La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Cyberespace et continuité d’activité Paris, le 28 mars 2013.

Publié parFantine Valette Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Cyberespace et continuité d’activité Paris, le 28 mars 2013."— Transcription de la présentation:

1 Cyberespace et continuité d’activité Paris, le 28 mars 2013

2 Vers des cyber PCA (plans de continuité d’activité) Le cyberespace est aujourd'hui omniprésent, et régit/régule toutes nos organisations et activités, collectives ou individuelles. Particulièrement vrai de l’entreprise, qui ne le voit le plus souvent que comme un outil Comme tout outil, il peut faillir, par accident ou par volonté Il peut faillir localement (soit une fonction de l’entreprise, soit seulement l’entreprise par rapport à ses concurrents), ou de façon systémique – On peut ici renvoyer aux travaux des risques manageurs Milite pour le développement de cyber PCA

3 Plan Caractéristiques du cyberespace Le cyberespace, lieu de la guerre économique Démarche cyberstratégique de l’entreprise Essais de plan de continuité de la cyberactivité (cyberPCA)

4 Définition Le cyberespace, désormais omniprésent dans la vie des organisations (et des entreprises) le cyberespace est l’espace constitué des systèmes informatiques de toute sorte connectés en réseaux et permettant la communication technique et sociale d’informations par des utilisateurs individuels ou collectifs

5 Caractéristiques du cyberespace 1.Intangibilité relative 2.Publicité, discrétion, opacité 3.Mutabilité et artificialité 4.Universalité 5.Pervasivité 6.Mobiquité 7.Flou et fluidité 8.Dualités, duplicités 9.Complexité 10.Résilience

6 Les trois couches du cyberespace. Le cyber peut être articulé en trois couches différentes : – Couche matérielle – Couche logicielle – Couche sémantique (ou informationnelle)

7 Couche physique Pour l’entreprise, une partie de ces moyens sont privatifs (et lui appartiennent) quand beaucoup d’autres dépendent d’autres acteurs, à qui elle loue l’utilisation de services. Toutefois, elle peut utiliser certains services gratuitement (par exemple quand ses collaborateurs utilisent leurs moyens personnels pour travailler à la maison). La multiplicité des matériels et des services associés constitue d’emblée une source de fragilité de l’entreprise, si elle n’y prend pas garde, ce qui est le plus souvent le cas.

8 Couche logicielle L’entreprise a une marge d’action sur les logiciels : en effet, selon le prestataire où elle se les procure, elle choisit un niveau de risque et de confiance mais elle n’est jamais sûre que les logiciels ne cachent pas des portes dérobées qui seront utilisées par des agents hostiles [1]. [1] De même, elle fera appel à un fournisseur d’accès (à l’Internet ou à des réseaux privatifs) pour organiser ses flux de données, soit au sein de son organisation, soit entre elle et ses partenaires, par exemple par l’Internet. Là encore, la sûreté n’est pas qu’affaire de prix mais aussi de confiance et de procédure. A tout le moins, l’entreprise doit prendre conscience que ces deux sous- fonctions logiques sont sources de risque. [1][1] En fait, tous les logiciels comportent des « portes dérobées », que celles-ci soient intentionnelles (placées là par le créateur du logiciel) ou non (erreur d’écriture, inévitable pour des programmes qui comptent des millions de lignes de code).

9 Couche sémantique considérer la nature extrêmement diverse de l’information dans l’entreprise : à bien y regarder, tout est information, qu’il s’agisse – des processus internes : recherche et développement, processus d’organisation, plans financiers, états comptables, bases de données des ressources humaines, … – ou externes : position marketing, communication financière, relations avec la presse, site Internet de vente en ligne, image de marque, goodwill…. C’est à l’évidence une source de fragilité.

10 Plan Caractéristiques du cyberespace Le cyberespace, lieu de la guerre économique Démarche cyberstratégique de l’entreprise Essais de plan de continuité de la cyberactivité (cyberPCA)

11 Actions conflictuelles Que peut faire cet agresseur du cyberspace contre l’entreprise ? trois grandes intentions malveillantes : l’espionnage, le sabotage et la subversion

12 Espionnage informations sensibles de l’entreprise, qu’il s’agisse de son fonctionnement interne (finances, organisation, technologie, organisation) de sa posture externe (données financières, campagnes marketing, axes de développement stratégique) Logiciels espions, mais aussi utilisation des imprudences Cœur de l’entreprise, mais aussi ses extensions : mobiles, portables, smartphones, USB, BYOD, …

13 Sabotage Plus ou moins discret (cf. attaque Shamoon contre Aramco) Souvent deuxième couche, mais avec des corrélations troisième couche. – Ex, Anonymous attaque Visa, l’action perd 10 % dans les quinze minutes….

