La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Synthèse générale des cours Janvier 2007. 2 Les risques et les enjeux dans lentreprise Les risques et les enjeux dans lentreprise 1.

Présentations similaires


Présentation au sujet: "1 Synthèse générale des cours Janvier 2007. 2 Les risques et les enjeux dans lentreprise Les risques et les enjeux dans lentreprise 1."— Transcription de la présentation:

1 1 Synthèse générale des cours Janvier 2007

2 2 Les risques et les enjeux dans lentreprise Les risques et les enjeux dans lentreprise 1

3 3 Lexposition aux risques majeurs augmente Inondation Incendie Tremblement de terre Attentat Chute davion Explosion industriel Gard (FR) Somme (FR) Asie Iran Algérie Japon Toulouse (FR) Ath (BE) Crédit Lyonnais (FR) Bibliothèque nationale (FR) Franière industrie (BE) New York Madrid Concorde New York Madrid Londres Irlande Tempête / Ouragan ……. Le contexte général : un environnement risqué 1

4 4 Les servitudes sont de plus en plus défaillantes Rupture dalimentation électrique Rupture de télécommunications Rupture de climatisation Suisse Etat-Unis Angleterre France France Télécom Bouygues 1 Le contexte général : un environnement risqué

5 5 Les risques humains sont très importants Conflit social interne Conflit social externe Erreur humaine Malveillance Grèves dans les transports (SNCF, RATP) Grèves 1995 Grèves des routiers Pirate informatique Espionnage Vol - Sabotage Erreur utilisateur Erreur de programmation 1 Le contexte général : un environnement risqué

6 6 Les systèmes dinformation sont vulnérables Panne matériel Vulnérabilités technologiques Les informations sont mal protégées Les utilisateurs ne sont pas suffisamment formés 1 Le contexte général : un environnement risqué

7 7 Les procédures internes ne sont pas toujours adaptées Pas de procédures formalisées Les rôles et les responsabilités ne sont pas définies La gestion de crise est souvent négligée 1 Le contexte général : un environnement risqué

8 8 La cyber-criminalité sorganise Phase 1 : Le temps des challenges Phase 2 : Le temps des gains économiques & de lescroquerie Avant 2004 Depuis 2004 Modification de site WEB Intrusion dans les entreprises par jeux / challenges Publication sur internet des exploits Diffusion sur internet des failles des systèmes Propagation de virus Vol et usurpation didentité Vol didentité bancaire Vente sur internet de code daccès au SI des entreprises Vente sur internet des codes CB Fraude financière Espionnage industriel / Vol de données confidentielles Chantage Sabotage de ressources informatiques 1 Le contexte général : un environnement risqué

9 9 1 Les familles de cyber-risques Le défacement de site Web Le vol dinformations / atteinte à la vie privée Les virus informatiques La fraude économique / détournement dargent Lintrusion logique dans les réseaux 1 La diffusion de contenu illégaux Le piratage de logiciels / Vol de matériels

10 10 1 Les familles de cyber-risques Lintrusion dans les réseaux dentreprise 1 Des challenges sont lancés sur internet Des outils sont disponibles gratuitement Via Internet Via réseau WIFI Via connection téléphonique

11 11 1 Les familles de cyber-risques Le défacement de site Web 2 Chaque jour serveurs Web sont piratés

12 12 1 Les familles de cyber-risques Le vol dinformations / atteinte à la vie privée 3 Etape 1 : installation dun programme malveillant Etape 2 : Vol de données sensibles Vol de documents internes confidentiels Vol de fichiers clients Vol de données privées Cheval de troie ou Spyware Les internautes français ont subi leur première attaque massive par phishing. Le 27 mai 2005, des milliers de détenteurs d'une adresse en.fr ont reçu un message maladroitement rédigé en anglais, prétendument envoyé par leur banque. Le mail en question est censé concerner les clients de quatre instituts bancaires, Société générale, CCF, BNP Paribas et CIC, et les invite à rejoindre le site de leur agence en cliquant sur un des liens proposés. Le coût des attaques informatique aux États-Unis de 2003 à 2004 (en millions de dollars)

13 13 1 Les familles de cyber-risques Les virus informatiques 4 Evaluation de la sinistralité (CLUSIF):

14 14 1 Les familles de cyber-risques Création de fausse carte : vente sur internet Entreprise Particulier Fraude financière / détournement dargent Personnel Interne Vol de mot de passe de collègues Utilisation abusive des applications Personne externe Intrusion dans des applications Intrusion dans un site de commerce électonique Utilisation abusive n° Carte Bancaire Suite à achat sur internet (sur site non sûr) Vol de n° carte sur équipement de paiement Personne externe Vol de documents sensibles Chantage La fraude économique / détournement dargent 5

