La sécurité à l usage des décideurs. La sécurité. à l usage des décideurs. 22 nov 2004

Dimension: px
Commencer à balayer dès la page:

Download "La sécurité à l usage des décideurs. La sécurité. à l usage des décideurs. 22 nov 2004"

Transcription

1 La sécurité à l usage des décideurs 22 nov 2004 Centre Français de réflexion sur la sécurité des systèmes d information Collection Ténor etna France Ouvrage collectif sous la direction de Gérard Péliks.. Ont contribués à la rédaction de ce livre : Jean-Philippe Bichard, Matthieu Bonenfant, Olivier Caleff, Bernard Carayon, Hervé Chappe, Patrick Chrisment, Dominique Ciupa, Philippe Clost, Anne Coat-Rames, Max de Groot, Alexis Ferrero, Franck Franchin, Jean-Denis Garo, Laurent Germain, Michèle Germain, Gabriel Gross, Michel Habert, Juan Antonio Hernandez, Olivier Itéanu, Sami Jourdain, Thierry Karsenti, Alexandre Le Faucheur, Gérard Peliks, Frédéric Pierre, Pierre-Luc Refalo, Philippe Robin, Thierry Rouquet, Eleonore Sichel-Dulong, Gérald Souyri, Alain Thibaud 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 1/191

2 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 2/191

3 Le mot du Président de l etna France Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les informations qu'ils contiennent, ce travail commun du Centre français de réflexion sur la sécurité des systèmes d information, créé au sein de l'etna France, pourra se révéler très utile. Edmond Cohen, Président de Western Telecom, Le mot de la Représentante du centre français de réflexion sur la sécurité des systèmes d information auprès du Conseil d Administration de l etna France Je félicite ce groupe de travail, devenu le Centre français de réflexion sur la sécurité des systèmes d information, devant la passion qu il a prouvée, dans la rédaction de cet ouvrage. Il s'agit de technologies concurrentes, de personnes d'environnements hétérogènes où tout le monde a consacré beaucoup d'énergie et d'enthousiasme à ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la protection des flux d'informations. Un remerciement particulier à tous les auteurs qui ont contribué à réaliser un livre qui sera certainement très utile et aussi à nos sponsors qui nous permettent en finançant les travaux d édition de le produire sous format papier. Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, Le mot du Président du centre français de réflexion sur la sécurité des systèmes d information Le mot du hacker Le pari un peu surréaliste d écrire un livre ouvert sur la sécurité à destination des décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs acteurs de la sécurité des systèmes d information sur le marché français a été lancé dès la création de la commission sécurité de l etna France. Son ambition est d évangéliser le monde des télécoms sur les diverses facettes de la sécurité des systèmes d information et des réseaux avec l assurance que la diversité de ses auteurs a apporté la richesse de cet ouvrage et son adéquation au but recherché. Gérard Péliks, EADS Defence and Communications Systems Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté face aux menaces de l Internet. Quand j attaque votre système d information, soit pour jouer avec, soit pour vous nuire, soit pour l utiliser comme relais pour réaliser d autres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension sécurité entrait dans l esprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que j encours de lourdes sanctions pénales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tâche encore plus difficile et surtout plus risquée. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 3/191

4 La sécurité L intelligence économique La cybercriminalité ANALYSE DES GRANDES TENDANCES 2004 / Les principaux enjeux 2004 / Pourquoi se protéger? E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? LES MENACES LES VULNERABILITES Une histoire qui remonte à la nuit des temps Un changement de comportement avec les vulnérabilités informatiques Les «exploits» Les parades Les attaques exploitant les vulnérabilités La difficulté des corrections Les faiblesses du Web LES ATTAQUES Le vol d informations Les accès non autorisés Les dénis de services Les attaques sur la messagerie Les attaques sur le Web Les attaques par le système d exploitation Les attaques combinées LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES Les éléments malfaisants Face au virus Mydoom.A Les logiciels espions LE CAS DU RESEAU SANS FIL La "révolution" radio Les préoccupations de l Administrateur Réseau Risques et attaques L INGENIERIE SOCIALE LE CYBER RACKET La prolifération des risques Les approches Un exemple Les règles à suivre LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS Le spim Le googlebombing Les attaques sur les téléphones portables Les attaques sur les photocopieurs Le Peer-to-Peer Les contre-mesures et moyens de défense LES FIREWALLS BASTION Les paramètres pour filtrer les données A quel niveau du paquet IP le filtrage doit-il se situer? Le masquage des adresses IP du réseau interne Les zones démilitarisées Firewall logiciel ou firewall matériel? En parallèle ou en série? Sous quel système d exploitation? LE FIREWALL APPLICATIF Des attaques sur les applications Web en forte croissance nov 2004 etna France Voir en dernière page pour les droits de reproduction 4/191

5 3.2.2 Les limitations des solutions de sécurité traditionnelles Le Firewall Applicatif ou Reverse Proxy Applicatif LE FIREWALL PERSONNEL L AUTHENTIFICATION FORTE L authentification et la chaîne de sécurisation Le rôle de la carte à puce dans l authentification Exemples actuels d utilisation de carte à puce Conclusion LA BIOMETRIE Introduction Identification Méthodes biométriques Précision Applications des techniques biométriques LE CHIFFREMENT ET LA CRYPTOGRAPHIE Introduction Cryptage symétrique Cryptage asymétrique La signature électronique Combinaison des techniques LA STEGANOGRAPHIE Le but de la stéganographie Dissimuler l information dans une image Dissimuler l information dans un texte LES VPN Les VPN IPSec Les VPN-SSL ou l accès distant sécurisé nouvelle génération VPN IPSec ou SSL: Les critères de décision LE CHIFFREMENT DES DONNEES SUR DISQUE LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) Certificats Numériques et Autorités de Certification Applications de la PKI Certificats Numériques Autorité de Certification (CA, Certification Authority) LA PREVENTION D'INTRUSIONS Les limites de la détection Qu est-ce que la prévention? Périmètre d action d un système de prévention Les moteurs d analyse Performances du système LES ANTI (VIRUS, SPAMS, SPYWARES) Les antivirus Les antispams Les anti spywares SECURITE ET MOBILITE LE FILTRAGE DE CONTENU INTERNET L ERADICATION DES LOGICIELS ESPIONS LES POTS DE MIELS La gestion de la sécurité LA GESTION CENTRALISEE DE LA SECURITE Introduction Caractéristiques d un système de gestion centralisé de la sécurité Le système d administration (SOC- Security Operations center) Les opérations La surveillance La supervision Le contrôle La sécurité et l administration du centre de gestion de la sécurité nov 2004 etna France Voir en dernière page pour les droits de reproduction 5/191

