La Lettre Sécurité. Campagnes de sensibilisation : comment en mesurer l impact? Édito. n 37

Dimension: px
Commencer à balayer dès la page:

Download "La Lettre Sécurité. Campagnes de sensibilisation : comment en mesurer l impact? Édito. n 37"

Transcription

1 n 37 La Lettre Sécurité Édito Hapsis rejoint le cabinet Solucom Depuis le début du mois d avril, les collaborateurs d Hapsis ont rejoint les équipes Risk Management et Sécurité de Solucom. Hapsis, créé en 2002, regroupe une quarantaine de collaborateurs et intervient historiquement dans la gestion des risques et la sécurité numérique. Ce rapprochement est un vrai plus pour Solucom : Hapsis travaille avec des clients comparables à ceux de Solucom et nos savoirfaire sont très complémentaires. C est en particulier sur le domaine de la sensibilisation et du volet humain de la cybersécurité que nous confortons nos positions. Nous consacrons justement le dossier de cette Lettre Sécurité au sujet de la mesure de l impact des campagnes de sensibilisation. Le paysage de la cybersécurité évolue rapidement ces temps-ci, les acquisitions se succèdent et nous pouvons nous féliciter, grâce à cette acquisition, d asseoir notre position de leader du conseil en gestion de risques et de sécurité de l information avec quasiment 300 consultants*! Bienvenue aux équipes d Hapsis, dont nous aurons l occasion de voir régulièrement les contributions dans la Lettre Sécurité. Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information * Source Pierre Audoin Consultants Campagnes de sensibilisation : comment en mesurer l impact? La sensibilisation du personnel a été, pendant longtemps, le parent pauvre des stratégies de sécurité mises en œuvre dans les entreprises. Quelques contre-exemples notables ne peuvent dissimuler le fait que ce sujet ait été peu, pas ou mal traité dans la majorité des entreprises. Parmi les raisons qui ont pu conduire à cette situation, il est possible de recenser notamment le manque de budget ; la difficulté de mobiliser des intervenants aux métiers différents ; la difficulté de montrer des résultats car l effort doit être porté dans la durée ; les a priori de certains dirigeants : «la sensibilisation, ça ne sert à rien». C est pourquoi, si l on veut être capable de placer le traitement du volet humain de la sécurité et donc la sensibilisation à sa juste place, il est indispensable de disposer d une mesure qui va nous permettre de savoir d où on part, quel est le chemin parcouru et donc de placer les travaux de sensibilisation dans une démarche d amélioration continue. En effet, la mise en place d une mesure permet de rendre tangible l impact d une campagne de sensibilisation. Il devient ainsi possible de se donner des objectifs et de mesurer leurs atteintes en termes de participation, d adhésion et de résultats. Une mesure permet également d identifier des groupes d excellence sur lesquels on pourra s appuyer dans le temps pour diffuser la culture sécurité. Une campagne de sensibilisation, surtout s il s agit de la première, n aura vraisemblablement qu un impact partiel. En effet, seule une partie de la population, que l on espère la plus importante possible, commencera à adopter les comportements attendus. Il reste qu un premier noyau est ainsi déjà constitué et c est sur celui-ci que l on va ensuite pouvoir s appuyer pour agrandir le cercle. Car si la sécurité est l affaire de tous, la diffusion d une culture de sécurité se fait aussi par l exemple. Enfin si l on veut pouvoir intégrer le processus de sensibilisation dans l élaboration d un tableau de bord SSI, il est nécessaire de disposer des bons indicateurs. La mesure d un modèle de maturité A des fins de benchmark et pour pouvoir se donner des objectifs clairs et réalistes, il peut être utile de pouvoir se positionner et se fixer des objectifs à atteindre au travers d un modèle de maturité. C est pourquoi, nous proposons ici un modèle de maturité adapté à la problématique de sensibilisation. La classification ci-dessous illustre les différents niveaux que l on peut rencontrer quant au développement d une culture sécurité : Niveau 0 : les utilisateurs sont laissés à eux même, aucune consigne particulière ne leur est donnée, seuls les équipements d infrastructure assurent la sécurité. Niveau 1 : des outils sont mis en place à l initiative de l équipe SSI (charte, affiches ). Aucun retour quant à l effi- Suite en page 2 DÉCRYPTAGES P4 Touch ID marque-t-il la sécurité de son empreinte? P5 Voiture connectée : quels enjeux de sécurité de l information?

