La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Synthèse générale des cours

Présentations similaires


Présentation au sujet: "Synthèse générale des cours"— Transcription de la présentation:

1 Synthèse générale des cours
Janvier 2007

2 Les risques et les enjeux
1 Les risques et les enjeux dans l’entreprise

3 L’exposition aux risques majeurs augmente
1 Le contexte général : un environnement risqué L’exposition aux risques majeurs augmente Inondation Explosion industriel Incendie Gard (FR) Somme (FR) Asie Toulouse (FR) Ath (BE) Crédit Lyonnais (FR) Bibliothèque nationale (FR) Franière industrie (BE) Tremblement de terre Chute d’avion Attentat New York Madrid Londres Irlande Iran Algérie Japon New York Madrid Concorde Tempête / Ouragan …….

4 Les servitudes sont de plus en plus défaillantes
1 Le contexte général : un environnement risqué Les servitudes sont de plus en plus défaillantes Rupture d’alimentation électrique Suisse Etat-Unis Angleterre France Rupture de télécommunications France Télécom Bouygues Rupture de climatisation

5 Les risques humains sont très importants
1 Le contexte général : un environnement risqué Les risques humains sont très importants Conflit social interne Conflit social externe Grèves dans les transports (SNCF, RATP) Grèves 1995 Grèves des routiers Erreur humaine Erreur utilisateur Erreur de programmation Malveillance Pirate informatique Espionnage Vol - Sabotage

6 1 Le contexte général : un environnement risqué
Les systèmes d’information sont vulnérables Panne matériel Vulnérabilités technologiques Les informations sont mal protégées Les utilisateurs ne sont pas suffisamment formés

7 1 Le contexte général : un environnement risqué
Les procédures internes ne sont pas toujours adaptées Pas de procédures formalisées La gestion de crise est souvent négligée Les rôles et les responsabilités ne sont pas définies

8 La cyber-criminalité s’organise
1 Le contexte général : un environnement risqué La cyber-criminalité s’organise Phase 1 : Le temps des challenges Avant 2004 Modification de site WEB Intrusion dans les entreprises par jeux / challenges Publication sur internet des exploits Diffusion sur internet des failles des systèmes Propagation de virus Phase 2 : Le temps des gains économiques & de l’escroquerie Depuis 2004 Vol et usurpation d’identité Vol d’identité bancaire Vente sur internet de code d’accès au SI des entreprises Vente sur internet des codes CB Fraude financière Espionnage industriel / Vol de données confidentielles Chantage Sabotage de ressources informatiques

9 1 Les familles de cyber-risques L’intrusion logique dans les réseaux 1
Le défacement de site Web 2 3 Le vol d’informations / atteinte à la vie privée 4 Les virus informatiques 5 La fraude économique / détournement d’argent 6 La diffusion de contenu illégaux 7 Le piratage de logiciels / Vol de matériels

10 1 Les familles de cyber-risques 1
L’intrusion dans les réseaux d’entreprise Via Internet Via réseau WIFI Via connection téléphonique Des challenges sont lancés sur internet Des outils sont disponibles gratuitement

11 1 Les familles de cyber-risques 2 Le défacement de site Web
Chaque jour serveurs Web sont piratés

12 1 Les familles de cyber-risques 3
Le vol d’informations / atteinte à la vie privée Vol de documents internes confidentiels Vol de fichiers clients Vol de données privées Cheval de troie ou Spyware Etape 1 : installation d’un programme malveillant Etape 2 : Vol de données sensibles Les internautes français ont subi leur première attaque massive par phishing. Le 27 mai 2005, des milliers de détenteurs d'une adresse en .fr ont reçu un message maladroitement rédigé en anglais, prétendument envoyé par leur banque. Le mail en question est censé concerner les clients de quatre instituts bancaires, Société générale, CCF, BNP Paribas et CIC, et les invite à rejoindre le site de leur agence en cliquant sur un des liens proposés. Le coût des attaques informatique aux États-Unis de 2003 à 2004 (en millions de dollars)

13 1 Les familles de cyber-risques 4 Les virus informatiques
Evaluation de la sinistralité (CLUSIF):

14 1 Les familles de cyber-risques
La fraude économique / détournement d’argent 5 Entreprise Particulier Fraude financière / détournement d’argent Utilisation abusive n° Carte Bancaire Suite à achat sur internet (sur site non sûr) Personnel Interne Vol de mot de passe de collègues Utilisation abusive des applications Création de fausse carte : vente sur internet Vol de n° carte sur équipement de paiement Personne externe Intrusion dans des applications Intrusion dans un site de commerce électonique Chantage Personne externe Vol de documents sensibles

