La Lettre Sécurité. Campagnes de sensibilisation : comment en mesurer l impact? Édito. n 37

Dimension: px
Commencer à balayer dès la page:

Download "La Lettre Sécurité. Campagnes de sensibilisation : comment en mesurer l impact? Édito. n 37"

Transcription

1 n 37 La Lettre Sécurité Édito Hapsis rejoint le cabinet Solucom Depuis le début du mois d avril, les collaborateurs d Hapsis ont rejoint les équipes Risk Management et Sécurité de Solucom. Hapsis, créé en 2002, regroupe une quarantaine de collaborateurs et intervient historiquement dans la gestion des risques et la sécurité numérique. Ce rapprochement est un vrai plus pour Solucom : Hapsis travaille avec des clients comparables à ceux de Solucom et nos savoirfaire sont très complémentaires. C est en particulier sur le domaine de la sensibilisation et du volet humain de la cybersécurité que nous confortons nos positions. Nous consacrons justement le dossier de cette Lettre Sécurité au sujet de la mesure de l impact des campagnes de sensibilisation. Le paysage de la cybersécurité évolue rapidement ces temps-ci, les acquisitions se succèdent et nous pouvons nous féliciter, grâce à cette acquisition, d asseoir notre position de leader du conseil en gestion de risques et de sécurité de l information avec quasiment 300 consultants*! Bienvenue aux équipes d Hapsis, dont nous aurons l occasion de voir régulièrement les contributions dans la Lettre Sécurité. Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information * Source Pierre Audoin Consultants Campagnes de sensibilisation : comment en mesurer l impact? La sensibilisation du personnel a été, pendant longtemps, le parent pauvre des stratégies de sécurité mises en œuvre dans les entreprises. Quelques contre-exemples notables ne peuvent dissimuler le fait que ce sujet ait été peu, pas ou mal traité dans la majorité des entreprises. Parmi les raisons qui ont pu conduire à cette situation, il est possible de recenser notamment le manque de budget ; la difficulté de mobiliser des intervenants aux métiers différents ; la difficulté de montrer des résultats car l effort doit être porté dans la durée ; les a priori de certains dirigeants : «la sensibilisation, ça ne sert à rien». C est pourquoi, si l on veut être capable de placer le traitement du volet humain de la sécurité et donc la sensibilisation à sa juste place, il est indispensable de disposer d une mesure qui va nous permettre de savoir d où on part, quel est le chemin parcouru et donc de placer les travaux de sensibilisation dans une démarche d amélioration continue. En effet, la mise en place d une mesure permet de rendre tangible l impact d une campagne de sensibilisation. Il devient ainsi possible de se donner des objectifs et de mesurer leurs atteintes en termes de participation, d adhésion et de résultats. Une mesure permet également d identifier des groupes d excellence sur lesquels on pourra s appuyer dans le temps pour diffuser la culture sécurité. Une campagne de sensibilisation, surtout s il s agit de la première, n aura vraisemblablement qu un impact partiel. En effet, seule une partie de la population, que l on espère la plus importante possible, commencera à adopter les comportements attendus. Il reste qu un premier noyau est ainsi déjà constitué et c est sur celui-ci que l on va ensuite pouvoir s appuyer pour agrandir le cercle. Car si la sécurité est l affaire de tous, la diffusion d une culture de sécurité se fait aussi par l exemple. Enfin si l on veut pouvoir intégrer le processus de sensibilisation dans l élaboration d un tableau de bord SSI, il est nécessaire de disposer des bons indicateurs. La mesure d un modèle de maturité A des fins de benchmark et pour pouvoir se donner des objectifs clairs et réalistes, il peut être utile de pouvoir se positionner et se fixer des objectifs à atteindre au travers d un modèle de maturité. C est pourquoi, nous proposons ici un modèle de maturité adapté à la problématique de sensibilisation. La classification ci-dessous illustre les différents niveaux que l on peut rencontrer quant au développement d une culture sécurité : Niveau 0 : les utilisateurs sont laissés à eux même, aucune consigne particulière ne leur est donnée, seuls les équipements d infrastructure assurent la sécurité. Niveau 1 : des outils sont mis en place à l initiative de l équipe SSI (charte, affiches ). Aucun retour quant à l effi- Suite en page 2 DÉCRYPTAGES P4 Touch ID marque-t-il la sécurité de son empreinte? P5 Voiture connectée : quels enjeux de sécurité de l information?