2 Dossier cacité de ces mesures n existe, on communique quelques messages en espérant qu ils seront entendus. Niveau 2 : la Direction s assure que tout le personnel est formé. Elle a délégué à l équipe SSI le soin d assurer des actions d information et de sensibilisation. Des tests sont menés afin de s assurer que la connaissance des bonnes pratiques est bien diffusée. Niveau 3 : il correspond aux caractéristiques du niveau 2 auxquelles on ajoute une communication claire et directe d une vision par la Direction. Des actions sont menées afin de modifier les comportements et des indicateurs sont mis en place et suivis. Niveau 4 : aux caractéristiques du niveau 3 s ajoute l intégration de la sécurité à chaque processus, faisant ainsi partie intégrante de la culture d entreprise. Chaque manager suit la qualité du travail fourni en regard de la sécurité, les incidents sont analysés et cette analyse donne lieu à une amélioration continue. Dans notre modèle de maturité, le fait d apporter une mesure dans la mise en œuvre des campagnes de sensibilisation n apparaît qu au niveau 2. Ce n est qu à partir de ce niveau que l on commence à se préoccuper des résultats de ce qui est fait. Une mesure sur 3 axes Le niveau de maturité d une population concernant la sécurité numérique se mesure sur trois axes : axes les résultats obtenus en pourcentage d un résultat maximal possible. C est ce que l on retrouve dans le schéma ci-dessous. La valeur obtenue pour chacun des axes est directement liée à la campagne de mesures qui est faite sur les indicateurs propres à chaque axe. Ainsi, la mesure des connaissances peut se faire selon les thématiques choisies pour les campagnes et regroupant l ensemble des sujets à traiter. La mesure de la sensibilité peut s effectuer sur quelques indicateurs permettant d objectiver un sujet à priori difficile à évaluer. Ainsi cette mesure peut s effectuer en évaluant au travers d un processus d audit tout ce qui participe à faire du sujet quelque chose d important et la perception que les collaborateurs en ont. On définit ensuite, pour chacune des réponses proposées, le nombre par lequel sera incrémenté l attribut si cette réponse est choisie. Chaque répondant obtient ainsi une note sur cet attribut. On calcule ensuite la moyenne des résultats obtenus que l on met en regard de la note maximale qu il est possible d obtenir. La mesure des comportements portera sur certaines catégories de comportements a priori plus facilement observables. Comment mesure-t-on? Réalisation d une enquête physique Relativement peu usité, la réalisation d une enquête physique peut avoir l avantage de permettre de prendre le pouls d une population au regard de la sécurité de l information. En effet, au-delà des aspects quantitatifs, le retour effectué par des enquêteurs peuvent, dans ce cas, incorporer des éléments d «ambiance» difficiles à évaluer par d autres procédés. En revanche le procédé prend du temps et est couteux. L enquête est alors réalisée sur un échantillon représentatif de la population ciblée. L échantillonnage sera effectué selon la méthode des quotas, c est-à-dire respectant en proportion les différentes caractéristiques de la population de l organisation. Mesure en ligne La réalisation d une enquête en ligne est un excellent moyen pour réaliser une évaluation de la maturité d une population au regard des questions de sécurité. Ce procédé permet de cibler la totalité de la population et de rester à un coût de mise en œuvre raisonnable. Afin de permettre, comme nous l avons vu, une mesure sur les trois axes de sensibilité, de connaissances et de comportements, une telle enquête doit : L axe sensibilité correspond à la perception que les collaborateurs ont de la sécurité comme étant un sujet important dans l organisation. L axe connaissances correspond au niveau de connaissance des utilisateurs sur les enjeux et les bonnes pratiques. L axe comportements correspond au niveau de respect, par les utilisateurs, des comportements souhaités. Plusieurs méthodes existent pour visualiser les mesures obtenues. Une manière classique consiste à représenter sur une figure multi C est en développant la sensibilité et les connaissances au travers d une communication engageante que l on finit par obtenir les comportements souhaités. 2 La Lettre Sécurité N 37 mai 2015

3 Être composée d une série de QCM, traitant des différentes thématiques à couvrir (aspects légaux, organisation, mot de passe, ingénierie sociale ). Permettre la mesure de la connaissance par un rattachement des questions aux différents sujets à couvrir. Associer les attributs sensibilité, connaissance et comportement aux questions afin de donner une valeur à ces attributs en fonction des réponses choisies par le répondant. La diffusion de l enquête pourra également s appuyer sur un outil permettant d identifier les niveaux de réponses en fonction d un profilage particulier de la population cible. Cela permet notamment de mesurer l impact d une campagne de sensibilisation en fonction des métiers de l entreprise. Des questions sont donc posées en ligne dans le cadre d une enquête menée sur une période de quelques semaines. Evaluation des comportements par observation La finalité des campagnes de sensibilisation étant d avoir un impact réel sur les comportements, il peut être particulièrement intéressant de mesurer l évolution dans le temps de certains comportements réels. Il s agit ici de mesurer ce que font les collaborateurs réellement et non ce qu ils déclarent ou ce qui transparait dans leurs réponses à une enquête. Cela passe par l observation de ces comportements et la mise en œuvre de tests. On peut ainsi citer, à titre d exemples : Test sur l utilisation de la messagerie et sur le respect de la politique antivirale par envoi de messages de source inconnue avec une pièce jointe exécutable mais inoffensive et mesure du taux d ouverture de ces pièces jointes. Test de phishing : envoi d un message de type phishing mais au contenu inoffensif et permettant de mesurer le taux de clics. Test sur le respect de la politique de création de mot de passe par un test de résistance sur la base de mots de passe. Test sur le respect de la politique de l utilisation d Internet par examen des traces et le recensement des URL visitées. À chacun de ces tests est associé un indicateur qui peut être à chaque fois le taux de bons comportements sur le nombre de comportements observés. Ces indicateurs viennent ensuite enrichir la mesure faite sur l axe comportement. Rattachement au tableau de bord sécurité Le traitement du volet humain de la sécurité est un aspect essentiel de toute stratégie sécurité. Ainsi, si un tableau de bord de la sécurité est élaboré, il convient d y intégrer la mesure de maturité des collaborateurs de l entreprise. Si ce tableau de bord suit une approche de type tableau de bord équilibré (Balanced Score Card) on doit identifier les Indicateurs Clés d Objectif (ICO) et les Indicateurs Clés de Performance (ICP) applicables au processus de sensibilisation. L objectif de tout processus d acculturation est, rappelons-le, d obtenir des comportements conformes aux bonnes pratiques et, par-là, de diminuer le nombre d incidents trouvant leur origine dans une cause humaine. Il est donc possible de choisir comme ICO : Le nombre d incidents ayant pour origine un défaut de comportement d un collaborateur, dans la mesure où le processus de gestion des incidents le permet. Le nombre de constatations de défauts de comportements dans le cadre d un audit ou d une enquête récurrents portant sur un référentiel constant. Et comme ICP : Les indicateurs choisis pour mesurer la sensibilité. Les indicateurs choisis pour mesurer la connaissance. Pour conclure Il faut inscrire la mesure dans une dynamique. À la question : «Comment intéresser ma Direction Générale aux opérations de sensibilisation?», la réponse est : «Donnez-lui un retour quantifié!» La mise en place d une mesure dans le temps du niveau de maturité du personnel au regard des questions de sécurité ne peut qu intéresser une Direction Générale et la motiver à accorder des moyens à des actions dont elle mesure l impact. Le processus d acculturation d une population est un chantier de longue haleine, seule la mise en place d une mesure permet de démontrer le chemin parcouru et de se donner des objectifs. Extrait du livre blanc «Comment mesurer les impacts des campagne de sensibilisation» rédigé par Hapsis en février La Lettre Sécurité N 37 mai

