La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité informatique : un enjeu vital pour l’entreprise

Publié parGodelieve Senechal Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Sécurité informatique : un enjeu vital pour l’entreprise"— Transcription de la présentation:

1 Sécurité informatique : un enjeu vital pour l’entreprise
Cyril Voisin Chef de programme Sécurité Microsoft France Laurent Dobin Ready Office Business Manager HP France Laurent Signoret Responsable Conformité Licences Une entreprise est exposée quotidiennement aux risques d'attaques informatiques. Les virus, les attaquants, voire les erreurs de bonne foi représentent des menaces sérieuses avec des conséquences réelles.  En l’absence d’une protection de l’entreprise et de ses actifs conforme à l’état de l’art, la responsabilité du chef d’entreprise peut être engagée, civilement et pénalement. Les risques ne sont pas seulement juridiques. Ils sont également financiers (coût d’un arrêt par perte d’exploitation, ressources consommées pour réparer, restaurer, reconstituer les données) et techniques (vols de matériel, virus, spam,…). Dans certains cas extrêmes, ces risques peuvent même menacer la survie de l’entreprise. Ils se concrétisent sous la forme d’incidents ou d’attaques, externes ou internes : vol d’informations stratégiques, divulgation d’informations confidentielles, usurpation d’identité, falsification d’informations, utilisation abusive des ressources, paralysie par mise hors service de systèmes critiques, destruction de ressources informatiques, vol de matériel (ordinateurs portables par ex.)… C’est pourquoi il est primordial de mettre en œuvre de façon préventive des moyens de protection adaptés. Pour ce faire, on peut suivre la démarche suivante : ·         Inventaire des biens à protéger, des menaces et des vulnérabilités ·         Définir sa stratégie (politique de sécurité) o        Protections à mettre en place o        Définition des autorisations d’accès aux ressources (dont Internet) o        Formation / Faire l’état des lieux o        sensibilisation des employés (dont navigation sécurisée) ·         Mettre en œuvre des moyens minimaux de protection à différents niveaux o        Machines : pare-feu personnel, antivirus, mises à jour de sécurité o        Données : sauvegarde / restauration, chiffrement, autorisations   o        Réseau : pare-feu d’entreprise, mots de passe, réseaux sans fils, accès à distance pour les utilisateurs mobiles o        Sécurité physique o        Gestion de la sécurité o       Risques liés à la propriété intellectuelle Conclusion

2 Sommaire Les nouveaux défis de l’entreprise connectée
Démarche de mise en place de protections : État des lieux Inventaire des biens à protéger, des menaces et des vulnérabilités Définir sa politique de sécurité Protections à mettre en place, autorisations d’accès aux ressources (dont Internet), formation / sensibilisation des employés Mettre en œuvre des moyens minimaux de protection à différents niveaux Machines : pare-feu personnel, antivirus, mises à jour de sécurité Sécurité physique : verrouillage de session, mise sous clé des machines sensibles Données : contrôle d’accès, sauvegarde / restauration Réseau : pare-feu d’entreprise, accès à distance pour les utilisateurs mobiles, filtrage d’accès à Internet, mots de passe, réseaux sans fils Gestion de la sécurité : maintenance de la sécurité Les autres risques liés à la propriété intellectuelle Conclusion

3 Les nouveaux défis de l’entreprise connectée
Accroître la valeur de l’entreprise Connexion avec les consommateurs Intégration avec des partenaires Donner plus de moyens aux employés Réduire les risques Nouvelles menaces Environnement en constante évolution Complexité, vecteurs, volume, motivation et impact Responsabilité Les réponses traditionnelles ne sont pas adaptées.

4 Pas simplement des technos…

5 La sécurité dans un monde complexe
Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Microsoft Operations Framework Évaluation de risques Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection d’intrusion SMS MOM ISA Antivirus GPO RMS Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

6 La démarche de sécurisation (1/3)
Faire l’état des lieux Inventorier les biens que l’on souhaite protéger Ex : liste de clients, plan marketing, projet d’investissement stratégique, système de facturation, site Web, … Inventorier les menaces Ex : espion mandaté par un concurrent, virus, ver, cheval de Troie, vandale,… Inventorier les vulnérabilités Ex : personnel non sensibilisé à la non divulgation d’informations confidentielles, machines sans antivirus, correctifs de sécurité manquants, absence de pare-feu pour protéger les connexions au réseau… CV

7 La démarche de sécurisation (2/3)
En déduire les risques = menaces x vulnérabilités x valeur des biens On s’attachera à diminuer les plus importants A transférer ceux qui sont inacceptables (assurance) A prendre en charge soi-même les autres CV