2 Dossier cacité de ces mesures n existe, on communique quelques messages en espérant qu ils seront entendus. Niveau 2 : la Direction s assure que tout le personnel est formé. Elle a délégué à l équipe SSI le soin d assurer des actions d information et de sensibilisation. Des tests sont menés afin de s assurer que la connaissance des bonnes pratiques est bien diffusée. Niveau 3 : il correspond aux caractéristiques du niveau 2 auxquelles on ajoute une communication claire et directe d une vision par la Direction. Des actions sont menées afin de modifier les comportements et des indicateurs sont mis en place et suivis. Niveau 4 : aux caractéristiques du niveau 3 s ajoute l intégration de la sécurité à chaque processus, faisant ainsi partie intégrante de la culture d entreprise. Chaque manager suit la qualité du travail fourni en regard de la sécurité, les incidents sont analysés et cette analyse donne lieu à une amélioration continue. Dans notre modèle de maturité, le fait d apporter une mesure dans la mise en œuvre des campagnes de sensibilisation n apparaît qu au niveau 2. Ce n est qu à partir de ce niveau que l on commence à se préoccuper des résultats de ce qui est fait. Une mesure sur 3 axes Le niveau de maturité d une population concernant la sécurité numérique se mesure sur trois axes : axes les résultats obtenus en pourcentage d un résultat maximal possible. C est ce que l on retrouve dans le schéma ci-dessous. La valeur obtenue pour chacun des axes est directement liée à la campagne de mesures qui est faite sur les indicateurs propres à chaque axe. Ainsi, la mesure des connaissances peut se faire selon les thématiques choisies pour les campagnes et regroupant l ensemble des sujets à traiter. La mesure de la sensibilité peut s effectuer sur quelques indicateurs permettant d objectiver un sujet à priori difficile à évaluer. Ainsi cette mesure peut s effectuer en évaluant au travers d un processus d audit tout ce qui participe à faire du sujet quelque chose d important et la perception que les collaborateurs en ont. On définit ensuite, pour chacune des réponses proposées, le nombre par lequel sera incrémenté l attribut si cette réponse est choisie. Chaque répondant obtient ainsi une note sur cet attribut. On calcule ensuite la moyenne des résultats obtenus que l on met en regard de la note maximale qu il est possible d obtenir. La mesure des comportements portera sur certaines catégories de comportements a priori plus facilement observables. Comment mesure-t-on? Réalisation d une enquête physique Relativement peu usité, la réalisation d une enquête physique peut avoir l avantage de permettre de prendre le pouls d une population au regard de la sécurité de l information. En effet, au-delà des aspects quantitatifs, le retour effectué par des enquêteurs peuvent, dans ce cas, incorporer des éléments d «ambiance» difficiles à évaluer par d autres procédés. En revanche le procédé prend du temps et est couteux. L enquête est alors réalisée sur un échantillon représentatif de la population ciblée. L échantillonnage sera effectué selon la méthode des quotas, c est-à-dire respectant en proportion les différentes caractéristiques de la population de l organisation. Mesure en ligne La réalisation d une enquête en ligne est un excellent moyen pour réaliser une évaluation de la maturité d une population au regard des questions de sécurité. Ce procédé permet de cibler la totalité de la population et de rester à un coût de mise en œuvre raisonnable. Afin de permettre, comme nous l avons vu, une mesure sur les trois axes de sensibilité, de connaissances et de comportements, une telle enquête doit : L axe sensibilité correspond à la perception que les collaborateurs ont de la sécurité comme étant un sujet important dans l organisation. L axe connaissances correspond au niveau de connaissance des utilisateurs sur les enjeux et les bonnes pratiques. L axe comportements correspond au niveau de respect, par les utilisateurs, des comportements souhaités. Plusieurs méthodes existent pour visualiser les mesures obtenues. Une manière classique consiste à représenter sur une figure multi C est en développant la sensibilité et les connaissances au travers d une communication engageante que l on finit par obtenir les comportements souhaités. 2 La Lettre Sécurité N 37 mai 2015

3 Être composée d une série de QCM, traitant des différentes thématiques à couvrir (aspects légaux, organisation, mot de passe, ingénierie sociale ). Permettre la mesure de la connaissance par un rattachement des questions aux différents sujets à couvrir. Associer les attributs sensibilité, connaissance et comportement aux questions afin de donner une valeur à ces attributs en fonction des réponses choisies par le répondant. La diffusion de l enquête pourra également s appuyer sur un outil permettant d identifier les niveaux de réponses en fonction d un profilage particulier de la population cible. Cela permet notamment de mesurer l impact d une campagne de sensibilisation en fonction des métiers de l entreprise. Des questions sont donc posées en ligne dans le cadre d une enquête menée sur une période de quelques semaines. Evaluation des comportements par observation La finalité des campagnes de sensibilisation étant d avoir un impact réel sur les comportements, il peut être particulièrement intéressant de mesurer l évolution dans le temps de certains comportements réels. Il s agit ici de mesurer ce que font les collaborateurs réellement et non ce qu ils déclarent ou ce qui transparait dans leurs réponses à une enquête. Cela passe par l observation de ces comportements et la mise en œuvre de tests. On peut ainsi citer, à titre d exemples : Test sur l utilisation de la messagerie et sur le respect de la politique antivirale par envoi de messages de source inconnue avec une pièce jointe exécutable mais inoffensive et mesure du taux d ouverture de ces pièces jointes. Test de phishing : envoi d un message de type phishing mais au contenu inoffensif et permettant de mesurer le taux de clics. Test sur le respect de la politique de création de mot de passe par un test de résistance sur la base de mots de passe. Test sur le respect de la politique de l utilisation d Internet par examen des traces et le recensement des URL visitées. À chacun de ces tests est associé un indicateur qui peut être à chaque fois le taux de bons comportements sur le nombre de comportements observés. Ces indicateurs viennent ensuite enrichir la mesure faite sur l axe comportement. Rattachement au tableau de bord sécurité Le traitement du volet humain de la sécurité est un aspect essentiel de toute stratégie sécurité. Ainsi, si un tableau de bord de la sécurité est élaboré, il convient d y intégrer la mesure de maturité des collaborateurs de l entreprise. Si ce tableau de bord suit une approche de type tableau de bord équilibré (Balanced Score Card) on doit identifier les Indicateurs Clés d Objectif (ICO) et les Indicateurs Clés de Performance (ICP) applicables au processus de sensibilisation. L objectif de tout processus d acculturation est, rappelons-le, d obtenir des comportements conformes aux bonnes pratiques et, par-là, de diminuer le nombre d incidents trouvant leur origine dans une cause humaine. Il est donc possible de choisir comme ICO : Le nombre d incidents ayant pour origine un défaut de comportement d un collaborateur, dans la mesure où le processus de gestion des incidents le permet. Le nombre de constatations de défauts de comportements dans le cadre d un audit ou d une enquête récurrents portant sur un référentiel constant. Et comme ICP : Les indicateurs choisis pour mesurer la sensibilité. Les indicateurs choisis pour mesurer la connaissance. Pour conclure Il faut inscrire la mesure dans une dynamique. À la question : «Comment intéresser ma Direction Générale aux opérations de sensibilisation?», la réponse est : «Donnez-lui un retour quantifié!» La mise en place d une mesure dans le temps du niveau de maturité du personnel au regard des questions de sécurité ne peut qu intéresser une Direction Générale et la motiver à accorder des moyens à des actions dont elle mesure l impact. Le processus d acculturation d une population est un chantier de longue haleine, seule la mise en place d une mesure permet de démontrer le chemin parcouru et de se donner des objectifs. Extrait du livre blanc «Comment mesurer les impacts des campagne de sensibilisation» rédigé par Hapsis en février La Lettre Sécurité N 37 mai

