La sécurité à l usage des décideurs. La sécurité. à l usage des décideurs. 22 nov 2004

Dimension: px
Commencer à balayer dès la page:

Download "La sécurité à l usage des décideurs. La sécurité. à l usage des décideurs. 22 nov 2004"

Transcription

1 La sécurité à l usage des décideurs 22 nov 2004 Centre Français de réflexion sur la sécurité des systèmes d information Collection Ténor etna France Ouvrage collectif sous la direction de Gérard Péliks.. Ont contribués à la rédaction de ce livre : Jean-Philippe Bichard, Matthieu Bonenfant, Olivier Caleff, Bernard Carayon, Hervé Chappe, Patrick Chrisment, Dominique Ciupa, Philippe Clost, Anne Coat-Rames, Max de Groot, Alexis Ferrero, Franck Franchin, Jean-Denis Garo, Laurent Germain, Michèle Germain, Gabriel Gross, Michel Habert, Juan Antonio Hernandez, Olivier Itéanu, Sami Jourdain, Thierry Karsenti, Alexandre Le Faucheur, Gérard Peliks, Frédéric Pierre, Pierre-Luc Refalo, Philippe Robin, Thierry Rouquet, Eleonore Sichel-Dulong, Gérald Souyri, Alain Thibaud 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 1/191

2 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 2/191

3 Le mot du Président de l etna France Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les informations qu'ils contiennent, ce travail commun du Centre français de réflexion sur la sécurité des systèmes d information, créé au sein de l'etna France, pourra se révéler très utile. Edmond Cohen, Président de Western Telecom, Le mot de la Représentante du centre français de réflexion sur la sécurité des systèmes d information auprès du Conseil d Administration de l etna France Je félicite ce groupe de travail, devenu le Centre français de réflexion sur la sécurité des systèmes d information, devant la passion qu il a prouvée, dans la rédaction de cet ouvrage. Il s'agit de technologies concurrentes, de personnes d'environnements hétérogènes où tout le monde a consacré beaucoup d'énergie et d'enthousiasme à ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la protection des flux d'informations. Un remerciement particulier à tous les auteurs qui ont contribué à réaliser un livre qui sera certainement très utile et aussi à nos sponsors qui nous permettent en finançant les travaux d édition de le produire sous format papier. Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, Le mot du Président du centre français de réflexion sur la sécurité des systèmes d information Le mot du hacker Le pari un peu surréaliste d écrire un livre ouvert sur la sécurité à destination des décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs acteurs de la sécurité des systèmes d information sur le marché français a été lancé dès la création de la commission sécurité de l etna France. Son ambition est d évangéliser le monde des télécoms sur les diverses facettes de la sécurité des systèmes d information et des réseaux avec l assurance que la diversité de ses auteurs a apporté la richesse de cet ouvrage et son adéquation au but recherché. Gérard Péliks, EADS Defence and Communications Systems Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté face aux menaces de l Internet. Quand j attaque votre système d information, soit pour jouer avec, soit pour vous nuire, soit pour l utiliser comme relais pour réaliser d autres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension sécurité entrait dans l esprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que j encours de lourdes sanctions pénales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tâche encore plus difficile et surtout plus risquée. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 3/191

4 La sécurité L intelligence économique La cybercriminalité ANALYSE DES GRANDES TENDANCES 2004 / Les principaux enjeux 2004 / Pourquoi se protéger? E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? LES MENACES LES VULNERABILITES Une histoire qui remonte à la nuit des temps Un changement de comportement avec les vulnérabilités informatiques Les «exploits» Les parades Les attaques exploitant les vulnérabilités La difficulté des corrections Les faiblesses du Web LES ATTAQUES Le vol d informations Les accès non autorisés Les dénis de services Les attaques sur la messagerie Les attaques sur le Web Les attaques par le système d exploitation Les attaques combinées LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES Les éléments malfaisants Face au virus Mydoom.A Les logiciels espions LE CAS DU RESEAU SANS FIL La "révolution" radio Les préoccupations de l Administrateur Réseau Risques et attaques L INGENIERIE SOCIALE LE CYBER RACKET La prolifération des risques Les approches Un exemple Les règles à suivre LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS Le spim Le googlebombing Les attaques sur les téléphones portables Les attaques sur les photocopieurs Le Peer-to-Peer Les contre-mesures et moyens de défense LES FIREWALLS BASTION Les paramètres pour filtrer les données A quel niveau du paquet IP le filtrage doit-il se situer? Le masquage des adresses IP du réseau interne Les zones démilitarisées Firewall logiciel ou firewall matériel? En parallèle ou en série? Sous quel système d exploitation? LE FIREWALL APPLICATIF Des attaques sur les applications Web en forte croissance nov 2004 etna France Voir en dernière page pour les droits de reproduction 4/191

5 3.2.2 Les limitations des solutions de sécurité traditionnelles Le Firewall Applicatif ou Reverse Proxy Applicatif LE FIREWALL PERSONNEL L AUTHENTIFICATION FORTE L authentification et la chaîne de sécurisation Le rôle de la carte à puce dans l authentification Exemples actuels d utilisation de carte à puce Conclusion LA BIOMETRIE Introduction Identification Méthodes biométriques Précision Applications des techniques biométriques LE CHIFFREMENT ET LA CRYPTOGRAPHIE Introduction Cryptage symétrique Cryptage asymétrique La signature électronique Combinaison des techniques LA STEGANOGRAPHIE Le but de la stéganographie Dissimuler l information dans une image Dissimuler l information dans un texte LES VPN Les VPN IPSec Les VPN-SSL ou l accès distant sécurisé nouvelle génération VPN IPSec ou SSL: Les critères de décision LE CHIFFREMENT DES DONNEES SUR DISQUE LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) Certificats Numériques et Autorités de Certification Applications de la PKI Certificats Numériques Autorité de Certification (CA, Certification Authority) LA PREVENTION D'INTRUSIONS Les limites de la détection Qu est-ce que la prévention? Périmètre d action d un système de prévention Les moteurs d analyse Performances du système LES ANTI (VIRUS, SPAMS, SPYWARES) Les antivirus Les antispams Les anti spywares SECURITE ET MOBILITE LE FILTRAGE DE CONTENU INTERNET L ERADICATION DES LOGICIELS ESPIONS LES POTS DE MIELS La gestion de la sécurité LA GESTION CENTRALISEE DE LA SECURITE Introduction Caractéristiques d un système de gestion centralisé de la sécurité Le système d administration (SOC- Security Operations center) Les opérations La surveillance La supervision Le contrôle La sécurité et l administration du centre de gestion de la sécurité nov 2004 etna France Voir en dernière page pour les droits de reproduction 5/191

6 4.1.9 Fonctionnement d un centre de gestion centralisé de la sécurité Garanties de sécurité Standards et Modèles de référence utiles LES SCANNERS DE VULNERABILITES Un sujet technique et une question d'organisation Les technologies de recherche de vulnérabilités Les usages des scanners de vulnérabilités La gestion des correctifs CONTEXTE PRINCIPE DE TRAITEMENT DES CORRECTIFS DE SECURITE la phase amont Le déploiement La phase de suivi ÉLEMENTS COMPLEMENTAIRES OU SPECIFIQUES le facteur temps Les systèmes qui ne peuvent pas être pris en compte CONCLUSION Les réseaux particuliers APPLICATIONS A LA VOIX SUR IP Architecture d'un système VoIP Les risques Les attaques Fonctions LA SECURITE DU CENTRE D APPELS Le centre d appels Les enjeux Une double actualité : Les risques : Les chaînons Les solutions : LA SECURITE DES RESEAUX SANS FIL Le problème du WEP Les contre-mesures de base Les évolutions du protocole : WPA et i Application Autres technologies LA VIDEOSURVEILLANCE SUR IP La convergence des ressources et l optimisation des systèmes Exemple d application : la vidéosurveillance sur IP : Une architecture de sécurité de bout en bout LES EQUIPEMENTS DE SECURITE MULTIFONCTION Le développement du marché des Network Security Appliance Les menaces polymorphes Les limites de l approche «best of breed» Les avantages de l approche multifonction Le développement du marché de l appliance multifonction LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES Identification des risques Correction des lacunes de sécurité Approche intégrée Amélioration de la sécurité par l administration Résumé LE SINGLE SIGN ON Origines du Single Sign-On Pourquoi le Single-Sign-On? Aperçu des solutions existantes LA CONTINUITE D ACTIVITE L objectif de la continuité d activité d une entreprise nov 2004 etna France Voir en dernière page pour les droits de reproduction 6/191

