La Lettre Sécurité. Dossier

Transcription

1 n 21 - Mars 2010 La Lettre Sécurité Édito Souvenez-vous : en 2007, Solucom publiait son premier Livre Blanc entièrement consacré à la famille de normes ISO et plus particulièrement à la norme ISO Cette norme, publiée en 2005 et s inspirant très largement de la norme BS , définit et vise à la mise en place du système de management de la sécurité de l information (SMSI). En ce début d année 2010, je vous propose de faire un point de situation, 5 ans après la publication de la norme. Comme vous le découvrirez dans le dossier qui lui est consacré, la norme ISO est devenue le référentiel de gouvernance incontournable pour les responsables de la sécurité des SI. Deux approches différentes de mise en œuvre de la norme sont ainsi possibles. D une part, l alignement à certains principes de la norme, sans objectif de certification, qui permet une optimisation de la stratégie sécurité. D autre part, la certification d un périmètre spécifique de l entreprise qui, au-delà des bénéfices en matière de sécurité qu elle apporte, peut constituer un élément de différenciation de l entreprise, voire un facilitateur lors de la mise en œuvre d autres démarches réglementaires. Afin d illustrer cette seconde approche, Emmanuel Garnier, RSSI de Systalians, GIE informatique partenaire du groupe Réunica, est venu nous apporter son témoignage. Je tiens à l en remercier chaleureusement. Bonne lecture à tous! Frédéric GOUX Directeur Practice Sécurité & risk management DÉCRYPTAGES P4 Pour pérenniser votre PCA, développez sa valeur! Dossier Comment tirer le meilleur parti des apports de la norme ISO 27001? La norme ISO s est imposée comme le référentiel de gouvernance de la sécurité des SI. Pour en tirer le meilleur parti, deux approches sont envisageables : l alignement à certains principes de la norme et la mise en conformité d un périmètre spécifique. Le RSSI choisira l approche qui convient en fonction des enjeux de son organisation et des bénéfices multiples dont il pourra profiter. Qu en est-il de l adoption de la norme ISO parmi les grands comptes français? Tous les acteurs de la sécurité se penchent sur le sujet pour prendre le meilleur parti de la norme dans leur contexte. En 2009, 70% des grands comptes ont ainsi déjà lancé des initiatives relatives à la norme ISO Face à cette norme ISO 27001, le RSSI peut avoir deux approches distinctes mais complémentaires en fonction des enjeux de son entreprise. Une première approche consiste à s aligner sur les principes de la norme les plus utiles pour augmenter l efficacité de la stratégie sécurité, sans viser la certification à court terme. L adoption du modèle de gouvernance proposée par la norme ISO permet de dégager des bénéfices visibles et rapides pour l organisation : P6 Les réseaux sociaux : un danger pour l entreprise? gain en cohérence et en légitimité de l organisation sécurité en se basant sur un modèle reconnu ; rationalisation des actions de sécurité et des coûts en mettant en place des mesures en adéquation avec les risques identifiés ; acceptation générale des orientations sécurité grâce à une plus forte implication des acteurs métiers et du management. La seconde approche consiste à certifier sur opportunité un périmètre spécifique présentant des enjeux forts de sécurité. Dans ce cas, la reconnaissance de la maîtrise de la sécurité est apportée par un organisme externe et indépendant. En plus de ceux cités ci-dessus, la certification apporte des bénéfices supplémentaires pour l entreprise : vis-à-vis des clients, la certification constitue un élément de différenciation sur le marché et répond à des attentes de plus en plus systématiques (exigences de sécurité dans les appels d offres, audits de sécurité réguliers, etc.) en interne, la certification garantit que les plans d actions sécurité sont menés à bien. La certification permet également de faciliter la mise en place d autres démarches réglementaires (SOX, Bâle II, PCI-DSS, etc.). Quels sont les facteurs de succès pour mettre en œuvre ces deux approches? Suite en page 2

