Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parGodelieve Senechal Modifié depuis plus de 11 années
1
Sécurité informatique : un enjeu vital pour l’entreprise
Cyril Voisin Chef de programme Sécurité Microsoft France Laurent Dobin Ready Office Business Manager HP France Laurent Signoret Responsable Conformité Licences Une entreprise est exposée quotidiennement aux risques d'attaques informatiques. Les virus, les attaquants, voire les erreurs de bonne foi représentent des menaces sérieuses avec des conséquences réelles. En l’absence d’une protection de l’entreprise et de ses actifs conforme à l’état de l’art, la responsabilité du chef d’entreprise peut être engagée, civilement et pénalement. Les risques ne sont pas seulement juridiques. Ils sont également financiers (coût d’un arrêt par perte d’exploitation, ressources consommées pour réparer, restaurer, reconstituer les données) et techniques (vols de matériel, virus, spam,…). Dans certains cas extrêmes, ces risques peuvent même menacer la survie de l’entreprise. Ils se concrétisent sous la forme d’incidents ou d’attaques, externes ou internes : vol d’informations stratégiques, divulgation d’informations confidentielles, usurpation d’identité, falsification d’informations, utilisation abusive des ressources, paralysie par mise hors service de systèmes critiques, destruction de ressources informatiques, vol de matériel (ordinateurs portables par ex.)… C’est pourquoi il est primordial de mettre en œuvre de façon préventive des moyens de protection adaptés. Pour ce faire, on peut suivre la démarche suivante : · Inventaire des biens à protéger, des menaces et des vulnérabilités · Définir sa stratégie (politique de sécurité) o Protections à mettre en place o Définition des autorisations d’accès aux ressources (dont Internet) o Formation / Faire l’état des lieux o sensibilisation des employés (dont navigation sécurisée) · Mettre en œuvre des moyens minimaux de protection à différents niveaux o Machines : pare-feu personnel, antivirus, mises à jour de sécurité o Données : sauvegarde / restauration, chiffrement, autorisations o Réseau : pare-feu d’entreprise, mots de passe, réseaux sans fils, accès à distance pour les utilisateurs mobiles o Sécurité physique o Gestion de la sécurité o Risques liés à la propriété intellectuelle Conclusion
2
Sommaire Les nouveaux défis de l’entreprise connectée
Démarche de mise en place de protections : État des lieux Inventaire des biens à protéger, des menaces et des vulnérabilités Définir sa politique de sécurité Protections à mettre en place, autorisations d’accès aux ressources (dont Internet), formation / sensibilisation des employés Mettre en œuvre des moyens minimaux de protection à différents niveaux Machines : pare-feu personnel, antivirus, mises à jour de sécurité Sécurité physique : verrouillage de session, mise sous clé des machines sensibles Données : contrôle d’accès, sauvegarde / restauration Réseau : pare-feu d’entreprise, accès à distance pour les utilisateurs mobiles, filtrage d’accès à Internet, mots de passe, réseaux sans fils Gestion de la sécurité : maintenance de la sécurité Les autres risques liés à la propriété intellectuelle Conclusion
3
Les nouveaux défis de l’entreprise connectée
Accroître la valeur de l’entreprise Connexion avec les consommateurs Intégration avec des partenaires Donner plus de moyens aux employés Réduire les risques Nouvelles menaces Environnement en constante évolution Complexité, vecteurs, volume, motivation et impact Responsabilité Les réponses traditionnelles ne sont pas adaptées.