15 1 Les familles de cyber-risques 6 Diffusion de contenu illégaux
Entreprise Particulier Utilisation des ordinateurs de l’entreprise pour la diffusion d’images ou de fichiers illicites Collecte et diffusion de fichiers musicaux, de film, d’images pornographiques Utilisation de la messagerie pour portée atteinte à une personne physique ou morale

16 1 Les familles de cyber-risques 7
Piratage de logiciels / Vol de matériels Copie illégale de logiciels Vol des ordinateurs de bureau Vol des ordinateurs portables Vol des PDA Vol de composants techniques (mémoire, écran LCD, etc.)

17 De nombreux textes de loi existent
1 L’entreprise a des obligations légales De nombreux textes de loi existent Loi no 78-17 du 6 janvier 1978 modifiée relative à « l'informatique, aux fichiers et aux libertés » modifiée le 6 Août 2004 Directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la circulation des données Code civil  Code pénal Loi no 95-73 du 25 janvier 1995 d'orientation et de programmation relative à la sécurité Loi no  du 4 février 1995 portant diverses dispositions d'ordre social  Loi no  du 19 décembre 1997 consacrant le placement sous surveillance électronique comme modalité d'exécution des peines privatives de liberté  Loi no  du 15 novembre 1999 relative au pacte civil de solidarité  Loi no  du 18 mars 2003 pour la sécurité intérieure.

18 Préservation des principes fondamentaux de la loi de 1978
L’entreprise a des obligations légales La loi du 6 août 2004 Transposition de la directive du 24 octobre 1995 (95/46/CE du Parlement européen) en droit français le 6 août 2004. Préservation des principes fondamentaux de la loi de 1978 (Loi no 78-17 du 6 janvier 1978 relative à « l'informatique, aux fichiers et aux libertés ») la déclaration des traitements, le droit d'accès, le respect des obligations de confidentialité, sécurité et le maintien de la finalité.

19 Les nouveaux pouvoirs de la CNIL
1 L’entreprise a des obligations légales Les nouveaux pouvoirs de la CNIL Le pouvoir de perquisition Droit d'accéder aux locaux ou installations d'une entreprise, servant à la mise en oeuvre d'un traitement de données la CNIL de 6 heures à 21 heures. L'entreprise peut s'opposer à cet accès. La CNIL doit alors solliciter l'autorisation du président du TGI pour passer outre le refus qui lui est opposé. Les pouvoirs de sanction Avertissement à l'entreprise Mise en demeure de faire cesser un manquement. Décision d’interruption de la mise en oeuvre du traitement ou de verrouillage de certaines données. Demande en référé toute mesure de sécurité nécessaire à la sauvegarde des droits de la personne concernée . Le pouvoir de sanction pécuniaire Montant proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement. Premier manquement : maximum 150 000 euros. Réitération dans les cinq années : peut excéder 300 000 euros ou 5 % du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros. Sanctions pécuniaires recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.

20 1 1.Indisponibilité de ses moyens de production
Les 3 enjeux pour l’entreprise 1.Indisponibilité de ses moyens de production Impossibilité de fournir un service ou un produit Perte de productivité Insatisfaction & Perte de clients Frais et charges supplémentaires non prévues Les marges d’exploitation peuvent être impactées Le chiffre d’affaires peut diminuer La productivité peut être affectée

21 1 2.Fuite de ses informations sensibles
Les 3 enjeux pour l’entreprise 2.Fuite de ses informations sensibles Divulgation de données stratégiques (commerciales, cpte rendu réunion DG, etc.) Espionnage industriel Vol de fichiers clients / fournisseurs Perte d’un avantage concurrentiel Perte de clients Impact sur l’évolution stratégique de l’entreprise

22 1 3. Risques juridiques Non respect de la vie privée
Les 3 enjeux pour l’entreprise 3. Risques juridiques Non respect de la vie privée Non-conformité aux obligations légales Perte financière (dommages & intérêts) Perte d’image Procés - Tribunal

23 Ne pas se considérer à l’abri des problèmes
1 Une première approche de solution 1. Evaluer et limiter les conséquences des sinistres Prendre conscience des risques et des menaces qui pèsent sur l’entreprise Sommes-nous exposés ? Quels peuvent être les conséquences d’un sinistre sur notre activité ? Anticiper et prévenir les risques afin de limiter les conséquences d’un sinistre Ne pas se considérer à l’abri des problèmes