2 Dossier Comment adopter les principes de l ISO 27001? Adopter les principes de l ISO commence par la définition d une cible d alignement réaliste en fonction de la maturité et des enjeux de l organisation. Ainsi, les processus prioritaires à implémenter sont ceux qui présentent le meilleur ratio gain / difficulté de mise en œuvre. A minima, parmi les sept processus de la norme tels que décrits par Solucom dans son Livre blanc ISO 27001, les processus de pilotage, d amélioration et d analyse de risques doivent être sélectionnés, car ils permettent de prioriser les chantiers sécurité et de s inscrire dans une logique d amélioration continue. Ensuite, le degré d adoption des principes de la norme est déterminé pour chaque processus. Choix des cibles prioritaires «Témoignage client Emmanuel GARNIER RSSI de Systalians, GIE informatique partenaire du groupe Réunica Responsable du SMSI, Emmanuel GARNIER est également en charge du pilotage des budgets et des projets liés à la sécurité des SI, de l assistance sécurité sur les projets, de la sensibilisation des collaborateurs, des plans de continuité d activité et de la mise en œuvre du plan de contrôles annuel. Pour rappel, Systalians fournit des services informatiques à ses adhérents : institutions de retraite complémentaire, institutions de prévoyance, mutuelles «Systalians a obtenu la certification ISO en juillet 2009 sur l ensemble de ses activités métiers (études, production, supports, sécurité informatique, achats, contrôle de gestion), soit une population de 450 collaborateurs répartis sur 2 sites. La démarche de certification s est étalée sur 18 mois et a nécessité 300 jours/homme de charges de construction du SMSI (hors réalisation des projets de sécurité). L ensemble des acteurs de l entreprise (équipes SI, direction achats, RH, qualité, production ) a été mobilisé et la certification constitue une récompense pour tout le monde! Initialement, notre principale motivation était liée à la volonté de se démarquer dans le secteur de la protection sociale et de renforcer la confiance de nos adhérents en garantissant une meilleure maîtrise de la sécurité. Aujourd hui, les bénéfices ne se mesurent pas seulement en termes d image mais également sur le fonctionnement en interne. Ainsi, le SMSI de Systalians constitue le fil directeur 2 La Lettre Sécurité N 21 Mars 2010

3 Quels processus le SMSI implique-t-il? Les processus du SMSI (système de management de la sécurité de l information) sont organisés selon le cycle de vie du SMSI qui rythme les actions tout au long de l année et assure qu elles sont menées à intervalles planifiés. Ce cycle de vie doit être défini en cohérence avec les instances en place (période de budget, revue de processus, etc.). De nouvelles responsabilités doivent également être attribuées pour faire fonctionner les processus du SMSI, en impliquant des acteurs à tous les niveaux de l organisation : le responsable du SMSI, qui est responsable de l implémentation et de l amélioration du SMSI (il s agit souvent du RSSI) ; les contributeurs du SMSI (représentants de la DSI, risk manager, direction qualité, RH, juridique, etc.) qui assurent la cohérence du SMSI avec les autres processus de l entreprise ; l entité de management qui possède un rôle moteur indispensable à la mise en place et au maintien dans la durée du SMSI. Rythmer la démarche sécurité et organiser les actions à l avance Suite en page 4 «L ensemble des acteurs de l entreprise a été mobilisé et la certification constitue une récompense pour tout le monde!» pour mener à bien les projets de sécurité lancés, en se concentrant sur les projets essentiels pour Systalians. Par exemple, tandis que nous avions déjà mis en place des PCA pour notre client Réunica, nous avons maintenant secouru nos activités propres en tant que GIE informatique. Nous avons également renforcé notre gestion des accès et systématisé la prise en compte de la sécurité dans les projets informatiques. La mise en œuvre du SMSI a été l occasion de mettre en avant l importance de la sécurité du SI, de la faire reconnaître dans les différents services et de donner aux actions un rythme clair et partagé. Nous disposons des moyens de pilotage et de mesure de l efficacité montrant que la sécurité est présente et progresse tout en accompagnant les métiers. Pour l avenir, nous souhaitons renforcer l intégration du SMSI dans les processus de l entreprise, notamment en mutualisant le SMSI avec les autres démarches ISO 9001 et ISO en place chez Systalians, et toujours dans une volonté de simplification, de garantie de complétude et d économie dans la mise en œuvre. Nous souhaitons également rationaliser l approche sécurité avec les démarches de contrôle interne et de maîtrise des risques de l entreprise.» Mars 2010 La Lettre Sécurité N 21 3