4
Pas simplement des technos…
5
La sécurité dans un monde complexe
Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Microsoft Operations Framework Évaluation de risques Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection d’intrusion SMS MOM ISA Antivirus GPO RMS Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur
6
La démarche de sécurisation (1/3)
Faire l’état des lieux Inventorier les biens que l’on souhaite protéger Ex : liste de clients, plan marketing, projet d’investissement stratégique, système de facturation, site Web, … Inventorier les menaces Ex : espion mandaté par un concurrent, virus, ver, cheval de Troie, vandale,… Inventorier les vulnérabilités Ex : personnel non sensibilisé à la non divulgation d’informations confidentielles, machines sans antivirus, correctifs de sécurité manquants, absence de pare-feu pour protéger les connexions au réseau… CV
7
La démarche de sécurisation (2/3)
En déduire les risques = menaces x vulnérabilités x valeur des biens On s’attachera à diminuer les plus importants A transférer ceux qui sont inacceptables (assurance) A prendre en charge soi-même les autres CV
8
La démarche de sécurisation (3/3)
Rédiger sa Politique de sécurité Principes de base à respecter (nécessité de contrôler l’accès aux documents internes, protections techniques minimales par ex.) Définition des autorisations d’accès aux ressources dont Internet (par ex : seul le personnel habilité aura accès à Internet) Formation / sensibilisation des employés (ex : navigation sécurisée, utilisation de l’ , prévention de l’ingénierie sociale…) CV
9
Moyens de protection Ensuite, il faut mettre en œuvre de moyens de protection contre les risques identifiés selon une démarche de défense en profondeur Machines Sécurité physique Données Réseau Gestion de la sécurité Risques liés à la propriété intellectuelle CV
10
Machines Les 3 grands moyens de protection Pare-feu personnel
Antivirus à jour au niveau de ses signatures Mises à jour de sécurité Les 3 grands moyens permettent d’éviter bon nombre de problèmes. Penser aussi aux applications lors de la démarche de sécurisation d’un ordinateur.
11
Sécurité physique (1/2) Verrouiller sa session pour qu’un « passant » ne puisse pas accéder à vos données, se faire passer pour vous Enfermer les serveurs dans une pièce fermée à clé Utiliser des outils de sécurité physique pour protéger les PC Il s’agit ici d’empêcher un intrus de pouvoir accéder physiquement à un ordinateur. L’attaque la plus simple consiste à utiliser une session déjà ouverte. Pensez à verrouiller votre session (Ctrl+Alt+Suppr puis Entrée ou Drapeau-Windows + L) Une autre attaque consiste à bidouiller un serveur (pour modifier son comportement normal) ou à voler ses disques durs. Pour éviter cela, enfermez les serveurs dans une pièce ferme à clé.
12
Sécurité physique (2/2) Sécurité physique des PC
Cache de protection des connecteurs Verrouillage du châssis et des câbles Verrous électromagnétique Câble anti-vol pour les portables Carte à puce pour accès Etc.
13
Sécurité des données (1/5)
Identification / Authentification Protéger les données contre des accès frauduleux ou malveillants aux ordinateurs de l’entreprise Sauvegarde / Restauration Conserver les données sensibles en sécurité afin de les restaurer en cas de sinistre (erreur humaine, incendie, virus, etc.)
14
Sécurité des données (2/5)
Identification / Authentification Pour les informations sensibles, adopter une démarche d’interdiction d’accès par défaut avec attribution explicite de droits Personne ne doit avoir le droit de modifier les machines, hormis l’administrateur Utiliser plusieurs niveaux d’authentification HP ProtectTools est au centre de la solution de sécurité de HP pour les PC, portables et Ipaq. Il garantit l’authentification et l’identification de utilisateur grâce au cryptage des données
15
Sécurité des données (3/5)
Carte à puce : Smart Card Security Manager Apporte des mécanismes d’authentification sur plusieurs niveaux : Carte à puce + Code PIN Protège contre les intrusions au moment du démarrage du PC Accroît la sécurité en complétant le système de sécurité de Microsoft Windows Protège contre les accès non autorisés au PC par blocage du système en cas de retrait non autorisé de la carte à puce Authentification forte : ce que j’ai (carte à puce) + ce que je sais (code PIN).
