Competitic - Choisir son nom de domaine - numerique en entreprise
Competitic securite données - numerique en entreprise
1. Sécurisez vos données
pour protéger votre entreprise !
Mettez en place une “organisation sécurité” pour vos données informatiqu
Jeudi 20 décembre 2012
2. Le dispositif Performance PME TIC ?
Cette action s’insère dans le dispositif régional
Son objectif est de développer la compétitivité des
entreprises par un meilleur usage des Technologies
de l’information
et de la communication
www.lenumeriquepourmonentreprise.com
3. Découvrez les usages des
TIC, les actualités, l’agenda
des évènements et les
entreprises de la filière TIC
régionale sur le « portail
des usages »
Consultez le support de
cette présentation :
www.lenumeriquepourmonentreprise.com
4. Intervenant :
Claude LELOUSTRE
ingénieur conseil
en systèmes d’information et sécurité de l’information
expert près la Cour d’Appel d’Aix-en-Provence et la
Cour Administrative d’Appel de Marseille
président du CLUSIR PACA
5. Sécurité des systèmes d’information
(SSI)
Définition :
Ensemble des moyens techniques, organisationnels,
juridiques et humains pour conserver, rétablir et garantir :
la disponibilité,
l’intégrité,
la confidentialité
des informations de l’entreprise ou de l’organisme
6. Sécurité des systèmes d’information
Selon l’enquête « menaces
informatiques et pratiques de
sécurité 2012 » du CLUSIF :
80% des entreprises interrogées (350 entreprises de plus de 200
salariés) disent avoir un besoin fort de leur système
d’information
19% un besoin modéré
Soit, 99% pensent ne pas pouvoir se passer de leur système
informatique
Source : www.clusif.fr
7. Sécurité des systèmes d’information
Protéger son système d’information
est un véritable enjeu:
• Protection de l’accessibilité au système d’information
• Protection de l’intégrité de l’information
• Protection de la confidentialité de l’information
8. Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de
sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
9. Quels sont les risques informatiques
encourus par votre entreprise ?
Evolution des menaces
Nouvelles pratiques: réseaux sociaux
Nouvelles plates-formes: Windows 7/8, iPhone …
Confidentialité des données personnelles
10. Un environnement en pleine évolution
Essor de la génération Web 2.0 Vol d’information - pas des graffitis
Firewall Complex threats....
$
Corporate Mobile
data workers
Fast Web-
Targe
changi based,
ted
ng Invisible
...targeting commercial data
Contractors,
outsourcing
Partners,
customers Personally Intellectu Custo
identifiable al mer
Web 2.0
information property data
Contraintes réglementaires et atteintes à la réputation
SS GL
PCI-D B 95/4
CSB 1386
A 6/EC HIPAA
11. 50% des courriels sont du spam
(95% en 2009)
une nouvelle page Web
liée au spam toutes les 13 secondes
Près de 6 500 nouvelles pages par jour
Plus de 99% du spam est émis par des
systèmes compromis (zombies ou ”bots”)
Les réseaux de botnets sont entre les mains
des cybercriminels les plus sophistiqués
12. Essor des menaces sur le Web
1 nouvelle page Web infectée
toutes les 3,6 secondes (23 500 pages/jour)
83% appartiennent à des sites légitimes
1% des recherches retournent une page infectée
Tous les types de sites sont touchés
fans de séries télé
sport
hôtels
musées
etc …
13. Partnerkas russes et autres réseaux
d’affiliés
Fédèrent des cohortes de rabatteurs
Chargés de recruter des victimes
vers le site central du réseau
Touchent un pourcentage
sur l’argent extorqué à ces victimes
Grande variétés de techniques
Spam
Malwares
Infection de sites légitimes
BlackHat SEO
Attaques sur les réseaux sociaux
Animation du réseau
Toolkits
Outils de gestion
Incentives
14. Production de masse et
dissimulation
Production de masse
Les SophosLabs reçoivent plus de 50 000
échantillons suspects à analyser chaque jour
Le laboratoire indépendant AV-Test.org conserve
une collection de plus de 22,5 millions de malwares
Utilisation croissante de techniques
de dissimulation
polymorphisme (variation de la signature)
furtivité (rootkits)
chiffrement / compression (crypter/packer)
15. BlackHat SEO : les faux antivirus
Attaque en plusieurs étapes
1. Recherche une faille de sécurité pour installer un malware
2. Utilise l’ingénierie sociale pour aboutir au même résultat
3. Récupère les coordonnées bancaires, en bonus !
Distribués à travers des réseaux d’affiliés (Partnerkas ...)