14 Subversion Troisième couche Soutenir une cause militante, ou saper la réputation, via viralité des réseaux sociaux, cf. Apple et ses sous- traitants en Chine Cf. Aussi les différentes réactions des industriels face au gaz de schiste (US, CAN, FR) Il ne s’agit pas seulement d’e-réputation, domaine dans lequel se sont spécialisés un certain nombre de communicants et marketeurs ; mais bien de l’utilisation du cyberespace dans la guerre informationnelle que se livrent les entreprises

15 Des failles dont les dirigeants n’ont pas conscience La plupart des entreprises qui se sont faites espionnées électroniquement sont incapables de dire « depuis quand » le dispositif est en place En moyenne, deux ans Pendant deux ans, l’entreprise a agi entravée…

16 Désintérêt des dirigeants Informatique = technique On se reporte sur directeur informatique Mais ce n’est pas parce qu’il y a un directeur financier que le dirigeant ne regarde pas les comptes… Raisons – Non responsabilité pas de sanction par marché ou par autorité) – Croyance que phénomènes résultent de biais techniques et donc marginaux

17 Du secret à la stratégie Peu de communication : quand ça arrive, doit rester secret D’ailleurs, après, véritable parano, souvent excessive. Mais le secret n’incite pas à modifier par imitation l’architecture de protection. Au-delà des palliatifs, nécessité d’une véritable cyberstratégie d’etp.

18 Plan Caractéristiques du cyberespace Le cyberespace, lieu de la guerre économique Démarche cyberstratégique de l’entreprise Essais de plan de continuité de la cyberactivité (cyberPCA)

19 Information cœur stratégique de l‘entreprise Facteurs de production classiques : capital, travail, management Nouveau FdP : l’information A la fois acquise et créée A la fois stock et flux Pas seulement les courriels échangés, mais « méta-information »

20 Méta-information de l’entreprise Travaux de recherche et développement (future VA de l’etp) Mise en œuvre des processus de production Plan stratégique de l’entreprise La structure et l’organisation sont ainsi indicatives des efforts et des priorités de l’entreprise

21 Mais aussi : Démarche marketing (quel prix ? quelle marge ? quelle cible ? quel concurrent ? quel benchmarks ?) Données financières (cash-flow, flux de trésorerie, dettes, structure actionnariale). Lors de négo : état des positions, ses propres intentions, ses marges réelles de négo.. Alors….

22 Cyberstratégie del ‘entreprise Stratégie de l’information Élever la fonction sécurité Interagir avec les alliés

23 Stratégie de l’information cartographier son information sensible, définir des priorités – (ce qui incombe des choix : là où l’on veut être fort, là où on accepte d’être faible. – Un objectif stratégique qui énonce « faire ceci tout en faisant cela » n’énonce pas de priorité !). Sachant ce qu’elle veut protéger, elle pourra définir des procédures adéquates. On ne peut pas « tout » protéger

24 Options Utiliser « Internet » ou choisir un réseau privé Ordinateur lambda, ou ordinateur vierge qu’on emmène à l’autre bout du monde pour les négociations Quelles procédure de CR de négo? Veille informationnelle, war room, et autres techniques IE

25 Elever la fonction « sécurité » L’information est au cœur de sa stratégie, et le dirigeant doit la comprendre comme un tout. Une stratégie informationnelle n’est pas simplement une stratégie de communication, c’est une stratégie globale. l’action de l’entreprise doit être encadrée par une méta-fonction de sécurité.

26 directeur « sécurité générale » (DSG) Doit être membre du COEX CODIR Trois subordonnés : – Le responsable de la sécurité, en charge des fonctions classiques de sûreté passive – Le directeur de la sécurité informatique : Il est plus tourné vers l’intérieur de l’entreprise, et plus défensif. – Le directeur de l’intelligence stratégique, en charge de la guerre informationnelle

27 deux lignes d’action stratégique Une première ligne sera principalement défensive, et visera à prévenir les atteintes à l’information d’entreprise Une seconde ligne sera principalement offensive, puisqu’il faudra façonner l’environnement (veille informationnelle, influence, guerre informationnelle)

28 Interagir avec le régulateur et les alliés de l’entreprise A la guerre, on n’est pas seul la guerre économique, qui est revitalisée par le cyberespace, a des connexions nombreuses avec les rivalités géopolitiques Etat : ex : ANSSI, Délégué IE (coordination ET discrétion) réseau d’entreprises partenaires : à l’heure des réseaux, il est logique de déployer les siens pour s’adapter à la réticulation générale

29 Plan Caractéristiques du cyberespace Le cyberespace, lieu de la guerre économique Démarche cyberstratégique de l’entreprise Essais de plan de continuité de la cyberactivité (cyberPCA)

30 Méthode PCA Étude du contexte (cartographie) Événements redoutés Risques (double critère de l’occurrence et de l’impact) Mesures de sécurité possibles Plan d’action Tests

31 Couche physique Distinguer les outils à usage interne (fonctionnement de l’organisation) de ceux à usage externe (relation client, relation au public) Serveurs : un, plusieurs, redondance ? Câbles : fournisseurs, ou réseaux interne ? Généralisé ou certaines fonctions ? Connexions entre sites ? Terminaux : unités centrales ? Homogénéité et suivi du parc ? Périphériques : imprimantes, scanners, graveurs, modems…

32 Couche physique Stations blanches ? Téléphonie (ordiphones ?) : fixe ou mobile Dispositifs de surveillance (caméras, …) de protection (badge, tourniquets) de fonctionnement industriel (SCADA) Informatique en nuage ? AVPA (BYOD) ?