4 Dossier Viser la certification : comment mener à bien sa démarche? Tandis que l alignement permet de choisir les principes les plus pertinents de la norme ISO 27001, la certification impose de respecter toutes les exigences de cette dernière. Une démarche type de certification peut se découper en trois activités à mener en parallèle ; une démarche classique dure environ un an. Le choix du périmètre de certification doit être réalisé avec attention, car il a un impact très fort sur l organisation. Le point clé de la réflexion porte sur la définition d un périmètre qui présente de la valeur pour les parties prenantes (public, clients ou partenaires) ; ce peut être : une entité de l entreprise, par exemple : la DSI ; un processus, par exemple : une offre d hébergement ; un site, par exemple : un datacenter ; toute l entreprise. Il est souvent plus facile de limiter dans un premier temps le périmètre pour concevoir un système plus facile à maîtriser, puis de l élargir avec le temps, lorsque le SMSI gagne en maturité et qu une émulation se produit dans l entreprise. Lors de la construction du SMSI, une attention particulière doit être portée à la mobilisation et à la responsabilisation des acteurs pour s assurer de leur adhésion aux principes du SMSI car ce sont eux qui seront audités pour la certification. Par ailleurs, les chantiers sécurité indispensables pour la certification doivent être achevés avant l audit de certification : ce sont souvent des projets relatifs aux plans de continuité des activités critiques, à la gestion des accès logiques, à la gestion des correctifs de sécurité, etc. En fonction du niveau de sécurité initial sur le périmètre de certification, les chantiers sécurité peuvent constituer un poste de coût important. Mais l effort ne s arrête pas après la première certification : le SMSI doit être construit pour le futur afin de pouvoir le maintenir dans le temps. Cela sera rendu possible en fournissant un effort particulier pour conserver la mobilisation des acteurs du SMSI et en renforçant l intégration du SMSI dans les processus existants de l entreprise (ITIL, ISO 9001, gestion des risques opérationnels, etc.). Qu en est-il de la certification en France? Aujourd hui, encore trop peu d entreprises se lancent dans une démarche de certification. Pourtant, la certification ISO apporte une garantie externe de la capacité à maîtriser la sécurité. Pour les entreprises qui détiennent des données sensibles appartenant à leurs clients (notamment : hébergeurs, santé / social, banques / assurances, etc.), c est un atout concurrentiel de plus en plus différenciant, voire indispensable. Livre blanc ISO Claire CARRÉ Une démarche de certification type : trois activités à mener en parallèle «La norme ISO pose les bases du SMSI. Adoptant une approche par processus, cette norme met en lumière les meilleures pratiques et surtout les organise dans le temps. Elle préconise le respect de quatre principes fondamentaux : le pilotage par les risques, l amélioration continue, l implication du management et l approche processus. La norme permet un alignement progressif de la sécurité de l information avec les meilleures pratiques de management. Mais si la norme recommande une approche par processus, elle n en explicite pas la nature.» Le Livre Blanc ISO est toujours disponible sur rubrique actualités/publications. 4 La Lettre Sécurité N 21 Mars 2010

5 Décryptage Pour pérenniser votre PCA, développez sa valeur! Longtemps considéré comme lourd et coûteux, le plan de continuité d activité (PCA) doit aujourd hui se transformer, sous peine de marginalisation et de devenir un outil d usage courant pour l organisation. Comment engager cette (r)évolution? Nombre de décideurs perçoivent aujourd hui leur PCA comme un ensemble complexe de documents éloignés de la réalité opérationnelle, plus destinés à se rassurer qu à servir concrètement le jour J... Vu comme une assurance destinée à couvrir un risque extrêmement improbable, le PCA est donc malheureusement idéalement positionné lorsqu il s agit de réduire les dépenses. Partant de ce constat, si l on souhaite maintenir un PCA efficient, il n est plus qu une seule option sérieuse : convaincre de sa nécessité en augmentant sa valeur pour l organisation, en le rendant plus utile et plus visible pour ses utilisateurs. Du PCA vécu comme une assurance peu utile La valeur d un PCA, au-delà des arguments qualitatifs (avantage concurrentiel, impératif réglementaire, etc.), est directement liée à la probabilité d occurrence des types de sinistre Un enjeu majeur : développer la valeur du PCA qu il permet de couvrir, et aux pertes évitées dans ce cas. Les leviers pour augmenter cette valeur sont alors évidents : couvrir plus de cas de sinistres, parmi ceux ayant les fréquences d occurrence les plus élevées et améliorer les