16
Sécurité des données (4/5)
Sauvegarde / Restauration Pour les informations sensibles (informations commerciales, contractuelles, légales, etc.), adopter une démarche systématique de sauvegarde des données La sauvegarde doit être régulière, sécurisée, rapidement accessible La restauration doit être mise-en-oeuvre rapidement, simplement et avec une fiabilité totale
17
Sécurité des données (5/5)
Service de sauvegarde en ligne HP Démarrage automatique des sauvegardes en fonction du paramétrage Interface conviviale permettant à l’utilisateur d’effectuer les opérations de sauvegarde et de restauration Chiffrement systématiquement toutes les données avant leur sortie du poste de travail Compression des données pour limiter l’utilisation de la bande passante Disponible prochainement dans le cadre du programme Ready Office
18
Sécurité du réseau (1/4) Sécuriser le réseau est une course
Des menaces de plus en plus nombreuses Des attaques de plus en plus rapide Incidents recensés Délai avant l’attaque CV
19
Sécurité du réseau (2/4) Fonctionnalités de pare-feu (firewall)
Protection du réseau de l’entreprise contre les intrusions provenant des réseaux externes Outil nécessaire mais insuffisant (effet ligne Maginot) Fonctionnalités de réseau privé virtuel (VPN) Amélioration de la productivité des utilisateurs nomades par l’accès au réseau d’entreprise Liaison sécurisée entre le réseau de l’entreprise et l’utilisateur nomade (à travers Internet) Vérification de la bonne santé des ordinateurs qui se connectent à distance avec le système de quarantaine de Windows Server 2003 Gestion et contrôle des accès (proxy) Accès Internet partagé avec contrôle des accès selon les utilisateurs Restriction des accès aux sites Internet choisis par l’entreprise VPN : Accès en permanence aux ressources du réseau pour améliorer la productivité des nomades Quarantaine : réponse pour maîtriser les risques liés à l’ouverture du réseau de l’entreprise vers l’extérieur
20
Sécurité du réseau (3/4) HP ProLiant Small Office Solution
Fonctionnalités complètes de sécurité réseau (firewall, VPN, proxy) Microsoft Small Business Server 2003 Solutions dédiées aux petites entreprises de moins de 25 utilisateurs ProLiant DL320 / ISA Server 2004 Fonctionnalités complètes de sécurité réseau (firewall, VPN, proxy) Solutions dédiées aux petites entreprises de plus de 25 utilisateurs
21
Sécurité du réseau (4/4) Mots de passe
Bonne pratique : pas de nom du dictionnaire, une bonne longueur, des majuscules / minuscules, des chiffres, des accents… Exemple : Tc:1j,jr&àN-Yàt! (il y a un truc!) Réseaux sans fils (Windows XP SP2) Par défaut aucune sécurité « WEP » est à proscrire Exiger WPA (ou WPA2) Problème lié aux points d’accès pirates (ouvrent votre réseau à n’importe qui)
22
Gestion de la sécurité (1/2)
Constats : Tous les logiciels sont imparfaits et contiennent des erreurs (bugs), certains touchent à la sécurité (vulnérabilités) Le temps entre la sortie d’une mise à jour de sécurité (corrigeant une vulnérabilité) et l’apparition d’un ver utilisant la vulnérabilité est en descente vertigineuse (6 mois pour Slammer, 25 j pour Blaster, 17 j pour Sasser) La propagation d’un ver peut être fulgurante (ex :Slammer) Application des correctifs de sécurité au fur et à mesure de leur sortie (après tests) Si vous le souhaitez, Windows XP SP2 et Windows Server 2003 peuvent récupérer et installer automatiquement les mises à jour de sécurité depuis Internet Update Services est un logiciel gratuit de Microsoft qui permet de centraliser la mise à jour des logiciels Microsoft (sortie dans les 5 mois) Remarques : Windows 2000 bénéficie aussi du système de mises à jour automatiques. Update Services permettra de sélectionner les mises à jour à appliquer, de cibler les machines qui les installeront, de fixer des dates butoirs d’installation, de provoquer une désinstallation…Il permettra de gérer les dernières versions de Windows, Office, Exchange, SQL Server.
23
Gestion de la sécurité (2/2)
De nouveaux outils logiciels qui permettent de vérifier simplement et rapidement la vulnérabilité de l’ infrastructure (ProLiant Essentials VPM, etc.) Tests de vulnérabilité Application des correctifs Maintenance automatique Etablissement de la politique de sécurité Du PC au serveur en passant par les routeurs.