4 Dossier Décryptage Touch ID marque-t-il la sécurité de son empreinte? Florian Pouchet Mehdi Karray La biométrie prend une place de plus en plus grande dans notre quotidien. Désormais, les smartphones peuvent se déverrouiller grâce à des lecteurs d empreintes digitales miniatures qui s intègrent parfaitement à la physionomie globale des terminaux. De nouveaux usages, dont les paiements sécurisés par empreinte digitale, font également leurs apparitions. Touch ID, le capteur d empreinte digitale d Apple, a ouvert la voie de cette démocratisation : selon la firme à la pomme, «trop peu de personnes mettent en place un code de sécurité pour déverrouiller leurs appareils». La question suivante se pose donc : Touch ID est-il réellement performant et sécurisé? Touch ID, un lecteur d empreintes simple et plus sûr Selon Apple, Touch ID est plus sécurisé qu un code à quatre chiffres : la probabilité que le capteur confonde deux empreintes digitales est de 1 sur et elle augmente à «1 sur lorsqu un utilisateur non autorisé devine un code d accès à 4 chiffres». Il faut néanmoins préciser que ces deux chiffres ne sont pas réellement de même nature car le premier représente une probabilité de fausse détection tandis que le second correspond à la probabilité de trouver le bon code de déverrouillage et donc de pouvoir se ré-authentifier par la suite. Utiliser Touch ID est également relativement simple. Lorsque le doigt est apposé sur le bouton d activation de l écran d accueil, une photographie haute résolution de l empreinte digitale est prise, puis comparée à un gabarit référence généré au moment de l enregistrement de l utilisateur. Concernant la confidentialité de ces données, la documentation technique précise que lors du processus d enregistrement, c est la modélisation mathématique de l empreinte digitale qui est hébergée dans l enclave sécurisée du processeur, au plus proche du capteur, et non les empreintes digitales des utilisateurs. Un capteur biométrique aux usages multiples Avec le lancement de l iphone 6 et d ios 8, les usages évoluent. Jusqu à présent, le capteur permettait uniquement de s authentifier et de payer ses achats sur l Apple store, l itunes Store et l ibooks Store. Désormais, l arrivée d Apple Pay permet de réaliser tous types d achats en validant ses paiements via Touch ID, notamment grâce à l intégration d une puce NFC (pour le moment, Apple Pay n est disponible qu aux États-Unis). Il devient également possible de sécuriser l accès à des applications tierces. Les nouvelles fonctionnalités que pourraient offrir ces capteurs biométriques sont nombreuses, telles que déverrouiller une voiture ou effectuer un virement bancaire. La question de la sécurité devient donc cruciale. Performances et limites de Touch ID En dépit des tests et des études montrant que cette technologie est robuste et que les taux de faux positifs et de faux négatifs restent bas, Touch ID possède quelques limites. L authentification peut être avortée si le lecteur biométrique porte des traces de poussières, de graisse Le capteur est également insensible à la chaleur corporelle et ne fait donc pas la différence entre la peau et les corps inertes. Enfin, comme pratiquement tous les lecteurs d empreintes digitales, il est possible de le piéger. De nombreux experts en sécurité ont posté des vidéos montrant leurs tentatives réussies de piratages à partir de fausses empreintes digitales. Le «Chaos Computer Club» a ainsi réussi à tromper Touch ID en photographiant en haute résolution une empreinte digitale et en moulant cette dernière. Nous avons, nous aussi, voulu tester la fiabilité de cette technologie avec de fausses empreintes digitales réalisées en gélatine alimentaire et en colle à bois. Le processus est fastidieux et les résultats varient en fonction de la qualité des copies et de leur fidélité par rapport à l originale, mais nous sommes bien parvenus à déjouer le capteur biométrique. Ainsi, une personne mal intentionnée pourrait parvenir, moyennant de nombreux efforts, à s authentifier sur les appareils utilisant la biométrie par Touch ID. Cela implique cependant de pouvoir récolter une empreinte digitale nette, claire et épaisse qui puisse être facilement dupliquée, ce qui est au quotidien difficile à trouver. Et cela laisse toujours en suspens la question de la répudiation d un facteur d authentification biométrique. Des évolutions dans le futur? Simple d usage et efficace, la technologie Touch ID est une belle avancée pour la sécurité des terminaux mobiles. Malgré ses limites, les usages cités précédemment (accès aux données personnelles sur les terminaux, paiements mobiles ) ne devraient théoriquement pas souffrir de problèmes majeurs de sécurité pour le grand public. Cependant, pour des populations sensibles ou dans des contextes à risques, il faut avoir conscience des limites concrètement démontrées. Il aurait été souhaitable que la sortie de l iphone 6 améliore de façon notable la sécurité et les performances du capteur biométrique. Malheureusement, à part une plus grande sensibilité impliquant une diminution du taux de faux négatifs (la résolution du capteur étant plus grande), il n y a pas eu de modifications substantielles. Dans le futur, une approche combinant l empreinte et un code pourrait être une évolution intéressante et simple à mettre en œuvre. Enfin, si l on souhaitait renforcer la sécurité de manière significative, on aurait pu s orienter vers des technologies biométriques «sans traces» (réseau veineux, reconnaissance d iris ). Mise à part l usabilité de la plupart de ces technologies qui ne permet pas à l heure actuelle de les intégrer sur un smartphone, la question essentielle est de savoir si le grand public est prêt à les accepter et à les utiliser... 4 La Lettre Sécurité N 37 mai 2015