4 Dossier Décryptage Touch ID marque-t-il la sécurité de son empreinte? Florian Pouchet Mehdi Karray La biométrie prend une place de plus en plus grande dans notre quotidien. Désormais, les smartphones peuvent se déverrouiller grâce à des lecteurs d empreintes digitales miniatures qui s intègrent parfaitement à la physionomie globale des terminaux. De nouveaux usages, dont les paiements sécurisés par empreinte digitale, font également leurs apparitions. Touch ID, le capteur d empreinte digitale d Apple, a ouvert la voie de cette démocratisation : selon la firme à la pomme, «trop peu de personnes mettent en place un code de sécurité pour déverrouiller leurs appareils». La question suivante se pose donc : Touch ID est-il réellement performant et sécurisé? Touch ID, un lecteur d empreintes simple et plus sûr Selon Apple, Touch ID est plus sécurisé qu un code à quatre chiffres : la probabilité que le capteur confonde deux empreintes digitales est de 1 sur et elle augmente à «1 sur lorsqu un utilisateur non autorisé devine un code d accès à 4 chiffres». Il faut néanmoins préciser que ces deux chiffres ne sont pas réellement de même nature car le premier représente une probabilité de fausse détection tandis que le second correspond à la probabilité de trouver le bon code de déverrouillage et donc de pouvoir se ré-authentifier par la suite. Utiliser Touch ID est également relativement simple. Lorsque le doigt est apposé sur le bouton d activation de l écran d accueil, une photographie haute résolution de l empreinte digitale est prise, puis comparée à un gabarit référence généré au moment de l enregistrement de l utilisateur. Concernant la confidentialité de ces données, la documentation technique précise que lors du processus d enregistrement, c est la modélisation mathématique de l empreinte digitale qui est hébergée dans l enclave sécurisée du processeur, au plus proche du capteur, et non les empreintes digitales des utilisateurs. Un capteur biométrique aux usages multiples Avec le lancement de l iphone 6 et d ios 8, les usages évoluent. Jusqu à présent, le capteur permettait uniquement de s authentifier et de payer ses achats sur l Apple store, l itunes Store et l ibooks Store. Désormais, l arrivée d Apple Pay permet de réaliser tous types d achats en validant ses paiements via Touch ID, notamment grâce à l intégration d une puce NFC (pour le moment, Apple Pay n est disponible qu aux États-Unis). Il devient également possible de sécuriser l accès à des applications tierces. Les nouvelles fonctionnalités que pourraient offrir ces capteurs biométriques sont nombreuses, telles que déverrouiller une voiture ou effectuer un virement bancaire. La question de la sécurité devient donc cruciale. Performances et limites de Touch ID En dépit des tests et des études montrant que cette technologie est robuste et que les taux de faux positifs et de faux négatifs restent bas, Touch ID possède quelques limites. L authentification peut être avortée si le lecteur biométrique porte des traces de poussières, de graisse Le capteur est également insensible à la chaleur corporelle et ne fait donc pas la différence entre la peau et les corps inertes. Enfin, comme pratiquement tous les lecteurs d empreintes digitales, il est possible de le piéger. De nombreux experts en sécurité ont posté des vidéos montrant leurs tentatives réussies de piratages à partir de fausses empreintes digitales. Le «Chaos Computer Club» a ainsi réussi à tromper Touch ID en photographiant en haute résolution une empreinte digitale et en moulant cette dernière. Nous avons, nous aussi, voulu tester la fiabilité de cette technologie avec de fausses empreintes digitales réalisées en gélatine alimentaire et en colle à bois. Le processus est fastidieux et les résultats varient en fonction de la qualité des copies et de leur fidélité par rapport à l originale, mais nous sommes bien parvenus à déjouer le capteur biométrique. Ainsi, une personne mal intentionnée pourrait parvenir, moyennant de nombreux efforts, à s authentifier sur les appareils utilisant la biométrie par Touch ID. Cela implique cependant de pouvoir récolter une empreinte digitale nette, claire et épaisse qui puisse être facilement dupliquée, ce qui est au quotidien difficile à trouver. Et cela laisse toujours en suspens la question de la répudiation d un facteur d authentification biométrique. Des évolutions dans le futur? Simple d usage et efficace, la technologie Touch ID est une belle avancée pour la sécurité des terminaux mobiles. Malgré ses limites, les usages cités précédemment (accès aux données personnelles sur les terminaux, paiements mobiles ) ne devraient théoriquement pas souffrir de problèmes majeurs de sécurité pour le grand public. Cependant, pour des populations sensibles ou dans des contextes à risques, il faut avoir conscience des limites concrètement démontrées. Il aurait été souhaitable que la sortie de l iphone 6 améliore de façon notable la sécurité et les performances du capteur biométrique. Malheureusement, à part une plus grande sensibilité impliquant une diminution du taux de faux négatifs (la résolution du capteur étant plus grande), il n y a pas eu de modifications substantielles. Dans le futur, une approche combinant l empreinte et un code pourrait être une évolution intéressante et simple à mettre en œuvre. Enfin, si l on souhaitait renforcer la sécurité de manière significative, on aurait pu s orienter vers des technologies biométriques «sans traces» (réseau veineux, reconnaissance d iris ). Mise à part l usabilité de la plupart de ces technologies qui ne permet pas à l heure actuelle de les intégrer sur un smartphone, la question essentielle est de savoir si le grand public est prêt à les accepter et à les utiliser... 4 La Lettre Sécurité N 37 mai 2015

