Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parSébastien Clermont Modifié depuis plus de 8 années
1
DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 1 Kick-Off Meeting CNIS 2016 Cyber Sécurité : Enjeux et stratégie pour les entreprises étendues 16/06/2016 Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr
2
DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 2 Kick-Off Meeting CNIS 2016Intervenants Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Vincent Balouet Maîtrise des Crises Fondateur Conseil, formation et accompagnement des directions générales sur les risques majeurs vincent.balouet@maitrisedescrises.com vincent.balouet@maitrisedescrises.com Christophe Kiciak Provadys Directeur équipe hacking Tests d’intrusion et audits techniques de sécurité IT christophe.kiciak@provadys.com christophe.kiciak@provadys.com
3
DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 3 Kick-Off Meeting CNIS 2016 Eléments clés Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Toutes les entreprises sont attaquées par les pirates, indépendamment de leur taille ou de leur activité Attaques purement informatiques Ingénierie sociale Attaques internes Attaques hybrides La plupart des entreprises pensent pouvoir s’en défendre correctement Organisation en place (politique de sécurité, équipes dédiées, etc.) Eléments techniques en place (pare-feux, anti-virus, IDS/IPS, sandboxing, anti-spam, etc.) Collaborateurs sensibilisés (formations, campagnes, etc.) Pourtant, lors de nos tests effectués en conditions réelles, nous parvenons quasi-systématiquement à dérober les données les plus confidentielles de l’entreprise Pourquoi ce paradoxe ? Quelles conséquences concrètes ?
4
DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 4 Kick-Off Meeting CNIS 2016 Enjeux pour l’Industrie du Futur Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Un critère majeur à prendre en compte : la surface d’exposition Si seuls certains éléments précis sont accessibles aux pirates (ou exposés au risque quel qu’il soit), il sera plus simple d’en assurer la sécurité Si la surface exposée aux attaques est grande, il devient mécaniquement très difficile de se protéger : la moindre erreur ou oubli peut conduire à un piratage global Or, la surface d’exposition moyenne ne cesse de croître Exposition classique : sites web (B2B, B2C), accès distants au SI (VPN admin, VPN utilisateur), serveurs divers (mail, fichiers, échanges, etc.), nomadisme (portables, smartphones, etc.) Exposition indirecte : réseau interne étendu (Applications SaaS et Cloud en général, prestataires se connectant au SI, infogérant(s), hébergement, etc.), monde SCADA, objets divers « intelligents », etc.)
5
DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 5 Kick-Off Meeting CNIS 2016 Pistes de réflexion Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Il semble difficile de ne pas faire croître la surface d’exposition au piratage, mais est-il néanmoins possible de contenir le risque ? Exemples de cas concrets : L’entreprise A utilise les services d’un infogérant B pour administrer son parc informatique. L’entreprise B a-t-elle nécessairement un accès aux données confidentielles de l’entreprise A ? L’entreprise A utilise une application en mode SaaS créée par un éditeur B, et hébergée par un hébergeur C. Concrètement, qui a accès aux données de l’entreprise A ? L’entreprise française A rachète l’entreprise chinoise B. Comment intégrer l’informatique de l’entreprise B au SI de l’entreprise A ?
6
DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 6 Kick-Off Meeting CNIS 2016 Proposition d’agenda pour de futures séances Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Comment font les pirates ? Le top 10 des méthodes utilisées Retours d’expérience basés sur nos constats réels Comment s’en prémunir La problématique des tiers pour la sécurité du SI L’infogérant : quelles conséquences pour la sécurité des données de l’entreprise ? Les applications SaaS : les utiliser, ou non, et sous quelles conditions ? Les partenaires : quels accès leurs octroyer ? Quelles limites fixer, et comment les faire respecter ? Fusion de 2 SI et sécurité Quels sont les enjeux ? Quelle feuille de route ? Les arbitrages habituels Comment rédiger une politique de sécurité des systèmes d'information (PSSI) efficace dans un budget contraint, compatible avec l’urgence et la nécessaire souplesse exigée par les métiers ? N’hésitez pas à nous soumettre vos idées de problématiques sécurité
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.