490 likes | 681 Views
Synthèse générale des cours. Janvier 2007. 1. Les risques et les enjeux dans l’entreprise. 1. Le contexte général : un environnement risqué. L’exposition aux risques majeurs augmente. Incendie. Inondation. Explosion industriel. Gard (FR) Somme (FR) Asie. Toulouse (FR) Ath (BE).
E N D
Synthèse générale des cours Janvier 2007
1 Les risques et les enjeux dans l’entreprise
1 Le contexte général : un environnement risqué L’exposition aux risques majeurs augmente Incendie Inondation Explosion industriel Gard (FR) Somme (FR) Asie Toulouse (FR) Ath (BE) Crédit Lyonnais (FR) Bibliothèque nationale (FR) Franière industrie (BE) Attentat Tremblement de terre Chute d’avion New York Madrid Londres Irlande New York Madrid Concorde Iran Algérie Japon Tempête / Ouragan …….
1 Le contexte général : un environnement risqué Les servitudes sont de plus en plus défaillantes Rupture d’alimentation électrique Suisse Etat-Unis Angleterre France Rupture de télécommunications France Télécom Bouygues Rupture de climatisation
1 Le contexte général : un environnement risqué Les risques humains sont très importants Conflit social interne Conflit social externe Grèves dans les transports (SNCF, RATP) Grèves 1995 Grèves des routiers Erreur humaine Erreur utilisateur Erreur de programmation Malveillance Pirate informatique Espionnage Vol - Sabotage
1 Le contexte général : un environnement risqué Les systèmes d’information sont vulnérables Panne matériel Vulnérabilités technologiques Les informations sont mal protégées Les utilisateurs ne sont pas suffisamment formés
1 Le contexte général : un environnement risqué Les procédures internes ne sont pas toujours adaptées Pas de procédures formalisées La gestion de crise est souvent négligée Les rôles et les responsabilités ne sont pas définies
1 Le contexte général : un environnement risqué La cyber-criminalité s’organise Phase 1 : Le temps des challenges Avant 2004 Modification de site WEB Intrusion dans les entreprises par jeux / challenges Publication sur internet des exploits Diffusion sur internet des failles des systèmes Propagation de virus Phase 2 : Le temps des gains économiques & de l’escroquerie Depuis 2004 Vol et usurpation d’identité Vol d’identité bancaire Vente sur internet de code d’accès au SI des entreprises Vente sur internet des codes CB Fraude financière Espionnage industriel / Vol de données confidentielles Chantage Sabotage de ressources informatiques
1 Les familles de cyber-risques L’intrusion logique dans les réseaux 1 Le défacement de site Web 2 Le vol d’informations / atteinte à la vie privée 3 4 Les virus informatiques La fraude économique / détournement d’argent 5 La diffusion de contenu illégaux 6 Le piratage de logiciels / Vol de matériels 7
1 Les familles de cyber-risques L’intrusion dans les réseaux d’entreprise 1 Via Internet Via réseau WIFI Via connection téléphonique Des challenges sont lancés sur internet Des outils sont disponibles gratuitement
1 Les familles de cyber-risques Le défacement de site Web 2 Chaque jour 2.500 serveurs Web sont piratés
1 Les familles de cyber-risques Le vol d’informations / atteinte à la vie privée 3 Vol de documents internes confidentiels Vol de fichiers clients Vol de données privées Cheval de troie ou Spyware Etape 1 : installation d’un programme malveillant Etape 2 : Vol de données sensibles • Les internautes français ont subi leur première attaque massive par phishing. Le 27 mai 2005, des milliers de détenteurs d'une adresse e-mail en .fr ont reçu un message maladroitement rédigé en anglais, prétendument envoyé par leur banque. • Le mail en question est censé concerner les clients de quatre instituts bancaires, Société générale, CCF, BNP Paribas et CIC, et les invite à rejoindre le site de leur agence en cliquant sur un des liens proposés. Le coût des attaques informatique aux États-Unis de 2003 à 2004 (en millions de dollars)
1 Les familles de cyber-risques Les virus informatiques 4 Evaluation de la sinistralité (CLUSIF):
1 Les familles de cyber-risques La fraude économique / détournement d’argent 5 Entreprise Particulier Fraude financière / détournement d’argent Utilisation abusive n° Carte Bancaire Suite à achat sur internet (sur site non sûr) Personnel Interne Vol de mot de passe de collègues Utilisation abusive des applications Création de fausse carte : vente sur internet Vol de n° carte sur équipement de paiement Personne externe Intrusion dans des applications Intrusion dans un site de commerce électonique Chantage Personne externe Vol de documents sensibles
1 Les familles de cyber-risques Diffusion de contenu illégaux 6 Particulier Entreprise Utilisation des ordinateurs de l’entreprise pour la diffusion d’images ou de fichiers illicites Collecte et diffusion de fichiers musicaux, de film, d’images pornographiques Utilisation de la messagerie pour portée atteinte à une personne physique ou morale
1 Les familles de cyber-risques Piratage de logiciels / Vol de matériels 7 Copie illégale de logiciels Vol des ordinateurs de bureau Vol des ordinateurs portables Vol des PDA Vol de composants techniques (mémoire, écran LCD, etc.)
