SlideShare una empresa de Scribd logo

Security Day "Définitions, Risques et Droits" par Fouad Guenane

WEBDAYS
WEBDAYS

Security Day "Définitions, Risques et Droits" : la présentation de Fouad Guenane pendant la semaine du web.

1 de 29
1 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Security Day Webdays Algiers Définitions/ Risques / Droits Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Consultant Sécurité, Expert Cloud Access 7 juin 2013 Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
2 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Plan 1 Introduction 2 Études des risques 3 Droits en vigueur 4 Cloud Computing 5 Protections et sécurité Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
3 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Engineer in computer science specialized networks and security in USTHB (2009) Algeria Telecom Security Engineer - Djaweb Service : Department operating platforms national and international (www.djaweb.dz)(2009/2010) Master degree in Telecommunications and networking at UPMC (University Pierre et Marie Curie) in partnership with Telecom Paris Tech and ITIN ENST (2010/2011) PhD student in Laboratoire d’Informatique de Paris 6 (www.lip6.fr), with specialization in a virtual environment, Security of Cloud and virtual network.(2011 / nowdays) Security Consultant SecFuNet FP7 project Telecom Consultant NU@GE Project co-author / Security consultant Gintao Project co-author / Security consultant SMVR Project Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
5 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions La sécurité informatique est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système. Les exigences principales d’un système sont : Disponibilité (serveur local, internet) : disponible pour les personnes autorisées Confidentialité : l’accès à l’information n’est possible que pour les personnes autorisées Intégrité : modification autorisée de l’information Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
6 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Une menace est une violation potentielle de la sécurité, plusieurs types existent : Accidentelle Intentionnelle (et là je l’appelle attaque) Active (directement nuisible) Passive (espionnage ou surveillance) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
7 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Rien ne sert de mettre en place une solution pour une menace donnée qui coûte plus cher que ce que coûteraient les retombées de l’attaque elle même. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
8 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Notre travail en tant qu’ingénieur sécurité consiste à proposer : 1 Une Analyse cohérente qui identifie les risques potentiels mais aussi les solutions avec le coût associé (oui le budget) 2 Des solutions et produits existants et éprouvés (ne pas réinventer la roue ou proposer une innovation) 3 Organiser les solutions sous forme de politique de sécurité avec des niveaux de tolérance 4 En conclusion on obtient ce que l’on doit protéger par priorité (Encore que le jeu en vaille la chandelle) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
9 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Les bonnes questions que l’on doit se poser : Quels sont le coût et le délai de remplacement d’un équipement Quelle valeur possède l’information à protéger Quel impact sur la clientèle si une information concernant une attaque dont on aurait fait l’objet (La réputation a un prix) Faire des tests avec des outils d’analyse réseau (Audit de sécurité externe) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
10 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode En fin de compte je dois mettre en place un SMSI (Système de Management de la sécurité de l’information et continuité d’activité) Pour cela je dois m’aider d’outils et de méthodes d’analyses, en prenant soin de m’approcher le plus possible de la norme ISO-27000 Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
11 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Il existe des méthodes d’analyses de risques éditées pour la sécurité informatique : Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
12 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) : Mise en place par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’informations) se compose principalement de 5 guides : Introduction, Démarches, Techniques, Outillages, logiciels) elle se compose en 5 grandes étapes : 1 étude du contexte 2 expression des besoins de sécurité 3 étude des menaces 4 identification des objectifs de sécurité 5 détermination des exigences de sécurité Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
13 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Mehari (MEthode Harmonisée d’Analyse de RIsques) est développée par le CLUSIF depuis 1995 Elle est développée par le CLUSIF ( Club de la Sécurité de l’Information Français) depuis 1995 et en constante mise à jour Elle est dérivée des méthodes Melisa et Marion. Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
14 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Mehari s’articule autour de 3 types de livrables : 1 Le Plan Stratégique de Sécurité (PSS) fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer 2 Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. 3 Le Plan Opérationnel d’Entreprise assure le suivi de la sécurité par l’élaboration d’indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