6 4.1.9 Fonctionnement d un centre de gestion centralisé de la sécurité Garanties de sécurité Standards et Modèles de référence utiles LES SCANNERS DE VULNERABILITES Un sujet technique et une question d'organisation Les technologies de recherche de vulnérabilités Les usages des scanners de vulnérabilités La gestion des correctifs CONTEXTE PRINCIPE DE TRAITEMENT DES CORRECTIFS DE SECURITE la phase amont Le déploiement La phase de suivi ÉLEMENTS COMPLEMENTAIRES OU SPECIFIQUES le facteur temps Les systèmes qui ne peuvent pas être pris en compte CONCLUSION Les réseaux particuliers APPLICATIONS A LA VOIX SUR IP Architecture d'un système VoIP Les risques Les attaques Fonctions LA SECURITE DU CENTRE D APPELS Le centre d appels Les enjeux Une double actualité : Les risques : Les chaînons Les solutions : LA SECURITE DES RESEAUX SANS FIL Le problème du WEP Les contre-mesures de base Les évolutions du protocole : WPA et i Application Autres technologies LA VIDEOSURVEILLANCE SUR IP La convergence des ressources et l optimisation des systèmes Exemple d application : la vidéosurveillance sur IP : Une architecture de sécurité de bout en bout LES EQUIPEMENTS DE SECURITE MULTIFONCTION Le développement du marché des Network Security Appliance Les menaces polymorphes Les limites de l approche «best of breed» Les avantages de l approche multifonction Le développement du marché de l appliance multifonction LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES Identification des risques Correction des lacunes de sécurité Approche intégrée Amélioration de la sécurité par l administration Résumé LE SINGLE SIGN ON Origines du Single Sign-On Pourquoi le Single-Sign-On? Aperçu des solutions existantes LA CONTINUITE D ACTIVITE L objectif de la continuité d activité d une entreprise nov 2004 etna France Voir en dernière page pour les droits de reproduction 6/191

7 7.4.2 De quelle continuité a besoin l entreprise? Construire le Plan de Continuité d Activité (PCA) dont l entreprise a besoin Une construction méthodique du PCA L entreprise tout entière doit faire vivre son PCA Le PCA comme une boîte à outils pour faire face à d autres situations DE LA CORRELATION ENTRE SECURITE PHYSIQUE ET SECURITE LOGICIELLE La sécurité physique et logique aujourd hui Les enjeux et la problématique La solution Les aspects juridiques et humains LE RSSI AT IL ENCORE DROIT AU SOMMEIL? Le RSSI coincé entre le marteau et l enclume de la loi De quelques précautions juridiques à prendre QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE L arrêt Nikon L Ecole de Physique et Chimie Industrielle de Paris L affaire Escota POLITIQUE ET REFERENTIELS DE SECURITE Préambule Fondamentaux Des principes fondateurs L organisation dans le cadre politique Une Charte et quatre politiques Des choix essentiels Synthèse LES RESPONSABILITES ET LES ACTEURS DE L ENTREPRISE Une nette orientation en faveur du juridique et du réglementaire RSSI : maîtriser les risques d une délégation de pouvoirs Quelle déontologie pour un cyber-comportement conforme avec les chartes Internet? Les certifications LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) L'ISO Historique La structure de l'iso 17799: Comment l'utiliser? L'ISO : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE Historique La structure du SSE-CMM( ) - ISO 21827: Les enjeux économiques de la sécurité : DES ATTAQUES QUI EVOLUENT DE L EXPLOIT TECHNOLOGIQUE A L APPAT DU GAIN SECURITE : QUELLES DEPENSES POUR QUELS USAGES? DU SENS DU ROI EN SECURITE DES SYSTEMES D INFORMATION Qu est-ce qu un ROI? Système d information, sécurité et ROI Calcul du ROI : un exercice difficile Un indicateur souvent inadapté Bibliographie et références GENERAL ATTAQUES ET MENACES VOIP CENTRE D APPELS WI-FI GESTION DES CORRECTIFS INGENIERIE SOCIALE JURIDIQUE LOISIRS Livres Films nov 2004 etna France Voir en dernière page pour les droits de reproduction 7/191

8 12 Glossaire ACRONYMES DÉFINITIONS Contributions à l écriture de ce livre nov 2004 etna France Voir en dernière page pour les droits de reproduction 8/191

9 1 L INTELLIGENCE ECONOMIQUE Auteur : Bernard Carayon, (Député du Tarn, Rapporteur du budget au Secrétariat Général de la Défense Nationale et du Renseignement à la Commission des finances) L intelligence économique a connu en France depuis dix ans un sort assez désolant! Comprise tantôt dans son acception anglo-saxonne (le renseignement), tantôt comme une méthode antédiluvienne d entreprise au service des seuls intérêts marchands (la «veille» juridique, commerciale, technologique ), l intelligence économique est restée marginale dans la société française. Les efforts de quelques pionniers de talent ont été gâchés par les ratiocinations de théoriciens de second rang ou les vacations logomachiques de marchands du temple L Etat, lui-même, n a jamais produit le moindre corps doctrinal, restant aveugle, à de rares exceptions près, aux constructions intellectuelles et institutionnelles de nos grands concurrents. Dans l entreprise, l intelligence économique est restée cantonnée à des niveaux d exécution ; dans le système éducatif enfin, elle est restée une matière, sans accéder au statut de discipline universitaire. Durant dix ans, les Français ont ainsi confondu la fin et les moyens : le renseignement, la veille ne sont que des outils. L intelligence économique est une politique publique ; j en ai défini dans mon rapport le contenu, le périmètre, la finalité. Par la simple observation des dispositifs étrangers, et l adaptation à notre culture propre. Politique de sécurité, d abord : sécurité technologique, (celle des réseaux, des centres de recherches, des process industriels), sécurité juridique (dans l accès au capital, dans la protection des secrets d affaire, dans l identification d un périmètre stratégique de l économie française), sécurité commerciale Politique de compétitivité, ensuite : comment accompagner les entreprises dans la conquête des marchés mondiaux? Comment définir, conduire et valoriser les politiques de recherche et favoriser l innovation? Politique d influence : comment anticiper l évolution des normes, peser sur les décisions des organisations internationales? Comment identifier les nouveaux acteurs de la mondialisation? (ONG, fondations, fonds d investissement ) Politique de formation enfin : qui former, quel enseignement général, quel enseignement spécialisé? Cette politique publique- comme partout dans le monde, n est pas adaptée à tous les marchés : seuls les marchés que je qualifie de stratégiques (et que ni la doctrine, ni la théorie économique n ont identifiés!) sont concernés : ceux qui créent, en plus de la richesse et de l emploi, de la puissance et de l influence ; termes tabous! Tant pis. On reconnaîtra l aéronautique et le spatial, la défense, l énergie, la pharmacie, l industrie des technologies de la communication, de l information et de la sécurité, certains domaines de l industrie agro-alimentaire. La conquête de ces marchés, partout dans le monde, ne repose plus sur la qualité et le prix des produits et services, mais sur de nouveaux acteurs, de nouvelles méthodes. Comment expliquer les retards français? D abord par notre conception des relations commerciales internationales : autant nous sommes socio démocrates dans la définition de nos politiques économiques intérieures, autant nous sommes naïfs et libéraux dans le regard que nous portons sur les marchés mondiaux. Chez les anglo-saxons, c est exactement l inverse. Ensuite parce que l histoire des relations entre l administration et le monde économique est une histoire de contentieux, d incompréhension, voire de mépris mutuel. Or l intelligence économique repose sur le métissage des cultures, la définition de procédures de mutualisation de l information, l identification de convergences d intérêts. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 9/191