15 15 1 Les familles de cyber-risques Diffusion de contenu illégaux 6 Entreprise Particulier Utilisation des ordinateurs de lentreprise pour la diffusion dimages ou de fichiers illicites Utilisation de la messagerie pour portée atteinte à une personne physique ou morale Collecte et diffusion de fichiers musicaux, de film, dimages pornographiques

16 16 1 Les familles de cyber-risques Piratage de logiciels / Vol de matériels 7 Vol des ordinateurs de bureau Vol des ordinateurs portables Vol des PDA Vol de composants techniques (mémoire, écran LCD, etc.) Copie illégale de logiciels

17 17 De nombreux textes de loi existent Lentreprise a des obligations légales 1 Loi no du 6 janvier 1978 modifiée relative à « l'informatique, aux fichiers et aux libertés » modifiée le 6 Août 2004 Directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la circulation des données Code civil Code pénal Loi no du 25 janvier 1995 d'orientation et de programmation relative à la sécurité Loi no du 4 février 1995 portant diverses dispositions d'ordre social Loi no du 19 décembre 1997 consacrant le placement sous surveillance électronique comme modalité d'exécution des peines privatives de liberté Loi no du 15 novembre 1999 relative au pacte civil de solidarité Loi no du 18 mars 2003 pour la sécurité intérieure.

18 18 La loi du 6 août 2004 Transposition de la directive du 24 octobre 1995 ( 95/46/CE du Parlement européen) en droit français le 6 août Préservation des principes fondamentaux de la loi de 1978 ( Loi no du 6 janvier 1978 relative à « l'informatique, aux fichiers et aux libertés ») –la déclaration des traitements, –le droit d'accès, –le respect des obligations de confidentialité, sécurité et le maintien de la finalité. Lentreprise a des obligations légales 1

19 19 Les nouveaux pouvoirs de la CNIL Le pouvoir de perquisition –Droit d'accéder aux locaux ou installations d'une entreprise, servant à la mise en oeuvre d'un traitement de données la CNIL de 6 heures à 21 heures. – L'entreprise peut s'opposer à cet accès. –La CNIL doit alors solliciter l'autorisation du président du TGI pour passer outre le refus qui lui est opposé. Les pouvoirs de sanction –Avertissement à l'entreprise –Mise en demeure de faire cesser un manquement. –Décision dinterruption de la mise en oeuvre du traitement ou de verrouillage de certaines données. –Demande en référé toute mesure de sécurité nécessaire à la sauvegarde des droits de la personne concernée. Le pouvoir de sanction pécuniaire –Montant proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement. –Premier manquement : maximum euros. –Réitération dans les cinq années : peut excéder euros ou 5 % du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de euros. –Sanctions pécuniaires recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine. 1 Lentreprise a des obligations légales

20 20 Les marges dexploitation peuvent être impactées Le chiffre daffaires peut diminuer La productivité peut être affectée Impossibilité de fournir un service ou un produit Perte de productivité Insatisfaction & Perte de clients Frais et charges supplémentaires non prévues 1.Indisponibilité de ses moyens de production Les 3 enjeux pour lentreprise 1

21 21 2.Fuite de ses informations sensibles Divulgation de données stratégiques (commerciales, cpte rendu réunion DG, etc.) Espionnage industriel Vol de fichiers clients / fournisseurs Perte dun avantage concurrentiel Perte de clients Impact sur lévolution stratégique de lentreprise 1 Les 3 enjeux pour lentreprise

22 22 3. Risques juridiques Non respect de la vie privée Non-conformité aux obligations légales Perte financière (dommages & intérêts) Perte dimage Procés - Tribunal 1 Les 3 enjeux pour lentreprise

23 23 1. Evaluer et limiter les conséquences des sinistres 1.Prendre conscience des risques et des menaces qui pèsent sur lentreprise Sommes-nous exposés ? Quels peuvent être les conséquences dun sinistre sur notre activité ? 2.Anticiper et prévenir les risques afin de limiter les conséquences dun sinistre Ne pas se considérer à labri des problèmes Une première approche de solution 1