15 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Comment choisir une méthode parmi le panel existant ? l’origine géographique de la méthode la langue de la méthode la qualité de la documentation le coût de la mise en œuvre la quantité de moyens humains qu’elle implique et la durée de mobilisation la taille de l’entreprise sa popularité, l’existence d’un club d’utilisateurs afin d’avoir un retour d’expériences ...etc. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
16 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Loi pause Loi 09-04 du 14 Chaabane 1430 correspondant au 5 août 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l’information et de la communication : Définit la terminologie (beaucoup de manque) Champs d’application Cas autorisant le recours à la surveillance électronique Perquisition des systèmes informatiques Obligation des fournisseurs de services à porter assistance aux autorités (l’inverse ? ?) elle définit les « infractions liées aux technologies de l’information et de la communication » Organe national de prévention et de lutte contre les infractions lièes aux TICs (Where is it ?) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
17 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Loi pause Je vous invite à faire une pause de 10 minutes Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
18 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud La virtualisation : ensemble des techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d’exploitations et/ou plusieurs applications, séparément les uns des autres, comme s’ils fonctionnaient sur des machines physiques distinctes Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
19 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud There are four (4) basic categories of virtualization : 1 Storage virtualization : which pools physical storage from multiple network storage devices so that they appear to be a single storage device 2 Network virtualization : which provides a way to run different, separated networks within the same physical infrastructure 3 Software virtualization : which allow better compatibility for applications 4 Server virtualization :The server administrator uses a software application to divide one physical server into multiple isolated virtual environments. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
20 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud Resource sharing Heterogeneity Scalability and self management Payment model ( pay-per-use model) Security ? ? ? Usability (easy use) ... Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
21 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud Cisco définit le Cloud : "Ressources informatiques et services qui sont abstraites de l’infrastructure sous-jacente et proposer "à la demande" et "à l’échelle" dans un environnement locataires multiples" Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
22 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud On demand : resources can be provisioned immediately when needed, released (libérer) when no longer required, and billed (facturer) only when used At scale : the service provides the illusion of infinite resource availability in order to meet whatever demands are made of it Multitenant environment : the resources are provided to many consumers from a single implementation, saving (économiser) the provider significant cost Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
23 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud les avantages du cloud sont la simple dérivée de ceux de la virtualisation Réduction des coûts d’exploitations Focalisation sur le corps métier La Flexibilité de la technologie (provisionning/déploiement) Économie d’énergie et développement durable Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
24 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion L’importance accordée aux systèmes d’informations par les entreprises en fait la cible d’attaque ; le risque est encore plus accru avec l’ouverture de l’entreprise vers internet. Négliger la sécurité de ces systèmes peut conduire l’entreprise à la faillite ; la sécurité prend alors deux formes : Sécurité interne de l’entreprise (Fuites d’informations, Erreur humaine, Vols...) Sécurité externe de l’entreprise (Piratage, Services indisponibles, DDos...) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
25 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion les principaux défauts de sécurité constatés : > Installations des matériels et logiciels par défaut > Mises à jour non effectuées > Mots de passe inexistants > Session non sécurisée > Services inutiles conservés > pas de séparations de flux (flux opérationnels/ flux d’administrations) > aucune procédure de sécurité ou de SMSI > outils de tests laissés dans les configurations de productions > Authentification faible > ... Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
26 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion les principaux défauts de sécurité constatés : > La formation des utilisateurs (point très important) > La sécurité du poste de travail indépendamment des serveurs > Antivirus / pare-feu (matériels et logiciels) > Authentification couplée au Cryptage > Protocoles sécurisés (SSL/SSH/EAP-TLS...STOP TELNET) > Sécurisation de la messagerie > Surveiller son trafic > Tests et Audits Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
27 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion Protégez-vous c’est important ! Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers

Recomendados

Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
fEngel
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
Ouest Online
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
polenumerique33
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
Henri d'AGRAIN
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
echangeurba
 

Recomendados

Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
fEngel
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
Ouest Online
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
polenumerique33
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
Henri d'AGRAIN
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
echangeurba
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
polenumerique33
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
Thierry Pertus
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
ELCA Informatique SA / ELCA Informatik AG
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Thierry Pertus
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
polenumerique33
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Eric DUPUIS
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
Cyber Security Alliance
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
OPcyberland
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
Consignes carnaval
Consignes carnavalConsignes carnaval
Consignes carnaval
arcfound
 
Sentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
Sentencia TSJA sobre Reconocer Experiencia Religion OposicionesSentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
Sentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
MaestroPedro .
 

Más contenido relacionado

La actualidad más candente

La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
Cyber Security Alliance
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 

La actualidad más candente (20)

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 

Destacado

Consignes carnaval
Consignes carnavalConsignes carnaval
Consignes carnaval
arcfound
 
A la découverte de notre Histoire
A la découverte de notre HistoireA la découverte de notre Histoire
A la découverte de notre Histoire
BourgeoisE
 
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
Pôle Systematic Paris-Region
 
Réalisations novadys portrait
Réalisations novadys portraitRéalisations novadys portrait
Réalisations novadys portrait
Lucie SEPTIER
 
Présentation du projet de l'ASBL Jardin'âges
Présentation du projet de l'ASBL Jardin'âgesPrésentation du projet de l'ASBL Jardin'âges
Présentation du projet de l'ASBL Jardin'âges
Clément Darcheville
 
Présentation1
Présentation1Présentation1
Présentation1
Tapaka
 
Power point im1 fonction publique
Power point im1 fonction publiquePower point im1 fonction publique
Power point im1 fonction publique
Lapitievivi02
 
David guetta presentation
David guetta presentationDavid guetta presentation
David guetta presentation
amfitrita
 

Destacado (20)

Consignes carnaval
Consignes carnavalConsignes carnaval
Consignes carnaval
 
Sentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
Sentencia TSJA sobre Reconocer Experiencia Religion OposicionesSentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
Sentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
 
Code deontologique
Code deontologiqueCode deontologique
Code deontologique
 
hanira repaso
hanira repaso hanira repaso
hanira repaso
 
A la découverte de notre Histoire
A la découverte de notre HistoireA la découverte de notre Histoire
A la découverte de notre Histoire
 
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
 
PROIEKTUAK3 BIDIAIA 2010
PROIEKTUAK3 BIDIAIA 2010PROIEKTUAK3 BIDIAIA 2010
PROIEKTUAK3 BIDIAIA 2010
 
Miniquest la nueva economía
Miniquest la nueva economíaMiniquest la nueva economía
Miniquest la nueva economía
 
Réalisations novadys portrait
Réalisations novadys portraitRéalisations novadys portrait
Réalisations novadys portrait
 
Cce 04 2014
Cce 04 2014Cce 04 2014
Cce 04 2014
 
Explorando el aula virtual
Explorando el aula virtualExplorando el aula virtual
Explorando el aula virtual
 
Présentation du projet de l'ASBL Jardin'âges
Présentation du projet de l'ASBL Jardin'âgesPrésentation du projet de l'ASBL Jardin'âges
Présentation du projet de l'ASBL Jardin'âges
 
Présentation1
Présentation1Présentation1
Présentation1
 
Refrigeradoras
RefrigeradorasRefrigeradoras
Refrigeradoras
 
Guía chile en el mundo 02
Guía chile en el mundo 02Guía chile en el mundo 02
Guía chile en el mundo 02
 
Discours de la presidente du college regional des femmes 080314
Discours de la presidente du college regional des femmes 080314Discours de la presidente du college regional des femmes 080314
Discours de la presidente du college regional des femmes 080314
 
Sexta secundaria
Sexta secundariaSexta secundaria
Sexta secundaria
 
Power point im1 fonction publique
Power point im1 fonction publiquePower point im1 fonction publique
Power point im1 fonction publique
 
Lire le référentiel1relu eee
Lire le référentiel1relu eeeLire le référentiel1relu eee
Lire le référentiel1relu eee
 
David guetta presentation
David guetta presentationDavid guetta presentation
David guetta presentation
 

Similar a Security Day "Définitions, Risques et Droits" par Fouad Guenane

Fiche formation cissp
Fiche formation cisspFiche formation cissp
Fiche formation cissp
zsekoia
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 

