Nicolas BRESSAND SIT MAZAGAN 11/05/2016

Présentation au sujet: "Nicolas BRESSAND SIT MAZAGAN 11/05/2016"— Transcription de la présentation:

1 Nicolas BRESSAND SIT MAZAGAN 11/05/2016
La protection des donnees personnelles Quelle protection adopter pour être en conformité avec la loi 09-08? Nicolas BRESSAND SIT MAZAGAN 11/05/2016

2 Que dit la loi ? Article 23 : 1.Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l’etat de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

3 Par extension La DGSSI Marocaine, par extension, incite les organismes gouvernementaux ( Ministères, Offices, Infrastructures critiques nationales,…) a protéger toutes informations susceptibles de mettre en danger les intérêts vitaux de l’état marocain et de ses citoyens. Dans ce cadre les organismes gouvernementaux et grandes entreprises marocaines se doivent de revoir leur approche de l’accessibilité des données et de leur protection.

4 Quelles sont les difficultés rencontrées?
Le respect des normes (ISO 27001,…) se heurtent fréquemment aux contraintes opérationnelles, organisationnelles et budgétaires des organismes et entreprises en devoir de les mettre en œuvre. En outre la protection des données sensibles et ou personnelles est souvent abordée sous un angle d’authentification de l’utilisateur et de chiffrement qui induit des investissements lourds et une mise en œuvre extrêmement complexe et souvent incompatibles avec les métiers et missions des organismes et des entreprises.

5 Et pourtant le risque est ailleurs?
L’exploitation des données personnelles ou sensibles répond à des besoins réels et impérieux pour le citoyen, l’état et les entreprises. La majorité des données personnelles et sensibles sont accessibles au travers d’interface web (applications et sites web,…) qui sont majoritairement peu ou mal protégés. Or 100 % des dernières attaques de type APT (Advanced persitant threat) utilise les vulnérabilités des environnements web.

6 Les applications web cible préférée des pirates
Mass Attacks Sophisticated & Targeted Attacks

7 Impact des attaques de la couche applicative
Website crawling Defacement Problématique Denial of service Personal data stolen Malware injection Clients compromised Financial data leakage Identity usurpation Remote control Business processes alteration Mortel IT systems destruction

8 Protection de l’ensemble du système d’info
Sites internet frontaux Institutionnel, transactionnel Extranet Exchange, SharePoint, iNotes Réseaux Sociaux Entreprises, Wikis Intranet SAP, Oracle, MS Dynamics Applications Cloud CRM, Marketing, RH Services Web Architecture orientée services Communication machine-to-machine Applications mobiles

9 Une reponse simple et opérationnelle est disposnible
Des grands principes de base restent immuables Identification et classification de la donnée Mise en place de profil d’accès à l’information sensibles Mise en place de solution de protection de niveau 3 / 4 (FW réseaux sondes,…) … Mais surtout l’information doit rester exploitables tout en étant protéger dans les infrastructures WEB et seul une solution WAF peut répondre à ces enjeux.

10 La vision du Gartner : WAF, IPS, NGFW complémentaires
Les WAFs sont indispensables Réduire l’impact des nouveaux langages et protocoles du web sur les faux positifs (disponibilité) Stopper les techniques d’évasion Extension du domaine de la lutte Applications et services Web, applications web internes, SOA Les WAFs complètent les IPS et les NGFW