7 7.4.2 De quelle continuité a besoin l entreprise? Construire le Plan de Continuité d Activité (PCA) dont l entreprise a besoin Une construction méthodique du PCA L entreprise tout entière doit faire vivre son PCA Le PCA comme une boîte à outils pour faire face à d autres situations DE LA CORRELATION ENTRE SECURITE PHYSIQUE ET SECURITE LOGICIELLE La sécurité physique et logique aujourd hui Les enjeux et la problématique La solution Les aspects juridiques et humains LE RSSI AT IL ENCORE DROIT AU SOMMEIL? Le RSSI coincé entre le marteau et l enclume de la loi De quelques précautions juridiques à prendre QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE L arrêt Nikon L Ecole de Physique et Chimie Industrielle de Paris L affaire Escota POLITIQUE ET REFERENTIELS DE SECURITE Préambule Fondamentaux Des principes fondateurs L organisation dans le cadre politique Une Charte et quatre politiques Des choix essentiels Synthèse LES RESPONSABILITES ET LES ACTEURS DE L ENTREPRISE Une nette orientation en faveur du juridique et du réglementaire RSSI : maîtriser les risques d une délégation de pouvoirs Quelle déontologie pour un cyber-comportement conforme avec les chartes Internet? Les certifications LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) L'ISO Historique La structure de l'iso 17799: Comment l'utiliser? L'ISO : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE Historique La structure du SSE-CMM( ) - ISO 21827: Les enjeux économiques de la sécurité : DES ATTAQUES QUI EVOLUENT DE L EXPLOIT TECHNOLOGIQUE A L APPAT DU GAIN SECURITE : QUELLES DEPENSES POUR QUELS USAGES? DU SENS DU ROI EN SECURITE DES SYSTEMES D INFORMATION Qu est-ce qu un ROI? Système d information, sécurité et ROI Calcul du ROI : un exercice difficile Un indicateur souvent inadapté Bibliographie et références GENERAL ATTAQUES ET MENACES VOIP CENTRE D APPELS WI-FI GESTION DES CORRECTIFS INGENIERIE SOCIALE JURIDIQUE LOISIRS Livres Films nov 2004 etna France Voir en dernière page pour les droits de reproduction 7/191

8 12 Glossaire ACRONYMES DÉFINITIONS Contributions à l écriture de ce livre nov 2004 etna France Voir en dernière page pour les droits de reproduction 8/191

9 1 L INTELLIGENCE ECONOMIQUE Auteur : Bernard Carayon, (Député du Tarn, Rapporteur du budget au Secrétariat Général de la Défense Nationale et du Renseignement à la Commission des finances) L intelligence économique a connu en France depuis dix ans un sort assez désolant! Comprise tantôt dans son acception anglo-saxonne (le renseignement), tantôt comme une méthode antédiluvienne d entreprise au service des seuls intérêts marchands (la «veille» juridique, commerciale, technologique ), l intelligence économique est restée marginale dans la société française. Les efforts de quelques pionniers de talent ont été gâchés par les ratiocinations de théoriciens de second rang ou les vacations logomachiques de marchands du temple L Etat, lui-même, n a jamais produit le moindre corps doctrinal, restant aveugle, à de rares exceptions près, aux constructions intellectuelles et institutionnelles de nos grands concurrents. Dans l entreprise, l intelligence économique est restée cantonnée à des niveaux d exécution ; dans le système éducatif enfin, elle est restée une matière, sans accéder au statut de discipline universitaire. Durant dix ans, les Français ont ainsi confondu la fin et les moyens : le renseignement, la veille ne sont que des outils. L intelligence économique est une politique publique ; j en ai défini dans mon rapport le contenu, le périmètre, la finalité. Par la simple observation des dispositifs étrangers, et l adaptation à notre culture propre. Politique de sécurité, d abord : sécurité technologique, (celle des réseaux, des centres de recherches, des process industriels), sécurité juridique (dans l accès au capital, dans la protection des secrets d affaire, dans l identification d un périmètre stratégique de l économie française), sécurité commerciale Politique de compétitivité, ensuite : comment accompagner les entreprises dans la conquête des marchés mondiaux? Comment définir, conduire et valoriser les politiques de recherche et favoriser l innovation? Politique d influence : comment anticiper l évolution des normes, peser sur les décisions des organisations internationales? Comment identifier les nouveaux acteurs de la mondialisation? (ONG, fondations, fonds d investissement ) Politique de formation enfin : qui former, quel enseignement général, quel enseignement spécialisé? Cette politique publique- comme partout dans le monde, n est pas adaptée à tous les marchés : seuls les marchés que je qualifie de stratégiques (et que ni la doctrine, ni la théorie économique n ont identifiés!) sont concernés : ceux qui créent, en plus de la richesse et de l emploi, de la puissance et de l influence ; termes tabous! Tant pis. On reconnaîtra l aéronautique et le spatial, la défense, l énergie, la pharmacie, l industrie des technologies de la communication, de l information et de la sécurité, certains domaines de l industrie agro-alimentaire. La conquête de ces marchés, partout dans le monde, ne repose plus sur la qualité et le prix des produits et services, mais sur de nouveaux acteurs, de nouvelles méthodes. Comment expliquer les retards français? D abord par notre conception des relations commerciales internationales : autant nous sommes socio démocrates dans la définition de nos politiques économiques intérieures, autant nous sommes naïfs et libéraux dans le regard que nous portons sur les marchés mondiaux. Chez les anglo-saxons, c est exactement l inverse. Ensuite parce que l histoire des relations entre l administration et le monde économique est une histoire de contentieux, d incompréhension, voire de mépris mutuel. Or l intelligence économique repose sur le métissage des cultures, la définition de procédures de mutualisation de l information, l identification de convergences d intérêts. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 9/191

10 J ajouterai que nos élites politico- administratives ont une connaissance pour le moins réduite des ressorts réels du marché et plus encore, de la vie internationale. Enfin, la France n a pas de culture du renseignement. Les services dits «spécialisés» sont encore mal traités, budgétairement et administrativement, leur image est médiocre dans l enseignement supérieur, leur politique de communication nulle. Le regard des politiques lui-même est méfiant ; celui des grands chefs d entreprises dubitatif Quelles finalités pour cette politique publique, nouvelle comme l ont été au cours des vingt dernières années, la protection de l environnement et le développement durable? Identifier le périmètre stratégique de l économie française, cela veut dire se battre pour ce qui est essentiel. S affranchir des tutelles technologiques, comprendre qu il existe des métiers stratégiques dont certains sont concentrés entre les mains de nos grands concurrents (cabinets d avocats et d expertise comptable, d audit, de courtage d assurance, de normalisation et de certification). Associer capitaux publics et privés dans de nouveaux fonds dédiés au développement d entreprises spécialisées dans les technologies de l information, de la communication et de la sécurité, accentuer nos moyens dédiés à la recherche. Marier dynamiques publiques et privées pour conquérir des marchés, conduire l Europe vers de vraies stratégies industrielles, là où il n y a qu une politique concurrentielle entravant l essor de nos champions Autant de défis qui impliquent, pour paraphraser Paul Valery, un nouveau «regard sur le monde actuel». L Etat a tout à gagner à développer cette nouvelle politique. En termes d image : l intelligence économique est «moderne». En termes de fonction : privilégier la circulation de l information plutôt que sa rétention, valoriser celui qui donne plutôt que celui qui conserve, c est révolutionnaire! Pour les préfets, représentants de l Etat par excellence, comme pour les ambassadeurs, l intelligence économique constitue une merveilleuse opportunité. L occasion d être les pilotes d une réforme porteuse de sens, d être à coté des élus, des moteurs du développement économique dans ce qu il recèle de plus «fin» et de plus prospectif ; d être enfin les moteurs de la réforme administrative, la vraie, celle qui se veut au service de la Nation et non de ses corporatismes. Si de notables avancés peuvent être constatées un an après la remise de mon rapport au Premier ministre 1, il reste encore un long chemin à parcourir pour que l intelligence économique devienne en France une véritable politique publique. Le premier effet positif des débats qui ont suivi la publication de ces travaux fondés sur l écoute et le questionnement de près de quatre cents personnes est que l intelligence économique est mieux comprise aujourd hui, dans l administration et dans l entreprise, comme une approche stratégique en matière de compétitivité, de sécurité économique, d influence et de formation, plutôt que comme la simple mise en œuvre de techniques de traitement, d échange ou de protection de l information stratégique. L idée selon laquelle les critères de conquête des marchés ne sont pas toujours ceux que définit l économie libérale est également mieux partagée. Dans le jeu classique de la globalisation des échanges, pour les produits les plus courants, l entreprise augmente ses parts de marché par un avantage concurrentiel fondé sur le prix, la qualité de ses produits ou services, et une communication adaptée à sa cible. Il n en va pas de même dans certains secteurs stratégiques où les Etats interviennent fréquemment en faveur des entreprises nationales 2, en déployant, au besoin, les arguments financiers ou diplomatiques les plus frappants. 1 «Intelligence économique, compétitivité et cohésion sociale», La Documentation Française, Pour la définition d une entreprise nationale, on peut consulter par exemple le rapport du Commissariat général du Plan publié en 1999 et intitulé «La nouvelle nationalité de l entreprise dans la mondialisation» dans lequel cinq critères d évaluation sont proposés. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 10/191