5 Décryptage Voiture connectée : quels enjeux de sécurité de l information? Amal Boutayeb François Luquet Le secteur du transport n échappe pas à la transformation numérique, notamment les voitures qui deviennent de plus en plus communicantes. Les projets sont nombreux, pour n en citer que quelques-uns : la création d un système européen d appel d urgence automatique «E-call», les places de stationnement intelligentes ou encore le déploiement de sites pilotes de voitures connectées en France (projet et sur le corridor Rotterdam-Vienne. Les initiatives posent la question de la sécurité de l information Un système de transports intelligents, quel qu il soit, permet de diffuser et partager de l information, de la traiter de manière autonome et intelligente. Les objectifs de telles évolutions? Ils sont multiples : optimiser la gestion de trafic, améliorer la sécurité routière, aider à développer la multi-modalité, etc. De tels usages nécessitent l échange de nombreuses informations, entre les véhicules ou entre les véhicules et les infrastructures routières : vitesse, positionnement GPS, changement de trajectoire, alertes sur le trafic Protection des données à caractère personnel, préservation de l intégrité des informations, disponibilité des dispositifs qui concourent à la sécurité routière : les enjeux de sécurité de ces informations ressortent clairement comme essentiels pour que la voiture connectée de demain donne confiance aux usagers. Ces transformations font aujourd hui l objet de réflexions de standardisation et de normalisation menées par divers groupes de travail (l ISO, la Commission européenne de normalisation, et l ETSI European Telecommunications Standards Institute). Ces organismes mènent des réflexions qui portent par exemple sur les formats de messages à utiliser, les canaux de communications envisageables (Wi-Fi véhiculaire, réseaux cellulaires ou réseau satellite) ou la sécurisation des protocoles de communication. En complément, de nombreux consortiums européens (Drive C2X, CAR2CAR, FOTsis) mènent des réflexions sur le déploiement de systèmes routiers collaboratifs. Certains d entre eux peuvent intégrer le sujet de la sécurité de l information. Si ces réflexions portent sur un périmètre plus ou moins large, mener un projet lié aux voitures connectées implique de revenir sur les usages et d identifier les risques puis les mesures de sécurité à mettre en place sur l ensemble des briques du dispositif : la voiture, les bornes, les systèmes d information du gestionnaire, etc. Focus sur le véhicule : la prise de contrôle par un attaquant est-elle réellement possible? Les attaques informatiques sur des systèmes embarqués de véhicules ne sont pas une nouveauté en soi. Des démonstrations d attaques ont été réalisées par manipulation physique des boîtiers. Mais aujourd hui il est indispensable d intégrer la dimension communicante du véhicule et donc la capacité à prendre le contrôle à distance. En effet, les voitures ont historiquement été conçues pour fonctionner en système fermé, sans ou avec très peu d interactions avec le monde extérieur. La multiplication des connexions des véhicules avec le monde extérieur constitue de nouvelles surfaces d attaque. Le «car hacking» est donc possible et pour la sécurité de l information dans les véhicules de demain, les constructeurs intègrent la cybersécurité dans les réflexions sur l architecture technique du véhicule. Il s agit notamment de mettre en œuvre un cloisonnement entre les réseaux de fonctionnement liés au système de conduite (freinage par exemple) et les réseaux liés «aux médias» et à la sécurisation du boîtier de communication. Au-delà des projets en cours, comment anticiper la «smart security» dans le transport routier? Si le sujet est innovant, la démarche de sécurité est en somme «classique» : intégrer la sécurité dans toutes les phases du projet! Il s agit d un point essentiel pour mener la réflexion sur l ensemble des briques. Dans un premier temps, analyser les usages et donc les besoins de sécurité. Ensuite, comprendre les fonctions, l architecture de sécurité et donc les menaces et vulnérabilités. Puis, en fonction des risques, les mesures de sécurité à mettre en place et à maintenir doivent être définies, qu elles soient techniques ou organisationnelles. Une spécificité néanmoins liée au caractère innovant : mener une veille permanente sur le sujet. Quels nouveaux projets peuvent présenter des adhérences? Quels nouveaux standards? Quels travaux des chercheurs sur les vulnérabilités, sur les solutions? Quels consortiums, groupes de travail portent une réflexion sur une brique? Le secteur est en pleine transformation, et son évolution doit donc être suivie avec une grande attention. La Lettre Sécurité N 37 mai

6 Focus TV5Monde : une cyberattaque de grande ampleur médiatique! Chadi Hantouche, manager L attaque de de la chaîne télévisée TV5Monde, ayant notamment abouti à l interruption des programmes dans la nuit du 8 au 9 avril 2015, aura occupé un large espace médiatique et fait couler beaucoup d encre. Plus d un mois après, plusieurs questions se posent toujours, auxquelles Chadi Hantouche, manager en cybersécurité au sein du cabinet Solucom, se propose de répondre. Que sait-on de l attaque contre TV5Monde? Qui sont les attaquants? Le 8 avril au soir, les comptes de TV5Monde sur les réseaux sociaux diffusent des messages favorables à l État Islamique. En parallèle, la chaîne arrête d émettre et les téléspectateurs se retrouvent devant un écran noir. Il faudra sans doute attendre les résultats de l enquête pour connaitre les détails de l attaque, mais quelques éléments sont déjà connus avec un bon niveau de certitude. Tout d abord, il s agit d une attaque préparée et coordonnée. De nombreuses sources évoquent un mail de phishing ayant piégé un ou plusieurs employés de la chaîne, probablement les community managers, permettant à des attaquants de prendre le contrôle de leur poste de travail, puis de rebondir à l intérieur du système d information. Une fois que les attaquants ont réussi à atteindre les serveurs assurant le multiplexage et permettant d interrompre la diffusion, ils ont lancé toutes les actions malfaisantes en parallèle : réseaux sociaux et diffusion. Ces éléments laissent à penser que l attaque a nécessité une équipe de réalisation composée de plusieurs personnes et compétences. Attention toutefois à une attribution de l attaque trop hâtive : elle pourrait effectivement avoir été menée par un groupe idéologique, mais elle pourrait également avoir été commanditée à un groupe de «cyber mercenaires» avec une unique motivation financière. S agit-il d une attaque exceptionnelle? L attaque n est pas extraordinaire par son mode opératoire, les attaquants ayant probablement suivi le schéma classique : une phase de reconnaissance, puis d intrusion, et enfin de propagation jusqu à atteindre les systèmes ciblés. Si l attaque a été exceptionnelle, c est surtout par sa couverture médiatique. Tous les médias généralistes ou presque en ont parlé, en France comme à l international. À cela, il y a plusieurs explications. D une part, l aspect symbolique et très visible de l attaque : TV5Monde est une chaîne francophone, diffusée partout dans le monde. Elle porte donc indirectement l image de la France et se retrouve au milieu d une guerre médiatique. D autre part, l impact de l attaque : la chaîne a arrêté d émettre ses programmes, ce qui est son principal métier. Cela a créé une frayeur dans beaucoup de médias, qui redoutent d être les prochaines victimes et ont donc tenté de comprendre l attaque. Les médias vont-ils devenir une cible privilégiée des pirates? Y a-t-il un moyen pour eux de se prémunir? Un média est une cible de choix pour qui veut diffuser un message de propagande idéologique. Il est donc aujourd hui important pour les médias, comme pour beaucoup d entreprises, de se préoccuper de leur sécurité informatique. Tout d abord, il faut systématiquement faire auditer les infrastructures informatiques exposées sur Internet et bien sûr corriger les éventuelles faiblesses découvertes. Il est également nécessaire de sensibiliser les collaborateurs aux bonnes pratiques «d hygiène» en sécurité informatique, en portant une attention particulière aux utilisateurs disposant de données ou de droits particuliers (tels que les community managers de réseaux sociaux, les administrateurs informatiques et les dirigeants). Enfin, l affaire TV5Monde a mis en exergue un point intéressant à garder à l esprit : il est vital que la cybersécurité soit un domaine de collaboration entre entreprises et non de compétition! En particulier, le partage des IOC (indicateurs de compromission permettant de détecter les traces d une attaque) entre entreprises du même secteur devient une priorité. Après une chaîne de télévision, qu est-ce qui empêche l attaque d infrastructures plus critiques de notre pays? L État se donne aujourd hui les moyens de sécuriser les infrastructures informatiques les plus sensibles : d importants budgets sont mis en œuvre pour protéger les services étatiques et accompagner celles des entreprises (Opérateurs d Importance Vitale en particulier), voire leur imposer dans certains cas. Les sociétés concernées travaillent depuis des années sur leur sécurité informatique, et le sujet est pris de plus en plus au sérieux par les Directions Générales. Si une attaque n est bien sûr pas exclue, il est important de rester rationnels suite à l attaque contre TV5Monde, tout en continuant les efforts de sécurisation. 6 La Lettre Sécurité N 37 mai 2015

7 Focus Les normes TAPA ou la sécurité des transports de marchandises Bertrand Foy, manager Une menace persistante et croissante Dans le courant des années 90, un certain nombre de producteurs de biens de consommation électroniques (Compaq, Intel, Sun Microsystèmes ) ont commencé à s inquiéter du volume des pertes financières associées au vol de leurs marchandises. À cette époque, l industrie électronique américaine chiffrait ses pertes pour vol à environ 3 millions de dollars US par an (chiffre estimé à 60 milliards de dollar US aujourd hui, tous biens manufacturés confondus). Sous l impulsion de trois responsables de la sécurité industrielle de ces sociétés, l association TAPA s est réunie pour la première fois en juin 1997, avec pour objectif de développer des normes et recommandations pour renforcer la sécurité et diminuer les vols. Que vole-t-on aujourd hui? Des produits manufacturés, des produits électroniques de grande consommation, des produits alimentaires et boissons, des métaux, du textile, du prêt à porter Ces produits sont «prélevés» tout au long de la chaîne logistique. L évolution de la menace est maintenant telle que l enjeu n est plus d éviter le vol, mais de mettre en place des dispositifs afin de minimiser les impacts sur la supply chain et ses acteurs. TAPA fournit ainsi des éléments pour développer une protection active de la chaîne logistique. TAPA, qu est-ce que c est? TAPA est un réseau de professionnels composé de membres appartenant à 3 cercles distincts. Le premier cercle regroupe les professionnels qui assurent tout au long de la supply chain des rôles de fabrication, transport, stockage, assurance. Le deuxième cercle comprend des professionnels qui offrent des services de sécurité à ceux du premier cercle. Le dernier cercle regroupe les acteurs du secteur public, les auditeurs sécurité, ainsi que les enseignants et étudiants spécialisés sur le crime organisé / droit / logistique. Une animation est par ailleurs assurée sur une base régionale (Amérique, Europe / Afrique / Moyen Orient, Asie / Pacifique), au travers de rencontres, les «TAPA «T» meetings». TAPA est également un ensemble de normes. La première norme établie par la TAPA est la C-TPAT (2001), qui regroupe un ensemble de recommandations pour améliorer la sécurité des frontières des États-Unis. En 2005 la norme TSR (Trucking Security Requirements) a été diffusée. Elle vise à établir des critères d évaluation de la sécurité des transports. Cette même année, la norme FSR (Freight Supplier security Requirement) a été élaborée : elle fixe des exigences de sécurité sur l ensemble de la supply chain. En 2011, la norme FSR a évolué pour se focaliser sur les exigences de sécurité des entrepôts : Facility Security Requirement. Depuis 2011, deux nouvelles normes ont été déployées : l une (TACSS) pour l aérien, l autre pour les Parcs de stationnement (IRU/ transpark). TAPA est enfin une base de données. Dénommée «IIS» pour «Incident Information Service», cette base répertorie les incidents par région. Elle permet d identifier les tendances et «zones à risque». Elle formalise un profil du risque encouru pour chacun de ses membres. Elle constitue également un vecteur d échange d informations entre acteurs de la supply chain et agents de protection. Quels apports du TAPA pour les entreprises? Les normes et recommandations TAPA permettent à tout professionnel de se faire rapidement une idée de la maturité sécurité de son organisation. Nous recommandons en particulier la norme FSR 2011 «Freight supplier minimum security requirement» à tout responsable industriel (logistique, fabrication, sécurité), car cette norme permet d effectuer un balayage large de tous les dispositifs défenses au sens de J. Reason qu il convient de mettre en place. Nombre de sociétés se focalisent en effet sur les dispositifs techniques et «oublient» qu au-delà de ces systèmes il convient de mettre en place une organisation et des moyens de traitement de l information. En dernier lieu, le volet humain n est pas oublié. En effet, une organisation industrielle qui ne s appuie pas sur des hommes sensibilisés, entraînés et formés pour répondre aux menaces quotidiennes, est une organisation vulnérable et faiblement résiliente. Au-delà du caractère «terrain» de ces normes, celles-ci s inscrivent parfaitement dans toute démarche ISO La Lettre Sécurité N 37 mai

8 L actualité Solucom Un nouveau blog dédié à la cybersécurité : SecurityInsider Dernier né de la famille des blogs Solucom, SecurityInsider, le blog des experts sécurité de Solucom, a vu le jour fin mars dernier! Sans plus attendre, nous vous invitons à le découvrir en ligne à l adresse et sur Chaque semaine, il proposera des réactions à l actualité, mais également des analyses de fond, how-to, brèves et se fera le relais des alertes CERT. SecurityInsider met à l honneur quatre sujets phares autour de la sécurité : audit, réponse à incident, confiance numérique et écosystème (marché, start-ups ). L objectif premier étant de proposer aux lecteurs une approche technique et précise sur ces différentes expertises. Solucom déploie ses ailes à Singapour Début 2015, Solucom annonçait la signature d un accord de partenariat avec le cabinet why innovation! basé à Singapour. Aujourd hui, cet accord s est concrétisé par notre présence sur place mi-avril dernier. Nous y avons animé une table ronde lors de la conférence d inauguration du Centre de Recherche & Développement en cybercriminalité d Interpol, puis avons réalisé une formation et participé à divers rendez-vous avec des responsables sécurité locaux. Nous sommes ravis de l accueil très positif de nos savoir-faire que nous avons reçu sur place. Une entrée remarquable dans le Palmarès 2015 Great Place to Work Pour sa première participation, Solucom fait une entrée remarquable à la 5 ème place du palmarès Great Place to Work 2015 des entreprises où il fait bon travailler. 69 entreprises étaient en lice pour y figurer. La démarche d évaluation GPTW engagée par Solucom s inscrit dans la continuité des actions d audit et de benchmarking initiées par le cabinet depuis plusieurs années dans le cadre de sa politique RH. L obtention du label conforte plusieurs fondamentaux qui prennent leur source dans l ADN du cabinet : équité, transparence, convivialité et culture du collectif. Prochains événements Les Assises de la Sécurité 2015 : du 30 septembre au 3 octobre 2015, venez nous retrouver sur notre stand où nous distriburons nos récentes publications et partagerons nos derniers démonstrateurs. Nous animerons également un atelier lors de cette 15 ème édition des Assises. Attaque de TV5Monde : Solucom dans les médias France 2 JT 13h Gérôme Billois - «Il faut que cette attaque soit un réveil des entreprises pour prendre en compte cette menace qui va en grandissant.» itélé Chadi Hantouche - «Un cap a été franchi car c est le cœur de métier de la chaîne qui a été touché.» Europe 1 Gérôme Billois - «Il faut mettre en place les bons processus de gestion de crise pour être capables de protéger les systèmes les plus sensibles.» 20 Minutes Gérôme Billois - «TV5Monde a été attaquée de façon coordonnée, au cœur du système d information.» Le Figaro Gérôme Billois - «Lorsqu une telle attaque survient, il faut tout réinstaller, cela prend du temps.» Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Amal Boutayeb, François Luquet, Chadi Hantouche, Florian Pouchet, Medhi Karray, Bertrand Foy, Sylvain Crouet Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : Les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité Revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense abonnement :

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

AUDIT CONSEIL CERT FORMATION

AUDIT CONSEIL CERT FORMATION www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 23 La Lettre Sécurité Édito L actualité sécurité récente et à venir s avère chargée : la cybercriminalité est sur toutes les lèvres, innovations technologiques et nouvelles réglementations obligent les

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

La sécurité informatique, c est votre problème aussi!

La sécurité informatique, c est votre problème aussi! INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique,

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients

La Lettre Sécurité. Comment démystifier les risques du Cloud computing? Édito. n 31. La sécurité de l information, au service de la relation clients n 31 La Lettre Sécurité Édito Cybersécurité, l État investit! Pourquoi les entreprises n en font-elles pas autant? L État prend actuellement à bras le corps le sujet de la cybersécurité. La loi de programmation

Plus en détail

Présentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Présentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos. Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche

Plus en détail

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

Outsourcing : la sauvegarde en ligne des données de l entreprise.

Outsourcing : la sauvegarde en ligne des données de l entreprise. Outsourcing : la sauvegarde en ligne des données de l entreprise. Sur quels marchés votre entreprise de Sauvegarde en Ligne évolue t elle? Dans un contexte de montée en puissance de l insécurité, les solutions

Plus en détail

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS.

Ce guide n a pas vocation à se substituer à une démarche de certification PCI DSS. Guide à l attention des développeurs / hébergeurs de sites web marchands sur le niveau minimum de sécurité pour le traitement de numéros de cartes bancaires Préambule Ce guide n a pas vocation à se substituer

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

La biométrie au cœur des solutions globales

La biométrie au cœur des solutions globales www.thalesgroup.com GESTION D IDENTITÉ SÉCURISÉE La biométrie au cœur des solutions globales Risques et solutions Explosion de la mobilité des personnes et des échanges de données, croissance des flux

Plus en détail

n spécial Assises de la Sécurité 2009

n spécial Assises de la Sécurité 2009 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif

Plus en détail

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière,

Plus en détail

technologie la SD-BOX

technologie la SD-BOX 02 la technologie la SD-BOX L accès aux données constitue un enjeu croissant pour les organismes, notamment à des fins d études et de recherche. Certaines données hautement sensibles (données personnelles,

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012 LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste

Plus en détail

Une crise serait un «changement brutal et

Une crise serait un «changement brutal et Une crise serait un «changement brutal et soudain entre deux états, qui provoque une rupture d'équilibre». Marle Hélène Westphallen, (1994) «La cybercriminalité recouvre toute activité illégale et irrégulière

Plus en détail

Transformation IT de l entreprise LA MOBILITÉ NÉCESSITE UN CHANGEMENT DES SI EN PROFONDEUR

Transformation IT de l entreprise LA MOBILITÉ NÉCESSITE UN CHANGEMENT DES SI EN PROFONDEUR Transformation IT de l entreprise LA MOBILITÉ NÉCESSITE UN CHANGEMENT DES SI EN PROFONDEUR L es technologies mobiles impactent en profondeur le fonctionnement des organisations. Elles sont également à

Plus en détail

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité 1. Le m-paiement 2. Le régime juridique du m- paiement 3. Le m-paiement et les failles de sécurité 1. Le m-paiement, c est? Définition: ensemble des paiements pour lesquels les données de paiement et les

Plus en détail

Mail-SeCure sur une plateforme VMware

Mail-SeCure sur une plateforme VMware OUR INNOVATION YOUR SECURITY Mail-SeCure sur une plateforme VMware APERÇU Les menaces liées aux messages électroniques sont un problème connu depuis longtemps. La plupart des entreprises prennent des mesures

Plus en détail

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Intégrer l assurance dans la gestion des risques liés à la sécurité des données Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1

Plus en détail

DÉFENSE & SÉCURITÉ. sdv.com

DÉFENSE & SÉCURITÉ. sdv.com DÉFENSE & SÉCURITÉ sdv.com SDV, UN SERVICE DE PROXIMITÉ ET UNE PERFORMANCE ASSURÉE La puissance de notre réseau : Notre présence dans 102 pays garantit un service de proximité auprès de tous nos clients

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

La notation en matière de sécurité

La notation en matière de sécurité La notation en matière de sécurité Août 2008 Le CDSE Le Club des Directeurs Sécurité d Entreprise est l association des directeurs de sécurité d entreprise et de leurs collaborateurs. Il fédère des entreprises

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail

Solutions et Gestion Sécurisées des données Safe and secure data solutions and management

Solutions et Gestion Sécurisées des données Safe and secure data solutions and management Solutions et Gestion Sécurisées des données Safe and secure data solutions and management Chantal PRALIAUD Chef de Projet Transports Intelligents Groupe Imprimerie Nationale Mme Chantal Praliaud Mission

Plus en détail

La Lettre Sécurité. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? Édito. n 34

La Lettre Sécurité. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? Édito. n 34 n 34 La Lettre Sécurité Édito Sécurité des SI industriels : rester aux avant-postes! Les attaques récentes l ont mis en avant : le SI industriel est toujours une cible, il est essentiel de monter en compétences

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques. TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace

Plus en détail

Piratage Télécom : Comment se protéger?

Piratage Télécom : Comment se protéger? Piratage Télécom : Comment se protéger? Rhénatic Pôle de Compétences TIC d Alsace, créé en octobre 2006 Un réseau d une centaine d entreprises numériques alsaciennes, issus de tous les métiers des TIC

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Retour d'expérience sur le déploiement de biométrie à grande échelle

Retour d'expérience sur le déploiement de biométrie à grande échelle MARET Consulting Boulevard Georges Favon 43 CH 1204 Genève Tél +41 22 575 30 35 info@maret-consulting.ch Retour d'expérience sur le déploiement de biométrie à grande échelle Sylvain Maret sylvain@maret-consulting.ch

Plus en détail

IBM Tivoli Compliance Insight Manager

IBM Tivoli Compliance Insight Manager Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts

Plus en détail

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information

Plus en détail

contactless & payment des solutions de test pour mener à bien vos projets

contactless & payment des solutions de test pour mener à bien vos projets contactless & payment des solutions de test pour mener à bien vos projets contactless & payment certification et tests de bout en bout pour des dispositifs de paiement sans contact Conseil indépendant

Plus en détail

Division Espace et Programmes Interarméeses. État tat-major des armées

Division Espace et Programmes Interarméeses. État tat-major des armées Division Espace et Programmes Interarméeses LE MINDEF en quelques mots 295 000 personnes, militaires et civils. 7000 personnes engagées en opérations extérieures, 80% au sein d une coalition internationale

Plus en détail

de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement

de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement point de vue MANAGEMENT ET GESTION DES HOMMES Le rôle de la DRH dans la conduite du changement La conduite du changement est une dimension essentielle de tout grand projet de transformation des entreprises.

Plus en détail

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

Convergence Grand public professionnelle

Convergence Grand public professionnelle Note de synthèse Convergence Grand public professionnelle Cette note synthétise les réflexions d une des tables rondes des entretiens Télécom de Mars 2006, organisés par Finaki. A cette table étaient à

Plus en détail

Déjouer la fraude aux «faux» virements. MEDEF Lyon Rhône Mardi 28 avril 2015

Déjouer la fraude aux «faux» virements. MEDEF Lyon Rhône Mardi 28 avril 2015 Déjouer la fraude aux «faux» virements MEDEF Lyon Rhône Mardi 28 avril 2015 Typologie de la fraude sur les moyens de paiements Source BDF Données fraude sur les moyens de paiements en France Source BDF

Plus en détail

Club des Responsables d Infrastructures et de la Production

Club des Responsables d Infrastructures et de la Production Club des Responsables d Infrastructures et de la Production LA BRIGADE D ENQUÊTES SUR LES FRAUDES AUX TECHNOLOGIES DE L INFORMATION Intervention du Commissaire Divisionnaire Anne SOUVIRA Le 19 mars 2014

Plus en détail

16 conseils afin de constituer une expérience de commerce en ligne réussie

16 conseils afin de constituer une expérience de commerce en ligne réussie LIVRE BLANC 16 conseils afin de constituer une expérience de commerce en ligne réussie Comment faire face aux challenges prévisibles et inattendus INTRODUCTION Cette année c est la bonne! Votre entreprise

Plus en détail

Présentation BAI -CITC

Présentation BAI -CITC Présentation BAI -CITC Expertise reconnue dans des niches technologiques Technologies embarquées Technologies sans contact Technologies d identification et d authentification Sécurité des objets connectés

Plus en détail

Solutions de sécurité des données Websense. Sécurité des données

Solutions de sécurité des données Websense. Sécurité des données Sécurité des données Data Security Suite Data Discover Data Monitor Data Protect Data Endpoint Solutions de sécurité des données Sécurité des Données: l approche de permet d assurer l activité de l entreprise

Plus en détail

Sécurité informatique : sensibiliser votre personnel

Sécurité informatique : sensibiliser votre personnel En bref : Les politiques strictes de sécurité informatique et les avancées techniques ne suffisent pas à elles seules à assurer la protection des entreprises. Les mécanismes de protection sont souvent

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Rapport de Post- Campagne 1

Rapport de Post- Campagne 1 Rapport de Post- Campagne 1 Résumé - La campagne Adwords que nous avons mené pour Galerie Photo-Originale a duré 21 jours (5.05-26.05) et nous a coûté $250,18. L objectif principal est en premier de stimuler

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE sommaire MIEUX COMPRENDRE LES CERTIFICATS SSL...1 SSL et certificats SSL : définition...1

Plus en détail

1 L adéquation des systèmes d information actuels

1 L adéquation des systèmes d information actuels 1 L adéquation des systèmes d information actuels 1.1 Le contexte de la question 1.1.1 La tendance à l omniprésence informatique LG : Les «objets communicants» vont générer énormément d informations de

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Organisation d une simulation sur un prototype logiciel workflow et GED. ImmoBiens. 1 - Description du projet de l entreprise

Organisation d une simulation sur un prototype logiciel workflow et GED. ImmoBiens. 1 - Description du projet de l entreprise Organisation d une simulation sur un prototype logiciel workflow et GED ImmoBiens 1 - Description du projet de l entreprise ImmoBiens est une société gestionnaire de biens immobiliers (location et entretien)

Plus en détail

Découvrir les vulnérabilités au sein des applications Web

Découvrir les vulnérabilités au sein des applications Web Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

Sécurité de l Information Expérience de Maroc Telecom

Sécurité de l Information Expérience de Maroc Telecom Sécurité de l Information Expérience de Maroc Telecom Fouad Echaouni Responsable Adjoint Sécurité de l Information Lead Auditor ISO 27001 CLUSIF / Conférence du 23 octobre 2008 Propriété Maroc Telecom

Plus en détail

La conformité et la sécurité des opérations financières

La conformité et la sécurité des opérations financières La conformité et la sécurité des opérations financières Au service de vos systèmes d information critiques www.thalesgroup.com/security-services Des services financiers plus sûrs, même dans les passes

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

SBM Offshore OIL & GAS* sdv.com. Logistique. Imagination. *Pétrole et Gaz

SBM Offshore OIL & GAS* sdv.com. Logistique. Imagination. *Pétrole et Gaz SBM Offshore OIL & GAS* sdv.com Logistique. Imagination. *Pétrole et Gaz SDV, UN SERVICE DE PROXIMITÉ ET UNE PERFORMANCE ASSURÉE La puissance de notre réseau : Notre présence dans 102 pays garantit un

Plus en détail

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE 12/02/2013 RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE LE 12 FEVRIER 2013 SOMMAIRE PREAMBULE_VOTRE VISION DE LA SECURITE INTRODUCTION_QU EST-CE QUE LA SECURITE LA SECURITE FAIT PENSER

Plus en détail

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché SéCURITé Konica Minolta, un leader aux standards de sécurité les plus élevés du marché A l ère du numérique, les communications mondiales connaissent une croissance sans précédent, et les risques de failles

Plus en détail

Développez. votre entreprise. avec Sage SalesLogix

Développez. votre entreprise. avec Sage SalesLogix Développez votre entreprise avec Sage SalesLogix Prospectez, fidélisez, développez Sage SalesLogix est la solution de gestion de la relation client puissante et sécurisée qui vous offre une vision complète

Plus en détail

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS)

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Une étude personnalisée de la série Technology Adoption Profile commandée par Bell Canada Juin 2014 Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Introduction

Plus en détail

La clé d un nouveau champ d utilisation de la biométrie

La clé d un nouveau champ d utilisation de la biométrie La clé d un nouveau champ d utilisation de la biométrie Premier lecteur de reconnaissance biométrique du réseau veineux du doigt Spécialiste du contrôle d accès, Eden est l un des premiers fabricants français

Plus en détail

PÉRENNISER LA PERFORMANCE

PÉRENNISER LA PERFORMANCE PÉRENNISER LA PERFORMANCE La recherche de performance est aujourd hui au cœur des préoccupations des organisations : succession des plans de productivité et de profitabilité, plans de reprise d activités,

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Protection et fuite des données

Protection et fuite des données Protection et fuite des données quelles sont les clés pour s en sortir McAfee Security Summit Paris, le jeudi 24 octobre 2013 Abdelbaset Latreche, Head of HP Enterprise Security Services Consulting France

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 19 - Août 2009 La Lettre Sécurité Édito À l heure où de nombreuses entreprises préfèrent limiter les investissements sur leurs systèmes d information, l actualité montre, au contraire, que l anticipation

Plus en détail

A. Le contrôle continu

A. Le contrôle continu L audit d achat est une action volontaire décidée par l entreprise avec pour objet d apprécier la qualité de l organisation de sa fonction achats et le niveau de performance de ses acheteurs. L audit achat

Plus en détail

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie.

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie. Livre blanc : CRYPTAGE Au regard du formidable succès des disques durs externes pour le stockage et la sauvegarde des données personnelles, commerciales et organisationnelles, le besoin de protection des

Plus en détail

Sécurisation en local

Sécurisation en local Attaques locales (internes) Sécurisation en local Indépendamment de la présence d un réseau Espionnage quand même possible Émission électromagnétiques Norme tempest Dispositifs sans fil Clavier/souris

Plus en détail

Gestion des identités et des risques

Gestion des identités et des risques Gestion des identités et des risques Se préparer à un monde nouveau À PROPOS DE CETTE ARTICLE Dans le domaine de la gestion des identités et des risques, l époque du statu quo est révolue. La vitesse croissante

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

De ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles :

De ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles : n 30 La Lettre Sécurité Édito Cybercriminalité : think global! La cybercriminalité est sous les feux de la rampe : préoccupation des États et des entreprises, elle fait émerger de nouvelles réglementations

Plus en détail

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation

Plus en détail

La sécurité de l'information

La sécurité de l'information Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus

Plus en détail