24 2. Suivre les directives / recommandations
1 Une première approche de solution 2. Suivre les directives / recommandations Des initiatives sont prises par les états membres de l’UE et sont appliquées en France Intelligence Economique (Initiatives en Lorraine) Cnil (aspects Juridiques) Loi no 78-17 du 6 janvier 1978 modifiée relative à « l'informatique, aux fichiers et aux libertés » La normalisation internationale se met en place Norme ISO 2700x : Approche Qualité Des directives sectorielles se mettent en place BÂLE II (Banque) COPC (Centre d’appel) PCI DSS (Commerce électronique CB)

25 La sécurité informatique est un concept global,
1 La sécurité est une approche globale La sécurité informatique est un concept global, ce n’est pas une technologie ni un produit Correction Prévention Détection Réaction

26 Une approche structurée de la sécurité est indispensable
1 Approche Structurée Une approche structurée de la sécurité est indispensable Quels sont les enjeux ? Quels sont les risques et les menaces ? Sommes nous bien protégé ? Quelle est notre politique de sécurité ? Quelles mesures complémentaires doit-on prendre ? Comment assurer un suivi et un contrôle ? Que faire en cas de sinistres ?

27 1 Stratégie Générale La stratégie de sécurité doit intégrer l’approche métier & les enjeux de l’entreprise pour être efficace. La gestion des risques doit devenir une culture d’entreprise. L’approche technologique génère des investissements pas toujours justifiés et justifiables (attention au surinvestissement). Tous les acteurs de l’entreprise (management, utilisateurs, équipes informatiques, etc.) doivent être impliqués. Une approche structurée de la sécurité incluant les aspects organisationnels et techniques est indispensable.

28 1 Modèle de gestion des risques

29 Les mesures de protection
2 Les mesures de protection

30 2 Déploiement de solutions techniques Organisation & Formalisation
La maturité des entreprises Déploiement de solutions techniques Organisation & Formalisation Pilotage Conformité Le temps de la maturité Technologique Organisationnelle Décisionnelle Protection des réseaux Protection des systèmes Protection des applications Protection des flux Formalisation des procédures Formalisation des politiques Organisation & responsabilité Sensibilisation « Compliance » Tableaux de bord décisionnels ISMS Temps 1 Temps 2 Temps 3

31 2 Définir une politique de sécurité Assurer la continuité des affaires
Quelques recommandations générales Définir une politique de sécurité Assurer la continuité des affaires Utiliser une méthode d’analyse des risques Organisation et piloter la SSI Utiliser des normes de sécurité

32 Cadre général et objectif
2 Politique de sécurité Cadre général et objectif Les finalités de la politique de sécurité interne découlent de celles décrites dans les Lignes directrices de l'OCDE (Lettre n°106 SGDN/DISSI/26007 du 11 mars 1992), à savoir : Sensibiliser aux risques menaçant les systèmes d'information et aux moyens disponibles pour s'en prémunir, Créer un cadre général pour aider les personnes chargées, dans les secteurs public et privé, d'élaborer et de mettre en oeuvre des mesures, des consignes et des procédures cohérentes en vue d'assurer la sécurité des systèmes d'information, Promouvoir la coopération entre les différents départements, services ou unités de l'organisme pour l'élaboration et la mise en oeuvre de telles mesures, consignes et procédures, Susciter la confiance dans le système d'information, Faciliter la mise au point et l'usage du système d'information pour tous les utilisateurs autorisés du système d'information.

33 2 Champ d’application Politique de sécurité
Le champ d'application de la politique de sécurité interne découle de celui décrit dans les Lignes directrices de l'OCDE, à savoir : La politique de sécurité interne s'applique à tous les systèmes d'information, La politique de sécurité interne s'applique à un système existant ou à développer. La politique de sécurité interne : Emane de la politique générale de l'organisme Est en accord avec le schéma directeur stratégique du système d'information. Ne doit pas être remis en cause par les seules évolutions technologiques ou celles résultant d'une modification de l'architecture du système d'information Le caractère pérenne de la politique de sécurité interne n'exclut pas l'adaptation permanente des mesures de sécurité qui découlent de sa mise en œuvre. Doit être prise en compte au niveau de responsabilité le plus élevé. La politique de sécurité interne est la reconnaissance officielle de l'importance accordée par la direction générale de l'organisme à la sécurité de son système d'information.