16. Les réseaux sociaux: la
nouvelle frontière
Un nouveau talon d’Achille
Collecte d’informations utilisable pour mener des attaques d’ingénierie sociale
Collecte d’informations sur l’organisation des entreprises
Les comptes utilisateurs sous le feu des attaques
Forte croissance des cas d’attaque
SPAM: + 70% en un an
PHISHING: + 42% en un an
MALWARES: + 69% en un an
Les utilisateurs doivent être conscients
des risques et activer les options de sécurité
17. Ingénierie sociale et force
brute
• En mars 2010, un jeune auvergnat utilisant le pseudo Hacker Croll sur
Twitter est arrêté pour avoir fait acte de plusieurs opérations de piratage,
dont une concernant le compte du président américain Barack Obama
• Son mode opératoire:
• Identifier le compte email Yahoo! d’un des administrateurs de Twitter
• Comment ? ... une petite recherche dans les pages “About US” de Twitter
• Trouver les réponses aux questions pour récupérer le mot de passe “oublié”
• Date de naissance + code postal + pays
• Ville de naissance
• Où a-t-il trouvé ces informations ?
• Blog de 2002 + article de 2004 + whois
22. 7 recommandations pour
1. Bloquez les menaces
Activer ASLR et DEP + installez un antimalware avec technologie HIPS
2. Protégez la navigation sur le Web
Utilisez Explorer 8 et SmartScreen + utilisez un antimalware avec HBO
3. Déployez les correctifs de sécurité
Utilisez Action Center + vérifiez la conformité de vos systèmes (NAC …)
4. Prévenez la fuite des informations
Chiffrez les disques + chiffrez les média USB + contrôlez les applications +
contrôlez les données échangées … avec une gestion centralisée
5. Gérez les privilèges des utilisateurs
Utilisez UAC pour éviter de donner les droits administrateurs aux utilisateurs
6. Vérifiez la conformité des systèmes qui accèdent au réseau
Pour vérifier que les protections sont en places et à jour et qu’il n’y a pas
d’applications indésirables
7. Eduquez les utilisateurs sur les bonnes pratiques en matière de sécurité
Informez-les sur votre charte de sécurité et diffusez les bonnes pratiques
23. Apple: une nouvelle cible ?
Quelques dizaines de malwares sur Mac OSX
Apparus depuis fin 2007
OSX/RSPlug (nov 2007 - mars 2009)
Mêmes créateurs que Zlob (Windows)
Installe Adwares et ‘Scareware’
OSX/iWorkS (janvier 2009)
Infection largement répandue
Crée un réseau de Botnet sur Mac OSX
OSX/Jahlav-C (juin 2009)
Cheval de Troie qui télécharge des malwares
Diffusé à partir d’un blog sur Twitter
OSX/Pinhead-B alias HellRTS (avril 2010)
Cheval de Troie
Apple vient de mettre à jour OS X pour s’en protéger
24. Linux: infections à faible bruit
Peu de programmes malveillants
Quelques centaines à peine
Moins de la moitié circulent réellement
Mais attention aussi aux vieux virus
Exemple: Linux/RST-B
Existe depuis 6 ans
Infecte les exécutables ELF
Ouvre une porte dérobée
Au moins 0,24% des systèmes
dans le monde sont infectés
… et aux excès de confiance ou de suffisance
Exemple: Troj/UnlRC-A
Cheval de Troie présent dans le code source de UnreallRCD.com
depuis novembre 2009, mais découvert seulement en juin 2010
28. Perte et vol d'information
Atteintes à l’image et la réputation
Perte de clients
Coûts internes de gestion des problèmes
Pertes de revenus associés à la propriété intellectuelle
29. Des données mobiles de plus en plus exposées
4 entreprises sur 5 ont perdu des informations sensibles lors du
vol de notebooks Ponemon Institute LLC and Symantec end-user survey, August 2009
10% des notebooks sont perdus ou volés par an
Web & Collaboration Strategies 2009
1 disque USB sur 2 contient des informations sensibles
Forrester Research, Inc. and Symantec Corp. survey, February 2008.