8 La démarche de sécurisation (3/3)
Rédiger sa Politique de sécurité Principes de base à respecter (nécessité de contrôler l’accès aux documents internes, protections techniques minimales par ex.) Définition des autorisations d’accès aux ressources dont Internet (par ex : seul le personnel habilité aura accès à Internet) Formation / sensibilisation des employés (ex : navigation sécurisée, utilisation de l’ , prévention de l’ingénierie sociale…) CV

9 Moyens de protection Ensuite, il faut mettre en œuvre de moyens de protection contre les risques identifiés selon une démarche de défense en profondeur Machines  Sécurité physique Données Réseau Gestion de la sécurité Risques liés à la propriété intellectuelle CV

10 Machines Les 3 grands moyens de protection Pare-feu personnel
Antivirus à jour au niveau de ses signatures Mises à jour de sécurité Les 3 grands moyens permettent d’éviter bon nombre de problèmes. Penser aussi aux applications lors de la démarche de sécurisation d’un ordinateur.

11 Sécurité physique (1/2) Verrouiller sa session pour qu’un « passant » ne puisse pas accéder à vos données, se faire passer pour vous Enfermer les serveurs dans une pièce fermée à clé Utiliser des outils de sécurité physique pour protéger les PC Il s’agit ici d’empêcher un intrus de pouvoir accéder physiquement à un ordinateur. L’attaque la plus simple consiste à utiliser une session déjà ouverte. Pensez à verrouiller votre session (Ctrl+Alt+Suppr puis Entrée ou Drapeau-Windows + L) Une autre attaque consiste à bidouiller un serveur (pour modifier son comportement normal) ou à voler ses disques durs. Pour éviter cela, enfermez les serveurs dans une pièce ferme à clé.

12 Sécurité physique (2/2) Sécurité physique des PC
Cache de protection des connecteurs Verrouillage du châssis et des câbles Verrous électromagnétique Câble anti-vol pour les portables Carte à puce pour accès Etc.

13 Sécurité des données (1/5)
Identification / Authentification Protéger les données contre des accès frauduleux ou malveillants aux ordinateurs de l’entreprise Sauvegarde / Restauration Conserver les données sensibles en sécurité afin de les restaurer en cas de sinistre (erreur humaine, incendie, virus, etc.)

14 Sécurité des données (2/5)
Identification / Authentification Pour les informations sensibles, adopter une démarche d’interdiction d’accès par défaut avec attribution explicite de droits Personne ne doit avoir le droit de modifier les machines, hormis l’administrateur Utiliser plusieurs niveaux d’authentification HP ProtectTools est au centre de la solution de sécurité de HP pour les PC, portables et Ipaq. Il garantit l’authentification et l’identification de utilisateur grâce au cryptage des données

15 Sécurité des données (3/5)
Carte à puce : Smart Card Security Manager Apporte des mécanismes d’authentification sur plusieurs niveaux : Carte à puce + Code PIN Protège contre les intrusions au moment du démarrage du PC Accroît la sécurité en complétant le système de sécurité de Microsoft Windows Protège contre les accès non autorisés au PC par blocage du système en cas de retrait non autorisé de la carte à puce Authentification forte : ce que j’ai (carte à puce) + ce que je sais (code PIN).

16 Sécurité des données (4/5)
Sauvegarde / Restauration Pour les informations sensibles (informations commerciales, contractuelles, légales, etc.), adopter une démarche systématique de sauvegarde des données La sauvegarde doit être régulière, sécurisée, rapidement accessible La restauration doit être mise-en-oeuvre rapidement, simplement et avec une fiabilité totale

17 Sécurité des données (5/5)
Service de sauvegarde en ligne HP Démarrage automatique des sauvegardes en fonction du paramétrage Interface conviviale permettant à l’utilisateur d’effectuer les opérations de sauvegarde et de restauration Chiffrement systématiquement toutes les données avant leur sortie du poste de travail Compression des données pour limiter l’utilisation de la bande passante Disponible prochainement dans le cadre du programme Ready Office

18 Sécurité du réseau (1/4) Sécuriser le réseau est une course
Des menaces de plus en plus nombreuses Des attaques de plus en plus rapide Incidents recensés Délai avant l’attaque CV

19 Sécurité du réseau (2/4) Fonctionnalités de pare-feu (firewall)
Protection du réseau de l’entreprise contre les intrusions provenant des réseaux externes Outil nécessaire mais insuffisant (effet ligne Maginot) Fonctionnalités de réseau privé virtuel (VPN) Amélioration de la productivité des utilisateurs nomades par l’accès au réseau d’entreprise Liaison sécurisée entre le réseau de l’entreprise et l’utilisateur nomade (à travers Internet) Vérification de la bonne santé des ordinateurs qui se connectent à distance avec le système de quarantaine de Windows Server 2003 Gestion et contrôle des accès (proxy) Accès Internet partagé avec contrôle des accès selon les utilisateurs Restriction des accès aux sites Internet choisis par l’entreprise VPN : Accès en permanence aux ressources du réseau pour améliorer la productivité des nomades Quarantaine : réponse pour maîtriser les risques liés à l’ouverture du réseau de l’entreprise vers l’extérieur