5 Décryptage Voiture connectée : quels enjeux de sécurité de l information? Amal Boutayeb François Luquet Le secteur du transport n échappe pas à la transformation numérique, notamment les voitures qui deviennent de plus en plus communicantes. Les projets sont nombreux, pour n en citer que quelques-uns : la création d un système européen d appel d urgence automatique «E-call», les places de stationnement intelligentes ou encore le déploiement de sites pilotes de voitures connectées en France (projet et sur le corridor Rotterdam-Vienne. Les initiatives posent la question de la sécurité de l information Un système de transports intelligents, quel qu il soit, permet de diffuser et partager de l information, de la traiter de manière autonome et intelligente. Les objectifs de telles évolutions? Ils sont multiples : optimiser la gestion de trafic, améliorer la sécurité routière, aider à développer la multi-modalité, etc. De tels usages nécessitent l échange de nombreuses informations, entre les véhicules ou entre les véhicules et les infrastructures routières : vitesse, positionnement GPS, changement de trajectoire, alertes sur le trafic Protection des données à caractère personnel, préservation de l intégrité des informations, disponibilité des dispositifs qui concourent à la sécurité routière : les enjeux de sécurité de ces informations ressortent clairement comme essentiels pour que la voiture connectée de demain donne confiance aux usagers. Ces transformations font aujourd hui l objet de réflexions de standardisation et de normalisation menées par divers groupes de travail (l ISO, la Commission européenne de normalisation, et l ETSI European Telecommunications Standards Institute). Ces organismes mènent des réflexions qui portent par exemple sur les formats de messages à utiliser, les canaux de communications envisageables (Wi-Fi véhiculaire, réseaux cellulaires ou réseau satellite) ou la sécurisation des protocoles de communication. En complément, de nombreux consortiums européens (Drive C2X, CAR2CAR, FOTsis) mènent des réflexions sur le déploiement de systèmes routiers collaboratifs. Certains d entre eux peuvent intégrer le sujet de la sécurité de l information. Si ces réflexions portent sur un périmètre plus ou moins large, mener un projet lié aux voitures connectées implique de revenir sur les usages et d identifier les risques puis les mesures de sécurité à mettre en place sur l ensemble des briques du dispositif : la voiture, les bornes, les systèmes d information du gestionnaire, etc. Focus sur le véhicule : la prise de contrôle par un attaquant est-elle réellement possible? Les attaques informatiques sur des systèmes embarqués de véhicules ne sont pas une nouveauté en soi. Des démonstrations d attaques ont été réalisées par manipulation physique des boîtiers. Mais aujourd hui il est indispensable d intégrer la dimension communicante du véhicule et donc la capacité à prendre le contrôle à distance. En effet, les voitures ont historiquement été conçues pour fonctionner en système fermé, sans ou avec très peu d interactions avec le monde extérieur. La multiplication des connexions des véhicules avec le monde extérieur constitue de nouvelles surfaces d attaque. Le «car hacking» est donc possible et pour la sécurité de l information dans les véhicules de demain, les constructeurs intègrent la cybersécurité dans les réflexions sur l architecture technique du véhicule. Il s agit notamment de mettre en œuvre un cloisonnement entre les réseaux de fonctionnement liés au système de conduite (freinage par exemple) et les réseaux liés «aux médias» et à la sécurisation du boîtier de communication. Au-delà des projets en cours, comment anticiper la «smart security» dans le transport routier? Si le sujet est innovant, la démarche de sécurité est en somme «classique» : intégrer la sécurité dans toutes les phases du projet! Il s agit d un point essentiel pour mener la réflexion sur l ensemble des briques. Dans un premier temps, analyser les usages et donc les besoins de sécurité. Ensuite, comprendre les fonctions, l architecture de sécurité et donc les menaces et vulnérabilités. Puis, en fonction des risques, les mesures de sécurité à mettre en place et à maintenir doivent être définies, qu elles soient techniques ou organisationnelles. Une spécificité néanmoins liée au caractère innovant : mener une veille permanente sur le sujet. Quels nouveaux projets peuvent présenter des adhérences? Quels nouveaux standards? Quels travaux des chercheurs sur les vulnérabilités, sur les solutions? Quels consortiums, groupes de travail portent une réflexion sur une brique? Le secteur est en pleine transformation, et son évolution doit donc être suivie avec une grande attention. La Lettre Sécurité N 37 mai

6 Focus TV5Monde : une cyberattaque de grande ampleur médiatique! Chadi Hantouche, manager L attaque de de la chaîne télévisée TV5Monde, ayant notamment abouti à l interruption des programmes dans la nuit du 8 au 9 avril 2015, aura occupé un large espace médiatique et fait couler beaucoup d encre. Plus d un mois après, plusieurs questions se posent toujours, auxquelles Chadi Hantouche, manager en cybersécurité au sein du cabinet Solucom, se propose de répondre. Que sait-on de l attaque contre TV5Monde? Qui sont les attaquants? Le 8 avril au soir, les comptes de TV5Monde sur les réseaux sociaux diffusent des messages favorables à l État Islamique. En parallèle, la chaîne arrête d émettre et les téléspectateurs se retrouvent devant un écran noir. Il faudra sans doute attendre les résultats de l enquête pour connaitre les détails de l attaque, mais quelques éléments sont déjà connus avec un bon niveau de certitude. Tout d abord, il s agit d une attaque préparée et coordonnée. De nombreuses sources évoquent un mail de phishing ayant piégé un ou plusieurs employés de la chaîne, probablement les community managers, permettant à des attaquants de prendre le contrôle de leur poste de travail, puis de rebondir à l intérieur du système d information. Une fois que les attaquants ont réussi à atteindre les serveurs assurant le multiplexage et permettant d interrompre la diffusion, ils ont lancé toutes les actions malfaisantes en parallèle : réseaux sociaux et diffusion. Ces éléments laissent à penser que l attaque a nécessité une équipe de réalisation composée de plusieurs personnes et compétences. Attention toutefois à une attribution de l attaque trop hâtive : elle pourrait effectivement avoir été menée par un groupe idéologique, mais elle pourrait également avoir été commanditée à un groupe de «cyber mercenaires» avec une unique motivation financière. S agit-il d une attaque exceptionnelle? L attaque n est pas extraordinaire par son mode opératoire, les attaquants ayant probablement suivi le schéma classique : une phase de reconnaissance, puis d intrusion, et enfin de propagation jusqu à atteindre les systèmes ciblés. Si l attaque a été exceptionnelle, c est surtout par sa couverture médiatique. Tous les médias généralistes ou presque en ont parlé, en France comme à l international. À cela, il y a plusieurs explications. D une part, l aspect symbolique et très visible de l attaque : TV5Monde est une chaîne francophone, diffusée partout dans le monde. Elle porte donc indirectement l image de la France et se retrouve au milieu d une guerre médiatique. D autre part, l impact de l attaque : la chaîne a arrêté d émettre ses programmes, ce qui est son principal métier. Cela a créé une frayeur dans beaucoup de médias, qui redoutent d être les prochaines victimes et ont donc tenté de comprendre l attaque. Les médias vont-ils devenir une cible privilégiée des pirates? Y a-t-il un moyen pour eux de se prémunir? Un média est une cible de choix pour qui veut diffuser un message de propagande idéologique. Il est donc aujourd hui important pour les médias, comme pour beaucoup d entreprises, de se préoccuper de leur sécurité informatique. Tout d abord, il faut systématiquement faire auditer les infrastructures informatiques exposées sur Internet et bien sûr corriger les éventuelles faiblesses découvertes. Il est également nécessaire de sensibiliser les collaborateurs aux bonnes pratiques «d hygiène» en sécurité informatique, en portant une attention particulière aux utilisateurs disposant de données ou de droits particuliers (tels que les community managers de réseaux sociaux, les administrateurs informatiques et les dirigeants). Enfin, l affaire TV5Monde a mis en exergue un point intéressant à garder à l esprit : il est vital que la cybersécurité soit un domaine de collaboration entre entreprises et non de compétition! En particulier, le partage des IOC (indicateurs de compromission permettant de détecter les traces d une attaque) entre entreprises du même secteur devient une priorité. Après une chaîne de télévision, qu est-ce qui empêche l attaque d infrastructures plus critiques de notre pays? L État se donne aujourd hui les moyens de sécuriser les infrastructures informatiques les plus sensibles : d importants budgets sont mis en œuvre pour protéger les services étatiques et accompagner celles des entreprises (Opérateurs d Importance Vitale en particulier), voire leur imposer dans certains cas. Les sociétés concernées travaillent depuis des années sur leur sécurité informatique, et le sujet est pris de plus en plus au sérieux par les Directions Générales. Si une attaque n est bien sûr pas exclue, il est important de rester rationnels suite à l attaque contre TV5Monde, tout en continuant les efforts de sécurisation. 6 La Lettre Sécurité N 37 mai 2015

