation des entreprises Les comptes utilisateurs sous le feu des attaques Forte croissance des cas d’attaque SPAM: + 70% en un an PHISHING: + 42% en un an MALWARES: + 69% en un an Les utilisateurs doivent être conscients des risques et activer les options de sécurité
  • 17. Ingénierie sociale et force brute• En mars 2010, un jeune auvergnat utilisant le pseudo Hacker Croll sur Twitter est arrêté pour avoir fait acte de plusieurs opérations de piratage, dont une concernant le compte du président américain Barack Obama• Son mode opératoire: • Identifier le compte email Yahoo! d’un des administrateurs de Twitter • Comment ? ... une petite recherche dans les pages “About US” de Twitter • Trouver les réponses aux questions pour récupérer le mot de passe “oublié” • Date de naissance + code postal + pays • Ville de naissance • Où a-t-il trouvé ces informations ? • Blog de 2002 + article de 2004 + whois
  • 18. Spam sur les réseaux sociaux
  • 19. Phishing sur les réseaux sociaux
  • 20. Phishing sur les réseaux sociaux
  • 21. Malware sur les réseaux sociaux
  • 22. 7 recommandations pour1. Bloquez les menaces Activer ASLR et DEP + installez un antimalware avec technologie HIPS2. Protégez la navigation sur le Web Utilisez Explorer 8 et SmartScreen + utilisez un antimalware avec HBO3. Déployez les correctifs de sécurité Utilisez Action Center + vérifiez la conformité de vos systèmes (NAC …)4. Prévenez la fuite des informations Chiffrez les disques + chiffrez les média USB + contrôlez les applications + contrôlez les données échangées … avec une gestion centralisée5. Gérez les privilèges des utilisateurs Utilisez UAC pour éviter de donner les droits administrateurs aux utilisateurs6. Vérifiez la conformité des systèmes qui accèdent au réseau Pour vérifier que les protections sont en places et à jour et qu’il n’y a pas d’applications indésirables7. Eduquez les utilisateurs sur les bonnes pratiques en matière de sécurité Informez-les sur votre charte de sécurité et diffusez les bonnes pratiques
  • 23. Apple: une nouvelle cible ? Quelques dizaines de malwares sur Mac OSX Apparus depuis fin 2007 OSX/RSPlug (nov 2007 - mars 2009) Mêmes créateurs que Zlob (Windows) Installe Adwares et ‘Scareware’ OSX/iWorkS (janvier 2009) Infection largement répandue Crée un réseau de Botnet sur Mac OSX OSX/Jahlav-C (juin 2009) Cheval de Troie qui télécharge des malwares Diffusé à partir d’un blog sur Twitter OSX/Pinhead-B alias HellRTS (avril 2010) Cheval de Troie Apple vient de mettre à jour OS X pour s’en protéger
  • 24. Linux: infections à faible bruit Peu de programmes malveillants Quelques centaines à peine Moins de la moitié circulent réellement Mais attention aussi aux vieux virus Exemple: Linux/RST-B Existe depuis 6 ans Infecte les exécutables ELF Ouvre une porte dérobée Au moins 0,24% des systèmes dans le monde sont infectés … et aux excès de confiance ou de suffisance Exemple: Troj/UnlRC-A Cheval de Troie présent dans le code source de UnreallRCD.com depuis novembre 2009, mais découvert seulement en juin 2010
  • 25. Ikee s’attaque aux iPhonesdébridés (“jailbreakés”)
  • 26. Duh enfonce le clou !
