La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité informatique : un enjeu vital pour lentreprise Cyril Voisin Chef de programme Sécurité Microsoft France Laurent Dobin Ready Office Business Manager.

Présentations similaires


Présentation au sujet: "Sécurité informatique : un enjeu vital pour lentreprise Cyril Voisin Chef de programme Sécurité Microsoft France Laurent Dobin Ready Office Business Manager."— Transcription de la présentation:

1 Sécurité informatique : un enjeu vital pour lentreprise Cyril Voisin Chef de programme Sécurité Microsoft France Laurent Dobin Ready Office Business Manager HP France Laurent Signoret Responsable Conformité Licences Microsoft France

2 Sommaire Les nouveaux défis de lentreprise connectée Démarche de mise en place de protections : État des lieux Inventaire des biens à protéger, des menaces et des vulnérabilités Définir sa politique de sécurité Protections à mettre en place, autorisations daccès aux ressources (dont Internet), formation / sensibilisation des employés Mettre en œuvre des moyens minimaux de protection à différents niveaux Machines : pare-feu personnel, antivirus, mises à jour de sécurité Sécurité physique : verrouillage de session, mise sous clé des machines sensibles Données : contrôle daccès, sauvegarde / restauration Réseau : pare-feu dentreprise, accès à distance pour les utilisateurs mobiles, filtrage daccès à Internet, mots de passe, réseaux sans fils Gestion de la sécurité : maintenance de la sécurité Les autres risques liés à la propriété intellectuelle Conclusion

3 Les nouveaux défis de lentreprise connectée Accroître la valeur de lentreprise Connexion avec les consommateurs Intégration avec des partenaires Donner plus de moyens aux employés Réduire les risques Nouvelles menaces Environnement en constante évolution Complexité, vecteurs, volume, motivation et impact Responsabilité

4 Pas simplement des technos…

5 Architecture sécurisée PersonnesAdmin. de lEntreprise Admin. Du Domaine Service/Support Développeur Utilisateur Archivage Politique daccès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident MicrosoftOperationsFramework Évaluation de risques Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection dintrusion SMS MOM ISA Antivirus GPO RMS La sécurité dans un monde complexe

6 La démarche de sécurisation (1/3) Faire létat des lieux Inventorier les biens que lon souhaite protéger Ex : liste de clients, plan marketing, projet dinvestissement stratégique, système de facturation, site Web, … Inventorier les menaces Ex : espion mandaté par un concurrent, virus, ver, cheval de Troie, vandale,… Inventorier les vulnérabilités Ex : personnel non sensibilisé à la non divulgation dinformations confidentielles, machines sans antivirus, correctifs de sécurité manquants, absence de pare-feu pour protéger les connexions au réseau…

7 La démarche de sécurisation (2/3) En déduire les risques = menaces x vulnérabilités x valeur des biens On sattachera à diminuer les plus importants A transférer ceux qui sont inacceptables (assurance) A prendre en charge soi-même les autres

8 La démarche de sécurisation (3/3) Rédiger sa Politique de sécurité Principes de base à respecter (nécessité de contrôler laccès aux documents internes, protections techniques minimales par ex.) Définition des autorisations daccès aux ressources dont Internet (par ex : seul le personnel habilité aura accès à Internet) Formation / sensibilisation des employés (ex : navigation sécurisée, utilisation de l , prévention de lingénierie sociale…)

9 Moyens de protection Ensuite, il faut mettre en œuvre de moyens de protection contre les risques identifiés selon une démarche de défense en profondeur Machines Sécurité physique DonnéesRéseau Gestion de la sécurité Risques liés à la propriété intellectuelle

10 Machines Les 3 grands moyens de protection Pare-feu personnel Antivirus à jour au niveau de ses signatures Mises à jour de sécurité

11 Sécurité physique (1/2) Verrouiller sa session pour quun « passant » ne puisse pas accéder à vos données, se faire passer pour vous Enfermer les serveurs dans une pièce fermée à clé Utiliser des outils de sécurité physique pour protéger les PC

12 Sécurité physique (2/2) Sécurité physique des PC Cache de protection des connecteurs Verrouillage du châssis et des câbles Verrous électromagnétique Câble anti-vol pour les portables Carte à puce pour accès Etc.

13 Sécurité des données (1/5) Identification / Authentification Protéger les données contre des accès frauduleux ou malveillants aux ordinateurs de lentreprise Sauvegarde / Restauration Conserver les données sensibles en sécurité afin de les restaurer en cas de sinistre (erreur humaine, incendie, virus, etc.)