7 Focus Les normes TAPA ou la sécurité des transports de marchandises Bertrand Foy, manager Une menace persistante et croissante Dans le courant des années 90, un certain nombre de producteurs de biens de consommation électroniques (Compaq, Intel, Sun Microsystèmes ) ont commencé à s inquiéter du volume des pertes financières associées au vol de leurs marchandises. À cette époque, l industrie électronique américaine chiffrait ses pertes pour vol à environ 3 millions de dollars US par an (chiffre estimé à 60 milliards de dollar US aujourd hui, tous biens manufacturés confondus). Sous l impulsion de trois responsables de la sécurité industrielle de ces sociétés, l association TAPA s est réunie pour la première fois en juin 1997, avec pour objectif de développer des normes et recommandations pour renforcer la sécurité et diminuer les vols. Que vole-t-on aujourd hui? Des produits manufacturés, des produits électroniques de grande consommation, des produits alimentaires et boissons, des métaux, du textile, du prêt à porter Ces produits sont «prélevés» tout au long de la chaîne logistique. L évolution de la menace est maintenant telle que l enjeu n est plus d éviter le vol, mais de mettre en place des dispositifs afin de minimiser les impacts sur la supply chain et ses acteurs. TAPA fournit ainsi des éléments pour développer une protection active de la chaîne logistique. TAPA, qu est-ce que c est? TAPA est un réseau de professionnels composé de membres appartenant à 3 cercles distincts. Le premier cercle regroupe les professionnels qui assurent tout au long de la supply chain des rôles de fabrication, transport, stockage, assurance. Le deuxième cercle comprend des professionnels qui offrent des services de sécurité à ceux du premier cercle. Le dernier cercle regroupe les acteurs du secteur public, les auditeurs sécurité, ainsi que les enseignants et étudiants spécialisés sur le crime organisé / droit / logistique. Une animation est par ailleurs assurée sur une base régionale (Amérique, Europe / Afrique / Moyen Orient, Asie / Pacifique), au travers de rencontres, les «TAPA «T» meetings». TAPA est également un ensemble de normes. La première norme établie par la TAPA est la C-TPAT (2001), qui regroupe un ensemble de recommandations pour améliorer la sécurité des frontières des États-Unis. En 2005 la norme TSR (Trucking Security Requirements) a été diffusée. Elle vise à établir des critères d évaluation de la sécurité des transports. Cette même année, la norme FSR (Freight Supplier security Requirement) a été élaborée : elle fixe des exigences de sécurité sur l ensemble de la supply chain. En 2011, la norme FSR a évolué pour se focaliser sur les exigences de sécurité des entrepôts : Facility Security Requirement. Depuis 2011, deux nouvelles normes ont été déployées : l une (TACSS) pour l aérien, l autre pour les Parcs de stationnement (IRU/ transpark). TAPA est enfin une base de données. Dénommée «IIS» pour «Incident Information Service», cette base répertorie les incidents par région. Elle permet d identifier les tendances et «zones à risque». Elle formalise un profil du risque encouru pour chacun de ses membres. Elle constitue également un vecteur d échange d informations entre acteurs de la supply chain et agents de protection. Quels apports du TAPA pour les entreprises? Les normes et recommandations TAPA permettent à tout professionnel de se faire rapidement une idée de la maturité sécurité de son organisation. Nous recommandons en particulier la norme FSR 2011 «Freight supplier minimum security requirement» à tout responsable industriel (logistique, fabrication, sécurité), car cette norme permet d effectuer un balayage large de tous les dispositifs défenses au sens de J. Reason qu il convient de mettre en place. Nombre de sociétés se focalisent en effet sur les dispositifs techniques et «oublient» qu au-delà de ces systèmes il convient de mettre en place une organisation et des moyens de traitement de l information. En dernier lieu, le volet humain n est pas oublié. En effet, une organisation industrielle qui ne s appuie pas sur des hommes sensibilisés, entraînés et formés pour répondre aux menaces quotidiennes, est une organisation vulnérable et faiblement résiliente. Au-delà du caractère «terrain» de ces normes, celles-ci s inscrivent parfaitement dans toute démarche ISO La Lettre Sécurité N 37 mai