Similar a Security Day "Définitions, Risques et Droits" par Fouad Guenane (20)

ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Fiche formation cissp
Fiche formation cisspFiche formation cissp
Fiche formation cissp
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Mehari
MehariMehari
Mehari
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
Mehari
MehariMehari
Mehari
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectés
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 

Security Day "Définitions, Risques et Droits" par Fouad Guenane

  • 1. 1 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Security Day Webdays Algiers Définitions/ Risques / Droits Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Consultant Sécurité, Expert Cloud Access 7 juin 2013 Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 2. 2 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Plan 1 Introduction 2 Études des risques 3 Droits en vigueur 4 Cloud Computing 5 Protections et sécurité Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 3. 3 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Engineer in computer science specialized networks and security in USTHB (2009) Algeria Telecom Security Engineer - Djaweb Service : Department operating platforms national and international (www.djaweb.dz)(2009/2010) Master degree in Telecommunications and networking at UPMC (University Pierre et Marie Curie) in partnership with Telecom Paris Tech and ITIN ENST (2010/2011) PhD student in Laboratoire d’Informatique de Paris 6 (www.lip6.fr), with specialization in a virtual environment, Security of Cloud and virtual network.(2011 / nowdays) Security Consultant SecFuNet FP7 project Telecom Consultant NU@GE Project co-author / Security consultant Gintao Project co-author / Security consultant SMVR Project Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 4. 4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 5. 4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 6. 4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 7. 5 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions La sécurité informatique est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système. Les exigences principales d’un système sont : Disponibilité (serveur local, internet) : disponible pour les personnes autorisées Confidentialité : l’accès à l’information n’est possible que pour les personnes autorisées Intégrité : modification autorisée de l’information Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 8. 6 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Une menace est une violation potentielle de la sécurité, plusieurs types existent : Accidentelle Intentionnelle (et là je l’appelle attaque) Active (directement nuisible) Passive (espionnage ou surveillance) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 9. 7 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Rien ne sert de mettre en place une solution pour une menace donnée qui coûte plus cher que ce que coûteraient les retombées de l’attaque elle même. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 10. 8 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Notre travail en tant qu’ingénieur sécurité consiste à proposer : 1 Une Analyse cohérente qui identifie les risques potentiels mais aussi les solutions avec le coût associé (oui le budget) 2 Des solutions et produits existants et éprouvés (ne pas réinventer la roue ou proposer une innovation) 3 Organiser les solutions sous forme de politique de sécurité avec des niveaux de tolérance 4 En conclusion on obtient ce que l’on doit protéger par priorité (Encore que le jeu en vaille la chandelle) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 11. 9 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Les bonnes questions que l’on doit se poser : Quels sont le coût et le délai de remplacement d’un équipement Quelle valeur possède l’information à protéger Quel impact sur la clientèle si une information concernant une attaque dont on aurait fait l’objet (La réputation a un prix) Faire des tests avec des outils d’analyse réseau (Audit de sécurité externe) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 12. 10 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode En fin de compte je dois mettre en place un SMSI (Système de Management de la sécurité de l’information et continuité d’activité) Pour cela je dois m’aider d’outils et de méthodes d’analyses, en prenant soin de m’approcher le plus possible de la norme ISO-27000 Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 13. 11 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Il existe des méthodes d’analyses de risques éditées pour la sécurité informatique : Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 14. 12 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) : Mise en place par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’informations) se compose principalement de 5 guides : Introduction, Démarches, Techniques, Outillages, logiciels) elle se compose en 5 grandes étapes : 1 étude du contexte 2 expression des besoins de sécurité 3 étude des menaces 4 identification des objectifs de sécurité 5 détermination des exigences de sécurité Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 15. 13 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Mehari (MEthode Harmonisée d’Analyse de RIsques) est développée par le CLUSIF depuis 1995 Elle est développée par le CLUSIF ( Club de la Sécurité de l’Information Français) depuis 1995 et en constante mise à jour Elle est dérivée des méthodes Melisa et Marion. Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 16. 14 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Mehari s’articule autour de 3 types de livrables : 1 Le Plan Stratégique de Sécurité (PSS) fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer 2 Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. 