solutions pour limiter toujours plus les pertes. En effet, étendre le PCA aux cas d incidents plus fréquents fournit l argument idéal pour intéresser les responsables métiers, bénéficiaires finaux du PCA, de l utilité de la démarche : on leur parle de leur quotidien, pas du cataclysme hypothétique auquel ils ne croient pas. Sur le fond, cela permet donc de remettre le PCA en prise avec la réalité des opérations, de l obliger à s adapter aux processus concrets de l organisation. Quelles peuvent alors être les traductions concrètes de cette approche? au PCA vu comme un service à la demande, plus utile et plus visible En matière de continuité des opérations, pour couvrir plus de cas de sinistres rendant indisponibles les locaux utilisateurs, il est désormais possible de compléter le classique site de repli. On décide dans ce cas d établir un «portefeuille de solutions» (incluant le nomadisme, des salles de réunions hors site, etc.), plus facilement mobilisables, car proposant une solution réaliste économiquement en cas d incident mineur. En matière de continuité informatique, le gisement de progrès semble encore plus important. Car en profitant des récents progrès techniques, il est aujourd hui possible de faire converger les démarches de secours informatique «classique» et la continuité de fonctionnement, traditionnellement portée par l exploitation informatique. L avantage est évident : en mutualisant les ressources habituellement dédiées à chaque démarche (locales pour la continuité de fonctionnement, distantes pour le secours), on peut aisément limiter les dépenses associées, et donc embrasser un périmètre applicatif plus large. Et ce faisant, on ramène l exploitation du secours dans le giron de la production informatique, souvent plus industrialisée : on met ainsi le PCA dans un cadre de maintenance plus structuré, ce qui ne peut que favoriser sa pérennité. Une évolution nécessaire, à viser sur le long terme Cette transformation est aujourd hui possible, techniquement et économiquement : elle peut être engagée sur un premier périmètre pour en démontrer rapidement la pertinence, ou bien menée au fil de l évolution du SI, en assurant que les modifications nécessaires sont bien intégrées lors des changements d infrastructures (hébergement, réseaux, stockage, serveurs, etc.) et lors de la refonte des architectures. Dans tous les cas, cette évolution nécessite une vision stratégique, à long terme, et une réelle fermeté, appuyée sur des convictions fortes. Car au-delà des évolutions techniques, c est probablement en matière d organisation et de coordination que la souplesse du PCA peut être le plus améliorée : disposer de services activables au besoin est une chose, savoir les orchestrer convenablement en est une autre! Florian CARRIÈRE Mars 2010 La Lettre Sécurité N 21 5

6 Décryptage Les réseaux sociaux : un danger pour l entreprise? spam à la liste des contacts. En cliquant sur le lien, les destinataires sont invités à télécharger une mise à jour logicielle qui cache, en réalité, un cheval de Troie destiné à infecter leur poste. Facebook, Twitter, Viadeo, Linkedin, Youtube : les réseaux sociaux ont envahi la toile et se sont imposés dans notre quotidien, jusqu à s immiscer au bureau et dans nos vies professionnelles. Il y a quelques années encore, la préoccupation principale des entreprises portait sur l ouverture de leur réseau sur internet. Aujourd hui, la nouvelle fenêtre sur l extérieur que représentent les réseaux sociaux relance le débat de la prudence. Y-a-t-il un risque pour l entreprise à autoriser et à utiliser les réseaux sociaux? Comment en tirer parti en toute sécurité? Il suffit de faire le test : toutes les grandes entreprises sont présentes sur les réseaux sociaux. Volontairement ou non. Leurs principaux représentants? Leurs collaborateurs. En indiquant dans leur profil le nom de l entreprise pour laquelle ils travaillent, les utilisateurs des réseaux sociaux associent leurs actes et leurs paroles à leur entreprise. Et les conséquences peuvent prendre des proportions importantes. Les internautes le savent : un profil sur un réseau social n a vraiment d intérêt que lorsque les informations sont les plus complètes et les plus à jour possible. Rien n empêche alors un salarié de compléter sa page personnelle, son CV en ligne, en donnant des informations sur des projets auxquels il participe, un appel d offre remporté ou perdu Rien n empêche également, suite à un conflit interne ou une divergence d opinion, de poster des messages visant à dénigrer une entreprise. À première vue, il