24 24 1.Des initiatives sont prises par les états membres de lUE et sont appliquées en France Intelligence Economique (Initiatives en Lorraine) Cnil (aspects Juridiques) Loi no du 6 janvier 1978 modifiée relative à « l'informatique, aux fichiers et aux libertés » 2.La normalisation internationale se met en place Norme ISO 2700x : Approche Qualité 3. Des directives sectorielles se mettent en place BÂLE II (Banque) COPC (Centre dappel) PCI DSS (Commerce électronique CB) 2. Suivre les directives / recommandations 1 Une première approche de solution

25 25 1 La sécurité est une approche globale Prévention Détection Réaction Correction La sécurité informatique est un concept global, ce nest pas une technologie ni un produit

26 26 1 Approche Structurée Une approche structurée de la sécurité est indispensable 1.Quels sont les enjeux ? 2.Quels sont les risques et les menaces ? 3.Sommes nous bien protégé ? 4.Quelle est notre politique de sécurité ? 5.Quelles mesures complémentaires doit-on prendre ? 6.Comment assurer un suivi et un contrôle ? 7.Que faire en cas de sinistres ?

27 27 1 Stratégie Générale 1.La stratégie de sécurité doit intégrer lapproche métier & les enjeux de lentreprise pour être efficace. 2.La gestion des risques doit devenir une culture dentreprise. 3.Lapproche technologique génère des investissements pas toujours justifiés et justifiables (attention au surinvestissement). 4.Tous les acteurs de lentreprise (management, utilisateurs, équipes informatiques, etc.) doivent être impliqués. 5.Une approche structurée de la sécurité incluant les aspects organisationnels et techniques est indispensable.

28 28 1 Modèle de gestion des risques

29 29 Les mesures de protection 2

30 30 La maturité des entreprises 2 Déploiement de solutions techniques Organisation & Formalisation Pilotage & Conformité Le temps de la maturité Technologique Le temps de la maturité Organisationnelle Le temps de la maturité Décisionnelle Protection des réseaux Protection des systèmes Protection des applications Protection des flux Formalisation des procédures Formalisation des politiques Organisation & responsabilité Sensibilisation « Compliance » Tableaux de bord décisionnels ISMS Temps 1 Temps 2Temps 3

31 31 Assurer la continuité des affaires Utiliser une méthode danalyse des risques Organisation et piloter la SSI Utiliser des normes de sécurité Définir une politique de sécurité Quelques recommandations générales 2

32 32 Cadre général et objectif 2 Politique de sécurité Les finalités de la politique de sécurité interne découlent de celles décrites dans les Lignes directrices de l'OCDE (Lettre n°106 SGDN/DISSI/26007 du 11 mars 1992), à savoir : Sensibiliser aux risques menaçant les systèmes d'information et aux moyens disponibles pour s'en prémunir, Créer un cadre général pour aider les personnes chargées, dans les secteurs public et privé, d'élaborer et de mettre en oeuvre des mesures, des consignes et des procédures cohérentes en vue d'assurer la sécurité des systèmes d'information, Promouvoir la coopération entre les différents départements, services ou unités de l'organisme pour l'élaboration et la mise en oeuvre de telles mesures, consignes et procédures, Susciter la confiance dans le système d'information, Faciliter la mise au point et l'usage du système d'information pour tous les utilisateurs autorisés du système d'information.

33 33 Champ dapplication Politique de sécurité La politique de sécurité interne : Emane de la politique générale de l'organisme Est en accord avec le schéma directeur stratégique du système d'information. Ne doit pas être remis en cause par les seules évolutions technologiques ou celles résultant d'une modification de l'architecture du système d'information Le caractère pérenne de la politique de sécurité interne n'exclut pas l'adaptation permanente des mesures de sécurité qui découlent de sa mise en œuvre. Doit être prise en compte au niveau de responsabilité le plus élevé. La politique de sécurité interne est la reconnaissance officielle de l'importance accordée par la direction générale de l'organisme à la sécurité de son système d'information. Le champ d'application de la politique de sécurité interne découle de celui décrit dans les Lignes directrices de l'OCDE, à savoir : La politique de sécurité interne s'applique à tous les systèmes d'information, La politique de sécurité interne s'applique à un système existant ou à développer. 2

34 34 Structure documentaire Politique de sécurité Stratégie générale Politique générale de sécurité Directives de sécurité Guides et procédures techniques Charte utilisateur Direction Générale RSSI Equipes Opérationnelles 2