  • 27. Et Androïd entre dans la danse
  • 28. Perte et vol dinformation Atteintes à l’image et la réputation Perte de clients Coûts internes de gestion des problèmes Pertes de revenus associés à la propriété intellectuelle
  • 29. Des données mobiles de plus en plus exposées 4 entreprises sur 5 ont perdu des informations sensibles lors du vol de notebooks Ponemon Institute LLC and Symantec end-user survey, August 2009 10% des notebooks sont perdus ou volés par an Web & Collaboration Strategies 2009 1 disque USB sur 2 contient des informations sensibles Forrester Research, Inc. and Symantec Corp. survey, February 2008. 70% des données des entreprises sont dupliquées hors des serveurs (notebooks, clé USB …) Ponemon Institute, U.S. Survey: Confidential Data at Risk, August 2008 Fuite d’informations: Augmentation de 47% entre 2007 – 2009 Breach List and Statistics - Identity Theft Resource Center (ITCP) Date: 01/12/2010 Principales raisons de la fuite d’information : Perte de portables ou de device – 35% Ponemon Institute, 2009, Annual Study: Costs of Security Breaches
  • 30. Des données mobiles de plus en plus exposées 700 portables perdus / volés à Roissy chaque semaine 12 000 portables perdus / volés dans les Aéroports US* 7 millions de laptops volés/perdus dans le monde en 2009 Computer Security Institute,2009 *July 2009, www.vnunet.com/vnunet/news/2223012/eu-travellers-losing-laptops-airports
  • 31. Des coûts d’incidents de plus en plus élevés Exemple: Nationwide Building Society Amende de £980,000 par la FSA (Financial Services Authority) à la suite de la perte d’un portable contenant les détails de 11 millions de clients Total des coûts directs identifiables Impression de 11 millions de lettres ……………… £150,000 11 millions de copies de 2 brochures ………… £300,000 Envoi à 11 millions de clients …………………. £1.6 millions Amende par la FSA ………………………….. £980,000 Autres coûts? Coût de gestion de l’incident Atteinte à la bonne réputationSource: Prsonal Computer Worldwww.vnunet.com/vnunet/news/2183332/nationwide-fined-980-exposing
  • 32.  Quels sont les risques encourus ? Quelle est votre responsabilité en matière de sécurité informatique ? Quels sont les outils disponibles et leur coût ? Quels sont les bons réflexes ?
  • 33. Les questions à se poser En quoi les TIC seraient-elles de nature différente desoutils déjà en place dans les entreprises ? Quelle part de vie privée et de libertés individuellesgarantir aux salariés liés à leur employeur par un contratde travail ( = un lien de subordination) ? Que peut-on admettre comme usage privé d’outils misà disposition des salariés par leur employeur ? Y a-t-il des limites au contrôle et à la surveillance queles employeurs peuvent exercer sur les salariés ?
  • 34. OBLIGATION LEGALE : Sécuriser son système d’information Patrimoine de l’entreprise : matériel, humain, informationnel Protéger le patrimoine informationnel de l’entrepriseL ’article 42 de la Loi du 6 Janvier 1978 impose au maître du fichier « …de prendre toutes les précautions utiles afin de préserver la sécurité … » desinformations automatisées• C ’est l’article 226 -17 du nouveau Code Pénal qui érige en infraction spécifique lefait de manquer à la sécurité« ..le fait de procéder ou de faire procéder à un traitement automatisé d’informationsnominatives sans prendre toutes les précautions utiles pour préserver la sécurité deces informations et notamment empêcher qu’elles ne soient déformées,endommagées ou communiquées à des tiers non autorisés est puni de cinq ansd’emprisonnement et de plus de 300 000 € d’amende » ….
  • 35. Responsabilité du chef d’entreprise Larticle 1384 - alinéa 1 du Code Civil stipule :"On est responsable non seulement du dommage que lon cause par son propre fait, mais encore de celui qui est causé par des personnes dont on doit répondre ou des choses que lon a sous sa garde." Cet article a établi une présomption de responsabilité du gardien. Lentreprise sera présumée responsable :  des personnes qui sont sous sa dépendance  des biens dont elle a la garde Pour sexonérer, il faut prouver que la cause est exogène.
  • 36. Délit informatique • Notion de Délit informatique sur le SI = Infraction pénale  Loi Godfrain (1988)  Code Pénal (1994) • Atteinte à la Disponibilité, • intrusion, usurpation, .. • Confidentialité, • Enregistrement, divulgation • et à son Intégrité , Authenticité. • inoculation de virus, suppression, modificationNOTA : La loi GODFRAIN a été abrogée par la loi 92-1336 du 16 déc 1992 (nouveau Code Pénal) et n’est plus en vigueurdepuis le 1er mars 1994, mais on parle toujours de loi Godfrain pour désigner les articles transposés dans le Code Pénal.
  • 37. Surveillance des salariés La loi du 31 décembre 1992 a posé les jalons d ’un droit « informatique et libertés » dans l’entreprise : Principe de proportionnalité « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas proportionnées au but recherché » - art L 120-2 du code du travail Consultation du comité d ’entreprise lors de l’introduction de nouvellestechnologies (art L 432-2) Information préalable des salariés (art L 121-8) Ces principes et droits font écho à la loi du 6 janvier 1978 qui imposeque tout traitement de données personnelles soit déclaré à la CNIL, que lessalariés soient informés de son existence et de ses caractéristiques etqu’ils aient accès aux informations les concernant.