s agit d un message parmi tant d autres sur le web. À un détail près : la structure même des réseaux sociaux, aux millions d interconnexions, multiplie les messages et conduit régulièrement aux «buzz». Après l agitation médiatique, la «mémoire d internet» assurera la pérennité des faits. Bien entendu, la divulgation d informations stratégiques, le dénigrement de l entreprise et l atteinte à son image ne sont pas apparus avec les réseaux sociaux. Ce qui a changé, c est la rapidité et l échelle de propagation de l information. En revanche, les réseaux sociaux ont bien apporté une nouveauté en termes de menaces : une nouvelle forme d ingénierie sociale*. C est le schéma qu utilise notamment le ver «Koobface». Il recueille les informations visibles sur le profil Facebook des utilisateurs infectés (contacts, centres d intérêt, domaine d activité ) pour proposer un «appât» sur mesure. L appât prend ainsi l apparence d un lien ludique ou professionnel envoyé tel un «Interdire l accès à Facebook?...» Comment les entreprises réagissent-elles à l engouement suscité par les réseaux sociaux? La solution pour certaines reste l interdiction de l accès aux réseaux sociaux, au moyen de solutions de filtrage d URL. Une enquête réalisée sur le périmètre de nos clients a montré que 30% d entre eux bloquent complètement l accès à ces sites. La majorité des entreprises qui en autorisent l usage, le font, quant à elles, sous certaines conditions : accès aux réseaux sociaux professionnels uniquement (ex : Viadeo, Linkedin), utilisation pendant des plages horaires limitées, restriction à des populations métier spécifiques, etc. Ce constat révèle que les entreprises cherchent à se prémunir contre une baisse de la productivité de leurs employés plutôt que contre des risques de sécurité. D un point de vue sécurité, le risque lié à l accès aux réseaux sociaux depuis l entreprise pourra être géré au même titre que le risque lié à l accès à internet, pour autant que certaines mesures et bonnes pratiques soient implémentées. Parmi ces mesures, au-delà du renforcement de la sécurité du poste de travail, le premier moyen de protection reste, à titre préventif, la sensibilisation des collaborateurs. Une solution complémentaire consiste à mettre en place des chartes utilisateurs et à intégrer des clauses de confidentialité dans les contrats d embauche afin d encadrer l usage qui est fait de l accès internet. * Ingénierie Sociale : forme d escroquerie, visant à manipuler des personnes afin de contourner les dispositifs de sécurité et obtenir un bien ou une information. Cette pratique exploite l aspect humain et social de la structure à laquelle est lié le système informatique visé. 6 La Lettre Sécurité N 21 Mars 2010

7 Un risque qui dépasse les frontières de l entreprise Mais la particularité des réseaux sociaux est justement qu ils dépassent les frontières du SI de l entreprise et permettent l hébergement de données, potentiellement sensibles, de l entreprise sur des infrastructures publiques, non maîtrisées par le RSSI. Ce constat illustre la nécessité d élargir le périmètre de surveillance et de protection contre les menaces pouvant toucher l entreprise. La mise en place d une activité de veille est l une des réponses à ces besoins, avec par exemple : la veille image pour détecter toute fuite d information sensible ou tentative de dénigrement sur les sites internet, blogs, forums et surveiller les différentes sources d opinions sur internet ; la veille technique contre la cybercriminalité pour repérer toute tentative de phishing ou de détournement du nom de domaine et identifier les futures menaces pouvant potentiellement toucher l entreprise. En fonction de la criticité de l alerte, la cellule de veille concernée pourra initier des mesures correctives : il peut s agir d un rapport au département communication en cas de dénigrement, d une alerte au supérieur hiérarchique d un collaborateur ayant diffusé des informations sensibles, ou d un recours en justice en cas de litige avec un hébergeur sur le retrait d un contenu sensible. Transformer le risque en opportunité? Au-delà des risques qu ils représentent en termes de sécurité et d image, les réseaux sociaux sont aussi une opportunité pour l entreprise. En effet, la facilité de mise en relation et la création de synergies entre collaborateurs constituent un levier pour l évolution des méthodes de travail au sein de l entreprise. Il sera alors de la responsabilité de l entreprise et notamment du RSSI, de proposer un cadre sécurisé à la mise en place de tels services via par exemple une infrastructure d hébergement interne ou des chartes de bonne conduite. Ghislaine AMRANI «Ce qui a changé, c est la rapidité et l échelle de propagation de l information.» Politique des entreprises vis-à-vis des réseaux sociaux Entreprises interdisant l accès aux réseaux sociaux Entreprises autorisant l accès aux réseaux sociaux sous certaines conditions réseaux sociaux professionnels uniquement populations spécifiques (COM, RH...), tranches horaires restreintes Entreprises autorisant l accès à tous les réseaux sociaux Mars 2010 La Lettre Sécurité N 21 7

