DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 1 Kick-Off Meeting CNIS 2016 Cyber Sécurité : Enjeux et.

Présentation au sujet: "DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 1 Kick-Off Meeting CNIS 2016 Cyber Sécurité : Enjeux et."— Transcription de la présentation:

1 DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 1 Kick-Off Meeting CNIS 2016 Cyber Sécurité : Enjeux et stratégie pour les entreprises étendues 16/06/2016 Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr

2 DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 2 Kick-Off Meeting CNIS 2016Intervenants Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Vincent Balouet  Maîtrise des Crises  Fondateur  Conseil, formation et accompagnement des directions générales sur les risques majeurs  vincent.balouet@maitrisedescrises.com vincent.balouet@maitrisedescrises.com Christophe Kiciak  Provadys  Directeur équipe hacking  Tests d’intrusion et audits techniques de sécurité IT  christophe.kiciak@provadys.com christophe.kiciak@provadys.com

3 DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 3 Kick-Off Meeting CNIS 2016 Eléments clés Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Toutes les entreprises sont attaquées par les pirates, indépendamment de leur taille ou de leur activité  Attaques purement informatiques  Ingénierie sociale  Attaques internes  Attaques hybrides La plupart des entreprises pensent pouvoir s’en défendre correctement  Organisation en place (politique de sécurité, équipes dédiées, etc.)  Eléments techniques en place (pare-feux, anti-virus, IDS/IPS, sandboxing, anti-spam, etc.)  Collaborateurs sensibilisés (formations, campagnes, etc.) Pourtant, lors de nos tests effectués en conditions réelles, nous parvenons quasi-systématiquement à dérober les données les plus confidentielles de l’entreprise Pourquoi ce paradoxe ? Quelles conséquences concrètes ?

4 DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 4 Kick-Off Meeting CNIS 2016 Enjeux pour l’Industrie du Futur Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Un critère majeur à prendre en compte : la surface d’exposition  Si seuls certains éléments précis sont accessibles aux pirates (ou exposés au risque quel qu’il soit), il sera plus simple d’en assurer la sécurité  Si la surface exposée aux attaques est grande, il devient mécaniquement très difficile de se protéger : la moindre erreur ou oubli peut conduire à un piratage global Or, la surface d’exposition moyenne ne cesse de croître  Exposition classique : sites web (B2B, B2C), accès distants au SI (VPN admin, VPN utilisateur), serveurs divers (mail, fichiers, échanges, etc.), nomadisme (portables, smartphones, etc.)  Exposition indirecte : réseau interne étendu (Applications SaaS et Cloud en général, prestataires se connectant au SI, infogérant(s), hébergement, etc.), monde SCADA, objets divers « intelligents », etc.)

5 DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 5 Kick-Off Meeting CNIS 2016 Pistes de réflexion Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Il semble difficile de ne pas faire croître la surface d’exposition au piratage, mais est-il néanmoins possible de contenir le risque ? Exemples de cas concrets :  L’entreprise A utilise les services d’un infogérant B pour administrer son parc informatique. L’entreprise B a-t-elle nécessairement un accès aux données confidentielles de l’entreprise A ?  L’entreprise A utilise une application en mode SaaS créée par un éditeur B, et hébergée par un hébergeur C. Concrètement, qui a accès aux données de l’entreprise A ?  L’entreprise française A rachète l’entreprise chinoise B. Comment intégrer l’informatique de l’entreprise B au SI de l’entreprise A ?

6 DIESAR Direction Internationale de l’Evaluation, de la Sécurité et des Affaires Réglementaires 6 Kick-Off Meeting CNIS 2016 Proposition d’agenda pour de futures séances Kick-Off Meeting CNIS 16/06/2016 - AFNeT team@afnet.fr http://www.afnet.fr 16/06/2016 Comment font les pirates ?  Le top 10 des méthodes utilisées  Retours d’expérience basés sur nos constats réels  Comment s’en prémunir La problématique des tiers pour la sécurité du SI  L’infogérant : quelles conséquences pour la sécurité des données de l’entreprise ?  Les applications SaaS : les utiliser, ou non, et sous quelles conditions ?  Les partenaires : quels accès leurs octroyer ? Quelles limites fixer, et comment les faire respecter ? Fusion de 2 SI et sécurité  Quels sont les enjeux ?  Quelle feuille de route ?  Les arbitrages habituels  Comment rédiger une politique de sécurité des systèmes d'information (PSSI) efficace dans un budget contraint, compatible avec l’urgence et la nécessaire souplesse exigée par les métiers ? N’hésitez pas à nous soumettre vos idées de problématiques sécurité