8 L actualité Solucom Un nouveau blog dédié à la cybersécurité : SecurityInsider Dernier né de la famille des blogs Solucom, SecurityInsider, le blog des experts sécurité de Solucom, a vu le jour fin mars dernier! Sans plus attendre, nous vous invitons à le découvrir en ligne à l adresse et sur Chaque semaine, il proposera des réactions à l actualité, mais également des analyses de fond, how-to, brèves et se fera le relais des alertes CERT. SecurityInsider met à l honneur quatre sujets phares autour de la sécurité : audit, réponse à incident, confiance numérique et écosystème (marché, start-ups ). L objectif premier étant de proposer aux lecteurs une approche technique et précise sur ces différentes expertises. Solucom déploie ses ailes à Singapour Début 2015, Solucom annonçait la signature d un accord de partenariat avec le cabinet why innovation! basé à Singapour. Aujourd hui, cet accord s est concrétisé par notre présence sur place mi-avril dernier. Nous y avons animé une table ronde lors de la conférence d inauguration du Centre de Recherche & Développement en cybercriminalité d Interpol, puis avons réalisé une formation et participé à divers rendez-vous avec des responsables sécurité locaux. Nous sommes ravis de l accueil très positif de nos savoir-faire que nous avons reçu sur place. Une entrée remarquable dans le Palmarès 2015 Great Place to Work Pour sa première participation, Solucom fait une entrée remarquable à la 5 ème place du palmarès Great Place to Work 2015 des entreprises où il fait bon travailler. 69 entreprises étaient en lice pour y figurer. La démarche d évaluation GPTW engagée par Solucom s inscrit dans la continuité des actions d audit et de benchmarking initiées par le cabinet depuis plusieurs années dans le cadre de sa politique RH. L obtention du label conforte plusieurs fondamentaux qui prennent leur source dans l ADN du cabinet : équité, transparence, convivialité et culture du collectif. Prochains événements Les Assises de la Sécurité 2015 : du 30 septembre au 3 octobre 2015, venez nous retrouver sur notre stand où nous distriburons nos récentes publications et partagerons nos derniers démonstrateurs. Nous animerons également un atelier lors de cette 15 ème édition des Assises. Attaque de TV5Monde : Solucom dans les médias France 2 JT 13h Gérôme Billois - «Il faut que cette attaque soit un réveil des entreprises pour prendre en compte cette menace qui va en grandissant.» itélé Chadi Hantouche - «Un cap a été franchi car c est le cœur de métier de la chaîne qui a été touché.» Europe 1 Gérôme Billois - «Il faut mettre en place les bons processus de gestion de crise pour être capables de protéger les systèmes les plus sensibles.» 20 Minutes Gérôme Billois - «TV5Monde a été attaquée de façon coordonnée, au cœur du système d information.» Le Figaro Gérôme Billois - «Lorsqu une telle attaque survient, il faut tout réinstaller, cela prend du temps.» Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Amal Boutayeb, François Luquet, Chadi Hantouche, Florian Pouchet, Medhi Karray, Bertrand Foy, Sylvain Crouet Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : Les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité Revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense abonnement :

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Présentation Cisco Advanced Malware Protection Prévention, détection, riposte et correction : la solution concrète contre les intrusions LES BÉNÉFICES Obtenez des renseignements inédits sur les menaces

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français L opinion des consommateurs français sur : Le niveau de sécurité des données personnelles pour chaque industrie Les organisations collectant des données personnelles via les appareils connectés Les recherches

Plus en détail

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier Sécurité Active Analyser l Renforcer l Maîtriser l Étudier Analyser l Renforcer l Maîtriser l Étudier L offre Sécurité Active évalue et fortifie les systèmes d information vis-à-vis des meilleures pratiques

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Outsourcing : la sauvegarde en ligne des données de l entreprise.

Outsourcing : la sauvegarde en ligne des données de l entreprise. Outsourcing : la sauvegarde en ligne des données de l entreprise. Sur quels marchés votre entreprise de Sauvegarde en Ligne évolue t elle? Dans un contexte de montée en puissance de l insécurité, les solutions

Plus en détail

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302

D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 D une PSSI d unité de recherche à la PSSI d établissement Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 SOMMAIRE 2 1. Eléments de contexte 2. Elaboration d une PSSI d

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Audit informatique et libertés

Audit informatique et libertés Audit informatique et libertés 6ix Secured E-commerce REFERENCE: 2012/DOC/INT/006/v1.0 DIFFUSION : PUBLIQUE ETAT DES VALIDATIONS Fonction Rédacteur Vérificateur/Approbateur Signé par Karim Slamani Karim

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

La sécurité informatique, c est votre problème aussi!

La sécurité informatique, c est votre problème aussi! INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique,

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Améliorer l expérience client en intégrant les signatures électroniques dans toute l entreprise

Améliorer l expérience client en intégrant les signatures électroniques dans toute l entreprise Améliorer l expérience client en intégrant les signatures électroniques dans toute l entreprise Le déploiement d une plateforme de signature électronique sur plusieurs canaux dans l entreprise peut aider

Plus en détail

contactless & payment des solutions de test pour mener à bien vos projets

contactless & payment des solutions de test pour mener à bien vos projets contactless & payment des solutions de test pour mener à bien vos projets contactless & payment certification et tests de bout en bout pour des dispositifs de paiement sans contact Conseil indépendant

Plus en détail

La notation en matière de sécurité

La notation en matière de sécurité La notation en matière de sécurité Août 2008 Le CDSE Le Club des Directeurs Sécurité d Entreprise est l association des directeurs de sécurité d entreprise et de leurs collaborateurs. Il fédère des entreprises

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

Mutualisation, normalisation et interopérabilité

Mutualisation, normalisation et interopérabilité Mutualisation, normalisation et interopérabilité Régis CASTERAN, Président STRUCT-IT, animateur BNEVT-CN03 J ai créé ma propre entreprise pour conseiller les institutionnels et les industriels sur l interopérabilité

Plus en détail

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL En dépit du succès grandissant des outils de communication en

Plus en détail

La sécurité de l'information

La sécurité de l'information Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus

Plus en détail

Une crise serait un «changement brutal et

Une crise serait un «changement brutal et Une crise serait un «changement brutal et soudain entre deux états, qui provoque une rupture d'équilibre». Marle Hélène Westphallen, (1994) «La cybercriminalité recouvre toute activité illégale et irrégulière

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

AUDIT CONSEIL CERT FORMATION

AUDIT CONSEIL CERT FORMATION www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,

Plus en détail

Mobilité Multimodale Intelligente Urbanisme, tourisme, logistique urbaine économiques

Mobilité Multimodale Intelligente Urbanisme, tourisme, logistique urbaine économiques Plateforme de recherche et d expérimentation pour le développement de l innovation dans la mobilité Nouveaux services de mobilité et systèmes de transport intelligents Quels modèles économiques? Quelle

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

La performance responsable au cœur de votre stratégie

La performance responsable au cœur de votre stratégie La performance responsable au cœur de votre stratégie Vigeo Enterprise Vigeo Enterprise est le cabinet d audit et de conseil de Vigeo spécialisé dans la responsabilité sociale des entreprises Vigeo Enterprise

Plus en détail

La biométrie au cœur des solutions globales

La biométrie au cœur des solutions globales www.thalesgroup.com GESTION D IDENTITÉ SÉCURISÉE La biométrie au cœur des solutions globales Risques et solutions Explosion de la mobilité des personnes et des échanges de données, croissance des flux

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Présentation BAI -CITC

Présentation BAI -CITC Présentation BAI -CITC Expertise reconnue dans des niches technologiques Technologies embarquées Technologies sans contact Technologies d identification et d authentification Sécurité des objets connectés

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail

FRAUDE BANCAIRE COMMENT LA DETECTER ET S'EN PROTEGER

FRAUDE BANCAIRE COMMENT LA DETECTER ET S'EN PROTEGER FRAUDE BANCAIRE COMMENT LA DETECTER ET S'EN PROTEGER Chaque année, de nombreuses entreprises sont victimes de fraudes. Vous trouverez ci-dessous les techniques de fraude les plus répandues ainsi que nos

Plus en détail

La conduite du changement

La conduite du changement point de vue stratégie et gouvernance des systèmes d'information La conduite du changement dans les projets SI 1 En préambule Devant les mutations économiques, sociales et technologiques engagées depuis

Plus en détail

technologie la SD-BOX

technologie la SD-BOX 02 la technologie la SD-BOX L accès aux données constitue un enjeu croissant pour les organismes, notamment à des fins d études et de recherche. Certaines données hautement sensibles (données personnelles,

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

RESUME DES NORMES ISO

RESUME DES NORMES ISO RESUME DES NORMES ISO Travail réalisé par : Selma FERKOUS O8301 ISO 19011 : La norme internationale ISO 9011, se focalise sur le management de programmes d audit, la réalisation d audits internes ou externes

Plus en détail

DÉFENSE & SÉCURITÉ. sdv.com

DÉFENSE & SÉCURITÉ. sdv.com DÉFENSE & SÉCURITÉ sdv.com SDV, UN SERVICE DE PROXIMITÉ ET UNE PERFORMANCE ASSURÉE La puissance de notre réseau : Notre présence dans 102 pays garantit un service de proximité auprès de tous nos clients

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

Table Ronde Cybersécurité

Table Ronde Cybersécurité 03 décembre 2013 Table Ronde Cybersécurité Comment les fournisseurs d automatismes prennent en compte les besoins de cybersécurité? Participants: Phoenix Contact T.Vajsman Rockwell Automation J.Poncharal

Plus en détail

DOSSIER DE PRESSE. 30 ans d innovation dédiée aux solutions dans les Systèmes Embarqués et Critiques

DOSSIER DE PRESSE. 30 ans d innovation dédiée aux solutions dans les Systèmes Embarqués et Critiques DOSSIER DE PRESSE 30 ans d innovation dédiée aux solutions dans les Systèmes Embarqués et Critiques Acteur pionner des technologies de demain dans le monde de l Embarqué 3 000 consultants dédiés à la Solution

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 23 La Lettre Sécurité Édito L actualité sécurité récente et à venir s avère chargée : la cybercriminalité est sur toutes les lèvres, innovations technologiques et nouvelles réglementations obligent les

Plus en détail

SOMMAIRE. Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi?

SOMMAIRE. Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi? SOMMAIRE Constat CLUSIF 2008: la mise en œuvre des politiques de sécurité reste un vœu pieux: Pourquoi? Comment arriver à la non régression de la sécurité de l information? Pourquoi l ISO 27001? Comment

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

La dynamique d évolution des marchés

La dynamique d évolution des marchés R e n d e z - v o u s d E x p e r t PEA Consulting Aligner sa Supply Chain sur la stratégie de l entreprise Depuis plusieurs années, les entreprises ont consenti d importants efforts pour améliorer la

Plus en détail

RAPPORT. 1. Appréciation générale des problématiques de cybersécurité

RAPPORT. 1. Appréciation générale des problématiques de cybersécurité Réponse de la France à la résolution 68/243 relative aux «Développements dans le domaine de l information et des télécommunications dans le contexte de la sécurité internationale» RESUME ANALYTIQUE A titre

Plus en détail

Mise en œuvre d une solution biométrique d authentification forte pour l accès aux données sensibles

Mise en œuvre d une solution biométrique d authentification forte pour l accès aux données sensibles MARET Consulting 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél +41 22 727 05 57 Fax +41 22 727 05 50 Mise en œuvre d une solution biométrique d authentification forte pour l accès aux données

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Réussir un projet Intranet 2.0

Réussir un projet Intranet 2.0 Frédéric Créplet Thomas Jacob Réussir un projet Intranet 2.0 Écosystème Intranet, innovation managériale, Web 2.0, systèmes d information, 2009 ISBN : 978-2-212-54345-2 Sommaire Démarche générale de l

Plus en détail

Vision prospective et obstacles à surmonter pour les assureurs

Vision prospective et obstacles à surmonter pour les assureurs smart solutions for smart leaders Le «Big Data» assurément Rédigé par Pascal STERN Architecte d Entreprise Vision prospective et obstacles à surmonter pour les assureurs Un avis rendu par la cour de justice