1 L’entreprise a des obligations légales De nombreux textes de loi existent Loi no 78-17 du 6 janvier 1978 modifiée relative à « l'informatique, aux fichiers et aux libertés » modifiée le 6 Août 2004 Directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la circulation des données Code civil Code pénal Loi no 95-73 du 25 janvier 1995 d'orientation et de programmation relative à la sécurité Loi no 95-116 du 4 février 1995 portant diverses dispositions d'ordre social Loi no 97-1159 du 19 décembre 1997 consacrant le placement sous surveillance électronique comme modalité d'exécution des peines privatives de liberté Loi no 99-944 du 15 novembre 1999 relative au pacte civil de solidarité Loi no 2003-239 du 18 mars 2003 pour la sécurité intérieure.
1 L’entreprise a des obligations légales La loi du 6 août 2004 • Transposition de la directive du 24 octobre 1995 (95/46/CE du Parlement européen)en droit français le 6 août 2004. • Préservation des principes fondamentaux de la loi de 1978 (Loi no 78-17 du 6 janvier 1978 relative à « l'informatique, aux fichiers et aux libertés ») • la déclaration des traitements, • le droit d'accès, • le respect des obligations de confidentialité, sécurité et le maintien de la finalité.
1 L’entreprise a des obligations légales Les nouveaux pouvoirs de la CNIL • Le pouvoir de perquisition • Droit d'accéder aux locaux ou installations d'une entreprise, servant à la mise en oeuvre d'un traitement de données la CNIL de 6 heures à 21 heures. • L'entreprise peut s'opposer à cet accès. • La CNIL doit alors solliciter l'autorisation du président du TGI pour passer outre le refus qui lui est opposé. • Les pouvoirs de sanction • Avertissement à l'entreprise • Mise en demeure de faire cesser un manquement. • Décision d’interruption de la mise en oeuvre du traitement ou de verrouillage de certaines données. • Demande en référé toute mesure de sécurité nécessaire à la sauvegarde des droits de la personne concernée . • Le pouvoir de sanction pécuniaire • Montant proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement. • Premier manquement : maximum 150 000 euros. • Réitération dans les cinq années : peut excéder 300 000 euros ou 5 % du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros. • Sanctions pécuniaires recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine.
1 Les 3 enjeux pour l’entreprise 1.Indisponibilité de ses moyens de production Impossibilité de fournir un service ou un produit Perte de productivité Insatisfaction & Perte de clients Frais et charges supplémentaires non prévues Les marges d’exploitation peuvent être impactées Le chiffre d’affaires peut diminuer La productivité peut être affectée
1 Les 3 enjeux pour l’entreprise 2.Fuite de ses informations sensibles Divulgation de données stratégiques (commerciales, cpte rendu réunion DG, etc.) Espionnage industriel Vol de fichiers clients / fournisseurs Perte d’un avantage concurrentiel Perte de clients Impact sur l’évolution stratégique de l’entreprise
1 Les 3 enjeux pour l’entreprise 3. Risques juridiques Non respect de la vie privée Non-conformité aux obligations légales Perte financière (dommages & intérêts) Perte d’image Procés - Tribunal
1 Une première approche de solution 1. Evaluer et limiter les conséquences des sinistres • Prendre conscience des risques et des menaces qui pèsent sur l’entreprise • Sommes-nous exposés ? • Quels peuvent être les conséquences d’un sinistre sur notre activité ? • Anticiper et prévenirles risques afin de limiter les conséquences d’un sinistre Ne pas se considérer à l’abri des problèmes
1 Une première approche de solution 2. Suivre les directives / recommandations • Des initiatives sont prises par les états membres de l’UE et sont appliquées en France • Intelligence Economique (Initiatives en Lorraine) • Cnil (aspects Juridiques) • Loi no 78-17 du 6 janvier 1978 modifiée relative à « l'informatique, aux fichiers et aux libertés » • La normalisation internationale se met en place • Norme ISO 2700x : Approche Qualité • Des directives sectorielles se mettent en place • BÂLE II (Banque) • COPC (Centre d’appel) • PCI DSS (Commerce électronique CB)
1 La sécurité est une approche globale La sécurité informatique est un concept global, ce n’est pas une technologie ni un produit Correction Détection Prévention Réaction
1 Approche Structurée Une approche structurée de la sécurité est indispensable • Quels sont les enjeux ? • Quels sont les risques et les menaces ? • Sommes nous bien protégé ? • Quelle est notre politique de sécurité ? • Quelles mesures complémentaires doit-on prendre ? • Comment assurer un suivi et un contrôle ? • Que faire en cas de sinistres ?