14 Sécurité des données (2/5) Identification / Authentification Pour les informations sensibles, adopter une démarche dinterdiction daccès par défaut avec attribution explicite de droits Personne ne doit avoir le droit de modifier les machines, hormis ladministrateur Utiliser plusieurs niveaux dauthentification HP ProtectTools est au centre de la solution de sécurité de HP pour les PC, portables et Ipaq. Il garantit lauthentification et lidentification de utilisateur grâce au cryptage des données

15 Sécurité des données (3/5) Carte à puce : Smart Card Security Manager Apporte des mécanismes dauthentification sur plusieurs niveaux : Carte à puce + Code PIN Protège contre les intrusions au moment du démarrage du PC Accroît la sécurité en complétant le système de sécurité de Microsoft Windows Protège contre les accès non autorisés au PC par blocage du système en cas de retrait non autorisé de la carte à puce

16 Sécurité des données (4/5) Sauvegarde / Restauration Pour les informations sensibles (informations commerciales, contractuelles, légales, etc.), adopter une démarche systématique de sauvegarde des données La sauvegarde doit être régulière, sécurisée, rapidement accessible La restauration doit être mise-en-oeuvre rapidement, simplement et avec une fiabilité totale

17 Sécurité des données (5/5) Service de sauvegarde en ligne HP Démarrage automatique des sauvegardes en fonction du paramétrage Interface conviviale permettant à lutilisateur deffectuer les opérations de sauvegarde et de restauration Chiffrement systématiquement toutes les données avant leur sortie du poste de travail Compression des données pour limiter lutilisation de la bande passante Disponible prochainement dans le cadre du programme Ready Office

18 Sécurité du réseau (1/4) Incidents recensésDélai avant lattaque Sécuriser le réseau est une course Des menaces de plus en plus nombreuses Des attaques de plus en plus rapide

19 Sécurité du réseau (2/4) Fonctionnalités de pare-feu (firewall) Protection du réseau de lentreprise contre les intrusions provenant des réseaux externes Outil nécessaire mais insuffisant (effet ligne Maginot) Fonctionnalités de réseau privé virtuel (VPN) Amélioration de la productivité des utilisateurs nomades par laccès au réseau dentreprise Liaison sécurisée entre le réseau de lentreprise et lutilisateur nomade (à travers Internet) Vérification de la bonne santé des ordinateurs qui se connectent à distance avec le système de quarantaine de Windows Server 2003 Gestion et contrôle des accès (proxy) Accès Internet partagé avec contrôle des accès selon les utilisateurs Restriction des accès aux sites Internet choisis par lentreprise

20 Sécurité du réseau (3/4) HP ProLiant Small Office Solution Fonctionnalités complètes de sécurité réseau (firewall, VPN, proxy) Microsoft Small Business Server 2003 Solutions dédiées aux petites entreprises de moins de 25 utilisateurs ProLiant DL320 / ISA Server 2004 Fonctionnalités complètes de sécurité réseau (firewall, VPN, proxy) Solutions dédiées aux petites entreprises de plus de 25 utilisateurs

21 Sécurité du réseau (4/4) Mots de passe Bonne pratique : pas de nom du dictionnaire, une bonne longueur, des majuscules / minuscules, des chiffres, des accents… Exemple : Tc:1j,jr&àN-Yàt! (il y a un truc!) Réseaux sans fils (Windows XP SP2) Par défaut aucune sécurité « WEP » est à proscrire Exiger WPA (ou WPA2) Problème lié aux points daccès pirates (ouvrent votre réseau à nimporte qui)

22 Gestion de la sécurité (1/2) Constats : Tous les logiciels sont imparfaits et contiennent des erreurs (bugs), certains touchent à la sécurité (vulnérabilités) Le temps entre la sortie dune mise à jour de sécurité (corrigeant une vulnérabilité) et lapparition dun ver utilisant la vulnérabilité est en descente vertigineuse (6 mois pour Slammer, 25 j pour Blaster, 17 j pour Sasser) La propagation dun ver peut être fulgurante (ex :Slammer) Application des correctifs de sécurité au fur et à mesure de leur sortie (après tests) Si vous le souhaitez, Windows XP SP2 et Windows Server 2003 peuvent récupérer et installer automatiquement les mises à jour de sécurité depuis Internet Update Services est un logiciel gratuit de Microsoft qui permet de centraliser la mise à jour des logiciels Microsoft (sortie dans les 5 mois)

23 Gestion de la sécurité (2/2) De nouveaux outils logiciels qui permettent de vérifier simplement et rapidement la vulnérabilité de l infrastructure (ProLiant Essentials VPM, etc.) Tests de vulnérabilité Application des correctifs Maintenance automatique Etablissement de la politique de sécurité

24 Gestion des actifs logiciels, dautres risques à maîtriser Le logiciel est un outil de production important, un actif qui nécessite une gestion rigoureuse. Un parc logiciel mal maîtrisé cest la porte ouverte la copie illégale. Le logiciel est protégé par le code de la propriété intellectuelle (droits dauteur) article L Un logiciel utilisé sans licence est une contrefaçon Responsabilité du dirigeant : sur le fondement de larticle 1384 du Code Civil (responsabilité du commettant), la responsabilité du chef dentreprise est mise en jeu lorsquun de ses employés commet un acte de piratage ou de contrefaçon sur un poste mis à disposition par lentreprise. Prévention : Mettre en place une infrastructure et des processus de gestion des actifs logiciels.