Plus en détail

PÉRENNISER LA PERFORMANCE

PÉRENNISER LA PERFORMANCE PÉRENNISER LA PERFORMANCE La recherche de performance est aujourd hui au cœur des préoccupations des organisations : succession des plans de productivité et de profitabilité, plans de reprise d activités,

Plus en détail

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde Direction Communication 63 rue de Villiers, 92200 Neuilly-sur-Seine Tél. 01 56 57 58 59 Communiqué de presse Contact : PwC, Hélène Coulbault, 01 56 57 88 26, helene.coulbault@fr.pwc.com Neuilly-sur-Seine,

Plus en détail

Les Dossiers Airnlive Consulting. Check List BYOD

Les Dossiers Airnlive Consulting. Check List BYOD Check List BYOD Qu est-ce que le BYOD? Littéralement : Bring Your Own Device. Il s agit d un usage récent dans l entreprise consistant à laisser le salarié utiliser à des fins professionnelles ses propres

Plus en détail

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière,

Plus en détail

«Smart City», les services à l usager au bout des doigts!

«Smart City», les services à l usager au bout des doigts! White paper 9 : Smart Cities «Smart City», les services à l usager au bout des doigts! Emmanuel Jaunart Emmanuel Jaunart commença sa carrière dans le domaine des télécommunications. En 1995, il rejoint

Plus en détail

champ d action Commentaires et actions 2011

champ d action Commentaires et actions 2011 champ d action PROTECTION DES DONNÉES PERSONNELLES, dont les activités sont fondées sur le modèle économique de l abonnement, recueille des données destinées à la gestion de la relation commerciale avec

Plus en détail

La Gestion Electronique des Documents

La Gestion Electronique des Documents La Gestion Electronique des Documents La mise en place d une solution La gestion de l information est devenue un enjeu stratégique majeur à l intérieur des organisations. D après l observation des projets

Plus en détail

Quels problèmes, quelles solutions?

Quels problèmes, quelles solutions? WISG 2015 : 3 Février Cybercriminalité, Cyber-menace et entreprise numérique Quels problèmes, quelles solutions? Sommaire Le contexte Global Le Système d Information : dépendance, complexité La menace

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 21 - Mars 2010 La Lettre Sécurité Édito Souvenez-vous : en 2007, Solucom publiait son premier Livre Blanc entièrement consacré à la famille de normes ISO 27000 et plus particulièrement à la norme ISO

Plus en détail

Division Espace et Programmes Interarméeses. État tat-major des armées

Division Espace et Programmes Interarméeses. État tat-major des armées Division Espace et Programmes Interarméeses LE MINDEF en quelques mots 295 000 personnes, militaires et civils. 7000 personnes engagées en opérations extérieures, 80% au sein d une coalition internationale

Plus en détail

Déjouer la fraude aux «faux» virements. MEDEF Lyon Rhône Mardi 28 avril 2015

Déjouer la fraude aux «faux» virements. MEDEF Lyon Rhône Mardi 28 avril 2015 Déjouer la fraude aux «faux» virements MEDEF Lyon Rhône Mardi 28 avril 2015 Typologie de la fraude sur les moyens de paiements Source BDF Données fraude sur les moyens de paiements en France Source BDF

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST $ WHOAMI ITrust Société toulousaine Expertise en sécurité informatique Activités Service en sécurité (pentest / forensic / formation ) Editeur de

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité 1. Le m-paiement 2. Le régime juridique du m- paiement 3. Le m-paiement et les failles de sécurité 1. Le m-paiement, c est? Définition: ensemble des paiements pour lesquels les données de paiement et les

Plus en détail

Solutions d authentification renforcée Critères d évaluation État de l art

Solutions d authentification renforcée Critères d évaluation État de l art Solutions d authentification renforcée Critères d évaluation État de l art Sommaire Rappel JRSSI 2012 : Sécurité des accès périmétriques Cas d'usage, besoins et contraintes utilisateurs Critères d évaluation

Plus en détail

Développement durable et gouvernement d entreprise : un dialogue prometteur

Développement durable et gouvernement d entreprise : un dialogue prometteur Thierry WIEDEMANN-GOIRAN Frédéric PERIER François LÉPINEUX Développement durable et gouvernement d entreprise : un dialogue prometteur Préface de Frédéric Tiberghien Président de l ORSE (Observatoire sur

Plus en détail

Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013)

Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013) Management qualité Réflexions et Prescriptions essentielles (Extraits VAE Alain THEBAULT 2013) 1 Le Système qualité La cartographie des processus, qui se situe entre le manuel qualité et les procédures

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Les clés de la mixité

Les clés de la mixité Women Matter 2012: Making the Breakthrough Les clés de la mixité Focus sur les entreprises françaises 2 McKinsey conduit depuis de nombreuses années des travaux de recherche sur le rôle des femmes au sein

Plus en détail

Les Histoires de demain par TNP REVUE DE PRESSE

Les Histoires de demain par TNP REVUE DE PRESSE Les Histoires de demain par TNP REVUE DE PRESSE 4 novembre 2015 Les Echos Business - 04/11/2015 http://business.lesechos.fr/directions-numeriques/digital/transformation-digitale/021450570757-s-adapter-ou-se-transformer-les-hesitations-des-entreprises-pre-numeriques-204380.php

Plus en détail

n spécial Assises de la Sécurité 2009

n spécial Assises de la Sécurité 2009 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif

Plus en détail

son offre Executive Education

son offre Executive Education Destinée aux cadres supérieurs, dirigeants d entreprises et entrepreneurs menée en partenariat avec CentraleSupélecParis Lancée en Octobre 2015 Casablanca, le 2 juin 2015 L Ecole Centrale Casablanca annonce

Plus en détail

Solutions et Gestion Sécurisées des données Safe and secure data solutions and management

Solutions et Gestion Sécurisées des données Safe and secure data solutions and management Solutions et Gestion Sécurisées des données Safe and secure data solutions and management Chantal PRALIAUD Chef de Projet Transports Intelligents Groupe Imprimerie Nationale Mme Chantal Praliaud Mission

Plus en détail