1 Stratégie Générale • La stratégie de sécurité doit intégrer l’approche métier & les enjeux de l’entreprise pour être efficace. • La gestion des risques doit devenir une culture d’entreprise. • L’approche technologique génère des investissementspas toujours justifiés et justifiables (attention au surinvestissement). • Tous les acteurs de l’entreprise (management, utilisateurs, équipes informatiques, etc.) doivent être impliqués. • Une approche structurée de la sécurité incluant les aspects organisationnels et techniques est indispensable.
1 Modèle de gestion des risques
2 Les mesures de protection
Temps 2 Temps 3 Temps 1 Déploiement de solutions techniques Organisation & Formalisation Pilotage & Conformité Le temps de la maturité Technologique Le temps de la maturité Organisationnelle Le temps de la maturité Décisionnelle • Protection des réseaux • Protection des systèmes • Protection des applications • Protection des flux • Formalisation des procédures • Formalisation des politiques • Organisation & responsabilité • Sensibilisation • « Compliance » • Tableaux de bord décisionnels • ISMS 2 La maturité des entreprises
2 Quelques recommandations générales Définir une politique de sécurité Assurer la continuité des affaires Utiliser une méthode d’analyse des risques Organisation et piloter la SSI Utiliser des normes de sécurité
2 Politique de sécurité Cadre général et objectif • Les finalités de la politique de sécurité interne découlent de celles décrites dans les Lignes directrices de l'OCDE (Lettre n°106 SGDN/DISSI/26007 du 11 mars 1992), à savoir : • Sensibiliser aux risques menaçant les systèmes d'information et aux moyens disponibles pour s'en prémunir, • Créer un cadre général pour aider les personnes chargées, dans les secteurs public et privé, d'élaborer et de mettre en oeuvre des mesures, des consignes et des procédures cohérentes en vue d'assurer la sécurité des systèmes d'information, • Promouvoir la coopération entre les différents départements, services ou unités de l'organisme pour l'élaboration et la mise en oeuvre de telles mesures, consignes et procédures, • Susciter la confiance dans le système d'information, • Faciliter la mise au point et l'usage du système d'information pour tous les utilisateurs autorisés du système d'information.
2 Politique de sécurité Champ d’application • Le champ d'application de la politique de sécurité interne découle de celui décrit dans les Lignes directrices de l'OCDE, à savoir : • La politique de sécurité interne s'applique à tous les systèmes d'information, • La politique de sécurité interne s'applique à un système existant ou à développer. • La politique de sécurité interne : • Emane de la politique générale de l'organisme • Est en accord avec le schéma directeur stratégique du système d'information. • Ne doit pas être remis en cause par les seules évolutions technologiques ou celles résultant d'une modification de l'architecture du système d'information • Le caractère pérenne de la politique de sécurité interne n'exclut pas l'adaptation permanente des mesures de sécurité qui découlent de sa mise en œuvre. • Doit être prise en compte au niveau de responsabilité le plus élevé. • La politique de sécurité interne est la reconnaissance officielle de l'importance accordée par la direction générale de l'organisme à la sécurité de son système d'information.