35 35 Objectif dune charte Charte utilisateur Fixer les règles d'utilisation des TIC Éduquer les utilisateurs au respect de la législation Faire connaître les ressources informatiques Informer des règles d'utilisation du réseau propre à l'entreprise Présenter les dispositifs mis en place (filtrage, conservation des « logs » et contrôles de l'usage des ressources informatiques...) Rappeler les sanctions et responsabiliser les utilisateurs Participation des acteurs Chaque entreprise doit définir sa propre démarche délaboration (Pas de document type ! ). Créer une véritable concertation entre les partis concernés Piloté par le chef de la sécurité de linformation (ou équivalent) Piloté par le chef de la sécurité de linformation (ou équivalent) Groupe : le responsable informatique Groupe : le responsable informatique la DRH la communication les métiers importants de la société La participation de partenaires sociaux est un plus indéniable (ex: syndicats) La participation de partenaires sociaux est un plus indéniable (ex: syndicats) Constitution de la charte Elle doit être compréhensible par tous Définir les comportements attendus des utilisateurs 2

36 36 Les méthodes danalyse des risques 2

37 37 Les méthodes danalyse des risques 2

38 38 Les normes de Sécurité ISO 2700x 2 Nouvelles normes de protection des systèmes dinformation (ISO 2700x - Juin & Octobre 2005) Modèle et approche identiques aux normes qualités (ISO 900x) Possibilité dobtenir une certification ISO 27001

39 39 Plan de continuité des affaires 2 PCA : Plan de Continuité dActivité (Business Continuity Plan) « Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de lentreprise puis la reprise planifiée des activités » (CRBF )

40 40 Les différents plans constituant un PCA 2

41 41 Les acteurs de la sécurité 2 La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions. Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques : - Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité. - Niveau de pilotage : il sagit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation). - Niveau opérationnel : il sagit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.

42 42 La lutte anti-virale et la protection des PCs Les sauvegardes et la continuité de services La protection des données & les contrôles daccès La protection physique La protection internet Quelques recommandations techniques 2 La protection des systèmes et des applications

43 43 Sommaire La protection Internet 2 Protéger la connexion de lentreprise au réseau Internet par des dispositifs de filtrage (firewall, proxy, routeur, IDS, etc.) Ne pas connecter des machines sensibles directement sur Internet Protéger les systèmes et les applications (serveur Web, Messagerie, etc.) Internet / réseau non sûr Réseau dentreprise Connexion directe

44 44 La lutte anti-virale & la protection des PCs 2 Protéger les systèmes de messagerie et les PC contre les virus informatiques Mettre à jour régulièrement les systèmes anti-virus Mettre en œuvre des solutions anti-spam Ne pas ouvrir des mails si on ne connaît pas lexpéditeur Doù viennent-ils ? Les virus sont de petits programmes informatiques développés par des individus iniques qui se diffusent discrètement dordinateur en ordinateur via le réseau Internet Les premiers symptômes de disfonctionnement alertent lutilisateur quil est déjà atteint.

45 45 La protection des systèmes et des applications 2

46 46 Démonstration du logiciel Les sauvegardes et la continuité de services 2 Prévoir une sauvegarde régulière des données (PC et serveurs) Faire régulièrement des tests de restauration Prévoir des machines de secours Définir un plan de continuité daffaires Faire des tests du plan de secours La continuité de service ne concerne pas uniquement linformatique : les branches métiers et les utilisateurs doivent également être impliquées Plan de Continuité dAffaires vs Plan de Secours Informatique

47 47 La protection des données et les contrôles daccès 2 Au minimum, des mots de passe confidentiels doivent être activés pour protéger les informations sensibles. Des moyens dauthentification forte peuvent également être déployés selon les besoins Le chiffrement des données sur le disque dur des PCs (notamment des portables) est un plus si les données sont critiques

48 48 La protection physique 2 La protection de lenvironnement de travail des utilisateurs doit être assurée (contrôle daccès visiteurs, rangement des bureaux, broyeur de papier sensible, armoire fermée à clé, etc.) La salle informatique et les locaux techniques doivent être protégés contre les intrusions Les ordinateurs (UC, écrans, portables) doivent être protégés contre le vol

49 49 En conclusion Les enjeux et les risques pour lentreprise sont importants et ne doivent pas être négligés voire minimisés. Des solutions organisationnelles et techniques existent pour prévenir les risques et limiter leur conséquences Il ne faut pas hésiter à dresser un bilan de la situation et se faire aider si nécessaire


Télécharger ppt "1 Synthèse générale des cours Janvier 2007. 2 Les risques et les enjeux dans lentreprise Les risques et les enjeux dans lentreprise 1."

Présentations similaires


Annonces Google