20 Sécurité du réseau (3/4) HP ProLiant Small Office Solution
Fonctionnalités complètes de sécurité réseau (firewall, VPN, proxy) Microsoft Small Business Server 2003 Solutions dédiées aux petites entreprises de moins de 25 utilisateurs ProLiant DL320 / ISA Server 2004 Fonctionnalités complètes de sécurité réseau (firewall, VPN, proxy) Solutions dédiées aux petites entreprises de plus de 25 utilisateurs

21 Sécurité du réseau (4/4) Mots de passe
Bonne pratique : pas de nom du dictionnaire, une bonne longueur, des majuscules / minuscules, des chiffres, des accents… Exemple : Tc:1j,jr&àN-Yàt! (il y a un truc!) Réseaux sans fils (Windows XP SP2) Par défaut aucune sécurité « WEP » est à proscrire Exiger WPA (ou WPA2) Problème lié aux points d’accès pirates (ouvrent votre réseau à n’importe qui)

22 Gestion de la sécurité (1/2)
Constats : Tous les logiciels sont imparfaits et contiennent des erreurs (bugs), certains touchent à la sécurité (vulnérabilités) Le temps entre la sortie d’une mise à jour de sécurité (corrigeant une vulnérabilité) et l’apparition d’un ver utilisant la vulnérabilité est en descente vertigineuse (6 mois pour Slammer, 25 j pour Blaster, 17 j pour Sasser) La propagation d’un ver peut être fulgurante (ex :Slammer) Application des correctifs de sécurité au fur et à mesure de leur sortie (après tests) Si vous le souhaitez, Windows XP SP2 et Windows Server 2003 peuvent récupérer et installer automatiquement les mises à jour de sécurité depuis Internet Update Services est un logiciel gratuit de Microsoft qui permet de centraliser la mise à jour des logiciels Microsoft (sortie dans les 5 mois) Remarques : Windows 2000 bénéficie aussi du système de mises à jour automatiques. Update Services permettra de sélectionner les mises à jour à appliquer, de cibler les machines qui les installeront, de fixer des dates butoirs d’installation, de provoquer une désinstallation…Il permettra de gérer les dernières versions de Windows, Office, Exchange, SQL Server.

23 Gestion de la sécurité (2/2)
De nouveaux outils logiciels qui permettent de vérifier simplement et rapidement la vulnérabilité de l’ infrastructure (ProLiant Essentials VPM, etc.) Tests de vulnérabilité Application des correctifs Maintenance automatique Etablissement de la politique de sécurité Du PC au serveur en passant par les routeurs.

24 Gestion des actifs logiciels, d’autres risques à maîtriser
Le logiciel est un outil de production important, un actif qui nécessite une gestion rigoureuse. Un parc logiciel mal maîtrisé c’est la porte ouverte la copie illégale. Le logiciel est protégé par le code de la propriété intellectuelle (droits d’auteur) article L Un logiciel utilisé sans licence est une contrefaçon Responsabilité du dirigeant : sur le fondement de l’article 1384 du Code Civil (responsabilité du commettant), la responsabilité du chef d’entreprise est mise en jeu lorsqu’un de ses employés commet un acte de piratage ou de contrefaçon sur un poste mis à disposition par l’entreprise. Prévention : Mettre en place une infrastructure et des processus de gestion des actifs logiciels. LS

25 Logiciels sans licences : Les risques
Risque technique et de sécurité Logiciels de provenance inconnue = pas de maîtrise complète du parc logiciel Risques de virus, parfois même intentionnels, sur les copies illégales commercialisées sur Internet ou copiées de poste à poste, ou dans les cracks de CD diffusés sur Internet. Risques d’intrusion. Pas d’accès aux services automatiques de mises à jour et de correctifs de sécurité Pas de support technique de la part de l’éditeur, pas d’interlocuteur revendeur ou service en cas de problème. Risque d’image et de réputation Utiliser des copies illégales n’est pas «pro», c’est un défaut de gestion, un manque de sérieux, un manque de respect de la loi La réputation et la pérennité de l’entreprise peut être entachée sur son marché, auprès des collaborateurs en interne d’abord, mais aussi auprès des clients, fournisseurs et concurrents qui pourraient l’apprendre (concurrence déloyale) Risque légal et financier Procédures de contrôle : saisie descriptive par huissier de justice et expert informatique dans le cadre d’une ordonnance rendue par le président du Tribunal de Grande Instance, ou sommation interpellative de mise en demeure de déclaration de parc. Procédures judiciaires coûteuses. Sanctions pénales (amendes prévues par la Loi) et civiles (dommages et intérêts). Faibles économies dangereuses : le logiciel représente moins de 10% du coût total de possession de l’équipement informatique. LS

