Les cyberattaques touchent de plus en plus d'entreprises et sont toujours plus sophistiquées. Comment gérer ces risques? Comment développer une culture du secret informationnel dans mon entreprise.
Competitic - Choisir son nom de domaine - numerique en entreprise
Competitic - Identifier et Protéger vos données sensibles
1. Comment identifier et protéger vos
données sensibles
Présenté par : Patricia Bohbot – CCI MARSEILLE PROVENCE
RENDEZ-VOUS CCIMP des TIC
Affichage des logos des partenaires
2. 2
Le rendez vous des TIC est une des prestations proposées
par la CCIMP pour faciliter l’appropriation des usages des TIC
• Prediagnostic etransformation
• Ateliers
• …
• Rendez vous des TIC
• Salon TOP TIC
• Démonstrateurs (ex : Ma bouTIC)
• « Portail des usages » :
www.lenumeriquepourmonentreprise.com
• …
• Actions collectives
• …
L’OFFRE « TIC » DE LA CCIMP se décline en TROIS
TYPES d’ACTION
Sensibiliser
Approfondir
Accompagner
3. 3
La vision de la CCIMP sur la sécurité des données
Les usages du numérique s’accélèrent et avec eux en parallèle de nouveaux
risques apparaissent.
Les entreprises sont les premières cibles des cyberattaques qui visent son
patrimoine informationnel, son savoir faire, ses données clients, ses projets en
cours…et les conséquences sont lourdes : pertes de données, perte de
confiance, atteinte à l’image et à la réputation.
Face à ces nouveaux risques, qui peuvent aller jusqu’à l’arrêt total de l’activité,
des mesures de précaution, des règles d’hygiène informatique sont à mettre en
place pour réduire le risque et mieux gérer les situations de crises.
4. 4
Le thème abordé aujourd’hui porte sur la famille d’usage
Sécurité
DEVELOPPER
L’ACTIVITE
COMMERCIALE
GERER LES
ACHATS
PILOTER
L’ENTREPRISE
OPTIMISER
L’ACTIVITE
5. Sommaire
Identifier et protéger vos données sensibles
1. Information c'est quoi ? 10mn
2. Vous avez dit « sensible » ? 10mn
3. Comment la protéger ?
Levier 1 : capital humain 10mn
Levier 2 : outils/ méthodes TIC 10mn
Levier 3 : système de management 10mn
Questions-Réponses 30mn
6. Les intervenants
Vincent IACOLARE
09 79 36 87 24
vincent.iacolare@synertal.fr
www.synertal.com
www.talentrepreneur.fr
Nous nous engageons avec eux
pour la sécurité de l'information :
Dirigeant
Ingénieur conseil
Écrivain militant
Manager de projet certifié Afitep
Auditeur certifié ICA - MASE - ADSN
Concepteur, formateur et animateur
qualifié Afnor Compétences & FCT
Solutions
8. L'information est partout
Qu'est-ce qu'une information ?
L'information prend différentes formes :
Définition : une indication, un renseignement, un événement, un fait, un
jugement , une nouvelle communiquée, un élément de connaissance, …
(d'après Larousse)
numérique (fichier,
base de données)
savoir
document
(écrit)mot
(oral)
L'information se dématérialise de plus en plus
L'information est partout (et plus elle se dématérialise et plus elle se répand)
/!
9. Sont à identifier et à estimer (valeur i.e. criticité) sur la base de critères
déterminés comme par exemple :
La violation de la réglementation et de la législation,
Manque à gagner pour l’entreprise, perte financière....,
Impact sur la notoriété,
Interruption de l’activité de l’entreprise,
Brèches aux promesses de confidentialité avec les parties prenantes
(clients, fournisseurs, partenaires, ...),
Endommagement de l’infrastructure,
Etc.
Identification des actifs = Processus permanent et itératif
Valorisation des actifs selon critères (par nature d'impact direct ou
indirect i.e perte de, atteinte à, crise...)
Information = ACTIFS /BIENS
Les identifier
10. A quoi bon sécuriser l'information ?
Information = pétrole du XXIe siècle
La détenir
Force = Information utile à
l'entreprise pour se développer
(pouvoir, anticipation, …)
Risque = Information
sensible
(vol, IE, piratage...)