10 J ajouterai que nos élites politico- administratives ont une connaissance pour le moins réduite des ressorts réels du marché et plus encore, de la vie internationale. Enfin, la France n a pas de culture du renseignement. Les services dits «spécialisés» sont encore mal traités, budgétairement et administrativement, leur image est médiocre dans l enseignement supérieur, leur politique de communication nulle. Le regard des politiques lui-même est méfiant ; celui des grands chefs d entreprises dubitatif Quelles finalités pour cette politique publique, nouvelle comme l ont été au cours des vingt dernières années, la protection de l environnement et le développement durable? Identifier le périmètre stratégique de l économie française, cela veut dire se battre pour ce qui est essentiel. S affranchir des tutelles technologiques, comprendre qu il existe des métiers stratégiques dont certains sont concentrés entre les mains de nos grands concurrents (cabinets d avocats et d expertise comptable, d audit, de courtage d assurance, de normalisation et de certification). Associer capitaux publics et privés dans de nouveaux fonds dédiés au développement d entreprises spécialisées dans les technologies de l information, de la communication et de la sécurité, accentuer nos moyens dédiés à la recherche. Marier dynamiques publiques et privées pour conquérir des marchés, conduire l Europe vers de vraies stratégies industrielles, là où il n y a qu une politique concurrentielle entravant l essor de nos champions Autant de défis qui impliquent, pour paraphraser Paul Valery, un nouveau «regard sur le monde actuel». L Etat a tout à gagner à développer cette nouvelle politique. En termes d image : l intelligence économique est «moderne». En termes de fonction : privilégier la circulation de l information plutôt que sa rétention, valoriser celui qui donne plutôt que celui qui conserve, c est révolutionnaire! Pour les préfets, représentants de l Etat par excellence, comme pour les ambassadeurs, l intelligence économique constitue une merveilleuse opportunité. L occasion d être les pilotes d une réforme porteuse de sens, d être à coté des élus, des moteurs du développement économique dans ce qu il recèle de plus «fin» et de plus prospectif ; d être enfin les moteurs de la réforme administrative, la vraie, celle qui se veut au service de la Nation et non de ses corporatismes. Si de notables avancés peuvent être constatées un an après la remise de mon rapport au Premier ministre 1, il reste encore un long chemin à parcourir pour que l intelligence économique devienne en France une véritable politique publique. Le premier effet positif des débats qui ont suivi la publication de ces travaux fondés sur l écoute et le questionnement de près de quatre cents personnes est que l intelligence économique est mieux comprise aujourd hui, dans l administration et dans l entreprise, comme une approche stratégique en matière de compétitivité, de sécurité économique, d influence et de formation, plutôt que comme la simple mise en œuvre de techniques de traitement, d échange ou de protection de l information stratégique. L idée selon laquelle les critères de conquête des marchés ne sont pas toujours ceux que définit l économie libérale est également mieux partagée. Dans le jeu classique de la globalisation des échanges, pour les produits les plus courants, l entreprise augmente ses parts de marché par un avantage concurrentiel fondé sur le prix, la qualité de ses produits ou services, et une communication adaptée à sa cible. Il n en va pas de même dans certains secteurs stratégiques où les Etats interviennent fréquemment en faveur des entreprises nationales 2, en déployant, au besoin, les arguments financiers ou diplomatiques les plus frappants. 1 «Intelligence économique, compétitivité et cohésion sociale», La Documentation Française, Pour la définition d une entreprise nationale, on peut consulter par exemple le rapport du Commissariat général du Plan publié en 1999 et intitulé «La nouvelle nationalité de l entreprise dans la mondialisation» dans lequel cinq critères d évaluation sont proposés. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 10/191

11 Deuxième élément positif, la nomination au début de l année 2004 d un Haut Responsable à l intelligence économique par décret du Président de la République et placé auprès du Premier ministre a signé l engagement des pouvoirs publics sur ce sujet, même si son positionnement administratif final a donné lieu à de vraies interrogations quant à son efficacité, notamment dans le dialogue avec les entreprises 3. L actualité économique a montré que ce sujet est au cœur du développement de l industrie européenne. La constitution du troisième groupe pharmaceutique mondial et du premier européen SANOFI-AVENTIS - a pu s effectuer grâce aux efforts conjugués d un industriel visionnaire et d un Gouvernement audacieux. Les exemples de la consolidation du groupe ALSTOM défendue par le ministre de l Economie, des Finances et de l Industrie à Bruxelles et de la disparition de PECHINEY, absorbé par le canadien ALCAN (que l entreprise française n a pu racheter quelques années plus tôt en raison du veto de la Commission européenne) ont porté leurs fruits. En ce sens, la création annoncée en juin par le chancelier allemand d un groupe franco-allemand d entrepreneurs visant à promouvoir une politique industrielle commune, va dans le bon sens. L essentiel pourtant reste à accomplir. La situation sociale insupportable de trop nombreux compatriotes 4, la «découverte» du phénomène de délocalisations d entreprises ou plutôt de son accélération, y compris au sein de l Europe ; la poursuite des conséquences de la libéralisation des marchés par exemple la levée le 1 er janvier 2005 des quotas imposés en matière textiles à la Chine ; les contraintes et les opportunités que les préoccupations nouvelles en matière d environnement ou de développement suscitent : autant de facteurs qui devraient nous pousser à agir si nous ne voulons pas que la France ne soit demain qu un hypermarché au milieu d un champ de ruines sociales. La première urgence est de définir le «périmètre stratégique» de l économie française. Ce que nous devons défendre pour garantir une cohésion sociale menacée, ce que nous devons promouvoir pour assurer à nos enfants richesse intellectuelle et professionnelle. Les résultats de cette réflexion prospective doivent être connus de tous afin de permettre la création des filières éducatives et professionnelles nécessaires, de favoriser le ciblage des soutiens publics, d assurer la meilleure mobilisation des acteurs éducatifs, sociaux et économiques. Ce travail prospectif partagé et communiqué sera également un signe donné aux étudiants et aux jeunes professionnels dont l expatriation sonne comme une condamnation de l avenir de la France. Il encouragera également les entreprises étrangères à investir en France. Ce concept de périmètre stratégique de l économie française doit d ailleurs être décliné régionalement : à partir de leurs savoir-faire anciens ou plus récemment acquis, en fonction de leur localisation géographique, les régions n ont évidemment pas les mêmes atouts ou les mêmes fragilités. La dimension territoriale est un échelon essentiel de la mise en œuvre d une politique publique d intelligence économique. Si une stratégie nationale en ce domaine s oriente plus naturellement vers les grandes entreprises, c est bien au niveau régional que l action auprès des petites et moyennes entreprises et des entreprises régionales à envergure mondiale sera la plus efficace. Dans certains secteurs d activité, comme le textile par exemple, ce sont également ces entreprises qui se révèlent le plus exposées à la concurrence issue de la mondialisation. Dès l automne 2003, Nicolas SARKOZY, alors ministre de l Intérieur a compris le rôle majeur que les préfets en poste territorial et certaines directions du ministère de l intérieur peuvent jouer dans la réussite d une politique publique d intelligence économique. La mise en place d expérimentations régionales a été décidée et sa coordination confiée au Secrétaire général du ministère. Une orientation confirmée par Dominique de VILLEPIN qui a décidé de faire passer de cinq à sept le nombre de Régions initialement prévues avec l objectif de généraliser l expérimentation, en cas de succès, dès Cf. Mon rapport de la Commission des finances «Pour une stratégie de sécurité économique nationale» (www.assemblee-nationale.fr) 4 Qui peut se satisfaire d une France dans laquelle un million d enfants ou d adolescents vivent sous le seuil de pauvreté INSEE rapportée par le quotidien «Le Monde» mars nov 2004 etna France Voir en dernière page pour les droits de reproduction 11/191