8 L actualité commentée Une limitation des pouvoirs de contrôle de la CNIL? Fin 2006, la commission nationale de l informatique et des libertés (CNIL) effectuait un contrôle dans les locaux de deux sociétés. Constatant que celles-ci continuaient à solliciter des prospects en dépit de leur opposition à être démarchées, elle les condamnait chacune à euros d amende. Ces sanctions ont été annulées en novembre 2009 par le Conseil d état, jugeant que les conditions de licité d un tel contrôle n avaient pas été respectées, le responsable de chaque site n ayant pas été préalablement informé de son droit de s opposer à la visite et mis à même de l exercer. L avis de Marianne BÉNICHOU Ces décisions ne font que rappeler l article 44 de la Loi Informatique et Libertés selon lequel «en cas d opposition du responsable des lieux, la visite ne peut se dérouler qu avec l autorisation du président du tribunal de grande instance». C est ce même article qui accorde à la CNIL le pouvoir d accéder de 6h à 21h à tout local servant à la mise en œuvre d un traitement de données à caractère personnel. Bien plus, le texte précise que l entrave passive (la «non-facilitation») ou active (l opposition) à l exercice de la CNIL constitue un délit punissable d un an d emprisonnement et de euros d amende ; cette disposition a d ailleurs été invoquée dans la majorité des condamnations récentes. Si la CNIL demande aujourd hui une modification des textes afin de résoudre ce paradoxe, il n en demeure pas moins que la collaboration reste pour les entreprises la meilleure stratégie à suivre en cas de contrôle. Tout d abord parce qu il est fort à parier que les éventuelles nonconformités identifiées, dès lors qu elles ne sont pas gravement attentatoires aux libertés individuelles, entraîneront une simple mise en demeure ; l occasion étant alors trop belle d éviter une condamnation. Ensuite, parce que la présence d un juge, ainsi que la perte de l effet de surprise risque fort d accroître la sévérité des sanctions. Windows 7 et la sécurité Disponible depuis le dernier trimestre 2009, Windows 7 est l occasion pour Microsoft d offrir un panel de fonctionnalités de sécurité, pour certaines améliorées depuis leur introduction sous Windows Vista : gestion plus fine des privilèges utilisateur (UAC ou User Account Control), pare-feu aux règles plus granulaires, chiffrement de disque avec une meilleure gestion du recouvrement (BitLocker). D autres fonctions font, elles aussi, leur apparition : solution d accès distant (Direct Access), système de standardisation des applications installées (AppLocker), chiffrement des médias amovibles (BitLocker To Go). L avis de Chadi HANTOUCHE Microsoft, à travers cette nouvelle offre, lance un signal fort au marché : il souhaite se positionner en concurrent direct et crédible face aux éditeurs d outils de sécurité. En effet, l intégration directe des outils avec le système d exploitation, la facilité d exploitation, etc. sont autant d atouts permettant à Microsoft de faire de l ombre aux acteurs actuels du marché. En tout cas, ils sont des arguments suffisants pour qu un DSI considère les outils de Microsoft comme des alternatives crédibles aux produits tiers. Toutefois, ces atouts seront-ils assez pertinents pour convaincre les DSI? S il est encore trop tôt pour se prononcer sur la fiabilité des outils proposés par Microsoft, le coût de migration vers une infrastructure Windows Server 2008, la cohabitation nécessaire pendant un temps avec les outils tiers, etc. sont autant d arguments qui pourront freiner l adoption des nouvelles fonctionnalités proposées par Windows 7. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Benoît Ammar-Khodja, Ghislaine Amrani, Marianne Bénichou, Claire Carré, Florian Carrière, Matthieu Garin, Chadi Hantouche, Laurent Perruche. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue trimestrielle de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense solucom@solucom.fr abonnement : lettresecurite@solucom.fr