11 Deuxième élément positif, la nomination au début de l année 2004 d un Haut Responsable à l intelligence économique par décret du Président de la République et placé auprès du Premier ministre a signé l engagement des pouvoirs publics sur ce sujet, même si son positionnement administratif final a donné lieu à de vraies interrogations quant à son efficacité, notamment dans le dialogue avec les entreprises 3. L actualité économique a montré que ce sujet est au cœur du développement de l industrie européenne. La constitution du troisième groupe pharmaceutique mondial et du premier européen SANOFI-AVENTIS - a pu s effectuer grâce aux efforts conjugués d un industriel visionnaire et d un Gouvernement audacieux. Les exemples de la consolidation du groupe ALSTOM défendue par le ministre de l Economie, des Finances et de l Industrie à Bruxelles et de la disparition de PECHINEY, absorbé par le canadien ALCAN (que l entreprise française n a pu racheter quelques années plus tôt en raison du veto de la Commission européenne) ont porté leurs fruits. En ce sens, la création annoncée en juin par le chancelier allemand d un groupe franco-allemand d entrepreneurs visant à promouvoir une politique industrielle commune, va dans le bon sens. L essentiel pourtant reste à accomplir. La situation sociale insupportable de trop nombreux compatriotes 4, la «découverte» du phénomène de délocalisations d entreprises ou plutôt de son accélération, y compris au sein de l Europe ; la poursuite des conséquences de la libéralisation des marchés par exemple la levée le 1 er janvier 2005 des quotas imposés en matière textiles à la Chine ; les contraintes et les opportunités que les préoccupations nouvelles en matière d environnement ou de développement suscitent : autant de facteurs qui devraient nous pousser à agir si nous ne voulons pas que la France ne soit demain qu un hypermarché au milieu d un champ de ruines sociales. La première urgence est de définir le «périmètre stratégique» de l économie française. Ce que nous devons défendre pour garantir une cohésion sociale menacée, ce que nous devons promouvoir pour assurer à nos enfants richesse intellectuelle et professionnelle. Les résultats de cette réflexion prospective doivent être connus de tous afin de permettre la création des filières éducatives et professionnelles nécessaires, de favoriser le ciblage des soutiens publics, d assurer la meilleure mobilisation des acteurs éducatifs, sociaux et économiques. Ce travail prospectif partagé et communiqué sera également un signe donné aux étudiants et aux jeunes professionnels dont l expatriation sonne comme une condamnation de l avenir de la France. Il encouragera également les entreprises étrangères à investir en France. Ce concept de périmètre stratégique de l économie française doit d ailleurs être décliné régionalement : à partir de leurs savoir-faire anciens ou plus récemment acquis, en fonction de leur localisation géographique, les régions n ont évidemment pas les mêmes atouts ou les mêmes fragilités. La dimension territoriale est un échelon essentiel de la mise en œuvre d une politique publique d intelligence économique. Si une stratégie nationale en ce domaine s oriente plus naturellement vers les grandes entreprises, c est bien au niveau régional que l action auprès des petites et moyennes entreprises et des entreprises régionales à envergure mondiale sera la plus efficace. Dans certains secteurs d activité, comme le textile par exemple, ce sont également ces entreprises qui se révèlent le plus exposées à la concurrence issue de la mondialisation. Dès l automne 2003, Nicolas SARKOZY, alors ministre de l Intérieur a compris le rôle majeur que les préfets en poste territorial et certaines directions du ministère de l intérieur peuvent jouer dans la réussite d une politique publique d intelligence économique. La mise en place d expérimentations régionales a été décidée et sa coordination confiée au Secrétaire général du ministère. Une orientation confirmée par Dominique de VILLEPIN qui a décidé de faire passer de cinq à sept le nombre de Régions initialement prévues avec l objectif de généraliser l expérimentation, en cas de succès, dès Cf. Mon rapport de la Commission des finances «Pour une stratégie de sécurité économique nationale» (www.assemblee-nationale.fr) 4 Qui peut se satisfaire d une France dans laquelle un million d enfants ou d adolescents vivent sous le seuil de pauvreté INSEE rapportée par le quotidien «Le Monde» mars nov 2004 etna France Voir en dernière page pour les droits de reproduction 11/191

12 Le déroulement de ces expérimentations se heurtera vraisemblablement «sur le terrain» au double obstacle culturel qui fragilise notre pays depuis trente ans : la délégation administrative de la réflexion stratégique et le cloisonnement entre administrations. Comme il est fréquent pour les hommes politiques qui accèdent aux responsabilités exécutives, la «tyrannie du court terme» pourrait inciter les préfets de Région en charge ou les directeurs d administrations concernées à déléguer à un jeune «chargé de mission» la démarche méthodologique, l essentiel de la réflexion et l établissement de propositions. Ce n est pas la meilleure garantie de succès. Une des pistes ouvertes par mon rapport au Premier ministre propose la création de comités de pilotage régionaux d intelligence économique. Une telle structure dont la nature juridique importe peu - a l avantage de pérenniser l action engagée et d en assurer la nature collective : ce sont les croisements des expertises publiques et privées qui permettent d établir les meilleurs diagnostics, de définir les orientations et les actions à mettre en œuvre. C est également au sein de ce type de structure que l on évite la tentation de se limiter à quelques opérations d affichage et que la collaboration active entre services déconcentrés de l Etat peut être plus fluide. Parce qu il s agit d une politique régionale à inscrire dans le long terme qui comporte à la fois un volet industriel et scientifique mais également un volet social et éducatif, parfois culturel, parce qu il connaît le mieux les administrations du ministère de l intérieur utiles sur ces sujets, c est au préfet de Région qu il appartient d orienter, de coordonner et de suivre la réflexion stratégique, la mise en place des outils et des actions à mettre en œuvre. Son rôle-charnière d intermédiaire entre la politique de l Etat et l exécutif régional - qui doit être étroitement associé à toute démarche d intelligence économique - est essentiel. Nous pouvons nous montrer résolument optimistes. A côté de la mobilisation annoncée du Gouvernement et de l engagement des préfets dans les expériences régionales, de grandes entreprises françaises et européennes, conscientes des enjeux, ont choisi de soutenir la réflexion et l action sur des sujets directement liés à l intelligence économique. C est le sens de la Fondation d entreprises Prométhée que je crée et à laquelle j ai associé mon collègue de l opposition Jean- Michel BOUCHERON. Cet engagement collectif d entreprises au service de l intérêt général doit être pour nous source d exigences et d espoir.. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 12/191

13 2 LA CYBERCRIMINALITE Auteur : Jean-Philippe Bichard (NetCost&Security) Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et cyber-mafias ). Cet attentat dramatique a clairement montré que ce n'était ni le nombre, ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l on place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le domaine militaire que civil. 2.1 ANALYSE DES GRANDES TENDANCES 2004 / 2005 C est près d un milliard d hommes, de femmes et d enfants qui deviendront internautes d ici à Ils échangeront alors environ 35 milliards de messages par jour. Or, de sérieuses menaces pèsent sur ce secteur. En 2004, le cyber-racket ou chantage exercé par des cyber-bandes professionnels du cyber-crime pour extorquer de l argent aux entreprises après leur avoir dérobé des données sur leur système d information s est étendu. Ne parlons pas des spam, spim et autres vers qui envahissent désormais les objets nomades comme les téléphones portables et les agendas électroniques. Internet s est développé plus rapidement que n importe quel autre média. Depuis 1995, Internet connaît un succès foudroyant avec un trafic qui doublerait tous les 3 mois. Cette croissance exceptionnelle ne va pas sans problème. Le premier d entre eux, c est l absence de connaissances et d expertises sur le monde Internet, et surtout ceux de la E-Confiance et des Cyber-risques. La deuxième observation, c est la prise de risque stratégique que représente l absence d une politique de sécurité appliquée aux utilisateurs des systèmes d information. Trop d entreprises ignorent les menaces et les risques. Ils sont pourtant nombreux Les principaux enjeux 2004 / 2005 (Enquête NetCost&Security 2004) Technologiques : avec les conséquences de l usage du protocole IP devenu outil de référence pour les applications de messagerie et d échanges de données, le standard IP connu de tous est désormais présent au sein de tous les systèmes d information. PMI et PME ne sont pas encore en 2004 toutes raccordées à Internet. Si les usages liés aux procédures dématérialisées progressent, ces dernières demeurent en retrait face à un marché encore inquiet face aux menaces liées aux Cyber-risques via l Internet (attaques virales et ingénierie sociale). Enfin, si les notions de mises à jour commencent à êtres connues, les utilisateurs français souvent indisciplinés demeurent peu réceptifs aux règles de sécurité notamment sur les aspects liés aux mises à jour de bases de signatures et de patch (correctif) Économiques : la messagerie se substitue au téléphone l asynchrone au synchrone. A l échelle mondiale, 36 milliards de messages seront échangés au quotidien en Il y en avait 11 milliards en En 2004, l opérateur Wanadoo gère 20 millions de mails par jour. C est dire son importance en tant qu outil «positif» mais aussi vecteur de spams, rumeurs mais également éléments de preuves avec la signature électronique encore discrète mais techniquement opérationnelle. Le concept de Forensic computer ou la preuve via les NTIC est considéré comme une tendance majeure de N oublions pas le piratage des logiciels et la création de sites de stockage ou le téléchargement de logiciels: de plus en plus de logiciels sont disponibles sur le marché. Comme en 2003, les logiciels sont en 2004 souvent piratés pour servir d arme (la différence de connaissance entre les experts Cyber-risques et les attaquants s estompe) et téléchargés. En effet, de nombreux utilisateurs novices trouvent sur certains sites des «outils» de hacking ne nécessitant aucune connaissance particulière (ce qui ne réduit pas pour autant leurs effets). Autres tendances celles liées au piratage 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 13/191