12 Le déroulement de ces expérimentations se heurtera vraisemblablement «sur le terrain» au double obstacle culturel qui fragilise notre pays depuis trente ans : la délégation administrative de la réflexion stratégique et le cloisonnement entre administrations. Comme il est fréquent pour les hommes politiques qui accèdent aux responsabilités exécutives, la «tyrannie du court terme» pourrait inciter les préfets de Région en charge ou les directeurs d administrations concernées à déléguer à un jeune «chargé de mission» la démarche méthodologique, l essentiel de la réflexion et l établissement de propositions. Ce n est pas la meilleure garantie de succès. Une des pistes ouvertes par mon rapport au Premier ministre propose la création de comités de pilotage régionaux d intelligence économique. Une telle structure dont la nature juridique importe peu - a l avantage de pérenniser l action engagée et d en assurer la nature collective : ce sont les croisements des expertises publiques et privées qui permettent d établir les meilleurs diagnostics, de définir les orientations et les actions à mettre en œuvre. C est également au sein de ce type de structure que l on évite la tentation de se limiter à quelques opérations d affichage et que la collaboration active entre services déconcentrés de l Etat peut être plus fluide. Parce qu il s agit d une politique régionale à inscrire dans le long terme qui comporte à la fois un volet industriel et scientifique mais également un volet social et éducatif, parfois culturel, parce qu il connaît le mieux les administrations du ministère de l intérieur utiles sur ces sujets, c est au préfet de Région qu il appartient d orienter, de coordonner et de suivre la réflexion stratégique, la mise en place des outils et des actions à mettre en œuvre. Son rôle-charnière d intermédiaire entre la politique de l Etat et l exécutif régional - qui doit être étroitement associé à toute démarche d intelligence économique - est essentiel. Nous pouvons nous montrer résolument optimistes. A côté de la mobilisation annoncée du Gouvernement et de l engagement des préfets dans les expériences régionales, de grandes entreprises françaises et européennes, conscientes des enjeux, ont choisi de soutenir la réflexion et l action sur des sujets directement liés à l intelligence économique. C est le sens de la Fondation d entreprises Prométhée que je crée et à laquelle j ai associé mon collègue de l opposition Jean- Michel BOUCHERON. Cet engagement collectif d entreprises au service de l intérêt général doit être pour nous source d exigences et d espoir.. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 12/191

13 2 LA CYBERCRIMINALITE Auteur : Jean-Philippe Bichard (NetCost&Security) Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et cyber-mafias ). Cet attentat dramatique a clairement montré que ce n'était ni le nombre, ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l on place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le domaine militaire que civil. 2.1 ANALYSE DES GRANDES TENDANCES 2004 / 2005 C est près d un milliard d hommes, de femmes et d enfants qui deviendront internautes d ici à Ils échangeront alors environ 35 milliards de messages par jour. Or, de sérieuses menaces pèsent sur ce secteur. En 2004, le cyber-racket ou chantage exercé par des cyber-bandes professionnels du cyber-crime pour extorquer de l argent aux entreprises après leur avoir dérobé des données sur leur système d information s est étendu. Ne parlons pas des spam, spim et autres vers qui envahissent désormais les objets nomades comme les téléphones portables et les agendas électroniques. Internet s est développé plus rapidement que n importe quel autre média. Depuis 1995, Internet connaît un succès foudroyant avec un trafic qui doublerait tous les 3 mois. Cette croissance exceptionnelle ne va pas sans problème. Le premier d entre eux, c est l absence de connaissances et d expertises sur le monde Internet, et surtout ceux de la E-Confiance et des Cyber-risques. La deuxième observation, c est la prise de risque stratégique que représente l absence d une politique de sécurité appliquée aux utilisateurs des systèmes d information. Trop d entreprises ignorent les menaces et les risques. Ils sont pourtant nombreux Les principaux enjeux 2004 / 2005 (Enquête NetCost&Security 2004) Technologiques : avec les conséquences de l usage du protocole IP devenu outil de référence pour les applications de messagerie et d échanges de données, le standard IP connu de tous est désormais présent au sein de tous les systèmes d information. PMI et PME ne sont pas encore en 2004 toutes raccordées à Internet. Si les usages liés aux procédures dématérialisées progressent, ces dernières demeurent en retrait face à un marché encore inquiet face aux menaces liées aux Cyber-risques via l Internet (attaques virales et ingénierie sociale). Enfin, si les notions de mises à jour commencent à êtres connues, les utilisateurs français souvent indisciplinés demeurent peu réceptifs aux règles de sécurité notamment sur les aspects liés aux mises à jour de bases de signatures et de patch (correctif) Économiques : la messagerie se substitue au téléphone l asynchrone au synchrone. A l échelle mondiale, 36 milliards de messages seront échangés au quotidien en Il y en avait 11 milliards en En 2004, l opérateur Wanadoo gère 20 millions de mails par jour. C est dire son importance en tant qu outil «positif» mais aussi vecteur de spams, rumeurs mais également éléments de preuves avec la signature électronique encore discrète mais techniquement opérationnelle. Le concept de Forensic computer ou la preuve via les NTIC est considéré comme une tendance majeure de N oublions pas le piratage des logiciels et la création de sites de stockage ou le téléchargement de logiciels: de plus en plus de logiciels sont disponibles sur le marché. Comme en 2003, les logiciels sont en 2004 souvent piratés pour servir d arme (la différence de connaissance entre les experts Cyber-risques et les attaquants s estompe) et téléchargés. En effet, de nombreux utilisateurs novices trouvent sur certains sites des «outils» de hacking ne nécessitant aucune connaissance particulière (ce qui ne réduit pas pour autant leurs effets). Autres tendances celles liées au piratage 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 13/191