24
Gestion des actifs logiciels, d’autres risques à maîtriser
Le logiciel est un outil de production important, un actif qui nécessite une gestion rigoureuse. Un parc logiciel mal maîtrisé c’est la porte ouverte la copie illégale. Le logiciel est protégé par le code de la propriété intellectuelle (droits d’auteur) article L Un logiciel utilisé sans licence est une contrefaçon Responsabilité du dirigeant : sur le fondement de l’article 1384 du Code Civil (responsabilité du commettant), la responsabilité du chef d’entreprise est mise en jeu lorsqu’un de ses employés commet un acte de piratage ou de contrefaçon sur un poste mis à disposition par l’entreprise. Prévention : Mettre en place une infrastructure et des processus de gestion des actifs logiciels. LS
25
Logiciels sans licences : Les risques
Risque technique et de sécurité Logiciels de provenance inconnue = pas de maîtrise complète du parc logiciel Risques de virus, parfois même intentionnels, sur les copies illégales commercialisées sur Internet ou copiées de poste à poste, ou dans les cracks de CD diffusés sur Internet. Risques d’intrusion. Pas d’accès aux services automatiques de mises à jour et de correctifs de sécurité Pas de support technique de la part de l’éditeur, pas d’interlocuteur revendeur ou service en cas de problème. Risque d’image et de réputation Utiliser des copies illégales n’est pas «pro», c’est un défaut de gestion, un manque de sérieux, un manque de respect de la loi La réputation et la pérennité de l’entreprise peut être entachée sur son marché, auprès des collaborateurs en interne d’abord, mais aussi auprès des clients, fournisseurs et concurrents qui pourraient l’apprendre (concurrence déloyale) Risque légal et financier Procédures de contrôle : saisie descriptive par huissier de justice et expert informatique dans le cadre d’une ordonnance rendue par le président du Tribunal de Grande Instance, ou sommation interpellative de mise en demeure de déclaration de parc. Procédures judiciaires coûteuses. Sanctions pénales (amendes prévues par la Loi) et civiles (dommages et intérêts). Faibles économies dangereuses : le logiciel représente moins de 10% du coût total de possession de l’équipement informatique. LS
26
Quels avantages à bien gérer le parc logiciel ?
Tirer le meilleur de son informatique en toute sérénité. Gestion des actifs logiciels : Mettre en oeuvre l’ensemble des infrastructures et processus nécessaires pour gérer, contrôler et protéger les actifs logiciels d’une organisation tout au long de leur cycle de vie. Avantages : Stratégie logicielle : Connaître ses besoins logiciels réels. quels logiciels répondent le mieux aux besoins des utilisateurs (par service, par tache, par métier) et aux contraintes de l’entreprise. Établir ses choix logiciels. Évaluer les évolutions techniques utiles et les planifier. Audit régulier du parc : mieux connaître et suivre dans le temps son existant logiciel et licences, et le comparer à ses besoins. Rationalisation des achats : réaliser des économies d’échelle en groupant ses achats, annualiser ses dépenses. Homogénéisation du parc : travailler plus efficacement et offrir un meilleur taux de service et de disponibilité aux utilisateurs LS
27
Quelles méthodes simples de gestion ?
Informer et partager la responsabilité du dirigeant avec les employés : clause de respect de la propriété intellectuelle sur les biens et contenus numériques dans les contrats de travail, règlement interne de l’entreprise et note interne de sensibilisation. Réaliser un audit annuel des logiciels installés sur les ordinateurs Rapprocher cet audit physique des licences effectivement possédées. Grouper et conserver les licences en lieu sur. Établir la stratégie logicielle. Quels logiciels pour quels besoins ? Et la faire connaître. Grouper les achats auprès d’un petit nombre de fournisseurs reconnus. Établir des procédures de fourniture de logiciels aux employés et nommer des personnes responsables. Réévaluer les besoins régulièrement Planifier les évolutions techniques et les budgets correspondants Sous-traiter certaines tâches aux revendeurs informatiques S’équiper une solution logicielle de gestion de parc logiciel LS
28
Des ressources Outils d’audit de parc logiciel et guides de la gestion de parc logiciel disponibles gratuitement sur : LS
29
Politique de sécurité Les problèmes de sécurité empêchent la création d’une infrastructure stable Microsoft, HP et leur réseau de partenaires peuvent vous aider à mettre en œuvre une vraie politique de sécurité Etude de l’architecture Etudes des règles de sécurité Test de pénétration des systèmes Analyse des résultats, partage des meilleures pratiques et conseils Etablissement de la politique de sécurité LD
30
Ressources www.microsoft.com/france/securite www.hp.com/fr/security
31
Questions ?
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.