La cybercriminalité est multiforme (fraude informatique, violation de données personnelles, atteinte à la e réputation…) et touchent les entreprises de toutes tailles et de tout secteurs d’activités. Ces attaques ont des répercussions financières qui mettent l’entreprise en danger. La prise de conscience de ces risques permet à l’entreprise de mettre en place des actions préventives.
Competitic - Choisir son nom de domaine - numerique en entreprise
Rdv tic cybersécurité
1. Comment lutter contre une menace
technologique qui évolue en permanence?
Présenté par : Patricia Bohbot – CCI MARSEILLE PROVENCE
RENDEZ-VOUS CCIMP des TIC
Affichage des logos des partenaires
2. 2
Le rendez vous des TIC est une des prestations proposées par
la CCIMP pour faciliter l’appropriation des usages des TIC
• Prediagnostic etransformation
• Ateliers
• …
• Rendez vous des TIC
• Démonstrateurs (ex : Ma bouTIC)
• « Portail des usages : www.lenumeriquepourmonentreprise.com
• …
• Actions collectives
• …
L’OFFRE « TIC » DE LA CCIMP se décline en TROIS
TYPES d’ACTION
Sensibiliser
Approfondir
Accompagner
3. 3
La vision de la CCIMP sur la Cybersécurité
L’utilisation du numérique est maintenant généralisée dans l’entreprise, elle est
source d’opportunités et d’ouvertures vers de nouveaux services et de nouveaux
usages.
Maintenant l’entreprise doit aussi intégrer la gestion des risques que ces
évolutions technologiques génèrent (vol de données commerciales, vol de savoir-
faire, atteinte à l’image, perte de données sensibles…). Les attaques sont plus
fréquentes, bien organisées et de plus en plus destructrices.
La responsabilité du dirigeant est engagée, il a pour obligation de protéger
juridiquement ses données et de déployer les moyens nécessaire pour assurer la
maintenance de leur sécurité.
Dans un monde de menaces, quelles mesures l’entreprise doit prendre en
compte? Quelle « hygiène informatique » doit elle mettre en place pour assurer
sa pérennité?
4. 4
Le thème abordé aujourd’hui porte sur la famille d’usage
Piloter l’entreprise
DEVELOPPER
L’ACTIVITE
COMMERCIALE
GERER LES
ACHATS
PILOTER
L’ENTREPRISE
OPTIMISER
L’ACTIVITE
5. 5
Intervenants
Aurélien Leickman
Vice Président CLUSIR PACA
RSSI
Jaguar Network
Frédéric Vilanova
Membre du Comité de Gouvernance
du Territoire Aix Marseille
EffectiveYellow
Club Régional de la Sécurité de l’Information Région Paca www.clusir-paca.fr
6. 6
1. Le contexte de l’économie digitale
2. La cybercriminalité s’industrialise
3. Des enjeux majeurs, des nouvelles règles
4. Adopter une démarche pragmatique
5. Questionnaire : les bonnes questions concrètes à se poser
Sommaire
7. 7
Atteintes aux données à différents niveaux:
- National: espionnage, militaire, diplomatique
- Entreprises: espionnage industriel (intelligence économique?)
- Personnel: données bancaires, biométriques, données sociales, identifiants, mots de passe.