14 d œuvres musicales et vidéo. Ce type de piratage inquiète sérieusement les «majors» du disque et de l industrie cinématographique en Des plaintes sont déposées et des groupes de pression se forment. Organisation de la malveillance : des attaques nouvelles faisant appel à des regroupements, de nombreuses attaques proviennent désormais d un regroupement effectué entre hackers et développeurs de codes malicieux. Avant 2003, les premiers étaient davantage «spécialisés» sur les attaques réseaux (couches basses) et les seconds sur les couches hautes (dites applicatives) en développant des codes malicieux qui exploitent les agendas des messageries pour accélérer leur propagation «consacrent» les attaques par codes malicieux de Mydoom à Sasser, la progression de l exploitation des failles non «patchées» devient inquiétante à tel point que de grands éditeurs comme Microsoft estiment que leurs priorités en sécurité en reposent sur l écriture de code sécurisé et la bonne gestion des «patch» par leurs grands clients. Les paradoxes des environnements ouverts : l environnement Open Source peut être profitable aux entreprises mais aussi à leurs attaquants (c est un des paradoxes de l open source). Cela dit, Linux et les outils Open source retiennent l attention de grands comptes. La forte poussée chez les décideurs de réflexions sur la conformité réglementaire et la veille juridique avec la notion de responsabilité de tiers (FAI, opérateurs, éditeurs ) et les problématiques liées à la délégation de pouvoir, certification, contrat des prestataires Dernier point rarement évoqué dans les études, les signes que donnent les utilisateurs «TECHNO- REBEL» se confirment face aux outils de Cyber-Surveillance et à des lois jugées «liberticides» par certains regroupements (utilisateurs d Internet, hébergeurs ). Ces nouvelles questions ne doivent pas être oubliées, elles sont le signe profond d un malaise chez bon nombre d utilisateurs. Ne sontils pas de plus en plus nombreux à se sentir «cyber-surveillés» sans de réelles explications? Un utilisateur malheureux dans son environnement peut concevoir de se révolter contre cet environnement. D où risque. Les premiers signes apparaissent avec la progression inquiétante des attaques internes confirme une tendance apparue en 2003 liée aux comportements. Les outils de traçabilité existent et inquiètent. Désormais des solutions de préventions liées à l anticipation des comportements apparaissent dans certaines entreprises afin d anticiper les comportements «à risque» et prévenir une menace. Surtout, le sacro-saint secret des correspondances privées est remis en cause par des RSSI bien décidés à faire valoir en priorité les précautions liées aux risques de menaces sur le patrimoine informationnel. D où l importance des chartes Internet de plus en plus précises liées au règlement d entreprise. Au sein des entreprises, la délinquance d utilisateurs internes «en col blanc» - ce sont eux qui ont accès à l information - augmente chaque année. En 2003 le nombre de menaces internes est considéré comme supérieur face aux attaques externes par les grandes entreprises nordaméricaines. En 2004, ces chiffres se confirment sans toutefois augmenter considérablement en raison de l application stricte des règles de politique de sécurité Pourquoi se protéger? La réponse est évidente : les sites gouvernementaux, les institutions, les universités et écoles, les banques, les industriels, les sites de commerce électronique ont tous connus des attaques sur leurs serveurs, sur leurs flux de transmission, sur leur Intranet et réseau interne, transactions Internet permet aux entreprises de tailles différentes de communiquer. C est le concept de l entreprise étendue. Les sous traitants doivent disposer de maillons de la chaîne de sécurité aussi robustes que ceux utilisés par les grands comptes avec qui ils travaillent. Dès lors, la politique de sécurité s étend à l extérieur du périmètre connu de l entreprise. Mais comment être certain que les règles propres à la politique de sécurité sont appliquées et correctement analysées? Idem pour les utilisateurs particuliers : Les opérateurs en 2003 et 2004 se préoccupent de plus en plus d offrir des solutions «packagées» de sécurité (anti-virus, anti-spam, contrôle parental, filtrage URL ). Fait nouveau : les opérateurs interviennent eux-mêmes pour réaliser des contrôles et en font connaître les résultats notamment auprès du grand public. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 14/191

15 AOL prétend que son système de «scan» automatique des pièces-jointes avait bloqué 500 millions de méls infectés par des virus, depuis son lancement mi-avril En moyenne, les 32 millions d'abonnés d'aol ont été individuellement protégés de l'attaque de 15 virus selon ce FAI. 2.2 E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? Les solutions de sécurité au sein des grandes entreprises mettent toutes en œuvre une partie ou généralement la totalité des mécanismes suivants : disponibilité des données et des systèmes d information (systèmes, réseaux, applications et services), des plans de secours et de continuité de services, les applications Cyber-risques et E-Confiance via des procédures d authentification, autorisation, intégrité, confidentialité et non-répudiation. De la sécurité informatique des années 80 à la sécurité du système d information des années 90 pour atteindre aujourd hui les rivages de la sécurité des informations/applications et des droits des utilisateurs avec les notions de patrimoine informationnel à valoriser via un référentiel de sécurité audité chaque trimestre, les Cyber-risques englobent de nombreux concepts en 2004 à commencer par la cyber-criminalité en forte progression. Plusieurs marchés composent le marché des Cyber-risques : celui de la sécurité applicative et des services Web, celui de la sécurité système et celui de la sécurité des infrastructures. Les Cyber-risques «applicatifs» confirment leur envol entamé en Selon le Gartner Group, 75 % des attaques provenant de l Internet s effectuent au niveau des couches applicatives. Le marché Cyber-risque reste difficile à cerner d autant qu il est crédité de chiffres controversés. Pour 2004, les enjeux liés à la Confiance viennent confirmer les tendances 2003 : les PME/PMI s intègrent de plus en plus aux systèmes d informations des grands comptes et les discours des Risk Managers évoluent de la technologie vers l usage de cette technologie avec les environnements indispensables : juridiques, réglementaires, économiques. Mais qu est ce que la e-confiance? Désormais, la gestion des risques majeurs et des utilisateurs l emporte sur les discours axés sur la «peur» et les solutions «totalement technologiques». Certains fournisseurs, éditeurs, intégrateurs dont le discours reste uniquement axé sur les technologies, vont devoir revoir leur copie en Deux mondes grandes entreprises et PME/PMI sont appelés à se rencontrer sur le terrain des Cyber-risques. En effet, le concept d entreprise étendue va obliger les PME/PMI sous-traitants à respecter le cahier des charges de leurs clients, souvent des grandes entreprises dont la politique de sécurité s étend désormais aux partenaires. Ce marché de l entreprise étendue sécurisée, peu d analystes semblent l intégrer. Il est pourtant au cœur des préoccupations de la majorité des PME/PMI. Reste que bon nombre de DSI (Direction des Systèmes d Information) et RSSI (Responsable de la Sécurité des Systèmes d Information) cherchent encore une vision optimisée d un «monde du travail connecté». Cependant selon certaines estimations de plusieurs études d éditeurs, les grands comptes dans 20% des cas se montrent prescripteurs auprès de leurs partenaires et sous-traitants le confirme. Non seulement une chaîne de la e-confiance basée sur des échanges dématérialisés se met en place mais les acteurs recherchent une plus grande homogénéité dans les échanges d applications. L interopérabilité technique des années 90 fait place après la distinction entre risques majeurs et risques mineurs des années 2000 à la «transparence» des échanges codifiés par des textes juridiques et le respect de normes pour les années à venir. Cette transparence s accompagne d une notion de gestion des droits liés aux usages des données et documents. 2.3 LES MENACES Auteur : Gérard Péliks (EADS) 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 15/191