70% des données des entreprises sont dupliquées hors des
serveurs (notebooks, clé USB …)
Ponemon Institute, U.S. Survey: Confidential Data at Risk, August 2008
Fuite d’informations: Augmentation de 47% entre 2007 – 2009
Breach List and Statistics - Identity Theft Resource Center (ITCP) Date: 01/12/2010
Principales raisons de la fuite d’information :
Perte de portables ou de device – 35%
Ponemon Institute, 2009, Annual Study: Costs of Security Breaches
30. Des données mobiles de plus en plus exposées
700 portables perdus / volés à Roissy chaque semaine
12 000 portables perdus / volés dans les Aéroports US*
7 millions de laptops
volés/perdus dans
le monde en 2009
Computer Security Institute,2009
*July 2009, www.vnunet.com/vnunet/news/2223012/eu-travellers-losing-laptops-airports
31. Des coûts d’incidents de plus en plus élevés
Exemple: Nationwide Building Society
Amende de £980,000 par la FSA (Financial Services Authority) à la suite de la
perte d’un portable contenant les détails de 11 millions de clients
Total des coûts directs identifiables
Impression de 11 millions de lettres ……………… £150,000
11 millions de copies de 2 brochures ………… £300,000
Envoi à 11 millions de clients …………………. £1.6 millions
Amende par la FSA ………………………….. £980,000
Autres coûts?
Coût de gestion de l’incident
Atteinte à la bonne réputation
Source: Prsonal Computer World
www.vnunet.com/vnunet/news/2183332/nationwide-fined-980-exposing
32. Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de
sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
33. Les questions à se poser
En quoi les TIC seraient-elles de nature différente des
outils déjà en place dans les entreprises ?
Quelle part de vie privée et de libertés individuelles
garantir aux salariés liés à leur employeur par un contrat
de travail ( = un lien de subordination) ?
Que peut-on admettre comme usage privé d’outils mis
à disposition des salariés par leur employeur ?
Y a-t-il des limites au contrôle et à la surveillance que
les employeurs peuvent exercer sur les salariés ?
34. OBLIGATION LEGALE :
Sécuriser son système d’information
Patrimoine de l’entreprise : matériel, humain, informationnel
Protéger le patrimoine informationnel de l’entreprise
L ’article 42 de la Loi du 6 Janvier 1978 impose au maître du fichier
« …de prendre toutes les précautions utiles afin de préserver la sécurité … » des
informations automatisées
• C ’est l’article 226 -17 du nouveau Code Pénal qui érige en infraction spécifique le
fait de manquer à la sécurité
« ..le fait de procéder ou de faire procéder à un traitement automatisé d’informations
nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de
ces informations et notamment empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés est puni de cinq ans
d’emprisonnement et de plus de 300 000 € d’amende » ….
35. Responsabilité du chef d’entreprise
L'article 1384 - alinéa 1 du Code Civil stipule :
"On est responsable non seulement du dommage que l'on cause par
son propre fait, mais encore de celui qui est causé par des
personnes dont on doit répondre ou des choses que l'on a sous sa
garde."
Cet article a établi une présomption de responsabilité du gardien.
L'entreprise sera présumée responsable :
des personnes qui sont sous sa dépendance
des biens dont elle a la garde
Pour s'exonérer, il faut prouver que la cause est exogène.
36. Délit informatique
• Notion de Délit informatique sur le SI = Infraction
pénale
Loi Godfrain (1988) Code Pénal (1994)
• Atteinte à la Disponibilité,
• intrusion, usurpation, ..
• Confidentialité,
• Enregistrement, divulgation
• et à son Intégrité , Authenticité.
• inoculation de virus, suppression, modification
NOTA : La loi GODFRAIN a été abrogée par la loi 92-1336 du 16 déc 1992 (nouveau Code Pénal) et n’est plus en vigueur
depuis le 1er mars 1994, mais on parle toujours de loi Godfrain pour désigner les articles transposés dans le Code Pénal.