1. Le contexte de l’économie digitale
Les fuites de données font la une des journaux:
8. 8
Le constat
Nous évoluons tous dans un environnement « Hostile »
+40% d’actes
cybercriminels
en 2014*
Sources : rapport annuel Symantec 2015
1. Le contexte de l’économie digitale
9. 9
Paiement sur Internet
Identité Numérique
9
Mix vie perso/vie pro
Objets Connectés
Les comportements évoluent
1. Le contexte de l’économie digitale
10. 10
Big DataEn local Sur le Cloud
1 Zettabyte = 1021 bytes
Année
Nbre de Zettabytes
stockés dans le mnode
2009 0.8
2011 1.9
2015 7.9
2020 35
En profitant de nouveaux environnements technologiques
Nouvelle façon de stocker, partager, traiter les données
1. Le contexte de l’économie digitale
11. 11
La technologie profite aussi aux criminels: recrutement via les réseaux
sociaux, revente de données …
Le partage des calculs permet de former des unités de calculs permettant
de réduire les couts et les délais de cassage des moyens de protection
Mise à disposition en ligne « d’Exploits Kits »
Les protocoles et algorithmes qui servaient à la protection d’hier (et
d’aujourd’hui) ne seront pas ceux de demain => arrivée de l’ordinateur
Quantique (on a encore un peu de temps)
2. La cybercriminalité s’industrialise
Technicité, innovation et partage des cybercriminels…
12. 12
Chaque minute un système accède à un site web malicieux
Toutes les 9 minutes une application “à risques” est utilisée
Toutes les 27 minutes un malware inconnu est téléchargé
Toutes les 49 minutes des données sensibles sont exfiltrées d’une entreprise
Toutes les 24h un host est infecté par un bot
Source : Check Point 2014 Security Report
Technicité, innovation et partage des cybercriminels…
2. La cybercriminalité s’industrialise
13. 13
$445
Mds
Coût mondial de la
cybercriminalité en 2013
Des entreprises ont subi au moins un
incident potentiel de fuite de
données en 2013 (54% en 2012)
88%
Sources : Center for Strategic and International Studies – Checkpoint
2014 Security Report – Ponemon Institute
$145
Coût moyen de la perte ou de la
compromission d’une donnée
500m
Jeux de données personnelles
volés en 2013
Quelques chiffres clés
2. La cybercriminalité s’industrialise
14. 14
16,3 Md$
Paiements « Card not present »:
66% du montant de la fraude
12% des transactions Source : The Nilson Report
500 m€
Focus sur la fraude aux paiements par carte
2. La cybercriminalité s’industrialise
15. 15
L’économie numérique ne se développera que
si les consommateurs ont confiance
dans leurs fournisseurs de services
Les risques liés à la cybercriminalité apparaissent dans le
top 10 des risques majeurs dans la gouvernance des
grandes entreprises
La sécurité des données et des processus devient un
argument commercial et un facteur de développement
de l’économie numérique
La confiance, l’élément clé de l’économie numérique
3. Des enjeux majeurs, des nouvelles règles
16. 16
- Particuliers
- Marchands
- Fournisseurs de service
- Régulateurs
- Gouvernements
Chaque acteur doit devenir
« data responsable »
Des données fiables sont le
carburant de l’économie
numérique
Nouvelles règles d’utilisation des données
3. Des enjeux majeurs, des nouvelles règles
18. 18
Des moyens renforcés pour assurer la
Cyberdéfense
Organisation
opérationnelle
Enjeux majeur pour la Défense Nationale : cadre de la loi de
programmation militaire
3. Des enjeux majeurs, des nouvelles règles
19. 19
Intérêts fondamentaux défense et sécurité des
systèmes d’information de l’état et des infrastructures
critiques, crise informatique.
Confiance numérique, vie privée, données
personnelles, cyber malveillance.
Sensibilisations, formations initiales, formations
continues.
Environnement des entreprises du numérique,
politique industrielle, export et internationalisation.
Europe, souveraineté du numérique, stabilité du
cyberespace.
Stratégie Nationale pour la Sécurité du Numérique : 5 priorités
3. Des enjeux majeurs, des nouvelles règles
20. 20
Biométrie Chiffrement des données
Tokenisation Coffres forts Numériques
Utilisation de la technologie comme moyen de réponse
3. Des enjeux majeurs, des nouvelles règles
21. 21
Connaitre les risques de son métier
• Avoir identifier et localisé les données sensibles
Et tout particulièrement:
• Une sensibilisation des utilisateurs pour une prise
de conscience active et quotidienne des enjeux de
sécurité
• Avoir un bon management et une bonne gouvernance
de ses Systèmes d’Information
• Avoir une bonne connaissance et une bonne gestion
de ses risques informatiques
• Disposer d’une définition des contre-mesures et des
contrôles, et l’actualiser régulièrement
La technologie n’est rien sans bon sens
3. Des enjeux majeurs, des nouvelles règles
22. 23
Une organisation incapable de prouver à ses clients et
prospects qu’elle protège leurs données ne sera pas digne
de confiance
L’image de votre marque et sa réputation dépendent de
façon significative de la sécurité de vos données
• Protégez vos données
• Protégez les données que l’on vous confie
• Protégez votre image
La sécurité numérique: un vecteur de développement
3. Des enjeux majeurs, des nouvelles règles
Montrez que vous êtes digne de confiance
23. 25
Les cyberattaques
passives interception,
écoute, espionnage…
Quelles natures de cyberattaques ?