16 Dès qu un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs voire même à une perte totale des fichiers systèmes, avec impossibilité de «rebooter» son PC. Quand l utilisateur se connecte sur l Intranet de sa société, ce réseau est automatiquement sujet à des menaces pouvant porter atteinte à l intégrité, et même à l existence des informations et aux applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si l utilisateur connecté à son Intranet, a aussi accès simultanément à l Internet, les menaces sont multipliées tant dans leur nombre que dans leur diversité. Nous ne pouvons rien contre l existence de ces menaces, qui sont liées à la nature humaine et à la nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se concrétiser par des attaques réussies. Contre les vulnérabilités, heureusement pour l utilisateur, pour son poste de travail et pour les réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les explorer. Mais les outils ne sont efficaces qu intégrés dans une politique de sécurité connue et librement acceptée par l entreprise ou la collectivité, car on ne le répétera jamais assez, ce n est pas le réseau qui est dangereux, c est bel et bien l utilisateur, parfois de manière consciente mais aussi souvent sans le vouloir et sans même le savoir. Les menaces sont bien réelles. Pour se protéger contre elles, puisqu on ne peut les éliminer, il faut les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l entreprise cible. Il n est pas possible de se prémunir contre toutes les menaces, donc il n est pas crédible de se croire hors d atteinte de toute attaque. Heureusement les informations et les applications résidant dans votre réseau et dans vos postes de travail n ont pas toute la même valeur stratégique pour l entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l endroit où les 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 16/191

17 informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût qu induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit, pour chaque domaine d information, pour chaque application, il y a un seuil au-delà duquel, il n est pas rentable d investir plus pour protéger une information dont la perte causerait un préjudice inférieur au coût des solutions de sécurité mises en place. Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une information dont la perte serait sans commune mesure avec le coût de la solution de protection de cette information. Les menaces sur les postes nomades Déjà à l intérieur de l entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire de l attacher à un point fixe par un cordon d acier, et d utiliser l économiseur d écran quand vous vous absentez provisoirement de votre bureau. Que dire alors des risques qu il encourt quand vous le sortez de l entreprise! Justement parlons-en. Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, paraît-il, disparaissent. Ce n est pas toujours l œuvre de simples voleurs intéressés par la valeur marchande du PC le plus souvent très inférieure à celle des informations stockées sur son disque dur. J ai connu une situation, lors d un salon, il y a quelques années, où la paroi de la remise d un stand avait été forcée durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient disparu. Au-delà de la gène évidente pour leurs propriétaires, l un des portables contenait le planning et l évolution des fonctionnalités des produits conçus et commercialisés par l entreprise et les carnets d adresses des partenaires et des clients. Que pouvait espérer le propriétaire de mieux qu un miracle fasse qu une météorite tombât sur son PC volé en détruisant son disque dur avant que son contenu ne soit exploité! Mais la probabilité pour que ce miracle se produise n est pas bien grande. Ajouté à cela, durant la journée, des coffres de voitures avaient été forcés sur le parking du salon et un autre PC portable avait été dérobé! Ce n est pas sur l espoir d un miracle que doit reposer la sécurité des données contenues dans les postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état d esprit, une politique de sécurité, et des outils correctement paramétrés. Durant la connexion votre poste nomade peut présenter un danger pour l intégrité du système d information de votre Intranet car il est exposé aux attaques dites «par rebond» qui permettent à un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans l Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre VPN est activé, le poste nomade n accepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l Internet. Quand vous n avez plus besoin d être connecté à l Intranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur. Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences catastrophiques pour notre système d information. Ce n est pas une raison, bien sûr pour relâcher votre vigilance. Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers échappent évidemment au contrôle de l antivirus de l entreprise. Une fois le poste nomade connecté à l Intranet, il peut infecter son système d information. Il est indispensable, avant tout chargement de fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 17/191

18 Remarque : Ne confondons pas poste nomade et utilisateur nomade, en effet l utilisateur nomade n utilise pas forcement un ordinateur de l entreprise pour se connecter. Les bornes Internet dans les cafés, par exemple, permettrent de lire son courrier électronique à distance. Ces systèmes sont cependant beaucoup plus dangereux car des spywares peuvent être installés et enregistrer les mots de passe à l insu de l utilisateur. Il faut donc être encore plus vigilant lors de l attribution des droits d accès aux serveurs pour des utilisateurs nomades. 2.4 LES VULNERABILITES Auteur : Dominique Ciupa (Intranode) Une histoire qui remonte à la nuit des temps Toute conception humaine a ses limites. Les logiciels et les réseaux comme les autres activités. A l'instar de la quasi-totalité des personnes qui, quelque que soit leur niveau d'éducation, laissent de temps à autre quelques fautes d'orthographe dans leurs écrits, les développeurs informatique font de leur côté un certain nombre de fautes informatiques. «Errare humanum est» a existé bien avant l'informatique. L'humanité a toujours connu les questions de vulnérabilités. Depuis le talon d'achille jusqu'à la ligne Maginot, l'histoire des vulnérabilités n'est qu'une longue répétition de point de faiblesse et d'erreurs. Certaines fautes informatiques génèrent des «bugs», nom donné à l'époque des premiers calculateurs électroniques lorsqu'un insecte, une punaise ou «bug» en anglais, provoquait un court-circuit entre deux composants électrique. D'autres erreurs peuvent être exploitées pour porter atteinte à la sécurité des réseaux et systèmes d'information. Accès à des données confidentielles, corruption de données, blocage d'un système que l'on appelle «déni de service», prise de contrôle d'une machine pour exécuter ce que l'on veut. On parle alors de failles de sécurité, ou de vulnérabilités informatiques. Rien de nouveau d'un point de vue technique, mais c est aujourd'hui un véritable problème en raison de l'exploitation à grande échelle qui est désormais faite des bugs et failles de sécurité. Ainsi, il y a encore 10 ou 15 ans, des failles ou bugs pouvaient exister sans conséquences graves. Ainsi, dans les systèmes de facturation téléphonique des bugs existaient qui permettaient de ne pas payer les communications. Sur certains commutateurs et pour certains opérateurs télécoms, le système de renvoi d'appel, faisant intervenir la couche dite «de réseau intelligent», permettait de faire disparaître le ticket de taxation lorsqu'un premier poste était renvoyé sur un deuxième poste luimême renvoyé sur un troisième. Les développeurs n'avaient pas prévu un usage aussi curieux et le pointeur des tickets de taxation se trouvait sur la valeur «nihl». En clair, les tickets de taxation disparaissaient. Le poste numéro 3, se faisant appeler après un tel double renvoi, bénéficiait d'une communication gratuite pour l'appelant. Le risque d'un manque à gagner pour l'opérateur télécom utilisant ces équipements était flagrant. Sauf que le «bug» n'était connu que d'un petit groupe d'experts qui considéraient le strict respect de la confidentialité de certaines informations comme étant une règle essentielle de bonne conduite professionnelle. Le tout se commentait donc ainsi en 1992 au sein de la communauté des experts internationaux des réseaux intelligents réunis en congrès en Gironde au cours d'un fastueux dîner payé par France Télécom dans le Château de Wayre, après une dégustation des meilleurs crus offerte par la Mairie de Bordeaux. L'information était même confiée à des journalistes participant à ce congrès, sous le couvert du célèbre «off the record», et tout en restait là! Tout le monde a vécu sans problème avec cette faille, sans la corriger pendant de nombreuses années. Constructeurs et opérateurs s'entendaient pour accepter de vivre avec ce risque, en plaçant l'information sous le sceau du secret professionnel et en considérant que la correction serait trop coûteuse pour une menace aussi faible, puisque la possibilité d'attaque était inconnue du public Un changement de comportement avec les vulnérabilités informatiques Tout est désormais radicalement différent. Une vulnérabilité découverte fait l'objet de communication immédiatement relayée par tous les moyens de la communication moderne de l'internet. Peu de notion de confidentialité subsiste. Une éthique veut toutefois encore que la publication ne soit faite que lorsque la correction de la faille a été réalisée par l'éditeur, ou qu'une solution de contournement de la faille est identifiée. Cette éthique est heureusement souvent respectée. Mais le jeu collectif de certaines communautés de chercheurs ou de développeurs est bel et bien la recherche des failles de certains éditeurs, allant parfois au-delà de ce que la loi autorise en pratiquant la décompilation de 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 18/191