14 d œuvres musicales et vidéo. Ce type de piratage inquiète sérieusement les «majors» du disque et de l industrie cinématographique en Des plaintes sont déposées et des groupes de pression se forment. Organisation de la malveillance : des attaques nouvelles faisant appel à des regroupements, de nombreuses attaques proviennent désormais d un regroupement effectué entre hackers et développeurs de codes malicieux. Avant 2003, les premiers étaient davantage «spécialisés» sur les attaques réseaux (couches basses) et les seconds sur les couches hautes (dites applicatives) en développant des codes malicieux qui exploitent les agendas des messageries pour accélérer leur propagation «consacrent» les attaques par codes malicieux de Mydoom à Sasser, la progression de l exploitation des failles non «patchées» devient inquiétante à tel point que de grands éditeurs comme Microsoft estiment que leurs priorités en sécurité en reposent sur l écriture de code sécurisé et la bonne gestion des «patch» par leurs grands clients. Les paradoxes des environnements ouverts : l environnement Open Source peut être profitable aux entreprises mais aussi à leurs attaquants (c est un des paradoxes de l open source). Cela dit, Linux et les outils Open source retiennent l attention de grands comptes. La forte poussée chez les décideurs de réflexions sur la conformité réglementaire et la veille juridique avec la notion de responsabilité de tiers (FAI, opérateurs, éditeurs ) et les problématiques liées à la délégation de pouvoir, certification, contrat des prestataires Dernier point rarement évoqué dans les études, les signes que donnent les utilisateurs «TECHNO- REBEL» se confirment face aux outils de Cyber-Surveillance et à des lois jugées «liberticides» par certains regroupements (utilisateurs d Internet, hébergeurs ). Ces nouvelles questions ne doivent pas être oubliées, elles sont le signe profond d un malaise chez bon nombre d utilisateurs. Ne sontils pas de plus en plus nombreux à se sentir «cyber-surveillés» sans de réelles explications? Un utilisateur malheureux dans son environnement peut concevoir de se révolter contre cet environnement. D où risque. Les premiers signes apparaissent avec la progression inquiétante des attaques internes confirme une tendance apparue en 2003 liée aux comportements. Les outils de traçabilité existent et inquiètent. Désormais des solutions de préventions liées à l anticipation des comportements apparaissent dans certaines entreprises afin d anticiper les comportements «à risque» et prévenir une menace. Surtout, le sacro-saint secret des correspondances privées est remis en cause par des RSSI bien décidés à faire valoir en priorité les précautions liées aux risques de menaces sur le patrimoine informationnel. D où l importance des chartes Internet de plus en plus précises liées au règlement d entreprise. Au sein des entreprises, la délinquance d utilisateurs internes «en col blanc» - ce sont eux qui ont accès à l information - augmente chaque année. En 2003 le nombre de menaces internes est considéré comme supérieur face aux attaques externes par les grandes entreprises nordaméricaines. En 2004, ces chiffres se confirment sans toutefois augmenter considérablement en raison de l application stricte des règles de politique de sécurité Pourquoi se protéger? La réponse est évidente : les sites gouvernementaux, les institutions, les universités et écoles, les banques, les industriels, les sites de commerce électronique ont tous connus des attaques sur leurs serveurs, sur leurs flux de transmission, sur leur Intranet et réseau interne, transactions Internet permet aux entreprises de tailles différentes de communiquer. C est le concept de l entreprise étendue. Les sous traitants doivent disposer de maillons de la chaîne de sécurité aussi robustes que ceux utilisés par les grands comptes avec qui ils travaillent. Dès lors, la politique de sécurité s étend à l extérieur du périmètre connu de l entreprise. Mais comment être certain que les règles propres à la politique de sécurité sont appliquées et correctement analysées? Idem pour les utilisateurs particuliers : Les opérateurs en 2003 et 2004 se préoccupent de plus en plus d offrir des solutions «packagées» de sécurité (anti-virus, anti-spam, contrôle parental, filtrage URL ). Fait nouveau : les opérateurs interviennent eux-mêmes pour réaliser des contrôles et en font connaître les résultats notamment auprès du grand public. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 14/191

15 AOL prétend que son système de «scan» automatique des pièces-jointes avait bloqué 500 millions de méls infectés par des virus, depuis son lancement mi-avril En moyenne, les 32 millions d'abonnés d'aol ont été individuellement protégés de l'attaque de 15 virus selon ce FAI. 2.2 E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? Les solutions de sécurité au sein des grandes entreprises mettent toutes en œuvre une partie ou généralement la totalité des mécanismes suivants : disponibilité des données et des systèmes d information (systèmes, réseaux, applications et services), des plans de secours et de continuité de services, les applications Cyber-risques et E-Confiance via des procédures d authentification, autorisation, intégrité, confidentialité et non-répudiation. De la sécurité informatique des années 80 à la sécurité du système d information des années 90 pour atteindre aujourd hui les rivages de la sécurité des informations/applications et des droits des utilisateurs avec les notions de patrimoine informationnel à valoriser via un référentiel de sécurité audité chaque trimestre, les Cyber-risques englobent de nombreux concepts en 2004 à commencer par la cyber-criminalité en forte progression. Plusieurs marchés composent le marché des Cyber-risques : celui de la sécurité applicative et des services Web, celui de la sécurité système et celui de la sécurité des infrastructures. Les Cyber-risques «applicatifs» confirment leur envol entamé en Selon le Gartner Group, 75 % des attaques provenant de l Internet s effectuent au niveau des couches applicatives. Le marché Cyber-risque reste difficile à cerner d autant qu il est crédité de chiffres controversés. Pour 2004, les enjeux liés à la Confiance viennent confirmer les tendances 2003 : les PME/PMI s intègrent de plus en plus aux systèmes d informations des grands comptes et les discours des Risk Managers évoluent de la technologie vers l usage de cette technologie avec les environnements indispensables : juridiques, réglementaires, économiques. Mais qu est ce que la e-confiance? Désormais, la gestion des risques majeurs et des utilisateurs l emporte sur les discours axés sur la «peur» et les solutions «totalement technologiques». Certains fournisseurs, éditeurs, intégrateurs dont le discours reste uniquement axé sur les technologies, vont devoir revoir leur copie en Deux mondes grandes entreprises et PME/PMI sont appelés à se rencontrer sur le terrain des Cyber-risques. En effet, le concept d entreprise étendue va obliger les PME/PMI sous-traitants à respecter le cahier des charges de leurs clients, souvent des grandes entreprises dont la politique de sécurité s étend désormais aux partenaires. Ce marché de l entreprise étendue sécurisée, peu d analystes semblent l intégrer. Il est pourtant au cœur des préoccupations de la majorité des PME/PMI. Reste que bon nombre de DSI (Direction des Systèmes d Information) et RSSI (Responsable de la Sécurité des Systèmes d Information) cherchent encore une vision optimisée d un «monde du travail connecté». Cependant selon certaines estimations de plusieurs études d éditeurs, les grands comptes dans 20% des cas se montrent prescripteurs auprès de leurs partenaires et sous-traitants le confirme. Non seulement une chaîne de la e-confiance basée sur des échanges dématérialisés se met en place mais les acteurs recherchent une plus grande homogénéité dans les échanges d applications. L interopérabilité technique des années 90 fait place après la distinction entre risques majeurs et risques mineurs des années 2000 à la «transparence» des échanges codifiés par des textes juridiques et le respect de normes pour les années à venir. Cette transparence s accompagne d une notion de gestion des droits liés aux usages des données et documents. 2.3 LES MENACES Auteur : Gérard Péliks (EADS) 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 15/191

16 Dès qu un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs voire même à une perte totale des fichiers systèmes, avec impossibilité de «rebooter» son PC. Quand l utilisateur se connecte sur l Intranet de sa société, ce réseau est automatiquement sujet à des menaces pouvant porter atteinte à l intégrité, et même à l existence des informations et aux applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si l utilisateur connecté à son Intranet, a aussi accès simultanément à l Internet, les menaces sont multipliées tant dans leur nombre que dans leur diversité. Nous ne pouvons rien contre l existence de ces menaces, qui sont liées à la nature humaine et à la nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se concrétiser par des attaques réussies. Contre les vulnérabilités, heureusement pour l utilisateur, pour son poste de travail et pour les réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les explorer. Mais les outils ne sont efficaces qu intégrés dans une politique de sécurité connue et librement acceptée par l entreprise ou la collectivité, car on ne le répétera jamais assez, ce n est pas le réseau qui est dangereux, c est bel et bien l utilisateur, parfois de manière consciente mais aussi souvent sans le vouloir et sans même le savoir. Les menaces sont bien réelles. Pour se protéger contre elles, puisqu on ne peut les éliminer, il faut les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l entreprise cible. Il n est pas possible de se prémunir contre toutes les menaces, donc il n est pas crédible de se croire hors d atteinte de toute attaque. Heureusement les informations et les applications résidant dans votre réseau et dans vos postes de travail n ont pas toute la même valeur stratégique pour l entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l endroit où les 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 16/191

17 informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût qu induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit, pour chaque domaine d information, pour chaque application, il y a un seuil au-delà duquel, il n est pas rentable d investir plus pour protéger une information dont la perte causerait un préjudice inférieur au coût des solutions de sécurité mises en place. Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une information dont la perte serait sans commune mesure avec le coût de la solution de protection de cette information. Les menaces sur les postes nomades Déjà à l intérieur de l entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire de l attacher à un point fixe par un cordon d acier, et d utiliser l économiseur d écran quand vous vous absentez provisoirement de votre bureau. Que dire alors des risques qu il encourt quand vous le sortez de l entreprise! Justement parlons-en. Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, paraît-il, disparaissent. Ce n est pas toujours l œuvre de simples voleurs intéressés par la valeur marchande du PC le plus souvent très inférieure à celle des informations stockées sur son disque dur. J ai connu une situation, lors d un salon, il y a quelques années, où la paroi de la remise d un stand avait été forcée durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient disparu. Au-delà de la gène évidente pour leurs propriétaires, l un des portables contenait le planning et l évolution des fonctionnalités des produits conçus et commercialisés par l entreprise et les carnets d adresses des partenaires et des clients. Que pouvait espérer le propriétaire de mieux qu un miracle fasse qu une météorite tombât sur son PC volé en détruisant son disque dur avant que son contenu ne soit exploité! Mais la probabilité pour que ce miracle se produise n est pas bien grande. Ajouté à cela, durant la journée, des coffres de voitures avaient été forcés sur le parking du salon et un autre PC portable avait été dérobé! Ce n est pas sur l espoir d un miracle que doit reposer la sécurité des données contenues dans les postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état d esprit, une politique de sécurité, et des outils correctement paramétrés. Durant la connexion votre poste nomade peut présenter un danger pour l intégrité du système d information de votre Intranet car il est exposé aux attaques dites «par rebond» qui permettent à un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans l Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre VPN est activé, le poste nomade n accepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l Internet. Quand vous n avez plus besoin d être connecté à l Intranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur. Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences catastrophiques pour notre système d information. Ce n est pas une raison, bien sûr pour relâcher votre vigilance. Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers échappent évidemment au contrôle de l antivirus de l entreprise. Une fois le poste nomade connecté à l Intranet, il peut infecter son système d information. Il est indispensable, avant tout chargement de fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 17/191

18 Remarque : Ne confondons pas poste nomade et utilisateur nomade, en effet l utilisateur nomade n utilise pas forcement un ordinateur de l entreprise pour se connecter. Les bornes Internet dans les cafés, par exemple, permettrent de lire son courrier électronique à distance. Ces systèmes sont cependant beaucoup plus dangereux car des spywares peuvent être installés et enregistrer les mots de passe à l insu de l utilisateur. Il faut donc être encore plus vigilant lors de l attribution des droits d accès aux serveurs pour des utilisateurs nomades. 2.4 LES VULNERABILITES Auteur : Dominique Ciupa (Intranode) Une histoire qui remonte à la nuit des temps Toute conception humaine a ses limites. Les logiciels et les réseaux comme les autres activités. A l'instar de la quasi-totalité des personnes qui, quelque que soit leur niveau d'éducation, laissent de temps à autre quelques fautes d'orthographe dans leurs écrits, les développeurs informatique font de leur côté un certain nombre de fautes informatiques. «Errare humanum est» a existé bien avant l'informatique. L'humanité a toujours connu les questions de vulnérabilités. Depuis le talon d'achille jusqu'à la ligne Maginot, l'histoire des vulnérabilités n'est qu'une longue répétition de point de faiblesse et d'erreurs. Certaines fautes informatiques génèrent des «bugs», nom donné à l'époque des premiers calculateurs électroniques lorsqu'un insecte, une punaise ou «bug» en anglais, provoquait un court-circuit entre deux composants électrique. D'autres erreurs peuvent être exploitées pour porter atteinte à la sécurité des réseaux et systèmes d'information. Accès à des données confidentielles, corruption de données, blocage d'un système que l'on appelle «déni de service», prise de contrôle d'une machine pour exécuter ce que l'on veut. On parle alors de failles de sécurité, ou de vulnérabilités informatiques. Rien de nouveau d'un point de vue technique, mais c est aujourd'hui un véritable problème en raison de l'exploitation à grande échelle qui est désormais faite des bugs et failles de sécurité. Ainsi, il y a encore 10 ou 15 ans, des failles ou bugs pouvaient exister sans conséquences graves. Ainsi, dans les systèmes de facturation téléphonique des bugs existaient qui permettaient de ne pas payer les communications. Sur certains commutateurs et pour certains opérateurs télécoms, le système de renvoi d'appel, faisant intervenir la couche dite «de réseau intelligent», permettait de faire disparaître le ticket de taxation lorsqu'un premier poste était renvoyé sur un deuxième poste luimême renvoyé sur un troisième. Les développeurs n'avaient pas prévu un usage aussi curieux et le pointeur des tickets de taxation se trouvait sur la valeur «nihl». En clair, les tickets de taxation disparaissaient. Le poste numéro 3, se faisant appeler après un tel double renvoi, bénéficiait d'une communication gratuite pour l'appelant. Le risque d'un manque à gagner pour l'opérateur télécom utilisant ces équipements était flagrant. Sauf que le «bug» n'était connu que d'un petit groupe d'experts qui considéraient le strict respect de la confidentialité de certaines informations comme étant une règle essentielle de bonne conduite professionnelle. Le tout se commentait donc ainsi en 1992 au sein de la communauté des experts internationaux des réseaux intelligents réunis en congrès en Gironde au cours d'un fastueux dîner payé par France Télécom dans le Château de Wayre, après une dégustation des meilleurs crus offerte par la Mairie de Bordeaux. L'information était même confiée à des journalistes participant à ce congrès, sous le couvert du célèbre «off the record», et tout en restait là! Tout le monde a vécu sans problème avec cette faille, sans la corriger pendant de nombreuses années. Constructeurs et opérateurs s'entendaient pour accepter de vivre avec ce risque, en plaçant l'information sous le sceau du secret professionnel et en considérant que la correction serait trop coûteuse pour une menace aussi faible, puisque la possibilité d'attaque était inconnue du public Un changement de comportement avec les vulnérabilités informatiques Tout est désormais radicalement différent. Une vulnérabilité découverte fait l'objet de communication immédiatement relayée par tous les moyens de la communication moderne de l'internet. Peu de notion de confidentialité subsiste. Une éthique veut toutefois encore que la publication ne soit faite que lorsque la correction de la faille a été réalisée par l'éditeur, ou qu'une solution de contournement de la faille est identifiée. Cette éthique est heureusement souvent respectée. Mais le jeu collectif de certaines communautés de chercheurs ou de développeurs est bel et bien la recherche des failles de certains éditeurs, allant parfois au-delà de ce que la loi autorise en pratiquant la décompilation de 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 18/191

19 logiciels, et menaçant, tels des maîtres chanteurs, de publier la faille si la correction n'est pas développée dans les plus brefs délais par l'éditeur. Le nombre de vulnérabilités découvertes et publiées ne fait qu'augmenter. Il existe toutefois aujourd'hui un débat sur le bien-fondé de la recherche des vulnérabilités. La loi a désormais défini des limites aux possibilités de recherche de vulnérabilités à des fins de hacking. Le délit existe donc avant même l'attaque dès la préparation possible de l'attaque. De nombreuses communautés de chercheurs se sont élevées contre ces interdictions et ont affirmé que la recherche devait être libre et sans contrainte pour faire progresser la qualité des logiciels. C'est pour nombre de chercheurs de bonne foi un objectif réel, louable et légitime. Le débat a suscité de nombreuses passions et parfois provoqué des prises de positions extrêmes. Toute l'ambiguïté du débat porte autour de l'appréciation de qu'est une fin légitime de recherche de vulnérabilité. Suivant sa finalité, la recherche est autorisée ou est qualifiée de criminelle par la loi. Le législateur ne tranche pas et laisse le soin de l'interprétation à l'application de la loi. Le débat est donc loin d'être clos. Les failles concernent tous les systèmes et tous les éditeurs de logiciels. Linux n'est pas nécessairement mieux loti que Microsoft sur ce plan. La communication de chaque communauté d'informaticiens s'apparente parfois à des guerres de clochers inutiles. nombre de vulnérabilités Q-3Q Les «exploits» Nombre de vulnérabilités répertoriées par les CERT Après la publication de la vulnérabilité, la manière avec laquelle on peut exploiter la faille devient une sorte de second challenge pour certaines communautés qui vont chercher à s'illustrer avec de nouvelles publications et revendiquer leurs exploits respectifs. Tout circule à grande échelle et sans délai sur le Web et les forums de discussions. Le monde est devenu très bavard, les «bugs» et failles sont mis à nu devant tout le monde et les programmes d'attaques, dénommés «exploit» affichés aux yeux de tous et signés par leurs auteurs, qui utilisent souvent par prudence des pseudonymes connus seulement par leurs pairs. L'excitation de la recherche, la communication et une certaine vantardise poussent le système. Le débat sur le bien-fondé de la publication des «exploits» est esquissé par les nouveaux textes législatifs. La loi comprend désormais des possibilités de restreindre ces publications. Des chercheurs déclarent par ailleurs utiliser ces exploits à des fins de tests, pour vérifier si une vulnérabilité est présente. Là encore, la notion de fin légitime apparaît. Le législateur n'a pas apporté de définition et les magistrats pourront interpréter Les parades Pour le responsable sécurité, tout le problème réside donc dans la mise à jour des correctifs de sécurité, ou les modifications des configurations pour palier les vulnérabilités. Nous sommes dans une véritable course à la mise en œuvre des correctifs avant que les failles ne soient exploitées Les attaques exploitant les vulnérabilités Plusieurs attaques sont en effet à craindre. Le premier type d'attaque relève du hacker isolé qui va s'en prendre à une machine pour le plaisir, et parfois sans grand géni. Cette personne surveille la publication des failles de sécurité, recherche les «exploits» rédigés et publiés par d'autres en toute impunité sur le Web et mène ensuite son jeu 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 19/191

20 pour bloquer une machine, lire des informations confidentielles, changer des données ou prendre le contrôle d'une machine pour lui faire exécuter ce qu'il veut. Le hacker se comporte parfois en pensant que le coupable est en fait le responsable du système d'information qui n'a pas mis à jour ses logiciels, lui-même ne faisant que jouer. L'inconscience est donc parfois la source de graves préjudices. Il peut toutefois également s'agir d'espionnage industriel ou d'actes mafieux, sans aucun caractère ludique, mais avec des enjeux financiers bien réels. Le second type d'attaque est plus industriel et consiste à utiliser des vers pour mener à grande échelle une attaque sur un nombre non limité de machines en un minimum de temps. Quelques exemples de telles attaques sont les vers «Slammer», «Blaster» ou encore «Sasser». Très connus dans l'univers Microsoft Windows, les attaques de hackers ou des vers peuvent aussi être conçus pour utiliser les vulnérabilités de tout autre machine : Linux, Unix, mais aussi des routeurs, commutateurs, PDA ou téléphones portables. Nous n'oublierons pas également qu'aujourd'hui des équipements téléphoniques sous IP, les IPBX ou PABX IP, sont d'abord et avant tout des équipements data, fonctionnant sous des OS Windows, Linux ou Unix et qu'à ce titre ils sont aussi vulnérables qu'un PC. D'autres équipements peuvent aussi être concernés, bien que l'on y pense moins souvent : les imprimantes, dont les disques et mémoires peuvent contenir des informations confidentielles, et tous les équipements ou solutions sur appliances, tels que les firewalls, solutions de filtrage applicatif, enregistrement de vidéosurveillance numérique, etc La difficulté des corrections La correction des vulnérabilités n'est pas un exercice anodin. Lorsqu'ils existent, les correctifs, ou patches en anglais, proposés par les éditeurs sont parfois incompatibles avec d'autres applications mises en œuvre sur la même machine. En fermant un «trou de sécurité», il est en effet possible que l'on bloque une seconde application, qui utilise, sans penser à mal, les particularités de la première application vulnérable. Les «trous de sécurité» apportent en effet parfois certaines souplesses que les développeurs peuvent utiliser de façon légitime. Il faut alors développer un second correctif à appliquer sur la seconde application pour qu'elle fonctionne avec le patch appliqué sur la première. Une autre solution consiste parfois à développer un second patch qui va corriger le premier patch et permettre un inter-fonctionnement satisfaisant des deux applications. On patch alors le patch. Tout ceci prend naturellement du temps. L'entreprise doit choisir entre rester vulnérable ou bloquer certaines applications. Le sujet n'est pas simple. La gestion des vulnérabilités relève de questions d'organisation, de définition de processus et d'emploi d'outils adaptés que nous présentons, notamment au paragraphe «Scanners de vulnérabilités» de cet ouvrage Les faiblesses du Web Auteur : Sami Jourdain (Deny All) Par son étendue, sa richesse de contenu et sa simplicité d utilisation, l Internet est une mine d informations pour les entreprises et un média sans précédent pour faire connaître les informations mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l Internet, l utilisateur peut accéder à des millions de pages Web, et peut, à l aide de portails et de moteurs de recherche, obtenir l information qui lui est nécessaire dans le cadre de son travail, au moment où il en a besoin (caractéristiques d un produit, liste de prix, conditions de vente, contacts, plan d accès ) Les menaces sur les applications Web Les entreprises continuent de déployer de nouvelles applications Web afin d augmenter l efficacité de leurs échanges avec leurs clients, employés, fournisseurs et partenaires, de générer des revenus additionnels et de réduire leurs coûts. Tous les départements de l entreprise bénéficient de l ouverture au Web : sites de e-commerce et de gestion de la relation client, automatisation de la chaîne achats, production, logistique, télétravail, webmail Confirmant cette tendance, les principaux éditeurs livrent maintenant leurs logiciels tels que SAP, Peoplesoft, Notes, Outlook, Siebel, avec interface Web incluse. En multipliant les accès Web via internet, extranet et intranet, les entreprises fournissent à des utilisateurs malveillants de nouveaux points d entrée à leurs applications. Avec l aide d un simple 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 20/191

Livre ouvert sur la sécurité

Livre ouvert sur la sécurité Livre ouvert sur la sécurité Issu d un travail commun du Centre Français de réflexion sur la sécurité des systèmes d information 4 nov 2004 4 nov 2004 etna Voir en dernière page pour les droits de reproduction

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable PASSEPORT DE CONSEILS AUX VOYAGEURS Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable Ce passeport de conseils aux voyageurs a été initialement réalisé par l Agence nationale

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

Le nomadisme et la sécurité : Enjeux et solutions et cas spécifique des Smartphones

Le nomadisme et la sécurité : Enjeux et solutions et cas spécifique des Smartphones Be safe anywhere Le nomadisme et la sécurité : Enjeux et solutions et cas spécifique des Smartphones OSSIR - Groupe RESIST - 31 mars 2011 Contact Clément Saad E mail : saad@pradeo.net Editeur de solutions

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

La sécurité numérique de l entreprise

La sécurité numérique de l entreprise 11Pierre-Luc Réfalo La sécurité numérique de l entreprise L effet papillon du hacker, 2013 ISBN : 978-2-212-55525-7 Sommaire Avertissement...11 Préambule...13 Introduction...23 Première partie Tout est

Plus en détail

Sécurisation des données

Sécurisation des données Sécurisation des données 1 Sommaire Introduction Les données informatiques et ce qu il faut savoir. Comment faire? Les solutions. Démo Présentation de deux logiciels Conclusion Pour conclure ce qu il faut

Plus en détail

Dossier de Présentation Forum Open- IPVideo

Dossier de Présentation Forum Open- IPVideo Dossier de Présentation Forum Open- IPVideo Association Loi de 1901-18 Rue Irénée Blanc 75020 Paris SIRET 520 224 734 00019 APE 9499Z http://www.open-ipvideo.org Page 2 sur 13 Sommaire 1. PREAMBULE...

Plus en détail

La conduite du changement

La conduite du changement point de vue stratégie et gouvernance des systèmes d'information La conduite du changement dans les projets SI 1 En préambule Devant les mutations économiques, sociales et technologiques engagées depuis

Plus en détail

NKUL BETI. econobeti

NKUL BETI. econobeti NKUL BETI econobeti Le réseau social d entraides pour la gestion des efforts et du génie ekang Paru le 08 Août 2010 Plateforme de communication Se préparer pour le Cameroun de Demain Sans une organisation

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Enjeux de la sécurité des réseaux

Enjeux de la sécurité des réseaux HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Enjeux de la sécurité des réseaux Séminaire Inkra Networks 14 octobre

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

La Délégation interministérielle à l intelligence économique (D2IE)

La Délégation interministérielle à l intelligence économique (D2IE) La Délégation interministérielle à l intelligence économique (D2IE) Qu est ce que l intelligence économique (IE)? L intelligence économique (IE) consiste à collecter, analyser, valoriser, diffuser et protéger

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

L innovation dans l entreprise numérique

L innovation dans l entreprise numérique L innovation dans l entreprise numérique Toutes les entreprises ne sont pas à l aise avec les nouvelles configurations en matière d innovation, notamment avec le concept d innovation ouverte. L idée de

Plus en détail

Description de l offre de services

Description de l offre de services Description de l offre de services Prestations en Webconférence... 2 Les prestations :... 3 Etude d éligibilité Microsoft Office 365... 3 Forfait de Mise en service... 4 Migration 5 utilisateurs... 5 Formation

Plus en détail

MAINTENANCE DISTRIBUTIONSi SOLUTION INFORMATIQUE

MAINTENANCE DISTRIBUTIONSi SOLUTION INFORMATIQUE MAINTENANCE DISTRIBUTION SOLUTION INFORMATIQUE MAINTENANCE DISTRIBUTION SOLUTION INFORMATIQUE Disponibilité, accompagnement, partenaire unique, engagements de services... concentrez-vous sur votre métier,

Plus en détail

PRESENTATION. HR Excellium Tél : 03/88/15/07/63

PRESENTATION. HR Excellium Tél : 03/88/15/07/63 PRESENTATION HR Excellium Tél : 03/88/15/07/63 Zone aéroparc2 Contact : M Jean-Claude REBISCHUNG 3 rue des Cigognes Email : info@hrexcellium.fr 67960 Strasbourg-aéroport Site web : www.hrexcellium.fr (en

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Que la stratégie soit belle est un fait, mais n oubliez pas de regarder le résultat. Winston Churchill PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Conseil en Organisation, stratégie opérationnelle

Plus en détail

Congrès de l Association francophone des Commissions nationales de promotion et de protection des droits de l Homme (AFCNDH)

Congrès de l Association francophone des Commissions nationales de promotion et de protection des droits de l Homme (AFCNDH) Paris, 8 novembre 2013 Congrès de l Association francophone des Commissions nationales de promotion et de protection des droits de l Homme (AFCNDH) Allocution de S.E. M. Abdou Diouf, Secrétaire général

Plus en détail

Programme de Développement concerté de l Administration Numérique Territoriale

Programme de Développement concerté de l Administration Numérique Territoriale Programme de Développement concerté de l Administration Numérique Territoriale Les 4 principes directeurs 4 principes directeurs pour développer l Administration numérique territoriale a. Une gouvernance

Plus en détail

Le concept FAH (ou ASP en anglais)

Le concept FAH (ou ASP en anglais) Le concept FAH (ou ASP en anglais) Présentation FAH signifie Fournisseur d Application Hébergé ASP signifie Application Service Provider L utilisation d un logiciel de gestion classique peut se révéler

Plus en détail

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde Direction Communication 63 rue de Villiers, 92200 Neuilly-sur-Seine Tél. 01 56 57 58 59 Communiqué de presse Contact : PwC, Hélène Coulbault, 01 56 57 88 26, helene.coulbault@fr.pwc.com Neuilly-sur-Seine,

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

Au cœur du marché de la cybersécurité. Incubateur de technologies innovantes & Business accelerator

Au cœur du marché de la cybersécurité. Incubateur de technologies innovantes & Business accelerator Au cœur du marché de la cybersécurité Incubateur de technologies innovantes & Business accelerator Le Contexte Les entreprises et les institutions doivent sans cesse adapter leurs moyens de détection et

Plus en détail

LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE

LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE Dans son activité quotidienne, le policier, quelles que soient ses tâches, est très souvent confronté à la nécessité

Plus en détail

Formations Management

Formations Management Formations Management MANAGEMENT ET COMMUNICATION Ecole du Management : Cycle Animateur d équipe Ecole du Management : Cycle Maîtrise Ecole du Management : Cycle Coordinateur Technique Animateur (trice)

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

SISR 1. TP Antivirus DOGNY CHRISTOPHE

SISR 1. TP Antivirus DOGNY CHRISTOPHE SISR 1 TP Antivirus Table des matières Qu est-ce qu un Antivirus?... 2 Chiffre d affaire des Antivirus... 2 Fonctionnalités des antivirus... 3 Liste d antivirus... 4 Différence entre une solution «Autonome»

Plus en détail

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS Université de Corse DESS ISI Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche Manuel BERTRAND Septembre 2004 Sommaire I. Problématique du nomadisme au

Plus en détail

Dispositif régional Auvergne d Intelligence Economique

Dispositif régional Auvergne d Intelligence Economique APPEL D OFFRES N 01/2015/IE Dispositif régional Auvergne d Intelligence Economique ACCORD CADRE CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.) ARTICLE 1 OBJET DE L ACCORD CADRE Le présent accord-cadre

Plus en détail

Dispositif régional Auvergne d Intelligence Economique

Dispositif régional Auvergne d Intelligence Economique APPEL D OFFRES N 01/2015/IE Dispositif régional Auvergne d Intelligence Economique ACCORD CADRE CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.) ARTICLE 1 OBJET DE L ACCORD CADRE Le présent accord-cadre

Plus en détail

A LIRE ATTENTIVEMENT AVANT DE TRAITER LE SUJET

A LIRE ATTENTIVEMENT AVANT DE TRAITER LE SUJET SUJET NATIONAL POUR L ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS CONCOURS EXTERNE DE TECHNICIEN TERRITORIAL SESSION 2012 EPREUVE Réponses à des questions techniques à partir d un dossier portant sur

Plus en détail

L importance du volet comptable de la loi organique

L importance du volet comptable de la loi organique Discours d Alain Lambert, ministre délégué au Budget et à la Réforme budgétaire Journée d études des trésoriers-payeurs-généraux, relative à la nouvelle fonction comptable - 3 octobre 2003 - Mesdames et

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP)

ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP) OMPI CDIP/5/5 Corr. ORIGINAL : anglais DATE : 21 juillet 2010 ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE F COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP) Cinquième session

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

REJOIGNEZ NOTRE RÉSEAU

REJOIGNEZ NOTRE RÉSEAU REJOIGNEZ NOTRE RÉSEAU PRÉSENTATION DU GROUPE Présent depuis plus de 17 ans en région Rhône Alpes où il a acquis une position de leader sur son marché, le Groupe CFI a élaboré, développé et modélisé avec

Plus en détail

Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection. Thierry Rouquet Président du Directoire

Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection. Thierry Rouquet Président du Directoire Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection Thierry Rouquet Président du Directoire IHEDN 27 Mars 2007 AGENDA 1. Arkoon Network Security 2. Les enjeux de

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Les métiers de l assistanat Evolutions Compétences - Parcours

Les métiers de l assistanat Evolutions Compétences - Parcours Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception

Plus en détail

entreprendre à la puissance cisco

entreprendre à la puissance cisco entreprendre à la puissance cisco À un moment donné, vous avez vu quelque chose que personne d autre n avait vu. Il s agissait peut-être d une idée ou d une opportunité. Ce «quelque chose» vous a fait

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Avec la Solution @rating : L Afrique sur la route du commerce B2B. Par Jérôme Cazes Directeur Général du Groupe Coface

Avec la Solution @rating : L Afrique sur la route du commerce B2B. Par Jérôme Cazes Directeur Général du Groupe Coface C O F A C E 9 novembre 2000 Avec la Solution @rating : L Afrique sur la route du commerce B2B Par Jérôme Cazes Directeur Général du Groupe Coface Le commerce interentreprise s est considérablement développé

Plus en détail

Du marketing dans ma PME!

Du marketing dans ma PME! Du marketing dans ma PME! Manque d expérience marketing des managers de sociétés technologiques, difficulté de recruter des profils marketing formés ou expérimentés : pourquoi la mission marketing est-elle

Plus en détail

Accompagner le changement

Accompagner le changement A faire suivre à : retour à : Accompagner Problématique Le changement, c est tous les jours! Il fait aujourd hui partie intégrante de l univers des entreprises et des salariés. Présenté le plus souvent

Plus en détail

Travail d équipe et gestion des données L informatique en nuage

Travail d équipe et gestion des données L informatique en nuage Travail d équipe et gestion des L informatique en nuage BAR Octobre 2013 Présentation Au cours des études collégiales et universitaires, le travail d équipe est une réalité presque omniprésente. Les enseignants

Plus en détail

DOSSIER DE PRESSE. Les premiers retours positifs d un projet innovant

DOSSIER DE PRESSE. Les premiers retours positifs d un projet innovant Inauguration 28 Novembre 2007 DOSSIER DE PRESSE ADITU, un outil de la compétitivité économique et numérique des territoires Les premiers retours positifs d un projet innovant Inauguration 28 Novembre 2007

Plus en détail

Module: Organisation. 3.3. L informatique dans la structure d une organisation. Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi.

Module: Organisation. 3.3. L informatique dans la structure d une organisation. Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi. Module: Organisation 3.3. L informatique dans la structure d une organisation Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi.dz Plan Introduction Informatique dans les organisations Rattachement

Plus en détail

Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012

Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012 Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012 Les facteurs de succès de l entreprise Francis DAVID Présentation Parcours Professionnel

Plus en détail

Simplifier vos projets d avenir

Simplifier vos projets d avenir Simplifier vos projets d avenir FINANCEMENT Ouvrir à nos clients l accès aux marchés de capitaux publics et privés par le biais de formules innovatrices d emprunt et de recapitalisation. S O L U T I O

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Stratégie Tier 2 : Quels avantages pour votre entreprise?

Stratégie Tier 2 : Quels avantages pour votre entreprise? Stratégie Tier 2 : Quels avantages pour votre entreprise? Les décideurs ont beaucoup à gagner de l intégration des données de gestion externes et internes, afin d assurer la disponibilité des informations

Plus en détail

MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE. PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014

MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE. PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014 MINISTÈRE DE L ÉCOLOGIE, DU DÉVELOPPEMENT DURABLE ET DE L'ÉNERGIE PLAN D ACTIONS POUR LA SECURITE DU SYSTEME FERROVIAIRE 9 septembre 2014 La sécurité ferroviaire demande de réinterroger périodiquement

Plus en détail

Les défis du développement du gouvernement électronique. Par Edwin Lau Résumé par Gérard Mongbé

Les défis du développement du gouvernement électronique. Par Edwin Lau Résumé par Gérard Mongbé Les défis du développement du gouvernement électronique Par Edwin Lau Résumé par Gérard Mongbé La révolution numérique a engendré une pression sur les gouvernements qui doivent améliorer leurs prestations

Plus en détail

«LES MERCREDI DE L ENA» Termes de référence DANS LES PAYS DE L UEMOA»

«LES MERCREDI DE L ENA» Termes de référence DANS LES PAYS DE L UEMOA» REPUBLIQUE DU SENEGAL =-=-=-= PRIMATURE =-=-=-= ECOLE NATIONALE D ADMINISTRATION =-=-=-= «LES MERCREDI DE L ENA» Edition spéciale Termes de référence THEME : «REFORMES DES FINANCES PUBLIQUES DANS LES PAYS

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Qui est concerné par la qualité des données?