4. Adopter une démarche pragmatique
Les cyberattaques peuvent être fondées sur l’usurpation de mots de
passe (notamment sans que l’on s’en aperçoive):
• monitoring des paquets IP, sniffer les données échangées,
• Envoi de lots d’emails visant à leurrer certains utilisateurs pour qu’ils livrent
d’eux-mêmes des informations sensibles (identifiant, mot de passe,
numéro de compte..) (phishing)
• déchiffrer un mot de passe chiffrés (attaque par force brute via l’algorithme
de chiffrement ou par dictionnaire),
• utilisation de périphériques logiques ou physiques d’espionnage (captage
des touches frappées…),
• utilisation d’une faille d’accès au serveur d’authentification (attaque du
référentiel de compte / pass-the-hash)
Les cyberattaques actives
modification, fabrication,
interruption, destruction..
24. 26
Quelles natures de cyberattaques ?
4. Adopter une démarche pragmatique
Les cyberattaques peuvent être fondées sur le leurre…
• Le hacking non éthique consiste à s’introduire illégalement par leurre et
détournement de technologies dans un système tiers.
• Il utilise les vulnérabilités des environnements Internet, des protocoles de
communication, des systèmes d’exploitation, des processeurs, des
configurations systèmes pour usurper votre identité, rediriger des flux de
données (routage), voler des connexions TCP, détourner des flux
applicatifs (man in the middle).
Il s’agit d’escroquerie électronique qui leurre les systèmes et les
utilisateurs…
25. 27
Quelles natures de cyberattaques ?
4. Adopter une démarche pragmatique
Les cyberattaques peuvent être fondées sur la manipulation
d’information…
• La modification de pages de vos sites Web (defacement attack) qui
peut causer des dommages importants en termes d’image et de
pertes indirectes. Les attaques d’infoguerre (infowar) s’inscrivent
parfois dans des attaques sémantiques (semantic attack) pour
manipuler la population voire provoquer une crise.
• Redirection vers un faux site pour récupérer des informations
confidentielles puis éventuellement redirection vers le vrai site pour
entretenir l’illusion (phishing)
26. 28
Quelles natures de cyberattaques ?
4. Adopter une démarche pragmatique
La cybercriminalité est avant tout une criminalité économique mais elle peut
s’inscrire en macro dans un contexte de guerre ou en micro dans une action
visant à porter atteinte à l’intégrité morale et physique dune personne.
Les virus sont plus ciblés, souvent à buts financiers et servant la grande
criminalité classique…
Sous couvert d’aide à la navigation ou de services personnalisés, des
programmes malveillants (malware, espions spyware, publicitaire adware)
downloadent et installent des outils de capture d’information, d’appropriation de
ressources et d’attaque (pilotage d’attaques DDoS)…
La détection et la désinstallation de ces malvares est difficile.
Attention aux logiciels gratuits ou en démonstration.
27. 29
Il est important de faire un bilan régulier de votre situation en matière de
sécurité informatique.
Vous pouvez à cet effet utiliser:
- Vos compétences techniques si vous en avez en interne ainsi que
celles de vos prestataires pour les compléter: quelles sont vos actions
de sauvegarde des données et des paramètres de vos serveurs et
éléments actifs du réseau ? Quels sont les travaux de contrôle des profils
et droits d’accès « administrateurs » à vos actifs informatique ? Etc.
- Demander à chacun de vos directeurs de projet quel est le volet sécurité
du projet, ses objectifs, ses travaux, ses tests et ses résultats, et ce à
chaque changement de phase de projet…
Bilan de la situation sécuritaire et référentiels de bonnes pratiques
4. Adopter une démarche pragmatique
28. 30
Vous pouvez également utiliser:
- Un cabinet spécialisé ou des consultants expérimentés indépendants pour vous aider à
cadrer puis à piloter votre Politique de Sécurité des Systèmes d’Information.
- Vous pouvez vous doter tout simplement d’un cadre de gouvernance et de
management de vos SI tel que COBIT5 pour évaluer et suivre votre progression en
maturité en sécurité et en continuité informatique. Cobit5 impose aux informaticiens et
prestataires de se faire comprendre par les dirigeants et de proposer une gouvernance
claire en informatique.
Cobit5 est global et il permet d’intégrer d’autres référentiels importants selon la
réalité particulière de votre entreprise, de vos métiers:
- ISO 27001 27002 27010 … SECURITY ISMS
- ISO 27032 (GUIDELINES FOR CYBERSECURITY) (PAYS)
- ISO 27033 (NETWORK SECURITY)
- ISO 22301 CONTINUITE ACTIVITE
- ISO 20000 ITILV3 IT DEPARTMENT QUALITY
- 31000 ERMS ERM ENTERPRISE RISK MGT SYSTEM,
- COSO2013, COSO2 ERM ENTERPRISE RISK MGT
Bilan situation et référentiels de bonnes pratiques
4. Adopter une démarche pragmatique
29. 31
Gouverner le Système d’Information c’est essentiellement:
- Disposer d’un Cadre de Gouvernance efficace ajusté aux besoins et au
contexte de l’entreprise
- Assurer l’optimisation des Risques
- Assurer l’optimisation des Ressources
- Assurer la transparence aux Parties Prenantes
Manager le Système d’Information c’est en particulier:
- Gérer l’architecture informatique
- Gérer le risque informatique: Plan de Management des Risques,
inventaire des risques, parades en place, risque résiduel acceptable…
- Gérer la sécurité informatique: Plan de Management de la Sécurité
incluant sensibilisation, formation et tests réguliers
- Gérer les accords de service: les prestataires sont impliqués en sécurité
- Gérer la continuité: Plan de Continuité, Back-Up, Reprise sur Sinistre,
sensibilisation et formation interne…
- Gérer les services de sécurité: éléments actifs s’exécutant au quotidien tel
que les contrôles et authentification d‘accès informatiques, les mise en
production ou exécution de programmes…
Etapes clés et bon sens managérial
4. Adopter une démarche pragmatique
30. 32
Pour mémoire, les types de mesure de sécurité:
Mesures de protection = Empêcher la survenue d’incidents
• Mesures préventives: servent de barrière, contrôle accès physique et logique,
détecteur de virus…
• Mesures structurelles: cloisonnement d’environnements, redondance,
fragmentation de l’information…
• Mesure de dissuasion: procédures de détection et de traçage, procédures
juridiques et administratives…
• Mesure de protection: améliorent la robustesse et diminuent l’impact des
incidents, détecteurs d’intrusion, d’incendie, d’humidité, contrôles de cohérence,
coupe-feu…
Mesures de réaction = Réagir aux incidents survenus
• Mesures palliatives: utiliser les sauvegardes et ressources de secours prévues au
Plan de Continuité et au Plan de Sécurité
• Mesures correctives: réparations, corrections
• Mesures de récupération: permettent un retour à la normale en limitant les pertes
consécutives à un sinistre, en réduisant l’impact financier d’un sinistre (transfert de
pertes (assurances), dommages et intérêts suite à action en justice contre un
prestataire…)
Etapes clés et bon sens managérial
4. Adopter une démarche pragmatique
31. 33
Recourir à des techniques d’audit pour être directement conseillé est
utile au dirigeant d’entreprise, à ses N-1 et tout particulièrement au
DSI, au DAF, au RSSI…
• Car les assurances couvrent rarement et à des conditions très
restrictives les risques financiers liés à une brèche du SI de
l’entreprise (des offres d’assurances spécifiques commencent à
apparaître sur le marché)
• Car le dirigeant doit protéger ses actifs et donc les sécuriser sans
pour autant entraver la fluidité de l’information
• Car le dirigeant doit éviter toute fraude, altération, falsification,
omission ou dissimulation intentionnelle, détournement d’actifs
(financiers, corporels…), fausse présentation des faits dans les états
financiers (cf. norme internationale d’audit 240, obligations de l’auditeur
en matière de fraude lors d’un audit d’états financiers). Le dirigeant doit
donc mettre en œuvre des procédures et des contrôles visant à
garantir l’authenticité des transactions et l’exactitude des
informations.
Protection du dirigeant social, du DSI, du RSSI, du DAF…
4. Adopter une démarche pragmatique
32. 34
Les bonnes questions concrètes à se poser
5. Questionnaire
Questionnaire Non Il me
semble
Oui mais
pas
formalis
é
Oui et
formalis
é
Savez-vous comment différencier la cybersécurité et la
sécurité informatique en général pour votre entreprise ?
Avez-vous un Plan de Management de la Sécurité des
SI?
Avez-vous un Plan de Management de la Continuité des
SI?
Disposez-vous de sauvegardes régulières et dont la
remontée en production a été testée cette année ?
Disposez-vous sur tous vos postes et tous vos serveurs
d’un antivirus adapté ?
33. 35
Questionnaire Non Il me
semble
Oui mais
pas
formalis
é
Oui et
formalis
é
Votre encadrement est-il moteur des bonnes pratiques
en Sécurité des SI
Le management donne-t-il une gouvernance claire aux
dirigeants en matière de Sécurité des SI?
Avez-vous un tableau de bord de Cybersécurité ?
Disposez-vous d’un cadre simple et efficace de suivi de
votre maturité en management des systèmes
d’information (du type Cobit5, ISO 27000, etc.) ?