19 logiciels, et menaçant, tels des maîtres chanteurs, de publier la faille si la correction n'est pas développée dans les plus brefs délais par l'éditeur. Le nombre de vulnérabilités découvertes et publiées ne fait qu'augmenter. Il existe toutefois aujourd'hui un débat sur le bien-fondé de la recherche des vulnérabilités. La loi a désormais défini des limites aux possibilités de recherche de vulnérabilités à des fins de hacking. Le délit existe donc avant même l'attaque dès la préparation possible de l'attaque. De nombreuses communautés de chercheurs se sont élevées contre ces interdictions et ont affirmé que la recherche devait être libre et sans contrainte pour faire progresser la qualité des logiciels. C'est pour nombre de chercheurs de bonne foi un objectif réel, louable et légitime. Le débat a suscité de nombreuses passions et parfois provoqué des prises de positions extrêmes. Toute l'ambiguïté du débat porte autour de l'appréciation de qu'est une fin légitime de recherche de vulnérabilité. Suivant sa finalité, la recherche est autorisée ou est qualifiée de criminelle par la loi. Le législateur ne tranche pas et laisse le soin de l'interprétation à l'application de la loi. Le débat est donc loin d'être clos. Les failles concernent tous les systèmes et tous les éditeurs de logiciels. Linux n'est pas nécessairement mieux loti que Microsoft sur ce plan. La communication de chaque communauté d'informaticiens s'apparente parfois à des guerres de clochers inutiles. nombre de vulnérabilités Q-3Q Les «exploits» Nombre de vulnérabilités répertoriées par les CERT Après la publication de la vulnérabilité, la manière avec laquelle on peut exploiter la faille devient une sorte de second challenge pour certaines communautés qui vont chercher à s'illustrer avec de nouvelles publications et revendiquer leurs exploits respectifs. Tout circule à grande échelle et sans délai sur le Web et les forums de discussions. Le monde est devenu très bavard, les «bugs» et failles sont mis à nu devant tout le monde et les programmes d'attaques, dénommés «exploit» affichés aux yeux de tous et signés par leurs auteurs, qui utilisent souvent par prudence des pseudonymes connus seulement par leurs pairs. L'excitation de la recherche, la communication et une certaine vantardise poussent le système. Le débat sur le bien-fondé de la publication des «exploits» est esquissé par les nouveaux textes législatifs. La loi comprend désormais des possibilités de restreindre ces publications. Des chercheurs déclarent par ailleurs utiliser ces exploits à des fins de tests, pour vérifier si une vulnérabilité est présente. Là encore, la notion de fin légitime apparaît. Le législateur n'a pas apporté de définition et les magistrats pourront interpréter Les parades Pour le responsable sécurité, tout le problème réside donc dans la mise à jour des correctifs de sécurité, ou les modifications des configurations pour palier les vulnérabilités. Nous sommes dans une véritable course à la mise en œuvre des correctifs avant que les failles ne soient exploitées Les attaques exploitant les vulnérabilités Plusieurs attaques sont en effet à craindre. Le premier type d'attaque relève du hacker isolé qui va s'en prendre à une machine pour le plaisir, et parfois sans grand géni. Cette personne surveille la publication des failles de sécurité, recherche les «exploits» rédigés et publiés par d'autres en toute impunité sur le Web et mène ensuite son jeu 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 19/191

20 pour bloquer une machine, lire des informations confidentielles, changer des données ou prendre le contrôle d'une machine pour lui faire exécuter ce qu'il veut. Le hacker se comporte parfois en pensant que le coupable est en fait le responsable du système d'information qui n'a pas mis à jour ses logiciels, lui-même ne faisant que jouer. L'inconscience est donc parfois la source de graves préjudices. Il peut toutefois également s'agir d'espionnage industriel ou d'actes mafieux, sans aucun caractère ludique, mais avec des enjeux financiers bien réels. Le second type d'attaque est plus industriel et consiste à utiliser des vers pour mener à grande échelle une attaque sur un nombre non limité de machines en un minimum de temps. Quelques exemples de telles attaques sont les vers «Slammer», «Blaster» ou encore «Sasser». Très connus dans l'univers Microsoft Windows, les attaques de hackers ou des vers peuvent aussi être conçus pour utiliser les vulnérabilités de tout autre machine : Linux, Unix, mais aussi des routeurs, commutateurs, PDA ou téléphones portables. Nous n'oublierons pas également qu'aujourd'hui des équipements téléphoniques sous IP, les IPBX ou PABX IP, sont d'abord et avant tout des équipements data, fonctionnant sous des OS Windows, Linux ou Unix et qu'à ce titre ils sont aussi vulnérables qu'un PC. D'autres équipements peuvent aussi être concernés, bien que l'on y pense moins souvent : les imprimantes, dont les disques et mémoires peuvent contenir des informations confidentielles, et tous les équipements ou solutions sur appliances, tels que les firewalls, solutions de filtrage applicatif, enregistrement de vidéosurveillance numérique, etc La difficulté des corrections La correction des vulnérabilités n'est pas un exercice anodin. Lorsqu'ils existent, les correctifs, ou patches en anglais, proposés par les éditeurs sont parfois incompatibles avec d'autres applications mises en œuvre sur la même machine. En fermant un «trou de sécurité», il est en effet possible que l'on bloque une seconde application, qui utilise, sans penser à mal, les particularités de la première application vulnérable. Les «trous de sécurité» apportent en effet parfois certaines souplesses que les développeurs peuvent utiliser de façon légitime. Il faut alors développer un second correctif à appliquer sur la seconde application pour qu'elle fonctionne avec le patch appliqué sur la première. Une autre solution consiste parfois à développer un second patch qui va corriger le premier patch et permettre un inter-fonctionnement satisfaisant des deux applications. On patch alors le patch. Tout ceci prend naturellement du temps. L'entreprise doit choisir entre rester vulnérable ou bloquer certaines applications. Le sujet n'est pas simple. La gestion des vulnérabilités relève de questions d'organisation, de définition de processus et d'emploi d'outils adaptés que nous présentons, notamment au paragraphe «Scanners de vulnérabilités» de cet ouvrage Les faiblesses du Web Auteur : Sami Jourdain (Deny All) Par son étendue, sa richesse de contenu et sa simplicité d utilisation, l Internet est une mine d informations pour les entreprises et un média sans précédent pour faire connaître les informations mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l Internet, l utilisateur peut accéder à des millions de pages Web, et peut, à l aide de portails et de moteurs de recherche, obtenir l information qui lui est nécessaire dans le cadre de son travail, au moment où il en a besoin (caractéristiques d un produit, liste de prix, conditions de vente, contacts, plan d accès ) Les menaces sur les applications Web Les entreprises continuent de déployer de nouvelles applications Web afin d augmenter l efficacité de leurs échanges avec leurs clients, employés, fournisseurs et partenaires, de générer des revenus additionnels et de réduire leurs coûts. Tous les départements de l entreprise bénéficient de l ouverture au Web : sites de e-commerce et de gestion de la relation client, automatisation de la chaîne achats, production, logistique, télétravail, webmail Confirmant cette tendance, les principaux éditeurs livrent maintenant leurs logiciels tels que SAP, Peoplesoft, Notes, Outlook, Siebel, avec interface Web incluse. En multipliant les accès Web via internet, extranet et intranet, les entreprises fournissent à des utilisateurs malveillants de nouveaux points d entrée à leurs applications. Avec l aide d un simple 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 20/191