  • 38. Dernières évolutionsLSQ ( loi sécurité quotidienne) 15/11/01 Conservation des données de connexion (6-12 mois) Déchiffrement et accès aux données par les autoritésLCEN (loi pour la confiance en l’économie numérique)21/06/04 Modifie la loi Informatique & Libertés de 1978 • Renforce les pouvoirs de la CNIL • Contrôles a priori et a posteriori • Pouvoir de sanction Responsabilité des hébergeurs Correspondance privée Publicité électronique et de nombreuses Notion de commerçant électronique jurisprudences
  • 39. Dernières évolutionsHADOPI ( création et internet) 12/06/09 Le conseil constitutionnel instaure comme fondamental le droit à l’internetLOPPSI 2 (14 mars 2011) • mouchards électroniques : sur autorisation juge des libertés • usurpation d’identité en ligne : délit (prison 1 an + 15.000€) • listes noires : les FAI doivent bloquer les sites désignés, filtrer des @ IP • vidéo protection : délai de conservation des vidéos < 1mois
  • 40. Ce qu’il faut retenir … Le dirigeant est responsable des informations dontil est le dépositaire. Il doit pouvoir justifier de mesures concrètesvisant à protéger son système d’information. La fraude informatique prouvée est réprimée Matérialiser l’infraction est difficile Principes de loyauté et de transparence Importance de la CHARTE TIC
  • 41. Le Sénat légifère sur la vie privée En mars, le Sénat a adopté la proposition de loi n° 93 (2009-2010) Vise à modifier sensiblement la loi Informatique et Libertés de 1978 Issue d’un an de travail d’un groupe dirigé par les sénateurs Anne-Marie Escoffier et Yves Détraigne Confirme le caractère obligatoire des correspondants « informatique et libertés » (CIL) lorsqu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de 100 personnes y ont directement accès ou sont chargées de sa mise en œuvre Vise à renforcer le pouvoir et les sanctions de la CNIL « En cas datteinte au traitement de données à caractère personnel, le responsable du traitement avertit sans délai la CNIL (Commission nationale de linformatique et des libertés) qui peut, si cette atteinte est de nature à affecter les données à caractère personnel dune ou de plusieurs personnes physiques, exiger du responsable du traitement quil avertisse également ces personnes. »
  • 42.  Quels sont les risques encourus ? Quelle est votre responsabilité en matière de sécurité informatique ? Quels sont les outils disponibles et leur coût ? Quels sont les bons réflexes ?
  • 43. Coûts de la SSI
  • 44. Outils et coûts de la SSI • infrastructures • poste de travail • projets • formation des informaticiens • éducation des utilisateurs • organisation de la SSI • politiques (autorisation, authentification, sauvegarde, chiffrement, audit,…) • charte utilisation TIC
  • 45.  Quels sont les risques encourus ? Quelle est votre responsabilité en matière de sécurité informatique ? Quels sont les outils disponibles et leur coût ? Quels sont les bons réflexes ?
  • 46. Les « Dix Commandements » dela CNIL1. Adopter une politique de mot de passe rigoureuse2. Concevoir une procédure de création et de suppression des comptes utilisateurs3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB)4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions …7. Sécuriser l’accès physique aux locaux8. Anticiper le risque de perte ou de divulgation des données – conservez les données d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de stockage mobiles par chiffrement9. Anticiper et formaliser une politique de sécurité du système d’information10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »
  • 47. Eduquez les utilisateurs• Présentations • Menaces à la sécurité des données • Conséquences des fuites de données• Recommandations sur la protection des données• Livre blanc • Protection des informations à caractère personnel• Vidéos sur la sécurisation des mots de passe• Vidéos sur la protection des données• Exemples de politiques de sécurité des données www.sophos.fr/lp/threatbeaters-dp
  • 48. Eduquez les utilisateurs• Recommandations sur l’utilisation des réseaux sociaux• Présentations • Menaces sur les réseaux sociaux • Impact sur les entreprises • Statistiques et exemples• Vidéos sur la sécurisation des mots de passe• Vidéos sur le phishing• Dictionnaire des menaces• Rapport 2010 sur les menaces à la sécurité www.sophos.fr/lp/threatbeaters
  • 49. Merci de votre écoute Vos questions
  • 50. Claude LELOUSTRE 06 07 84 70 13 www.managis.frmanagis@managis.fr
  • 51. Comment poursuivre les échanges ? En se connectant sur la communauté Competi’TIC sous VIADEO www.viadeo.com
  • 52. Continuons à échanger … : twitter.com/competitic : communauté competitic : lenumeriquepourmonentreprise.com
  • 53. La prochaine action ... Rendez vous en Janvier Et bonnes fêtes

×