Qui est concerné par la qualité des données? INTRODUCTION Qui est concerné par la qualité des données? Plus que jamais, les entreprises sont confrontées à des marchés de plus en plus exigeants, réclamant une réponse immédiate et adaptée à des besoins

Plus en détail

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises Une solution simple, efficace et compétitive pour les petites entreprises Présentation Symantec Protection Suite Small Business Edition est une solution de sécurité et de sauvegarde simple et compétitive.hautement

Plus en détail

La réforme du contrôle interne et de l audit interne dans les administrations d Etat en France. Ministère de l Economie et des Finances

La réforme du contrôle interne et de l audit interne dans les administrations d Etat en France. Ministère de l Economie et des Finances La réforme du contrôle interne et de l audit interne dans les administrations d Etat en France Séminaire des 12 et 13 février 2013 Danièle LAJOUMARD, Inspecteur général des Finances C.I.A (Certified Internal

Plus en détail

La carte d achat, c est quoi ça?

La carte d achat, c est quoi ça? La, c est quoi ça? C est un outil mis à disposition des structures publiques et privées qui modifie et simplifie l acte d approvisionnement : C est une carte bancaire nominative et sécurisée qui permet

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

Sécurité informatique : sensibiliser votre personnel

Sécurité informatique : sensibiliser votre personnel En bref : Les politiques strictes de sécurité informatique et les avancées techniques ne suffisent pas à elles seules à assurer la protection des entreprises. Les mécanismes de protection sont souvent

Plus en détail

Forum Pan-Africain des Secrétaires Généraux de Gouvernements

Forum Pan-Africain des Secrétaires Généraux de Gouvernements Centre Africain de Formation et de Recherche Administratives pour le Développement La République de Madagascar Forum Pan-Africain des Secrétaires Généraux de Gouvernements Thème : Les Nouvelles Approches

Plus en détail

Comment sécuriser les communications vers des tiers et des établissements partenaires?

Comment sécuriser les communications vers des tiers et des établissements partenaires? Comment sécuriser les communications vers des tiers et des établissements partenaires? Olivier Mazade Responsable Réseaux Centre Hospitalier Universitaire de Clermont Ferrand Xavier Hameroux Directeur

Plus en détail

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

Développer vos compétences, pour innover sur vos territoires. Extrait du catalogue 2005

Développer vos compétences, pour innover sur vos territoires. Extrait du catalogue 2005 Développer vos compétences, pour innover sur vos territoires. Extrait du catalogue 2005 Association Rhône Alpes des professionnels des Développeurs Economiques Locaux 14 rue Passet 69007 Lyon Tél. : 04

Plus en détail

Présentation. Logiciels libres. Open Source. Clinkast 4 Avenue du Général de Gaulle F 92360 Meudon (+33) 6 20 44 86 95 (+33) 1 46 30 24 13

Présentation. Logiciels libres. Open Source. Clinkast 4 Avenue du Général de Gaulle F 92360 Meudon (+33) 6 20 44 86 95 (+33) 1 46 30 24 13 Présentation Logiciels libres et Open Source Description Un logiciel libre* est en général gratuit. Il est utilisable et modifiable sans notification préalable à son auteur, qui a renoncé à ses droits

Plus en détail

Agence pour la création d entreprise

Agence pour la création d entreprise Agence pour la création d entreprise d SYNTHÈSE SE DU PLAN STRATÉGIQUE 2010 2012 Les éléments majeurs du contexte ayant un impact sur l APCE Ces éléments de contexte conditionnent le positionnement et

Plus en détail

Introduction... 3 1/ En quoi consiste une veille commerciale?... 4 2/ Quel est son rôle?... 5 3/ Quels sont les bénéfices au niveau de l organisation

Introduction... 3 1/ En quoi consiste une veille commerciale?... 4 2/ Quel est son rôle?... 5 3/ Quels sont les bénéfices au niveau de l organisation Introduction... 3 1/ En quoi consiste une veille commerciale?... 4 2/ Quel est son rôle?... 5 3/ Quels sont les bénéfices au niveau de l organisation commerciale?... 6 A. Le temps... 6 B. La productivité...

Plus en détail

Naissance de NUMERGY, producteur d énergie numérique au service des entreprises et des institutions

Naissance de NUMERGY, producteur d énergie numérique au service des entreprises et des institutions Communiqué de presse Paris, le 5 septembre 2012 Naissance de NUMERGY, producteur d énergie numérique au service des entreprises et des institutions Numergy, une nouvelle société dirigée par Philippe Tavernier

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

LES RÉSEAUX INFORMATIQUES

LES RÉSEAUX INFORMATIQUES LES RÉSEAUX INFORMATIQUES Lorraine Le développement d Internet et de la messagerie électronique dans les entreprises a été, ces dernières années, le principal moteur de la mise en place de réseau informatique

Plus en détail

L audit de sécurité des réseaux Windows avec WinReporter

L audit de sécurité des réseaux Windows avec WinReporter White Paper L audit de sécurité des réseaux Windows avec WinReporter Ce document présente comment les administrateurs réseaux et système peuvent tirer le meilleur parti de WinReporter, édité par IS Decisions,

Plus en détail

Institut des Reviseurs d Entreprises

Institut des Reviseurs d Entreprises Institut des Reviseurs d Entreprises Assemblée Générale 27 avril 2007 Jacques Potdevin 1. Je suis particulièrement heureux d être parmi vous ce jour et je voudrais avant tout rendre hommage aux contributions

Plus en détail

Colloque International IEMA-4

Colloque International IEMA-4 Comment mettre en place un dispositif coordonné d intelligence collective au service de la stratégie de l entreprise. Conférence de Mr. Alain JUILLET - Le 17/05/2010 IEMA4 Pour ne pas rester dans les banalités

Plus en détail

LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE

LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE 1. RÉFÉRENTIEL PROFESSIONNEL DES DIRECTEURS D ETABLISSEMENT OU DE SERVICE

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

La sécurité informatique

La sécurité informatique Plusieurs risques peuvent affecter un système informatique : - Les risques accidentels : incendie, panne, catastrophes naturelles, - Les risques liés à des erreurs : d utilisation ou dans la conception

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Communiqué de presse ALTER PERFORMANCE, un modèle de start up qui a le vent en poupe

Communiqué de presse ALTER PERFORMANCE, un modèle de start up qui a le vent en poupe Dossier de presse Communiqué de presse ALTER PERFORMANCE, un modèle de start up qui a le vent en poupe ALTER PERFORMANCE est une nouvelle société de conseil qui a fait le choix d'accompagner les TPE-PME

Plus en détail

Le lycée pilote innovant de Poitiers

Le lycée pilote innovant de Poitiers Merci d'utiliser le titre suivant lorsque vous citez ce document : OCDE (1998), «Le lycée pilote innovant de Poitiers : Futuroscope - 10 ans déjà», PEB Échanges, Programme pour la construction et l'équipement

Plus en détail

Agenda numérique - Partie V. Juillet 2015

Agenda numérique - Partie V. Juillet 2015 Agenda numérique - Partie V Juillet 2015 Table des matières Partie V - Protection et sécurité des données numériques... 1 V.1 Cybersécurité... 1 V.2 Sécurité des paiements... 3 V.3 Confiance des consommateurs

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Réforme du dispositif d aide à l internationalisation des entreprises

Réforme du dispositif d aide à l internationalisation des entreprises Réforme du dispositif d aide à l internationalisation des entreprises D O S S I E R D E P R E S S E O c t o b r e 2 0 0 8 Information journalistes : Dominique Picard, Responsable Relations presse, UBIFRANCE

Plus en détail

ACCEDER A SA MESSAGERIE A DISTANCE

ACCEDER A SA MESSAGERIE A DISTANCE Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie

Plus en détail

Contenu de la Présentation

Contenu de la Présentation Contenu de la Présentation I. Introduction II. L Augmentation des menaces et une vulnérabilité plus forte III. Le marché de la SSI : les enjeux financiers et économiques IV. Répondre aux enjeux économiques

Plus en détail

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger L intégration du pare-feu de nouvelle génération dans l environnement Citrix et Terminal Services Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client

Plus en détail

Parcours développement stratégique commercial

Parcours développement stratégique commercial P01 Parcours professionnalisant de formation Parcours développement stratégique commercial Partenaires : Avec le soutien de : P02 Parcours professionnalisant de formation INTERVENANTS Sophie DESCHAMPS

Plus en détail

Étude : Les PME à l heure du travail collaboratif et du nomadisme

Étude : Les PME à l heure du travail collaboratif et du nomadisme Étude : Les PME à l heure du travail collaboratif et du nomadisme Synthèse des principaux enseignements Octobre 2012 sfrbusinessteam.fr FICHE TECHNIQUE DE L ETUDE Echantillon : 300 entreprises de 20 à

Plus en détail

Sensibilisation à la sécurité

Sensibilisation à la sécurité Sensibilisation à la sécurité informatique Sébastien Delcroix Copyright CRI74 GNU Free Documentation License 1 Attentes de son système Disponibilité d'information Intégrité de ses données

Plus en détail