33 Couche logique Cartographie des logiciels : – bureautique, – de service (RH, paye, …), – industriels (SCADA), – de surveillance, – de protection (antivirus) Compatibilité, versions, …. Sur toute l’entreprise ou certains sites ? National vs international ou local

34 Couche logique Propriétaire ou locataire ? Marque ou open source ? Degré de confiance : nationalité, coût, normes, expertise, sécurité vs fiabilité Solutions intégrées ou juxtaposition ? Dépendance aux SSI Quel fournisseur de nuage ?

35 Couche sémantique interne Existe-t-il une cartographie des infos sensibles ? – R&D – Plan stratégique – RH – Finances – Négociations contractuelles Niveaux de classification/protection internes à l’entreprise ? Réseaux adaptés ? Dispositifs particuliers de protection? Duplications papier ? Systèmes d’alerte/contact en cas de panne

36 Couche sémantique externe Quelle protection du site grand public ? Dispositif de vente en ligne ? Suivi du catalogue ? Dispositif de veille informationnelle (intelligence économique) ? Dispo d’e-réputation ? War room de crise informationnelle/communicationnelle ?

37 Conclusion Il s’est agit ici d’évoquer quelques pistes visant à établir des cyber PCA Outre la méthode traditionnelle des PCA, cela nécessite De distinguer les trois couches du cyber De distinguer organisation interne et rapports externes

38 Questions ?

Télécharger ppt "Cyberespace et continuité d’activité Paris, le 28 mars 2013."

Présentations similaires

Lundi 21 mars 2011 Un réseau social pour Entreprise Jean-Luc Walter Patrick de Dieuleveult.

Lundi 21 mars 2011 Un réseau social pour Entreprise Jean-Luc Walter Patrick de Dieuleveult.
ACTIVE DIRECTORY. Qu'est-ce un service d'annuaire ?: Un service d'annuaire peut être comparé à un agenda téléphonique, celui- ci contient au départ des.

ACTIVE DIRECTORY. Qu'est-ce un service d'annuaire ?: Un service d'annuaire peut être comparé à un agenda téléphonique, celui- ci contient au départ des.
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?

Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Introduction aux réseaux informatiques

Introduction aux réseaux informatiques
Intelligence économique Principes de mesure de limmatériel Propositions au service de la compétitivité et du financement des entreprises Toulouse 25 juin.

Intelligence économique Principes de mesure de limmatériel Propositions au service de la compétitivité et du financement des entreprises Toulouse 25 juin.
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
Les réseaux informatiques

Les réseaux informatiques
Le management de l’entreprise

Le management de l’entreprise
MRP, MRP II, ERP : Finalités et particularités de chacun.

MRP, MRP II, ERP : Finalités et particularités de chacun.
Altaïr Conseil Maîtriser l'information stratégique Sécurisé

Altaïr Conseil Maîtriser l'information stratégique Sécurisé
Pérennité du Secteur de la Réadaptation Physique:

Pérennité du Secteur de la Réadaptation Physique:
PROGRAMME DE SCIENCES DE GESTION en lien avec l’ETUDE

PROGRAMME DE SCIENCES DE GESTION en lien avec l’ETUDE
Intelligence économique

Intelligence économique
Urbanisation des SI Réalisé par: Kerai yassine kertiou ismail

Urbanisation des SI Réalisé par: Kerai yassine kertiou ismail
Interoperabilité des SI - Urbanisation

Interoperabilité des SI - Urbanisation
LA VEILLE DOCUMENTAIRE

LA VEILLE DOCUMENTAIRE
Quelques réflexions sur l’entreprise innovante

Quelques réflexions sur l’entreprise innovante
MANAGEMENT INTELLIGENT par Clark G. KHADIGE, dba, desg

MANAGEMENT INTELLIGENT par Clark G. KHADIGE, dba, desg
Management.

Management.
Référence PRE.022.AtelierTechAMUE_100206.ppt APOGEE SOA et Système d’information Atelier technique 10/02/2006.

Référence PRE.022.AtelierTechAMUE_ ppt APOGEE SOA et Système d’information Atelier technique 10/02/2006.

Présentations similaires

Annonces Google