2 Politique de sécurité Structure documentaire Direction Générale RSSI Equipes Opérationnelles
2 Charte utilisateur Objectif d’une charte ➲ Fixer les règles d'utilisation des TIC ➲ Éduquer les utilisateurs au respect de la législation ➲ Faire connaître les ressources informatiques ➲ Informer des règles d'utilisation du réseau propre à l'entreprise ➲ Présenter les dispositifs mis en place (filtrage, conservation des « logs » et contrôles de l'usage des ressources informatiques...) ➲ Rappeler les sanctions et responsabiliser les utilisateurs • Participation des acteurs • ● Chaque entreprise doit définir sa propre démarche d’élaboration (Pas de document type ! ). • ● Créer une véritable concertation entre les partis concernés • Piloté par le chef de la sécurité de l’information (ou équivalent) • Groupe : le responsable informatique • la DRH • la communication • les métiers importants de la société • La participation de partenaires sociaux est un plus indéniable (ex: syndicats) • Constitution de la charte • ● Elle doit être compréhensible par tous • ● Définir les comportements attendus des utilisateurs
2 Les méthodes d’analyse des risques
2 Les méthodes d’analyse des risques
2 Les normes de Sécurité ISO 2700x • Nouvelles normes de protection des systèmes d’information (ISO 2700x - Juin & Octobre 2005) • Modèle et approche identiques aux normes qualités (ISO 900x) • Possibilité d’obtenir une certification ISO 27001
2 Plan de continuité des affaires PCA : Plan de Continuité d’Activité (Business Continuity Plan) « Ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la repriseplanifiée des activités » (CRBF 2004-02)
2 Les différents plans constituant un PCA
2 Les acteurs de la sécurité • La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions. • Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques : • Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité. • Niveau de pilotage : il s’agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation). • Niveau opérationnel : il s’agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.
2 Quelques recommandations techniques La protection internet La lutte anti-virale et la protection des PCs La protection des systèmes et des applications Les sauvegardes et la continuité de services La protection des données & les contrôles d’accès La protection physique
Sommaire 2 La protection Internet • Protéger la connexion de l’entreprise au réseau Internet par des dispositifs de filtrage (firewall, proxy, routeur, IDS, etc.) • Ne pas connecter des machines sensibles directement sur Internet • Protéger les systèmes et les applications (serveur Web, Messagerie, etc.) Internet / réseau non sûr Réseau d’entreprise Connexion directe
2 La lutte anti-virale & la protection des PCs • Protéger les systèmes de messagerie et les PC contre les virus informatiques • Mettre à jour régulièrement les systèmes anti-virus • Mettre en œuvre des solutions anti-spam • Ne pas ouvrir des mails si on ne connaît pas l’expéditeur D’où viennent-ils ? Les virus sont de petits programmes informatiques développés par des individus iniques qui se diffusent discrètement d’ordinateur en ordinateur via le réseau Internet Les premiers symptômes de disfonctionnement alertent l’utilisateur qu’il est déjà atteint.
2 La protection des systèmes et des applications
Démonstration du logiciel 2 Les sauvegardes et la continuité de services • Prévoir une sauvegarde régulière des données (PC et serveurs) • Faire régulièrement des tests de restauration • Prévoir des machines de secours • Définir un plan de continuité d’affaires • Faire des tests du plan de secours • La continuité de service ne concerne pas uniquement l’informatique : les branches métiers et les utilisateurs doivent également être impliquées Plan de Continuité d’Affaires vs Plan de Secours Informatique
2 La protection des données et les contrôles d’accès • Au minimum, des mots de passe confidentiels doivent être activés pour protéger les informations sensibles. • Des moyens d’authentification forte peuvent également être déployés selon les besoins • Le chiffrement des données sur le disque dur des PCs (notamment des portables) est un plus si les données sont critiques
2 La protection physique • La protection de l’environnement de travail des utilisateurs doit être assurée (contrôle d’accès visiteurs, rangement des bureaux, broyeur de papier sensible, armoire fermée à clé, etc.) • La salle informatique et les locaux techniques doivent être protégés contre les intrusions • Les ordinateurs (UC, écrans, portables) doivent être protégés contre le vol
En conclusion • Les enjeux et les risques pour l’entreprise sont importants et ne doivent pas être négligés voire minimisés. • Des solutions organisationnelles et techniques existent pour prévenir les risques et limiter leur conséquences • Il ne faut pas hésiter à dresser un bilan de la situation et se faire aider si nécessaire