34 Structure documentaire
2 Politique de sécurité Structure documentaire Direction Générale RSSI Equipes Opérationnelles

35 2 Objectif d’une charte Charte utilisateur
➲ Fixer les règles d'utilisation des TIC ➲ Éduquer les utilisateurs au respect de la législation ➲ Faire connaître les ressources informatiques ➲ Informer des règles d'utilisation du réseau propre à l'entreprise ➲ Présenter les dispositifs mis en place (filtrage, conservation des « logs » et contrôles de l'usage des ressources informatiques...) ➲ Rappeler les sanctions et responsabiliser les utilisateurs Participation des acteurs ● Chaque entreprise doit définir sa propre démarche d’élaboration (Pas de document type ! ). ● Créer une véritable concertation entre les partis concernés Piloté par le chef de la sécurité de l’information (ou équivalent) Groupe : le responsable informatique la DRH la communication les métiers importants de la société La participation de partenaires sociaux est un plus indéniable (ex: syndicats) Constitution de la charte ● Elle doit être compréhensible par tous ● Définir les comportements attendus des utilisateurs

36 2 Les méthodes d’analyse des risques

37 2 Les méthodes d’analyse des risques

38 Modèle et approche identiques aux normes qualités (ISO 900x)
2 Les normes de Sécurité ISO 2700x Nouvelles normes de protection des systèmes d’information (ISO 2700x - Juin & Octobre 2005) Modèle et approche identiques aux normes qualités (ISO 900x) Possibilité d’obtenir une certification ISO 27001

39 PCA : Plan de Continuité d’Activité (Business Continuity Plan)
2 Plan de continuité des affaires PCA : Plan de Continuité d’Activité (Business Continuity Plan) « Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités » (CRBF )

40 2 Les différents plans constituant un PCA

41 2 Les acteurs de la sécurité
La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions. Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques : Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité. Niveau de pilotage : il s’agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation). Niveau opérationnel : il s’agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.

42 2 La protection internet La lutte anti-virale et la protection des PCs
Quelques recommandations techniques La protection internet La lutte anti-virale et la protection des PCs La protection des systèmes et des applications Les sauvegardes et la continuité de services La protection des données & les contrôles d’accès La protection physique

43 Sommaire 2 La protection Internet Protéger la connexion de l’entreprise au réseau Internet par des dispositifs de filtrage (firewall, proxy, routeur, IDS, etc.) Ne pas connecter des machines sensibles directement sur Internet Protéger les systèmes et les applications (serveur Web, Messagerie, etc.) Internet / réseau non sûr Réseau d’entreprise Connexion directe

44 2 La lutte anti-virale & la protection des PCs Protéger les systèmes de messagerie et les PC contre les virus informatiques Mettre à jour régulièrement les systèmes anti-virus Mettre en œuvre des solutions anti-spam Ne pas ouvrir des mails si on ne connaît pas l’expéditeur D’où viennent-ils ? Les virus sont de petits programmes informatiques développés par des individus iniques qui se diffusent discrètement d’ordinateur en ordinateur via le réseau Internet Les premiers symptômes de disfonctionnement alertent l’utilisateur qu’il est déjà atteint.

45 2 La protection des systèmes et des applications

46 Démonstration du logiciel
2 Les sauvegardes et la continuité de services Prévoir une sauvegarde régulière des données (PC et serveurs) Faire régulièrement des tests de restauration Prévoir des machines de secours Définir un plan de continuité d’affaires Faire des tests du plan de secours La continuité de service ne concerne pas uniquement l’informatique : les branches métiers et les utilisateurs doivent également être impliquées Plan de Continuité d’Affaires vs Plan de Secours Informatique

47 2 La protection des données et les contrôles d’accès Au minimum, des mots de passe confidentiels doivent être activés pour protéger les informations sensibles. Des moyens d’authentification forte peuvent également être déployés selon les besoins Le chiffrement des données sur le disque dur des PCs (notamment des portables) est un plus si les données sont critiques

48 2 La protection physique La protection de l’environnement de travail des utilisateurs doit être assurée (contrôle d’accès visiteurs, rangement des bureaux, broyeur de papier sensible, armoire fermée à clé, etc.) La salle informatique et les locaux techniques doivent être protégés contre les intrusions Les ordinateurs (UC, écrans, portables) doivent être protégés contre le vol

49 En conclusion Les enjeux et les risques pour l’entreprise sont importants et ne doivent pas être négligés voire minimisés. Des solutions organisationnelles et techniques existent pour prévenir les risques et limiter leur conséquences Il ne faut pas hésiter à dresser un bilan de la situation et se faire aider si nécessaire


Télécharger ppt "Synthèse générale des cours"

Présentations similaires


Annonces Google