3 Le Plan Opérationnel d’Entreprise assure le suivi de la sécurité par l’élaboration d’indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 17. 15 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Comment choisir une méthode parmi le panel existant ? l’origine géographique de la méthode la langue de la méthode la qualité de la documentation le coût de la mise en œuvre la quantité de moyens humains qu’elle implique et la durée de mobilisation la taille de l’entreprise sa popularité, l’existence d’un club d’utilisateurs afin d’avoir un retour d’expériences ...etc. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 18. 16 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Loi pause Loi 09-04 du 14 Chaabane 1430 correspondant au 5 août 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l’information et de la communication : Définit la terminologie (beaucoup de manque) Champs d’application Cas autorisant le recours à la surveillance électronique Perquisition des systèmes informatiques Obligation des fournisseurs de services à porter assistance aux autorités (l’inverse ? ?) elle définit les « infractions liées aux technologies de l’information et de la communication » Organe national de prévention et de lutte contre les infractions lièes aux TICs (Where is it ?) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 19. 17 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Loi pause Je vous invite à faire une pause de 10 minutes Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 20. 18 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud La virtualisation : ensemble des techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d’exploitations et/ou plusieurs applications, séparément les uns des autres, comme s’ils fonctionnaient sur des machines physiques distinctes Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 21. 19 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud There are four (4) basic categories of virtualization : 1 Storage virtualization : which pools physical storage from multiple network storage devices so that they appear to be a single storage device 2 Network virtualization : which provides a way to run different, separated networks within the same physical infrastructure 3 Software virtualization : which allow better compatibility for applications 4 Server virtualization :The server administrator uses a software application to divide one physical server into multiple isolated virtual environments. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 22. 20 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud Resource sharing Heterogeneity Scalability and self management Payment model ( pay-per-use model) Security ? ? ? Usability (easy use) ... Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 23. 21 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud Cisco définit le Cloud : "Ressources informatiques et services qui sont abstraites de l’infrastructure sous-jacente et proposer "à la demande" et "à l’échelle" dans un environnement locataires multiples" Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 24. 22 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud On demand : resources can be provisioned immediately when needed, released (libérer) when no longer required, and billed (facturer) only when used At scale : the service provides the illusion of infinite resource availability in order to meet whatever demands are made of it Multitenant environment : the resources are provided to many consumers from a single implementation, saving (économiser) the provider significant cost Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 25. 23 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud les avantages du cloud sont la simple dérivée de ceux de la virtualisation Réduction des coûts d’exploitations Focalisation sur le corps métier La Flexibilité de la technologie (provisionning/déploiement) Économie d’énergie et développement durable Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 26. 24 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion L’importance accordée aux systèmes d’informations par les entreprises en fait la cible d’attaque ; le risque est encore plus accru avec l’ouverture de l’entreprise vers internet. Négliger la sécurité de ces systèmes peut conduire l’entreprise à la faillite ; la sécurité prend alors deux formes : Sécurité interne de l’entreprise (Fuites d’informations, Erreur humaine, Vols...) Sécurité externe de l’entreprise (Piratage, Services indisponibles, DDos...) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 27. 25 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion les principaux défauts de sécurité constatés : > Installations des matériels et logiciels par défaut > Mises à jour non effectuées > Mots de passe inexistants > Session non sécurisée > Services inutiles conservés > pas de séparations de flux (flux opérationnels/ flux d’administrations) > aucune procédure de sécurité ou de SMSI > outils de tests laissés dans les configurations de productions > Authentification faible > ... Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 28. 26 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion les principaux défauts de sécurité constatés : > La formation des utilisateurs (point très important) > La sécurité du poste de travail indépendamment des serveurs > Antivirus / pare-feu (matériels et logiciels) > Authentification couplée au Cryptage > Protocoles sécurisés (SSL/SSH/EAP-TLS...STOP TELNET) > Sécurisation de la messagerie > Surveiller son trafic > Tests et Audits Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 29. 27 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion Protégez-vous c’est important ! Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers