bancaires en ligne? Que font concrètement les établissements pour sécuriser leur banque en ligne? Est-ce suffisant?

Dimension: px
Commencer à balayer dès la page:

Download "bancaires en ligne? Que font concrètement les établissements pour sécuriser leur banque en ligne? Est-ce suffisant?"

Transcription

1 n 35 La Lettre Sécurité Édito Solucom parmi les 1 er certifiés PASSI C est avec fierté que nous pouvons annoncer que nous faisons parti des premières sociétés certifiées «Prestataires d audits de sécurité des SI» en France! Sécurité des services bancaires en ligne : où en sommes nous? Cette reconnaissance est le fruit du travail mené depuis plusieurs années et valorisé dès 2008 par une certification ISO sur le développement de nos compétences, la qualité de nos missions d audits et nos tests d intrusion. La certification PASSI, dont le référentiel a été conçu par l ANSSI, est aujourd hui la seule sur le marché qui allie audit des sites du prestataire, suivi sur le terrain d une mission et vérifications de compétences des personnes à l écrit comme à l oral. Cette complétude est un vrai gage de qualité et de confiance pour nos clients. Nous poursuivons par ailleurs le développement de notre expertise technique pour accompagner nos clients dans toutes les problématiques de cybersécurité. Nous avons ainsi été retenus et interviendrons pour la première fois lors de la BlackHat Europe sur le thème des tests d intrusion sur des automates industriels. Nous présenterons nos méthodologies et outils conçus spécifiquement pour tester la sécurité de ces éléments clés des SI industriels. Nous espérons vous y retrouver! Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information Réaliser un virement, commander un chéquier ou consulter son relevé de banque sont aujourd hui autant d opérations sensibles réalisées facilement via son ordinateur ou son smartphone. Ces services, plébiscités par les utilisateurs, sont autant d opportunités de fraude pour les pirates informatiques. La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d image ensuite, les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne. Que font concrètement les établissements pour sécuriser leur banque en ligne? Est-ce suffisant? La sécurité, intégrée by design aux services bancaires en ligne? Sécuriser l accès au service, premier impératif La grande majorité des banques françaises requiert la saisie d un mot de passe composé de quatre à six chiffres, via un clavier virtuel. Un nombre plus limité de banques ne propose pas de clavier virtuel mais un champ «classique» de saisie de mot de passe. Chacune des deux solutions présente ses propres forces. Le champ «classique» présente l avantage de pouvoir imposer une politique de mot de passe plus complexe (majuscules, minuscules, chiffres, etc.) qu une simple succession de chiffres, rendant ainsi le mot de passe plus difficile à deviner. Autre argument en faveur du champ «classique», une personne située à proximité du client a plus de difficultés à identifier les caractères saisis sur un clavier physique que ceux cliqués sur un écran, plus visible. Le clavier virtuel, quant à lui, est protégé des logiciels malveillants (malwares) les plus basiques de type keylogger 1. Lorsqu il est correctement implémenté, il permet également de complexifier la saisie automatisée du mot de passe et ainsi limiter les usurpations d identités «opportunistes». Quelques rares banques françaises ont décidé de mettre en place une authentification nonrejouable pour contrôler l accès à leurs services. Ainsi, en complément de l identifiant et du mot de passe, il est nécessaire de saisir un code à usage unique (OTP pour One Time Password) fourni par la banque via SMS, matériel dédié ou encore application smartphone. Les autres banques ont décidé de n utiliser ces mécanismes d authentification non-rejouable que pour la réalisation d opérations sensibles. Suite en page 2 DÉCRYPTAGES P4 La captive d assurance, nouvel outil pour le risk manager P7 Lutte anti-ddos : la technique ne suffit pas, organisons-nous!

2 Dossier Des opérations «sensibles» sous surveillance La Banque de France a émis en 2009 des recommandations en matière de protection des opérations en ligne, avec un accent fort sur les opérations sensibles : «sont considérées en premier lieu comme opérations sensibles toutes les opérations permettant d effectuer directement ou indirectement un transfert de fonds sortant, entraînant l appauvrissement du compte client». (La surveillance des moyens de paiement et des systèmes d échange - Banque de France, 2009). Pour la Banque de France, la mise en œuvre d une authentification non-rejouable (ANR) est indispensable pour protéger l exécution d opérations sensibles, notamment les opérations de virement, mais aussi la commande de moyens de paiement, la mise à jour des données du client et l émission de chèques dématérialisés. Dans les faits, seul l ajout de bénéficiaire est considéré comme une opération sensible par l ensemble des banques françaises. A l heure actuelle, la solution la plus répandue pour la validation des opérations sensibles par les particuliers est l OTP SMS. Ainsi, à chaque demande d opération sensible, le client reçoit un SMS contenant un code unique qu il saisit sur la banque en ligne pour valider l opération. D autres solutions sont utilisées, mais de manière minoritaire, comme la carte TAN (grille papier contenant un nombre fini de codes à usage unique) ou le lecteur CAP-EMV (lecteur de carte bancaire muni d un écran et d un clavier). Plus récemment de nombreux projets de validation «Out of Band» ont été initiés. Cette solution vise à dissocier les canaux d initialisation et de validation des opérations, par exemple via l utilisation d une application mobile complémentaire au site internet. Il est à noter que pour les entreprises, la solution adoptée par la grande majorité des acteurs est le certificat (logiciel ou matériel), qui offre également des fonctionnalités de signature et garantit ainsi la non-répudiation des opérations. Des cybercriminels qui s adaptent Le mouvement de sécurisation des services bancaires a vu les cybercriminels s adapter. Plusieurs moyens simples permettent aux attaquants de voler les identifiants et mots de passe : messages de phishing menant les victimes sur de fausses mires d authentification aux couleurs de la banque, déploiement de keyloggers / formgrabbers 1, interceptions des flux de communication, etc. Toutefois, depuis que la réalisation d opérations sensibles est protégée par une ANR, la connaissance des identifiants et mots de passe n est plus suffisante pour appauvrir le compte des clients. Il en est de même pour les malwares les plus basiques, qui sont incapables de contourner ces mécanismes. Aussi, ces dernières années ont vu se développer des malwares de type Man-In-The- Browser (MITB) dédiés aux banques en ligne. Lors des navigations Web, ils modifient les pages affichées à leur victime et en parallèle initient des requêtes en leur nom. Les malwares MITB sont particulièrement adaptés au contournement des authentifications par mot de passe unique. Plus récemment, la tendance est au déploiement de malwares sur smartphone, notamment afin de détourner les OTP SMS émis par la banque. Au-delà des impacts financiers pour le client, les attaques par malwares entachent également la réputation des banques attaquées, dès lors jugées incapables de garantir la sécurité de leurs clients. Pour autant, de quels autres moyens disposent les plateformes de banque en ligne pour élever leur niveau de sécurité? Détection et réaction: le nerf de la guerre Mécanisme de protection: la ligne Maginot des banques en ligne Si l on décide de voir le verre à moitié plein, il est intéressant de noter que chaque nouvelle attaque met en évidence des lacunes dans les mécanismes de protection en place, contribuant ainsi à l amélioration continue du niveau de sécurité. Ainsi, au-delà de la protection des opérations sensibles par ANR, plusieurs autres mesures de protection sont adoptées par les banques de la place : masquage partiel des numéros de téléphone et adresses mail (pour éviter leur récupération par les attaquants), interdiction de virements vers des bénéficiaires frauduleux («listes noires d IBAN»), mise en place de plafonds sur les virements, ajout d un délai d activation du bénéficiaire, etc. Toutefois, les banques qui concentrent leurs efforts sur les seuls mécanismes de protection se retrouvent dans des situations difficiles à gérer lorsqu elles sont victimes d un type d attaque non anticipé. Quelles décisions prendre et avec quels interlocuteurs? Quelle communication vis-à-vis des clients fraudés et non-fraudés? Comment revenir à une situation «protégée» tout en maintenant le service offert aux clients? Ce flottement donne généralement quelques jours aux pirates pour mener à bien leurs attaques, tandis que le passage en gestion de crise paralyse fortement les activités de la banque. L amélioration continue des mécanismes de protection permet de se prémunir des attaques connues et d anticiper les plus prédictibles. En parallèle, il est crucial d accepter les contournements à venir, de se donner les moyens de les détecter et de réagir rapidement le moment venu. Ce constat est d ailleurs appuyé par la Banque Centrale Européenne, via ses «Recommandations pour la sécurité des paiements sur internet» publiées en janvier 2013, pour application dès le 1er février Au-delà des bonnes pratiques sur les processus de sécurité (politiques, analyses de risques, etc.) et des aspects relatifs à 1-Logiciel ou matériel malveillant capturant les frappes du clavier, pour récupération par l attaquant 2-Logiciel malveillant en capacité de collecter les éléments saisis au sein d un navigateur 2 La Lettre Sécurité N 35 octobre 2014

3 la robustesse des accès banque en ligne (authentification forte, protection des sessions, etc.) déjà globalement maîtrisés, l accent est en effet mis sur la surveillance, la détection et le blocage des transactions frauduleuses ainsi que sur les dispositifs d alerte à destination des clients. Le client au cœur du dispositif de détection de fraude Trois vecteurs principaux de détection sont à disposition des banques : le client fraudé lui-même, la présence d indicateurs de compromission à son niveau et l analyse de son comportement. Le client fraudé identifie la fraude avec certitude après consultation de l état de ses comptes. Mais il peut également identifier les tentatives de fraudes et noter des comportements anormaux du site (temps de chargement longs, pages inhabituelles, demandes inopportunes de validation, etc.). La priorité pour les banques est donc de faciliter la remontée d information par les clients. Dans la mesure où l interlocuteur principal des clients est leur conseiller, une solution efficace consiste en la formation des conseillers et téléconseillers à la fraude : scénarios classiques, questions à poser pour affiner le diagnostic, réponses à apporter, etc. L escalade vers des téléconseillers dédiés à la gestion des fraudes peut notamment faire partie du processus. La présence d indicateurs de compromission caractérise l infection d un client par un malware et met ainsi en évidence la nécessité de mettre sous surveillance ses activités. En fonction du malware, les critères analysés peuvent être les suivants : IBAN utilisés pour les virements, méthodes JavaScript invoquées par le client lors de la visite du site, etc. De nombreux éditeurs proposent des solutions de détection, parfois dédiées au secteur bancaire. Elles prennent la forme soit d un logiciel à installer sur le poste du client, soit d un composant à installer sur l infrastructure de la banque en ligne. Ces solutions sont toutefois souvent peu utilisées par les clients car complexes à installer et à maintenir. L analyse comportementale du client permet, sur la base d indicateurs techniques et métiers, d identifier les actions inhabituelles, et donc suspectes, de chaque client. Les critères suivants peuvent notamment être pris en compte : lieux et horaires de connexion, fréquence et montant des opérations, bénéficiaires habituels (pays, IBAN, etc.), présence d un même bénéficiaire étranger pour plusieurs clients, etc. Généralement basée sur un système de notation de la transaction, les solutions existantes facilitent le travail des équipes internes en leur permettant de concentrer leurs analyses sur les transactions suspectes uniquement. Ces solutions sont plus largement répandues mais peuvent encore beaucoup progresser. Réaction : un enjeu fort, une maturité hétérogène Comment réagir une fois les premiers diagnostics techniques menés si la détection n est pas réalisée par le client lui-même? La levée de doute doit nécessairement être effectuée auprès du client. Aussi, afin d établir un contact avec le client qui soit à la fois rapide et en phase avec la politique de l agence concernée, la solution la plus répandue est d informer le conseiller pour qu il assure un premier traitement. L existence et la diffusion de procédures simplifiées à destination des conseillers est également un accélérateur efficace du traitement. Ces procédures indiquent les réflexes à adopter (questions à poser et conseils à donner au client) en fonction de la nature de la suspicion : changement de mot de passe, désinfection du poste, acceptation d une intervention, etc. En complément, les fonctionnalités ciblées par la fraude en cours doivent pouvoir être désactivées client par client, par exemple sur action du conseiller concerné. Cette possibilité évite de réduire les fonctionnalités offertes à l ensemble des clients alors que seul un nombre réduit est infecté. Afin d éviter les sur-sollicitations et d être plus efficace en cas d incident avéré notamment, les alertes à destination des conseillers clientèle doivent rester exceptionnelles et être à ce titre préfiltrées par des dispositifs techniques ou organisationnels. Enfin, au-delà de l efficacité de la réaction en mode nominal, il est également crucial de réussir sa gestion de crise : critères d entrée, partage des processus par les interlocuteurs, canaux de communication, traitement opérationnel et communication. Toutes ces opérations nécessitent une refonte souvent en profondeur des outils de gestion de la banque en ligne et des processus de relation clients. Plusieurs grandes banques sont en train de réaliser leurs mues vers la «banque en ligne sécurisée 2.0» mais les efforts doivent être maintenus dans la durée. Vers une sécurité de bout en bout des opérations financières 58% des Français attendent des améliorations sur la sécurité de la part de leur banque. Bien que sensibilisés au sujet, les acteurs bancaires doivent encore accentuer leurs efforts. De nombreux défis restent à relever, notamment sur l identification de nouveaux mécanismes d authentification qui doivent combiner résistance aux attaques sophistiquées, compatibilité avec les situations de mobilité et facilité d utilisation. Au-delà de cette seule protection, les volets détection et réaction sont le véritable enjeu. On peut s attendre dans les prochains mois à une uniformisation vers le haut tant dans l outillage que les processus internes de gestion des fraudes. Seule une imbrication poussée des filières cybersécurité et métier permettra de relever ces défis et de garantir ainsi une sécurité de bout en bout des opérations financières. Ce constat est également vrai pour les autres secteurs d activité. Ce paradigme, construit par les banques et autorités au fil du temps et au gré des nécessités, mérite donc toute leur attention sous peine de subir des attaques aux impacts dévastateurs. Etienne Capgras, consultant senior octobre 2014 La Lettre Sécurité N 35 3

4 Dossier Décryptage La captive d assurance: un nouvel outil au service du risk manager Pauline Rouaud, consultante Les captives d assurance ont longtemps eu mauvaise presse : outil d optimisation fiscale, concurrent déloyal de l assureur. Pourtant, dans un contexte d encadrement du marché et de développement massif de méthodes alternatives de financement du risque, les captives pourraient se racheter une réputation et, dans le même temps, devenir un outil privilégié du risk management et ne plus être un simple outil d optimisation fiscale! Qu est-ce qui explique ce revirement de situation? La réglementation Solvabilité 2 semble être passée par là. Un outil bien implémenté en France Une captive est un montage juridique et financier orchestré par une société industrielle ou commerciale voulant se doter de sa propre compagnie d assurance, sans que cela ne relève de son activité principale. La captive facture, tout comme un assureur classique, des primes à la maison mère et couvre en contrepartie leurs sinistres. Si l assureur reste l acteur principal du financement du risque, un grand nombre d entreprises se tournent vers cette solution. Accor, Danone, Total, Carrefour, Alstom et bien d autres ont succombé à la tendance! En 2010, on comptait 5200 captives, contre 1000 en Un outil traditionnellement aux mains du directeur financier Le directeur financier a rapidement vu en la captive d assurance une source de revenus supplémentaires, et ce à plusieurs égards. En accédant directement au marché de la réassurance, l entreprise optimise sa gestion des coûts. Moins vulnérable aux fluctuations du marché, elle peut faire rapidement varier la voilure de sa captive en fonction de la dynamique du marché et donc de ses intérêts. Le mécanisme lui permet également, dans une moindre mesure, d économiser les frais d intermédiation. Elle permet parallèlement à l entreprise d améliorer sa rentabilité : via le mécanisme de consolidation, sa comptabilité bénéficie des résultats financiers de la captive. En outre, les profits et les fonds accumulés par la captive peuvent aisément bénéficier à la maison mère : indemnisation des sinistres, distribution de dividendes, liquidation ou vente de la captive. Souvent la vision du directeur financier a été privilégiée, en témoigne la domiciliation de la plupart des captives qui relève clairement de l optimisation fiscale : plus de 30% d entre elles sont domiciliées aux Bermudes. Un outil au coeur de la gestion des risques Entrée en vigueur en janvier 2013, la règlementation Solvabilité 2 a pour objectif affiché de garantir les intérêts des assurés face aux assureurs. L assuré et l assureur se confondant dans le cas des captives, il n était pas évident que la réglementation s applique à elles. Elle n est pourtant pas dénuée d effet : comme le montre Laure Léger, elle participe à une augmentation générale des coûts des captives via l augmentation de l exigence de capital (pilier 1) et la hausse des coûts de gestion (pilier 2). Enfin, au nom de la transparence (pilier 3), la directive oblige les captives à communiquer des informations jusqu à présent classifiées comme confidentielles. Face à ces nouvelles contraintes, le directeur financier verra en Solvabilité 2 une incitation supplémentaire à domicilier sa captive dans un pays à fiscalité privilégiée et le risk manager une opportunité pour sortir son épingle du jeu et se réapproprier le concept de captive! On l oublie souvent mais la mise en place d une captive a pour objectif initial de répondre à des problématiques de risk management en couvrant les risques non pris en charge par le marché des assurances. Aussi, les risques dits non assurables trouvent enfin leurs assureurs. Si «catastrophe naturelle» sont souvent les seuls et uniques mots qui nous viennent à l esprit lorsqu on veut accoler l adjectif «non assurable» à un risque, leur nombre est susceptible d augmenter et ce pour deux raisons. Tout d abord parce que de nouveaux risques, à l image de la cybercriminalité, apparaissent et ne sont pas, aujourd hui encore, couverts de façon satisfaisante par les acteurs traditionnels du marché. Ensuite parce que les assureurs, du fait de la hausse du coût du capital induite par Solvabilité 2, risquent de cesser de couvrir certains dommages qui ne seraient plus aussi rentables et participeraient indirectement à agrandir le champ d action d un de leurs concurrents, la captive! Solvabilité 2 participe certes, on l a vu, à une augmentation du coût du capital d une captive mais incite également et indirectement les entreprises à améliorer l amortissement d un tel investissement. Pour ce faire, elles n ont pas d autres choix que de renforcer leurs stratégies de contrôle des risques. Elles doivent parallèlement optimiser leurs programmes d assurances. Pour ce faire, elles disposent de deux leviers : une meilleure gestion des rétentions qu elles doivent financer (part du risque à la charge de l assuré) et la création des polices d assurance adaptées à ses besoins et à ses contraintes financières également. En définitive, deux vents contraires semblent jouer en faveur des captives d assurance. En effet, si le contexte réglementaire actuel semble être défavorable aux captives, il participe également à leur légitimation : elles doivent faire face aux mêmes contraintes que leur grand frère, l assureur traditionnel. Dans le même temps, la frilosité des assureurs à prendre en charge les nouveaux risques pousse les entreprises à mettre en place leurs assurances home made. Au regard du contexte actuel, il est donc de la responsabilité du risk manager de s associer avec son confrère, le directeur financier, afin de donner les moyens à sa captive de jouer pleinement et simultanément sur le volet fiscalité mais aussi sur celui de la gestion de crise. De cette façon, il gagnera en efficacité mais aussi en visibilité au sein de la direction générale. 4 La Lettre Sécurité N 35 octobre 2014

5 Décryptage Continuité d activité : le repli croisé, pas si simple! Vincent Exposito, consultant senior En cas de crise ou de sinistre majeur rendant un bâtiment indisponible, le plan de continuité d activité (PCA) permet d assurer le maintien des activités vitales d une organisation. Il s appuie pour cela sur différentes solutions, notamment le repli de collaborateurs : sur un site de repli dédié (propre à l organisation ou chez un prestataire), sur les autres sites de l organisation non touchés par le sinistre (repli croisé), ou encore en recourant au travail à distance (par exemple depuis le domicile des employés). Le repli croisé est défini comme le repli de collaborateurs d un site sinistré sur un ou plusieurs autres sites de l organisation. Généralement les sites sont «appairés» entre eux d où la notion de repli «croisé». Il s appuie le plus souvent sur la réquisition de salles de réunion, de salle de formation ou de bureaux. Cette stratégie intéresse vivement les organisations, dans une optique de valorisation de son patrimoine immobilier et de maîtrise des coûts du PCA. En effet, la souscription à une position de secours chez un prestataire spécialisé peut paraître en comparaison onéreuse : de quelques centaines d euros par an pour une position dite mutualisée à une dizaine de milliers d euros par an pour une position dédiée. Si les avantages de coût, bien qu indéniables, méritent d être discutés, la complexité et les contraintes (organisationnelles et techniques) de construction et de maintien en conditions opérationnelles du repli croisé sont souvent sous-estimées et doivent être étudiées. Comment concevoir son repli de manière efficace? Quels sont les facteurs clés de succès? Afin d anticiper au mieux la préparation du repli croisé dans le cadre d une stratégie de continuité d activité, il convient de répondre à plusieurs problématiques et traiter le repli de bout en bout. Maîtriser le potentiel réel de repli en relation étroite avec les Moyens Généraux Avant qu une situation de crise ou de sinistre ne se produise, un référentiel des positions de repli sur l ensemble des sites de l organisation doit être constitué. Il s agit plus précisément de : Cartographier les salles de réunion des différents sites ainsi que leur capacité d accueil, et maintenir à jour cette cartographie. Un chantier d autant plus complexe lorsque les déménagements intra et inter sites ainsi que les réaffectations de locaux sont fréquents. Définir le taux de remplissage envisageable des salles, dans l esprit des règlementations applicables aux conditions de travail (luminosité, espace, etc.), bien que des conditions dégradées soient parfois envisageables. Opérationnaliser le repli croisé Il est ensuite nécessaire de s assurer que le site de repli peut accueillir une population productive. Cette opérationnalisation passe par des actions logistiques : Permettre l accès aux locaux en prévoyant des moyens ou des procédures d accès au site. Préparer la démultiplication des prises électriques en constituant notamment un stock de matériel, pour pallier à un nombre de raccordements en général limité. Pré-identifier des moyens alternatifs à la tenue de réunions (réservations d espaces collaboratifs chez des prestataires de proximité ou des hôtels par exemple), puisque les salles de réunion sont par principe réquisitionnées. L opérationnalisation s appuie également sur des actions portées par la filière informatique : Fournir des postes de travail de remplacement aux collaborateurs repliés. Pour assurer une réponse rapide, l augmentation du fond de roulement de postes de travail sur un site alternatif peut être une solution. En cas de crise, ces postes de travail seront réquisitionnés et délivrés aux premiers collaborateurs repliés. Pour ce faire, il est nécessaire de prévoir la définition d un master de secours embarquant le maximum de logiciels requis et déployable industriellement. Mais aussi la mise en place et le dimensionnement d une solution de masterisation rapide des postes de travail compatible avec le besoin de repli des collaborateurs. Démultiplier la capacité de raccordement au réseau. De la même manière que pour le raccordement électrique, il est nécessaire de fournir aux collaborateurs repliés une connexion au réseau. Cela passe par le dimensionnement des liens d interconnexions des sites, l anticipation du nombre de ports réseaux complémentaires et par la constitution d un stock de câbles réseaux et de switchs supplémentaires. Préparer les aspects techniques Le déclenchement du repli croisé va changer les conditions de travail des collaborateurs repliés et des collaborateurs du site d accueil. Il est donc indispensable de : Faciliter la vie sur le site d accueil, afin de minimiser l impact de changement de site pour les collaborateurs repliés! Prendre en compte les changements affectant les conditions de travail des employés «sinistrés». Le repli croisé induit des contraintes RH qu il convient d adresser. Communiquer sur les impacts du sinistre ainsi que sur l état d avancement de remise en service du site sinistré. Le métier de l organisation n est pas de faire du secours : porter le secours en interne nécessite des moyens dédiés et une organisation forte afin de garantir le caractère opérationnel et pérenne du PCA. Par conséquent, le repli croisé nécessite la mobilisation indispensable des Moyens Généraux et de la DSI, tant dans son élaboration que dans son maintien opérationnel dans le temps. octobre 2014 La Lettre Sécurité N 35 5

6 Décryptage Législation américaine sur les «data brokers» : une influence limitée sur la gouvernance des données personnelles? Raphaël Brun, consultant senior En mai 2014, la Federal Trade Commission (FTC), l autorité de contrôle en charge de la protection des consommateurs américains, a publié un rapport présentant les sociétés spécialisées dans la revente de données personnelles d internautes : les data brokers. Ce rapport propose des recommandations au Congrès américain pour encadrer ces transactions. Quelles sont ces orientations? Sont-elles nouvelles ou dans la même ligne directrice que le projet de règlement européen? Une législation «permissive» aux États-Unis, une opportunité pour les data brokers Les data brokers sont des agences de courtage des données qui collectent des informations personnelles d internautes (noms, adresses, hobbies, données de santé, etc.) provenant de sources multiples (réseaux sociaux, administrations publiques, sources commerciales, etc.). Ces informations sont analysées et servent à la construction de profils et de catégories. Elles sont ensuite revendues sous la forme de produits à des fins, par exemple, de marketing, de recherche sur les personnes ou de lutte contre la fraude. On estime qu il existe 4000 data brokers aux États-Unis (Acxiom, Corelogic ), chacun pouvant détenir plusieurs centaines de milliards de données! Un marché qui ne cesse d augmenter, à l ère du Big Data et de l explosion des données en circulation. Un marché qui doit son essor au cadre législatif spécifique au continent américain. En effet, il n existe pas de loi générale aux États-Unis concernant les données à caractère personnel (DCP). L approche américaine se caractérise au contraire par des dispositifs spécifiques pour chaque secteur ou domaine. Par exemple, le Privacy Act pour le secteur public ou encore le Gramm-Leach-Bliley Act pour les institutions financières. Certains principes présents sont connus en Europe comme la garantie de sécurité des données collectées, la notification en cas de vol de données et la désignation d un responsable de traitement. Cependant dans ces législations, même au niveau fédéral, de nombreux principes comme la finalité de traitement, le droit à l information ou le droit à la rectification tels que nous les connaissons, sont absents. Avant les États-Unis, d autres pays ont légiféré avec difficulté De nombreux pays ont récemment tenté de légiférer dans ce sens, en s inspirant plus ou moins fortement des principes européens. C est le cas de Singapour (le Personal Data Protection Act est entré en vigueur le 2 juillet dernier), de l Inde (2013), du Brésil (2014), ainsi que de nombreux pays d Afrique comme le Maroc (2009), le Gabon (2011), le Mali (2012) ou le Kenya (2014). Tous ont connu des difficultés pour imposer des mesures contraignantes de respect des DCP et pour installer durablement une autorité de contrôle indépendante. Cette tendance montre cependant l intérêt croissant des pays dits «émergents» pour ce sujet qui n est plus uniquement une question européenne. L Europe est-elle en passe d imposer sa vision sur le traitement des DCP? Le sujet des données personnelles a pris une place de plus en plus importante en Europe et dans le monde au regard des différentes législations mises en place ces dernières années. Mais l événement majeur de ces derniers mois reste la promesse américaine de légiférer plus largement sur le sujet. Promesse qui s appuie sur des principes bien connus en Europe. En conséquence, un deuxième modèle concurrent de protection des DCP vient-il s ajouter au modèle européen ou l Europe est-elle en train de réussir à imposer sa vision sur les données personnelles face au modèle américain? Le paysage législatif mondial de demain est encore flou, mais pour autant les recommandations de la FTC sur les data brokers semblent plus s inscrire dans une optique européenne de protection que dans la logique permissive historique outre-atlantique. Rien ne semble encore joué, mais les orientations prises par cette législation sur les data brokers, les dernières négociations autour du Safe Harbor ou de l USA FREEDOM Act et les récentes condamnations de Google semblent montrer que la Vieille Europe est plutôt sur la bonne voie Article rédigé en collaboration avec Pierre- Alain Pocquet, consultant. 6 La Lettre Sécurité N 35 octobre 2014

7 Décryptage Lutte anti-ddos : la technique ne suffit pas, organisons-nous! Baptistin Buchet, consultant Depuis quelques années, les attaques par déni de service distribué (Distributed Denial of Service) se sont démocratisées ; leur facilité d accès et d usage, leur efficacité prouvée et leur grande variété les propulsent aujourd hui en tête des tactiques de diversion et des moyens d atteinte à l image. Une aubaine pour les cyber-attaquants qui font progresser à la fois la durée et la force des attaques. Face à ce constat, les entreprises se sont interrogées sur les moyens de protection possibles. Le marché s est adapté. Aujourd hui, deux stratégies se dessinent, entre solutions historiques manuelles et solutions novatrices hybrides (Cloud et/ou on-premise). Une question se pose toutefois : la mise en œuvre d une telle solution de protection, certes adaptée aux besoins, suffit-elle pour s assurer d une efficacité solide en cas d attaque avérée? La réponse est non! Imaginez : vous avez subi pendant plusieurs jours les effets d une attaque DDoS, avec des conséquences inacceptables pour le maintien de vos activités. Vous décidez de mettre en place une solution de protection ad hoc. Le projet démarre, vous choisissez une solution, elle est installée et fonctionne. Vous voilà enfin équipé d une solution d une efficacité prometteuse. Avec un simple ordre de bascule à donner à votre équipe de production ou à un fournisseur, elle sera mise en route. Vous êtes confiant. Activation, surveillance, désactivation : les 3 piliers d une stratégie de protection anti DDoS Pour autant, vous pourriez avoir oublié de répondre à un certain nombre de questions clés. Sur quels critères de détection et à quels seuils serez-vous en mesure de passer l ordre d activation? Serez-vous assez réactif pour qu il ne soit pas trop tard vis-à-vis des impacts business? L échelle du temps DDoS est proche du ¼ d heure... Une fois la solution activée, quelles seront les premières actions à entreprendre? Avez-vous identifié ou contrôlerez-vous les effets de bord qu elles pourront engendrer sur votre environnement de production? Faudra-il communiquer aux clients, au réseau commercial? Durant l attaque, êtes-vous certain d être apte à communiquer efficacement avec le prestataire en charge de la solution? Pourrez-vous aisément constater l efficacité de ses services? Connait-il votre contexte, votre infrastructure? Est-il à jour des derniers changements pour éviter une protection partielle? Par analogie avec l ordre d activation, saurezvous quand et comment décider du retour à la normale? Enfin, avez-vous suffisamment de visibilité pour déterminer si l attaque continue ou non en amont des barrières défensives? Les retours d expérience montrent que la mise en place d une solution protectrice seule, sans réponse à l ensemble de ces questions, ne suffit pas. Aussi ne faut-il pas se cantonner à la simple souscription d un service de protection : des moyens et des processus de détection, d activation, de communication, d arbitrage et retour à la normale devront être élaborés et régulièrement expérimentés. Les actions majeures devront être rigoureusement formalisées : le déclenchement de la solution de protection comme le retour à la normale (qui décide, qui réalise, sur quelles informations, avec quelle réactivité ). Par ailleurs, les volets surveillance et gestion de crise pendant l attaque ne doivent pas être négligés (quels moyens pour vérifier que l attaque a toujours lieu, avec quel effet, quels seuils/ indicateurs pour déclencher les escalades?). En particulier, la gestion de crise ne doit pas se cantonner au rétablissement des services. Elle doit également envisager le risque que le DDoS considéré puisse n être qu une simple diversion ou bien une partie d une attaque plus globale. Tests et exercices : les garants de la bonne gestion d une attaque DDoS Au-delà de la formalisation, trois types de tests s avèrent indispensables. Les plus simples sont les tests de «bascule à vide» : sans contrainte de temps particulière, il s agit de mettre en action les différents modes opératoires liés à l activation, au maintien ou à la désactivation de la solution de protection. Au-delà de la formation des équipes concernées, ces tests permettent de juger de la qualité des procédures techniques ; ils permettront également leur amélioration continue afin d assurer au mieux leur efficacité en cas d attaque. Des tests de «bascule en conditions réelles» sont ensuite requis : à l opposé de la «bascule à vide», une attaque simulée sera ici commanditée auprès d un organisme tiers afin que les équipes techniques puissent s exercer en conditions réelles. Les mêmes modes opératoires techniques seront mis à l épreuve, dans un objectif cependant différent : le respect des échéances théoriques et la maîtrise des impacts. Des exercices de «gestion de crise» sont également à prévoir. Complémentaires des deux premières séries ci-dessus, il s agit là de se focaliser sur l expérimentation de la gestion de crise et non sur les aspects techniques. Ces tests permettront de juger la qualité de la gestion en répondant notamment aux bonnes questions en dehors de la sphère technique et en intégrant la communication, le juridique ou encore la relation clients. Chaque tâche trouve-t-elle rapidement son porteur? L ordonnancement prévu est-il respecté? Les moyens nécessaires sontils accessibles (matériels, salles, interlocuteurs, etc.)? Les rôles prédéfinis de chacun sont-ils connus de tous et à l avance? La remontée des informations au Responsable de crise est-elle correctement réalisée? Les solutions techniques ne peuvent suffire à gérer toutes les composantes d une attaque DDos. Nécessaire et complémentaire, la mise en place d une organisation interne apte à gérer l attaque et la crise doit être considérée par les entreprises pour se protéger correctement et efficacement. octobre 2014 La Lettre Sécurité N 35 7

8 L actualité Solucom Solucom présent à la BlackHat 2014 (14-17 octobre 2014) : Pour plus d informations et vous inscrire : Arnaud Soullié, auditeur senior à Solucom, animera un workshop sur la sécurité des SI industriels et les tests d intrusion sur les automates industriels programmables (API). Les participants pourront tester sur des automates réels les méthodes et outils d attaques spécifiques aux SI industriels. Prochains évènements de l Observatoire de la Sécurité des Systèmes d Information et Réseaux : 14 octobre 2014 (dans les locaux de Solucom) 18 novembre et 9 décembre 2014 (dans les locaux de l INRIA) Pour plus d informations, consultez le site de l OSSIR : Save the date : présentation du radar du RSSI (2 décembre) Solucom animera dans ses locaux un petit déjeuner autour de l analyse du radar des tendances sécurité. Basé sur nos retours d expérience et notre analyse du marché, il permet de décrypter les mouvements de fond et thèmes émergents du secteur de la sécurité. Actualités Solucom : Chiffre d affaires au 1 er trimestre en solide progression de 11% dont 7% à périmètre comparable Au 1 er trimestre de son exercice 2014/15, Solucom a réalisé un chiffre d affaires consolidé de 37,4 M, en progression de 11% par rapport au 1 er trimestre 2013/14. A périmètre comparable, hors contribution de Lumens Consultants et Trend Consultants, la croissance du cabinet s établit à 7%. Dans le sillage du dernier exercice, Solucom a maintenu son effort en matière de recrutement. Au 30 juin 2014, les effectifs du cabinet s établissent à 1337 collaborateurs, contre 1327 au 31 mars dernier. Prochain rendez-vous : le 22 octobre (après la clôture de la Bourse), chiffre d affaires du 1 er semestre 2014/15. Pour plus de renseignements : Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs :, Gérôme Billois, Raphaël Brun, Baptistin Buchet, Etienne Capgras, Vincent Exposito, Pauline Rouaud Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : Les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité Revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense abonnement :

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Trusteer Pour la prévention de la fraude bancaire en ligne

Trusteer Pour la prévention de la fraude bancaire en ligne Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions

Plus en détail

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Attaques ciblées : quelles évolutions dans la gestion de la crise? 3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Entreprises Nationales - Internationales - Assurances - Prestataires de services BPO

Entreprises Nationales - Internationales - Assurances - Prestataires de services BPO Entreprises Nationales - Internationales - Assurances - Prestataires de services BPO Connectez toutes vos applications Pilotez vos processus métiers POUR UNE CIRCULATION COHERENTE,CONTINUE ET COLLABORATIVE

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL En dépit du succès grandissant des outils de communication en

Plus en détail

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE 12/02/2013 RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE LE 12 FEVRIER 2013 SOMMAIRE PREAMBULE_VOTRE VISION DE LA SECURITE INTRODUCTION_QU EST-CE QUE LA SECURITE LA SECURITE FAIT PENSER

Plus en détail

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations

Plus en détail

Novembre 2013. Regard sur service desk

Novembre 2013. Regard sur service desk Novembre 2013 Regard sur service desk édito «reprenez le contrôle grâce à votre service desk!» Les attentes autour du service desk ont bien évolué. Fort de la riche expérience acquise dans l accompagnement

Plus en détail

La sécurité informatique, c est votre problème aussi!

La sécurité informatique, c est votre problème aussi! INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique,

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

La conduite du changement

La conduite du changement point de vue stratégie et gouvernance des systèmes d'information La conduite du changement dans les projets SI 1 En préambule Devant les mutations économiques, sociales et technologiques engagées depuis

Plus en détail

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...

Plus en détail

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier

Sécurité Active. Analyser l Renforcer l Maîtriser l Étudier Sécurité Active Analyser l Renforcer l Maîtriser l Étudier Analyser l Renforcer l Maîtriser l Étudier L offre Sécurité Active évalue et fortifie les systèmes d information vis-à-vis des meilleures pratiques

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie

Plus en détail

FRONTeO Plateforme digitale pour les banques. Dossier de presse

FRONTeO Plateforme digitale pour les banques. Dossier de presse FRONTeO Plateforme digitale pour les banques Dossier de presse 2015 Sommaire Page 3 Editorial «La banque se digitalise, l informatique évolue, MAINSYS anticipe...» Page 4 Une gamme complète de solutions

Plus en détail

Le Plan de Continuité d Activité (PCA / BCP)

Le Plan de Continuité d Activité (PCA / BCP) Le Plan de Continuité d Activité (PCA / BCP) Comment le mettre en œuvre et vérifier qu il restera opérationnel? Bruno KEROUANTON RSSI Clear Channel France - CISSP 16 juin 2004 - Paris Introduction, définitions

Plus en détail

Les cyber risques sont-ils assurables?

Les cyber risques sont-ils assurables? Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Observatoire Marocain du Commerce Extérieur Un ambitieux projet de transformation

Observatoire Marocain du Commerce Extérieur Un ambitieux projet de transformation Observatoire Marocain du Commerce Extérieur Un ambitieux projet de transformation Projet de présentation de la réunion du Bureau Exécutif du 15 novembre 2011 Sommaire 1 CONTEXTE 2 DEMARCHE DE MISE EN ŒUVRE

Plus en détail

Vision prospective et obstacles à surmonter pour les assureurs

Vision prospective et obstacles à surmonter pour les assureurs smart solutions for smart leaders Le «Big Data» assurément Rédigé par Pascal STERN Architecte d Entreprise Vision prospective et obstacles à surmonter pour les assureurs Un avis rendu par la cour de justice

Plus en détail

Club des Responsables d Infrastructures et de la Production

Club des Responsables d Infrastructures et de la Production Club des Responsables d Infrastructures et de la Production LA BRIGADE D ENQUÊTES SUR LES FRAUDES AUX TECHNOLOGIES DE L INFORMATION Intervention du Commissaire Divisionnaire Anne SOUVIRA Le 19 mars 2014

Plus en détail

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr

FORMATION AUDIT CONSEIL CYBERSÉCURITÉ. www.lexsi.fr. www.lexsi.fr www.lexsi.fr AUDIT CONSEIL CYBERSÉCURITÉ FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN CYBERSÉCURITÉ / PARIS LYON LILLE MONTREAL SINGAPOUR www.lexsi.fr SERVICES LEXSI est actif à l international

Plus en détail

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation

Plus en détail

IBM Software IBM Business Process Manager - Simplicité et performances

IBM Software IBM Business Process Manager - Simplicité et performances IBM Software IBM Business Process Manager - Simplicité et performances Gérer ses processus métier et bénéficier d une visibilité totale avec une plateforme de BPM unique IBM Software 2 IBM Business Process

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

L externalisation réglementée

L externalisation réglementée L externalisation réglementée SOMMAIRE 3 LA PLACE FINANCIÈRE LUXEMBOURGEOISE 4 L EXTERNALISATION DANS LE SECTEUR FINANCIER 5 LE STATUT DE PSF DE SUPPORT 7 L OFFRE DE SERVICES 9 POURQUOI TRAVAILLER AVEC

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

Comment lutter efficacement contre la fraude à l assurance

Comment lutter efficacement contre la fraude à l assurance Comment lutter efficacement contre la fraude à l assurance 1 En cette période de tension sur leur rentabilité et de pression sur les tarifs, les assureurs soulignent la nécessité de renforcer leur dispositif

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité :

Club des Responsables d Infrastructures et de Production. Les trois domaines cibles d évaluation de la continuité : Fiche Pratique PRA - PCA Club des Responsables d Infrastructures et de Production L audit de la continuité d activité d un organisme La continuité d activité correspond à la capacité d un organisme (entreprise

Plus en détail

TRADE. Yourcegid Trade Y2

TRADE. Yourcegid Trade Y2 TRADE Yourcegid Trade Y2 1800 Clients négociants plus de + de 10 langues + de 40 pays plus de 200 DE collaborateurs et experts Un réseau performant : 200 PRès de Distributeurs certifiés Parce que votre

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013 Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013 Eléments de contexte Un coût significatif, une évolution des typologies Selon l ALFA (sur la base

Plus en détail

SPECIALISATIONS DU MASTER GRANDE ECOLE

SPECIALISATIONS DU MASTER GRANDE ECOLE SPECIALISATIONS DU MASTER GRANDE ECOLE Finance, Contrôle des Organisations Cette spécialisation se fonde sur la nécessité de prendre des décisions et/ou d organiser les différents processus au cœur de

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

CRM pour le Service clients et l Assistance technique

CRM pour le Service clients et l Assistance technique CRM pour le Service clients et l Assistance technique La satisfaction Maximizer. Inciter la fidélisation de la clientèle. Servir la clientèle efficacement est l élément clé d une croissance d affaires

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Solutions d authentification renforcée Critères d évaluation État de l art

Solutions d authentification renforcée Critères d évaluation État de l art Solutions d authentification renforcée Critères d évaluation État de l art Sommaire Rappel JRSSI 2012 : Sécurité des accès périmétriques Cas d'usage, besoins et contraintes utilisateurs Critères d évaluation

Plus en détail

manufacturing Yourcegid Manufacturing Y2 MANUFACTURING anufacturing

manufacturing Yourcegid Manufacturing Y2 MANUFACTURING anufacturing anufacturing Yourcegid Manufacturing Y2 MANUFACTURING manufacturing i-club Un club utilisateur de plus de 100 adhérents qui participent activement à la vie de nos produits plus de 2000 Clients industriels

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

Cabinet indépendant d Audit, d expertise et de conseil dédié aux...

Cabinet indépendant d Audit, d expertise et de conseil dédié aux... Cabinet indépendant d Audit, d expertise et de conseil dédié aux... Directions Financières dirigeants d entreprise fonds d investissement Avocats, mandataires & liquidateurs judiciaires Notre mission Répondre

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

HÉBERGEMENT INFORMATIQUE

HÉBERGEMENT INFORMATIQUE HÉBERGEMENT INFORMATIQUE Environnement dédié et sécurisé sur mesure Pour les clients exigeants Prix selon consommation Service sur mesure Environnement dédié Introduction L intérêt et l'utilisation du

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Solutions EMC Documentum pour les assurances

Solutions EMC Documentum pour les assurances Caractéristiques d EMC Documentum La famille de produits EMC Documentum aide les compagnies d assurance à gérer tous les types de contenu de plusieurs départements au sein d un seul référentiel. Grâce

Plus en détail

Lean Management : une stratégie de long terme. Pourquoi l évolution des comportements est-elle essentielle à une réussite durable?

Lean Management : une stratégie de long terme. Pourquoi l évolution des comportements est-elle essentielle à une réussite durable? Lean Management : une stratégie de long terme Pourquoi l évolution des comportements est-elle essentielle à une réussite durable? Au cours de ces deux dernières années, les grandes entreprises du monde

Plus en détail

Protégez votre entreprise contre la fraude.

Protégez votre entreprise contre la fraude. Protégez votre entreprise contre la fraude. 1 La fraude aux entreprises 1 La fraude aux entreprises 3 Qu est-ce qu il y a dans ce document? Comment utiliser ce document? 2 Social Engineering ou fraude

Plus en détail

Protégez votre entreprise contre la fraude.

Protégez votre entreprise contre la fraude. Protégez votre entreprise contre la fraude. 1 La fraude aux entreprises Qu est-ce qu il y a dans ce document? 1 La fraude aux entreprises 3 Qu est-ce qu il y a dans ce document? Comment utiliser ce document?

Plus en détail

En fait, la notion d automatisation logistique se compose de quatre éléments :

En fait, la notion d automatisation logistique se compose de quatre éléments : COMMENT CONDUIRE UN PROJET D AUTOMATISATION D ENTREPOT Pierre Freydier Directeur de Projet Groupe GCL Europe, Conseil logistique Il est d usage de dire que la France est à la traîne en matière d automatisation

Plus en détail

Récapitulatif: Du 1 er au 12 Juin 2015. Dispositions du livre vert relatif à la construction d une union des marchés des capitaux.

Récapitulatif: Du 1 er au 12 Juin 2015. Dispositions du livre vert relatif à la construction d une union des marchés des capitaux. Du 1 er au 12 Juin 2015 Récapitulatif: Dispositions du livre vert relatif à la construction d une union des marchés des capitaux. Mise en place d un référentiel de données en Turquie. Test de continuité

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

ÉTUDE IT FOCUS. Enjeux et perspectives 2013 pour la DSI. En partenariat avec DÉCEMBRE 2012

ÉTUDE IT FOCUS. Enjeux et perspectives 2013 pour la DSI. En partenariat avec DÉCEMBRE 2012 DÉCEMBRE 2012 ÉTUDE IT FOCUS Enjeux et perspectives 2013 pour la DSI En partenariat avec SOMMAIRE INTRODUCTION IT FOCUS...4 MÉTHODOLOGIE...4 BUDGETS ET ORIENTATIONS...5 Disposez-vous d un budget qui vous

Plus en détail

Qu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur

Qu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur Qu est ce que Visual Guard Authentification Vérifier l identité d un utilisateur Autorisation Qu est-ce qu un utilisateur peut faire dans l application Audits et rapports Fonctionnalités d Audit et de

Plus en détail

Partenaires bancaires

Partenaires bancaires Generali Patrimoine Partenaires bancaires Un partenariat à votre mesure Generali, un acteur de référence dans le monde Créé à Trieste en 1831, le Groupe s est développé dans toutes les branches de l assurance

Plus en détail

eframe pour optimiser les reportings métiers et réglementaires

eframe pour optimiser les reportings métiers et réglementaires eframe pour optimiser les reportings métiers et réglementaires TIME WINDOW DRIVEN REPORTING POUR DES ANALYSES ET DES RAPPORTS COMPLETS ET EXACTS, À TEMPS TOUT LE TEMPS www.secondfloor.com eframe pour optimiser

Plus en détail

Tirez plus vite profit du cloud computing avec IBM

Tirez plus vite profit du cloud computing avec IBM Tirez plus vite profit du cloud computing avec IBM Trouvez des solutions de type cloud éprouvées qui répondent à vos priorités principales Points clés Découvrez les avantages de quatre déploiements en

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

Leader de l Actuariat Conseil et de la Gestion des Risques

Leader de l Actuariat Conseil et de la Gestion des Risques Leader de l Actuariat Conseil et de la Gestion des Risques Optimind Winter respecte les meilleurs standards européens sur l ensemble des expertises associées à la chaîne des risques des organismes assureurs,

Plus en détail

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7

Plus en détail

Repenser le SI à l'ère du numérique : apports des solutions de big data, cloud computing et confiance numérique

Repenser le SI à l'ère du numérique : apports des solutions de big data, cloud computing et confiance numérique Repenser le SI à l'ère du numérique : apports des solutions de big data, cloud computing et confiance numérique Extraits d analyses publiées par MARKESS International Emmanuelle Olivié-Paul epaul@markess.com

Plus en détail

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart

Plus en détail

Préambule de la Convention d objectifs et de gestion de la CNAV 2014-2017

Préambule de la Convention d objectifs et de gestion de la CNAV 2014-2017 Préambule de la Convention d objectifs et de gestion de la CNAV 2014-2017 Faciliter l accès et la compréhension du système de retraite aux assurés : il s agit d une exigence de service public. Depuis désormais

Plus en détail

Huttepain Aliments et Prios Groupe : une relation de confiance dans la durée

Huttepain Aliments et Prios Groupe : une relation de confiance dans la durée Huttepain Aliments et Prios Groupe : une relation de confiance dans la durée En optant pour le progiciel Déclic de Prios Groupe, Huttepain Aliments s est doté d une solution métier taillée sur-mesure,

Plus en détail

Guide Global Property/Dommages aux Biens

Guide Global Property/Dommages aux Biens Guide Global Property/Dommages aux Biens Guide Global Property/Dommages aux Biens Prêts pour demain CLIQUER ICI Depuis plus de 60 ans, AIG assure des entreprises internationales sur les risques de Dommages

Plus en détail

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR SIMULER ET CONCEVOIR LE TRAVAIL FUTUR Utilisation du logigramme d activité dans un projet informatique, pour simuler les compétences futures, et évaluer la charge de travail. WWW.ANACT.FR OUTIL DE SIMULATION

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux référentiels dont le plus connu et le

Plus en détail

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Présentation Cisco Advanced Malware Protection Prévention, détection, riposte et correction : la solution concrète contre les intrusions LES BÉNÉFICES Obtenez des renseignements inédits sur les menaces

Plus en détail

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines? DOSSIER SOLUTION Package CA Clarity PPM On Demand Essentials for 50 Users Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines? agility made possible CA Technologies

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Mesdames et Messieurs,

Mesdames et Messieurs, 1 Mesdames et Messieurs, A mon tour, j ai le plaisir de vous souhaiter la bienvenue pour une Journée de l Assurance placée sur un thème qui nous est cher : l Assurance et plus particulièrement son rôle

Plus en détail

Audit informatique et libertés

Audit informatique et libertés Audit informatique et libertés 6ix Secured E-commerce REFERENCE: 2012/DOC/INT/006/v1.0 DIFFUSION : PUBLIQUE ETAT DES VALIDATIONS Fonction Rédacteur Vérificateur/Approbateur Signé par Karim Slamani Karim

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC MANAGEMENT PAR LA QUALITE ET TIC Lorraine Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux

Plus en détail

Réunion Ambassadeurs Résultats annuels 2014/15 & Plan stratégique Up 2020

Réunion Ambassadeurs Résultats annuels 2014/15 & Plan stratégique Up 2020 Réunion Ambassadeurs Résultats annuels 2014/15 & Plan stratégique Up 2020 A la découverte de Solucom Réunion investisseurs - 3 juin 2015 Intervenants Pascal IMBERT Président du Directoire Patrick HIRIGOYEN

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Deux approches peuvent être. Analyse de données. Dossier : Audit

Deux approches peuvent être. Analyse de données. Dossier : Audit Dossier : Audit Analyse de données Mathieu Laubignat CISA, Auditeur informatique Les techniques d analyse des données, utilisées depuis 1998 au sein de l Audit Informatique du Groupe La Poste, constituent

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

prenez le risque, nous assurons votre réussite

prenez le risque, nous assurons votre réussite prenez le risque, nous assurons votre réussite Vous méritez toute notre expérience Depuis plus de 150 ans, Marsh, leader mondial du courtage d assurance et du conseil en risques d entreprise, accompagne

Plus en détail

AE-CEFAR Anciens Elèves du CeFAR (AMRAE)

AE-CEFAR Anciens Elèves du CeFAR (AMRAE) Liste des mémoires présentés par les sessions 1 à 12 (2004-2013) - Reconstruction après sinistre ou Comment transformer en opportunité un risque avéré (Évolution du partenariat assureur/assuré suite à

Plus en détail

AUGMENTATION DE CAPITAL NATIXIS

AUGMENTATION DE CAPITAL NATIXIS AUGMENTATION DE CAPITAL NATIXIS QUESTIONS / REPONSES 1. Pourquoi faire cette augmentation de capital maintenant alors que les marchés financiers sont en crise et le cours de Natixis au plus bas? A quoi

Plus en détail

Big Data : Risques et contre-mesures

Big Data : Risques et contre-mesures 18 mars 2014 Big Data : Risques et contre-mesures Les fondamentaux pour bien démarrer Gérôme BILLOIS gerome.billois@solucom.fr Twitter : @gbillois Chadi HANTOUCHE chadi.hantouche@solucom.fr Twitter : @chadihantouche

Plus en détail

Atelier A 08 : Rôle du département Achat dans les souscriptions d'assurance. Quelles relations entre le RM et les achats?

Atelier A 08 : Rôle du département Achat dans les souscriptions d'assurance. Quelles relations entre le RM et les achats? SESSION 1 Jeudi 7 février : 9h - 10h30 Atelier A 08 : Rôle du département Achat dans les souscriptions d'assurance Quelles relations entre le RM et les achats? 1 Intervenants Eunyoung PARK Directeur des

Plus en détail

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français L opinion des consommateurs français sur : Le niveau de sécurité des données personnelles pour chaque industrie Les organisations collectant des données personnelles via les appareils connectés Les recherches

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

La Lettre Sécurité. Dossier

La Lettre Sécurité. Dossier n 21 - Mars 2010 La Lettre Sécurité Édito Souvenez-vous : en 2007, Solucom publiait son premier Livre Blanc entièrement consacré à la famille de normes ISO 27000 et plus particulièrement à la norme ISO

Plus en détail

Un nouveau souffle sur les approches multicanal, les outils d analyse et la segmentation clients

Un nouveau souffle sur les approches multicanal, les outils d analyse et la segmentation clients Un nouveau souffle sur les approches multicanal, les outils d analyse et la segmentation clients Les tendances technologiques dans le secteur de l assurance vie : partie 1. * *La haute performance. Réalisée.

Plus en détail

n spécial Assises de la Sécurité 2009

n spécial Assises de la Sécurité 2009 n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif

Plus en détail

P r o t e c t i o n s o c i a l e & A c t u a r i a t. Plus qu une protection sociale complémentaire : notre engagement

P r o t e c t i o n s o c i a l e & A c t u a r i a t. Plus qu une protection sociale complémentaire : notre engagement P r o t e c t i o n s o c i a l e & A c t u a r i a t Plus qu une protection sociale complémentaire : notre engagement L es entreprises opèrent aujourd hui dans un environnement mondialisé et compétitif

Plus en détail

BMCE Direct. Guide d utilisateur Entreprise SOLUTION DE BANQUE A DISTANCE. www.bmcebank.ma. 140 Avenue Hassan II - Casablanca, Maroc

BMCE Direct. Guide d utilisateur Entreprise SOLUTION DE BANQUE A DISTANCE. www.bmcebank.ma. 140 Avenue Hassan II - Casablanca, Maroc BMCE Direct SOLUTION DE BANQUE A DISTANCE Guide d utilisateur Entreprise 080 100 8100 www.bmcebank.ma 140 Avenue Hassan II - Casablanca, Maroc Bienvenue dans BMCE Direct, L e nouveau service Banque à distance

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

ANNEXE IDéNum - Foire aux questions

ANNEXE IDéNum - Foire aux questions ANNEXE IDéNum - Foire aux questions Le label et les certificats labellisés A quoi le label IDéNum est-il destiné? - Le label IDéNum sert à remplacer les mots de passe et autres moyens utilisés par l internaute

Plus en détail

Forum annuel du CERT-IST 2015 24 novembre 2015

Forum annuel du CERT-IST 2015 24 novembre 2015 Forum annuel du CERT-IST 2015 24 novembre 2015 L évolution du droit de la Sécurité des Systèmes d Information face aux menaces actuelles : injonctions contradictoires? François Coupez Avocat à la Cour,

Plus en détail

Introduction Que s est-il passé en 2014? Qu attendre de 2015?

Introduction Que s est-il passé en 2014? Qu attendre de 2015? Les grandes tendances Data & Analytics 2015 L épreuve de la réalité janvier 2015 Introduction Que s est-il passé en 2014? Qu attendre de 2015? 2014 a confirmé l intérêt croissant pour la donnée au sein

Plus en détail