25 Logiciels sans licences : Les risques Risque technique et de sécurité Logiciels de provenance inconnue = pas de maîtrise complète du parc logiciel Risques de virus, parfois même intentionnels, sur les copies illégales commercialisées sur Internet ou copiées de poste à poste, ou dans les cracks de CD diffusés sur Internet. Risques dintrusion. Pas daccès aux services automatiques de mises à jour et de correctifs de sécurité Pas de support technique de la part de léditeur, pas dinterlocuteur revendeur ou service en cas de problème. Risque dimage et de réputation Utiliser des copies illégales nest pas «pro», cest un défaut de gestion, un manque de sérieux, un manque de respect de la loi La réputation et la pérennité de lentreprise peut être entachée sur son marché, auprès des collaborateurs en interne dabord, mais aussi auprès des clients, fournisseurs et concurrents qui pourraient lapprendre (concurrence déloyale) Risque légal et financier Procédures de contrôle : saisie descriptive par huissier de justice et expert informatique dans le cadre dune ordonnance rendue par le président du Tribunal de Grande Instance, ou sommation interpellative de mise en demeure de déclaration de parc. Procédures judiciaires coûteuses. Sanctions pénales (amendes prévues par la Loi) et civiles (dommages et intérêts). Faibles économies dangereuses : le logiciel représente moins de 10% du coût total de possession de léquipement informatique.

26 Quels avantages à bien gérer le parc logiciel ? Tirer le meilleur de son informatique en toute sérénité. Gestion des actifs logiciels : Mettre en oeuvre lensemble des infrastructures et processus nécessaires pour gérer, contrôler et protéger les actifs logiciels dune organisation tout au long de leur cycle de vie. Avantages : Stratégie logicielle : Connaître ses besoins logiciels réels. quels logiciels répondent le mieux aux besoins des utilisateurs (par service, par tache, par métier) et aux contraintes de lentreprise. Établir ses choix logiciels. Évaluer les évolutions techniques utiles et les planifier. Audit régulier du parc : mieux connaître et suivre dans le temps son existant logiciel et licences, et le comparer à ses besoins. Rationalisation des achats : réaliser des économies déchelle en groupant ses achats, annualiser ses dépenses. Homogénéisation du parc : travailler plus efficacement et offrir un meilleur taux de service et de disponibilité aux utilisateurs

27 Quelles méthodes simples de gestion ? Informer et partager la responsabilité du dirigeant avec les employés : clause de respect de la propriété intellectuelle sur les biens et contenus numériques dans les contrats de travail, règlement interne de lentreprise et note interne de sensibilisation. Réaliser un audit annuel des logiciels installés sur les ordinateurs Rapprocher cet audit physique des licences effectivement possédées. Grouper et conserver les licences en lieu sur. Établir la stratégie logicielle. Quels logiciels pour quels besoins ? Et la faire connaître. Grouper les achats auprès dun petit nombre de fournisseurs reconnus. Établir des procédures de fourniture de logiciels aux employés et nommer des personnes responsables. Réévaluer les besoins régulièrement Planifier les évolutions techniques et les budgets correspondants Sous-traiter certaines tâches aux revendeurs informatiques Séquiper une solution logicielle de gestion de parc logiciel

28 Des ressources Outils daudit de parc logiciel et guides de la gestion de parc logiciel disponibles gratuitement sur :

29 Politique de sécurité Les problèmes de sécurité empêchent la création dune infrastructure stable Microsoft, HP et leur réseau de partenaires peuvent vous aider à mettre en œuvre une vraie politique de sécurité Etude de larchitecture Etudes des règles de sécurité Test de pénétration des systèmes Analyse des résultats, partage des meilleures pratiques et conseils Etablissement de la politique de sécurité

30 Ressources

31 Questions ?


Télécharger ppt "Sécurité informatique : un enjeu vital pour lentreprise Cyril Voisin Chef de programme Sécurité Microsoft France Laurent Dobin Ready Office Business Manager."

Présentations similaires


Annonces Google