La sécuriser
Risque (tuer la performance, nuire au
développement , alourdir le
fonctionnement)
Indispensable (survie)
Maturité
démarche de sécurité de l'information intégrée
Force = Influence
(information à
communiquer sur
l’entreprise)
12. Valeur de
l'actif/
Criticité du bien
(fort, moyen,
faible)
Menace /
vulnérabilité
→ Risques
Niveau de
risque brut
(fort, moyen,
faible)
Mesure de
protection
existant, Moyen de
Sauvegarde / Secours,
de Reprise/
Restauration /
Niveau
de risque
résiduel
(fort, moyen,
faible)
Si fort, Action
- d'évitement
- de réduction
- de partage ou
transfert
- d'élimination
- d'acceptation
Le plus
SIGNIFICATIF
forts
Sensible = Risques : Niveau de risque & actions de
réduction, juste nécessaire
13. Bien (actifs)
internes
Politique de sécurité
Objectifs de sécurité
Mesures de sécurité
Valeur du bien
Criticité du bien
(selon son impact sur
l'organisme) Vulnérabilités
(exposent le bien)
Système de management
Menaces
(exploitent la vulnérabilité)
externes
organisme
Sensible = risques
= menaces + vulnérabilités (1/2)
14. Bien
(actifs)
Menaces
(augmentent le niveau de risque)
Diminue la
valeur du bien
Mesures de protection
(réduisent le niveau de risque)
Risques résiduels
Risques
(niveau de risque)
l'essentiel = connaître les menaces (causes potentielles d'incident) et les
vulnérabilités (faiblesse d'un bien pouvant être exploité par une menace)
Criticité
du bien
Vulnérabilités
(augmentent le niveau de risque)
Source de risque
Danger
Facteur de risque
Risque
Conséquence
Impact
Sensible = risques
= menaces + vulnérabilités (2/2)
15. Menaces
A)ccidentelle, D)élibérée ou E)nvironnementale
D'origine interne ou externe
On distingue généralement :
Menace passive : elles ne modifient pas le contenu de l'information et
portent essentiellement sur la confidentialité (branchement sur une ligne
de transmission, capture de signaux hertziens...).
Menace active : elles modifient le contenu de l'information ou le
comportement des systèmes de traitement (brouillage des
communications, modification des données transmises ou résidentes,
pénétration du système, destruction physique ou logique).
16. Vulnérabilités
Techniques (matériel, logiciel, réseaux...)
Faiblesses de conception (architecture, logiciel, etc.)
Programmes peu robustes
Organisationnelles (site, organisation, ...)
Architectures permissives
Emploi de versions non corrigées des erreurs
Administration non sécurisée de l’exploitation
Humaines
Méconnaissance de la menace
Insouciance des utilisateurs … et/ou de la Direction
Connexions internet sans sécurité suffisante
Extérieures
Image et notoriété
Diffamation, dénigrement, décrédibilisation
17. Partie 3 : Comment la protéger ?
Levier 1 : Capital humain
18. Identification du maillon faible de l’entreprise
Détenteur informations et de compétences
Diffuseur (in)volontaire d’informations
Acteur interne ou externe de l’entreprise
Existe t-il des mesures de protections ?
L’HUMAIN
Capital humain & mesures de protection
19. Identification des utilisateurs
(authentification, habilitations)
Les protections dans le cadre des relations collectives (guide, règlement, charte
..) / individuelles (contrat, convention, ...)
Les clauses de protection du savoir faire (confidentialité, non concurrence,
propriété intellectuelle...)
Les clauses relatives à l'usage des TIC (téléchargement, cloud, réseaux sociaux
messagerie, espaces stockage...)
Les mesures de protection
Identification des protagonistes (matrice RACI)
La formation/sensibilisation
La charte informatique
Capital humain & mesures de protection
20. Partie 3 : Comment la protéger ?
Levier 2 : Outils & méthodes TIC
21. Méthodes, outils et bonnes pratiques
Recommandations
Difficile de donner des méthodes et outils
Dangereux
Agir de façon adapté et proportionné aux risques
Respecter le droit à en connaître
Faire appel à des "professionnels" voire aux autorités (ANSSI, ….)
Ne pas se laisser séduire par le chant des chimères
Privilégier une protection « conjuguée »
A noter :
Nous ne sommes prescripteur d'aucun produit
Nous ne cherchons pas ici à être précis et exhaustif
22. Méthodes, outils et bonnes pratiques
Mode d'emploi
filtrage / journalisation des connexions réseau
détection / prévention d'intrusion (scanner de vulnérabilité, log, ...)
filtre Anti-DoS (Deni de service)
connexion sécurisée (VPN, SSL/ TLS…)
chiffrement du stockage
supervision & monitoring
sécuriser les "applications" & développements
….