26 Quels avantages à bien gérer le parc logiciel ?
Tirer le meilleur de son informatique en toute sérénité. Gestion des actifs logiciels : Mettre en oeuvre l’ensemble des infrastructures et processus nécessaires pour gérer, contrôler et protéger les actifs logiciels d’une organisation tout au long de leur cycle de vie. Avantages : Stratégie logicielle : Connaître ses besoins logiciels réels. quels logiciels répondent le mieux aux besoins des utilisateurs (par service, par tache, par métier) et aux contraintes de l’entreprise. Établir ses choix logiciels. Évaluer les évolutions techniques utiles et les planifier. Audit régulier du parc : mieux connaître et suivre dans le temps son existant logiciel et licences, et le comparer à ses besoins. Rationalisation des achats : réaliser des économies d’échelle en groupant ses achats, annualiser ses dépenses. Homogénéisation du parc : travailler plus efficacement et offrir un meilleur taux de service et de disponibilité aux utilisateurs LS

27 Quelles méthodes simples de gestion ?
Informer et partager la responsabilité du dirigeant avec les employés : clause de respect de la propriété intellectuelle sur les biens et contenus numériques dans les contrats de travail, règlement interne de l’entreprise et note interne de sensibilisation. Réaliser un audit annuel des logiciels installés sur les ordinateurs Rapprocher cet audit physique des licences effectivement possédées. Grouper et conserver les licences en lieu sur. Établir la stratégie logicielle. Quels logiciels pour quels besoins ? Et la faire connaître. Grouper les achats auprès d’un petit nombre de fournisseurs reconnus. Établir des procédures de fourniture de logiciels aux employés et nommer des personnes responsables. Réévaluer les besoins régulièrement Planifier les évolutions techniques et les budgets correspondants Sous-traiter certaines tâches aux revendeurs informatiques S’équiper une solution logicielle de gestion de parc logiciel LS

28 Des ressources Outils d’audit de parc logiciel et guides de la gestion de parc logiciel disponibles gratuitement sur : LS

29 Politique de sécurité Les problèmes de sécurité empêchent la création d’une infrastructure stable Microsoft, HP et leur réseau de partenaires peuvent vous aider à mettre en œuvre une vraie politique de sécurité Etude de l’architecture Etudes des règles de sécurité Test de pénétration des systèmes Analyse des résultats, partage des meilleures pratiques et conseils Etablissement de la politique de sécurité LD

30 Ressources www.microsoft.com/france/securite www.hp.com/fr/security

31 Questions ?

Télécharger ppt "Sécurité informatique : un enjeu vital pour l’entreprise"

Présentations similaires

Rick Claus Conseiller professionnel en TI Microsoft Canada Rodney Buike Conseillère professionnelle en TI Microsoft Canada

Rick Claus Conseiller professionnel en TI Microsoft Canada Rodney Buike Conseillère professionnelle en TI Microsoft Canada
La sécurité en tant que service. Doctor Web est le seul vendeur SaaS en Russie En 2007 Dr.Web AV-Desk est lancé En octobre 2007 Dr.Web AV-Desk est intégré

La sécurité en tant que service. Doctor Web est le seul vendeur SaaS en Russie En 2007 Dr.Web AV-Desk est lancé En octobre 2007 Dr.Web AV-Desk est intégré
Mars 2006 OLMEK Développé par Item Centric, Olmek est une solution novatrice de protection des données informatiques, garantissant un niveau de confidentialité

Mars 2006 OLMEK Développé par Item Centric, Olmek est une solution novatrice de protection des données informatiques, garantissant un niveau de confidentialité
Les technologies décisionnelles et le portail

Les technologies décisionnelles et le portail
Projet de Virtualisation dans le cadre d’un PCA/PRA

Projet de Virtualisation dans le cadre d’un PCA/PRA
Solutions Techno ! Le projet mobilité du cabinet Emportez votre cabinet chez vos clients !

Solutions Techno ! Le projet mobilité du cabinet Emportez votre cabinet chez vos clients !
Sécurité informatique et gestion des actifs logiciels de l’entreprise

Sécurité informatique et gestion des actifs logiciels de l’entreprise
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?

Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Protection du réseau périphérique avec ISA 2004

Protection du réseau périphérique avec ISA 2004
Botnet, défense en profondeur

Botnet, défense en profondeur
Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé
La Gestion de la Configuration

La Gestion de la Configuration
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Introduction aux réseaux informatiques

Introduction aux réseaux informatiques
Microsoft Office Groove 2007. Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.

Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
La sécurité en toute simplicité Solution daccès logique By ADDEXA.

La sécurité en toute simplicité Solution daccès logique By ADDEXA.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft

Présentations similaires

Annonces Google