La sécurité IT - Une précaution vitale pour votre entreprise

Transcription

1 Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique

2 Avec le soutien de :

3

4 Début des années 2000, la cybercriminalité n a pas cessé de se développer Le marché de la sécurité informatique est devenu l un des secteurs les plus dynamiques de l industrie IT les entreprises ont multiplié par trois la somme consacrée à la sécurité informatique en l espace de six ans Une société emploie désormais plus de 7 % de son budget informatique dans la sécurité contre seulement 2 % en À l heure actuelle, 55 % des entreprises ont une politique de sécurité documentée, contre 27 % en 2002

5 Sur base d une étude de Symantec, 70 % des entreprises en France ont été victimes d une attaque informatique au cours des douze derniers mois 21 % des entreprises assurent constater une augmentation de la fréquence d attaque, contre 29 % en 2010 Cependant 92 % des entreprises estiment avoir subi des pertes à la suite à des attaques contre 100 % en 2009

6 Une entreprise sécurisée préserve sa réputation Une sécurité garantie peut devenir un argument de vente Une sécurité inadaptée annule les avantages de la technologie Difficiles à quantifier!

7 La sécurité des systèmes d information ou SSI l ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information» Mise en place d une politique de sécurité des systèmes d information PSSI ISO/CEI L ISO/CEI (anciennement ISO 17799) décrit les règles de bonnes pratiques Risk assessment L évaluation du risque ou «risk assessment» doit être réalisée pour déterminer les actions afin de réduire et de maintenir le risque à un niveau acceptable Le risque n est pas nécessairement lié à l informatique. L aspect social ou humain est critique. La gestion du risque consiste idéalement à : Choisir la méthode d évaluation du risque adaptée à l entreprise Définir les critères d identification des risques Les méthodologies les plus connues : MEHARI & OCTAVE

8 La confidentialité : garantit que l information est seulement accessible à ceux qui ont l autorisation d y accéder L intégrité : représente la garantie que les données n ont pas été modifiées, qu elles sont complètes et précises La disponibilité : désigne la garantie du bon fonctionnement du système d'information L authentification : S assure que seules les personnes ayant le droit d accéder aux informations puissent disposer des informations La non-répudiation : Elle permet de garantir qu'une transaction ne peut être niée ou contestée

9

10 La couche physique La gestion du courant, du refroidissement, des contrôles d accès Vidéosurveillance Procédures en cas d incendie ou d inondation La mise en place d une solution de rechange en cas de perte totale La couche réseau Configuration des routeurs, switches, Access Points WiFi, Détection et prévention des intrusions (IDS / IPS) Firewall Accès distants - VPN Téléphonie IP Service DNS 802.1X, NAC / NAP La couche virtualisation Règles de sécurité lors de la conception des machines virtuelles Application d un antimalware au niveau de la couche de virtualisation

11 La couche OS et applications Mise à jour des updates de l OS Mise à jour des applications Antivirus Firewall HIDS Antispam Filtrage WEB La couche données Les grands principes d un DRP De la mise en place d un DRP De citer les grandes techniques utilisées

12 La couche utilisateurs Politique de gestions des mots de passe Authentification forte Signature des documents Signature et encryption des s Chiffrement des disques durs et lecteurs externes Protection pour appareils mobiles Charte des règles de bonne conduite La couche audit et management Check-list d évaluation Test de pénétration en externe Test de pénétration en interne Surveillance de l Active Directory Inventaire du parc informatique Collecte d information (inventaire)

13 Le Cloud Computing consiste à déporter des services, des stockages ou des traitements informatiques traditionnellement localisés sur des serveurs locaux sur des serveurs distants Avantages : Haute disponibilité Sécurité Accessibilité Évolutivité Simplicité Modèle locatif Réduction et maitrise des coûts

14 Catégorie 1 : Services Backup & DRP Catégorie 2 : Web hosting Catégorie 3 : Messagerie Catégorie 4 : Infrastructure

15 SILVER Network Firewall Network Wireless Applications Antivirus Applications Firewall Applications Antispyware Applications - Anti spam OS Mises à jour Applications Mise à jour GOLD Sécurité switches Sécurité routeurs Gestion 802.1X Gestion VPN IWS Web Filtrering Plan DRP Encryption Signature Signature PDF Mobile Security Evaluation des risques Simple PLATINUM Gestion salle serveur IDS / IPS Sécurité switches Sécurité routeurs Téléphonie Secure DNS Deep Security Authentification forte Chiffrement des disques Mobile Security Règles virtualisation Authentification forte Gestion 802.1X Infrastructure NAC / NAP IWS Web Filtering Intrusion Defense Firewall DLP -> Data Loss Prevention Plan DRP Signature PDF Gestion des mots de passe Evaluation des risques Avancée Audit Audit de code + Audit de vulnérabilité + Audit de configuration