37. Surveillance des salariés
La loi du 31 décembre 1992 a posé les jalons d ’un droit « informatique
et libertés » dans l’entreprise :
Principe de proportionnalité
« Nul ne peut apporter aux droits des personnes et aux libertés
individuelles et collectives de restrictions qui ne seraient pas
proportionnées au but recherché » - art L 120-2 du code du travail
Consultation du comité d ’entreprise lors de l’introduction de nouvelles
technologies (art L 432-2)
Information préalable des salariés (art L 121-8)
Ces principes et droits font écho à la loi du 6 janvier 1978 qui impose
que tout traitement de données personnelles soit déclaré à la CNIL, que les
salariés soient informés de son existence et de ses caractéristiques et
qu’ils aient accès aux informations les concernant.
38. Dernières évolutions
LSQ ( loi sécurité quotidienne) 15/11/01
Conservation des données de connexion (6-12 mois)
Déchiffrement et accès aux données par les autorités
LCEN (loi pour la confiance en l’économie numérique)
21/06/04
Modifie la loi Informatique & Libertés de 1978
• Renforce les pouvoirs de la CNIL
• Contrôles a priori et a posteriori
• Pouvoir de sanction
Responsabilité des hébergeurs
Correspondance privée
Publicité électronique
et de nombreuses
Notion de commerçant électronique jurisprudences
39. Dernières évolutions
HADOPI ( création et internet) 12/06/09
Le conseil constitutionnel instaure comme fondamental le droit à l’internet
LOPPSI 2 (14 mars 2011)
• mouchards électroniques : sur autorisation juge des libertés
• usurpation d’identité en ligne : délit (prison 1 an + 15.000€)
• listes noires : les FAI doivent bloquer les sites désignés, filtrer des @ IP
• vidéo protection : délai de conservation des vidéos < 1mois
40. Ce qu’il faut retenir …
Le dirigeant est responsable des informations dont
il est le dépositaire.
Il doit pouvoir justifier de mesures concrètes
visant à protéger son système d’information.
La fraude informatique prouvée est réprimée
Matérialiser l’infraction est difficile
Principes de loyauté et de transparence
Importance de la CHARTE TIC
41. Le Sénat légifère sur la vie privée
En mars, le Sénat a adopté la proposition de loi n° 93 (2009-2010)
Vise à modifier sensiblement la loi Informatique et Libertés de 1978
Issue d’un an de travail d’un groupe dirigé
par les sénateurs Anne-Marie Escoffier et Yves Détraigne
Confirme le caractère obligatoire des correspondants « informatique et
libertés » (CIL) lorsqu’une autorité publique ou un organisme privé recourt à un
traitement de données à caractère personnel et que plus de 100 personnes y ont
directement accès ou sont chargées de sa mise en œuvre
Vise à renforcer le pouvoir et les sanctions de la CNIL
« En cas d'atteinte au traitement de données à caractère personnel, le
responsable du traitement avertit sans délai la CNIL (Commission nationale de
l'informatique et des libertés) qui peut, si cette atteinte est de nature à affecter les
données à caractère personnel d'une ou de plusieurs personnes physiques, exiger
du responsable du traitement qu'il avertisse également ces personnes. »
42. Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de
sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
44. Outils et coûts de la SSI
• infrastructures
• poste de travail
• projets
• formation des informaticiens
• éducation des utilisateurs
• organisation de la SSI
• politiques (autorisation, authentification,
sauvegarde, chiffrement, audit,…)
• charte utilisation TIC
45. Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de
sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
46. Les « Dix Commandements » de
la CNIL
1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB)
4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles
5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles
6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions …
7. Sécuriser l’accès physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données – conservez les données
d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de
stockage mobiles par chiffrement
9. Anticiper et formaliser une politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »
47. Eduquez les utilisateurs
• Présentations
• Menaces à la sécurité des données
• Conséquences des fuites de données
• Recommandations sur
la protection des données
• Livre blanc
• Protection des informations
à caractère personnel
• Vidéos sur la sécurisation des mots de passe
• Vidéos sur la protection des données
• Exemples de politiques de sécurité des données
www.sophos.fr/lp/threatbeaters-dp
48. Eduquez les utilisateurs
• Recommandations
sur l’utilisation des réseaux sociaux
• Présentations
• Menaces sur les réseaux sociaux
• Impact sur les entreprises
• Statistiques et exemples
• Vidéos sur la sécurisation
des mots de passe
• Vidéos sur le phishing
• Dictionnaire des menaces
• Rapport 2010 sur les menaces à la sécurité
www.sophos.fr/lp/threatbeaters