1) sécuriser le physique / matériel (accès aux serveurs-machines, cablage, réseau
sans fils)
2) sécuriser au mieux le système d'exploitation (OS) (serveur et poste client)
3) ajouter des couches de protection "sécurité" :
23. Méthodes, outils et bonnes pratiques
Exemples (non exhaustif, non prescriptif)
Poste client
Applications
Infrastructure
d'application
Infrastructure
physique
matériel
réseaux
Système d'exploitation
Serveurs SGBD
horizontales
(CRM, GRH, ...)
Applications
...
...
Applications dédiées au net
verticales
Applications
(métiers)
Linux ;Pack office libre
Antivirus
Chiffrement du stockage type « truecrypt »
Extinction automatique serveur inactif
Cryptage automatique de disque inactif
Proxy/ reverse proxy ; Coupe-feu à jour
Bien configurer les "VLAN" ; sécuriser le "DNS"
VPN / IPSec/SSL/TLS (OpenVPN avec certif)
Stockage des données applicatives maîtrisé
Supervision, scanner de vulnérabilité
Sécuriser les "application", dans l'ordre :
annuaire (type LDAP ou MS AD),
sauvegarde, messagerie (anti-virus / anti-
spam / chiffrement transfert, …)
Sécuriser les "développements spécifiques"
25. Mise en œuvre d'un système de management
→ Les thèmes traités (les maillons faibles les plus courants)
1. État
des lieux
2. Définition politique
3. Mise en œuvre &
contrôles
4. Amélioration
continue
Contraintes,
exigences
stratégie, ...
Pilotage de la sécurité de
l'information
Cartographie des biens
et des risques
Se protéger contre les
erreurs humaines &
techniques
Orientations, sens,
objectifs cibles
29. Les points clés à retenir
• La sécurité doit être adaptée aux moyens
• La sécurité doit être adaptée aux risques
• La sécurité doit être adaptée au comportement humain
• La sécurité doit minimiser l'impact sur la productivité
• Le point sensible de la sécurité reste l'humain
• La sécurité c'est l'affaire de tous, tout le temps (sans fin)
• Le risque 0 n'existe pas (connaître et maîtriser ses risques)
• La sécurité est une affaire de moyens mais pas que...
• Un SMSI certifié ne signifie pas un système inviolable
• La sécurité n'empêche pas les intrusions (elle les retarde)
• Un SMSI est compatible avec des sociétés de toutes tailles
30. 30
Les intervenants
Vos questions / nos réponses !
Vincent IACOLARE
09 79 36 87 24
vincent.iacolare@synertal.fr
www.synertal.com
www.talentrepreneur.fr
N'attendez plus, engagez-vous !!!
31. 31
Comment rendre votre site
Internet visible sur Google?
Jeudi 21 mai 2015
Aix en Provence
WWW.CCIMP.COM pour
consulter l’AGENDA des RDV
et vous INSCRIRE
Evènement accessible de
chez vous ou de votre
bureau avec un ordinateur
et une connexion internet
Liste des logos des partenaires
Restons en contact
Rejoignez-nous sur le portail
des usages et retrouvez :
Les supports des présentations
La présentation des usages du
numérique
Les actualités
L’annuaire des entreprises
Suivez-nous sur les réseaux
sociaux :
@competitic
Projet régional CompetiTIC
32. 32
NOUVEAU : Cette vidéo sera disponible sur la
playlist CCIMP REPLAY de la chaine Youtube de
la CCIMP
33. 33
Découvrez toutes les missions de la CCI Marseille Provence
• Faciliter votre quotidien, simplifier vos formalités
• Vous accompagner pour développer votre entreprise : des méthodes,
des outils, des rencontres business, des réseaux
• Défendre vos intérêts et ceux du territoire
• Favoriser les conditions du développement économique et des grands
projets
Rendez-vous sur ccimp.com &
– des actus
– des infos pratiques & solutions business
– l’agenda de nos réunions
– des e-services : annuaire des réseaux, boîtes à outils du dirigeant, aides
financières, fichiers de prospection, échéancier social…