Par quoi commencer ? Avez-vous besoin d’un
accompagnement ?
Les bonnes questions concrètes à se poser
5. Questionnaire
34. Club Régional de la Sécurité de l’Information
Région Provence Alpes Côte d’Azur
Merci pour votre attention
Toute l’équipe du CLUSIR PACA est à votre écoute
www.clusir-paca.fr
Aurélien LEICKNAM
Vice Président du Territoire Aix
Marseille
Frederic VILANOVA
Membre du Comité de Gouvernance du Territoire Aix
Marseille
35. Le prochain rendez-vous
37
Comment identifier et suivre
les « influenceurs » sur le
web pour développer son
business
WWW.CCIMP.COM pour consulter
l’AGENDA des RDV et vous INSCRIRE
Evènement accessible de chez
vous ou de votre bureau avec
un ordinateur et une connexion
internet
Liste des logos des partenaires
Restons en contact
Rejoignez-nous sur le portail
des usages et retrouvez :
Les supports des présentations
La présentation des usages du
numérique
Les actualités
L’annuaire des entreprises
Suivez-nous sur les réseaux
sociaux :
@competitic
Projet régional CompetiTIC
36. 38
• Faciliter votre quotidien, simplifier vos formalités
• Vous accompagner pour développer votre entreprise : des
méthodes, des outils, des rencontres business, des réseaux
• Défendre vos intérêts et ceux du territoire
• Favoriser les conditions du développement économique et des
grands projets
Rendez-vous sur ccimp.com &
– des actus
– des infos pratiques & solutions business
– l’agenda de nos réunions
– des e-services : annuaire des réseaux, boîtes à outils du dirigeant, aides
financières, fichiers de prospection, échéancier social…
Découvrez toutes les missions de la CCI Marseille Provence
Notas del editor
Diapositive(s) d’introduction du sujet par le conseiller (pourquoi nous avons choisi ce thème ? Des éléments de vocabulaire ? Notre vision sur le sujet ?)
Remplir en gris les domaines dans lequel le thème de s’inscrit pas
Objectif est de repositionner le sujet dans notre cartographie des usages, fil rouge de nos actions
Organisation des mafia internationales
Malveillance Cyber : atteinte à l’image / exploitation concurrentielle
Hack-tivisme (politiques / religieux / Eoloterrorisme) -> TV5 Monde
-Les dépenses en e-commerce en France a représenté selon la FEVAD 57 Mds d’Euro en 2014 soit +11%sur l’année et un nombre de transaction de 15%
-80% des Français son inscrits au moins sur un réseau social (garder le contact avec des amis, famille, suivre l’actualité, avoir des conseils)
-Passage d’une identité Bio à une Identité Numérique : traces qu’on laisse sur le net, croisement d’information, comportement … qui se cache réellement derrière?
-BYOD ou le débordement de la vie perso sur la vie pro et inversement
-Multiplication des objets connectés (Véhicules, médecine, mode Iwatch/ SamrtGear …)
Aspect régalien des enjeux de cyber-securité
L’espace numérique, un nouveau domaine opérationnel pour les armées ;
• Des opportunités de supériorité opérationnelle.
Des moyens et une chaîne de commandement dédiée : sur le territoire mais AUSSI pour les forces projetés
• Un budget d’un milliard d’euros consacré à la cyberdéfense sur la LPM 2014-2019 ;
• Une chaîne de commandement unifiée, centralisée et spécialisée placée sous l’autorité
du chef d’état-major des armées.
Maison de la Chimie à Paris le 16 octobre
Infrastructures critiques : OIV / Crise Informatique : moyen de l’Etat pour aider à la gestion de crise et réponse après Incident : ANSSI, Ministère de l’Intérieur (DGSI), CALID (pour le militaire)
Protection des données personnelles accrue, et notamment vis à vis des prédateurs (type GAFA). Au delà de la LCEN, revoir avec la CNIL la capacité à être plus offensif sur le traitement des données à caractère personnel pour relever les enjeux industrielles et les nouveaux usages.
Formation : Education Nationale pour la formation initiale à la cybersécurité de l’ensemble des citoyens / Ministère de l’Enseignement Supérieur et de la Recherche pour les formations initiales dans toutes les filières ayant attrait au numérique / Ministère du Travail pour la formation professionnelle
Des crédits fléchés pour le programme Industries du Futur et adossé à l’initiative FrenchTech
Relations multi-latérales pour une paix numérique et promouvoir nos valeurs : (Valls) quand il n’y a pas de règles, c’est la loi du plus fort qui s’impose