Description de l offre de services

Description de l offre de services Description de l offre de services Prestations en Webconférence... 2 Les prestations :... 3 Etude d éligibilité Microsoft Office 365... 3 Forfait de Mise en service... 4 Migration 5 utilisateurs... 5 Formation

Plus en détail

Sécurisation des données

Sécurisation des données Sécurisation des données 1 Sommaire Introduction Les données informatiques et ce qu il faut savoir. Comment faire? Les solutions. Démo Présentation de deux logiciels Conclusion Pour conclure ce qu il faut

Plus en détail

Le concept FAH (ou ASP en anglais)

Le concept FAH (ou ASP en anglais) Le concept FAH (ou ASP en anglais) Présentation FAH signifie Fournisseur d Application Hébergé ASP signifie Application Service Provider L utilisation d un logiciel de gestion classique peut se révéler

Plus en détail

Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012

Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012 Université de Caen UFR sciences économiques-gestion Master 2 entreprenariat et DU création d activités 2011-2012 Les facteurs de succès de l entreprise Francis DAVID Présentation Parcours Professionnel

Plus en détail

Dispositif régional Auvergne d Intelligence Economique

Dispositif régional Auvergne d Intelligence Economique APPEL D OFFRES N 01/2015/IE Dispositif régional Auvergne d Intelligence Economique ACCORD CADRE CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.) ARTICLE 1 OBJET DE L ACCORD CADRE Le présent accord-cadre

Plus en détail

Dispositif régional Auvergne d Intelligence Economique

Dispositif régional Auvergne d Intelligence Economique APPEL D OFFRES N 01/2015/IE Dispositif régional Auvergne d Intelligence Economique ACCORD CADRE CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.) ARTICLE 1 OBJET DE L ACCORD CADRE Le présent accord-cadre

Plus en détail

Programme de formations

Programme de formations Programme de formations Member of Group LES DEFIS DE LA QUALITE Pourquoi mettre en place un Système de Management de la Qualité? Faire évoluer les comportements, les méthodes de travail et les moyens pour

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Congrès de l Association francophone des Commissions nationales de promotion et de protection des droits de l Homme (AFCNDH)

Congrès de l Association francophone des Commissions nationales de promotion et de protection des droits de l Homme (AFCNDH) Paris, 8 novembre 2013 Congrès de l Association francophone des Commissions nationales de promotion et de protection des droits de l Homme (AFCNDH) Allocution de S.E. M. Abdou Diouf, Secrétaire général

Plus en détail

Colloque International IEMA-4

Colloque International IEMA-4 Comment mettre en place un dispositif coordonné d intelligence collective au service de la stratégie de l entreprise. Conférence de Mr. Alain JUILLET - Le 17/05/2010 IEMA4 Pour ne pas rester dans les banalités

Plus en détail

L innovation dans l entreprise numérique

L innovation dans l entreprise numérique L innovation dans l entreprise numérique Toutes les entreprises ne sont pas à l aise avec les nouvelles configurations en matière d innovation, notamment avec le concept d innovation ouverte. L idée de

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

entreprendre à la puissance cisco

entreprendre à la puissance cisco entreprendre à la puissance cisco À un moment donné, vous avez vu quelque chose que personne d autre n avait vu. Il s agissait peut-être d une idée ou d une opportunité. Ce «quelque chose» vous a fait

Plus en détail

Les métiers de l assistanat Evolutions Compétences - Parcours

Les métiers de l assistanat Evolutions Compétences - Parcours Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception

Plus en détail

Plateforme AnaXagora. Guide d utilisation

Plateforme AnaXagora. Guide d utilisation Table des matières 1. PRESENTATION DE LA PLATE-FORME D APPRENTISSAGE ANAXAGORA... 3 2. ARCHITECTURE FONCTIONNELLE... 4 3. L APPRENTISSAGE... 5 3.1. L ESPACE DE TRAVAIL... 5 3.1.1. Le calendrier... 5 4.

Plus en détail

Au cœur du marché de la cybersécurité. Incubateur de technologies innovantes & Business accelerator

Au cœur du marché de la cybersécurité. Incubateur de technologies innovantes & Business accelerator Au cœur du marché de la cybersécurité Incubateur de technologies innovantes & Business accelerator Le Contexte Les entreprises et les institutions doivent sans cesse adapter leurs moyens de détection et

Plus en détail

SISR 1. TP Antivirus DOGNY CHRISTOPHE

SISR 1. TP Antivirus DOGNY CHRISTOPHE SISR 1 TP Antivirus Table des matières Qu est-ce qu un Antivirus?... 2 Chiffre d affaire des Antivirus... 2 Fonctionnalités des antivirus... 3 Liste d antivirus... 4 Différence entre une solution «Autonome»

Plus en détail

Présentation. Logiciels libres. Open Source. Clinkast 4 Avenue du Général de Gaulle F 92360 Meudon (+33) 6 20 44 86 95 (+33) 1 46 30 24 13

Présentation. Logiciels libres. Open Source. Clinkast 4 Avenue du Général de Gaulle F 92360 Meudon (+33) 6 20 44 86 95 (+33) 1 46 30 24 13 Présentation Logiciels libres et Open Source Description Un logiciel libre* est en général gratuit. Il est utilisable et modifiable sans notification préalable à son auteur, qui a renoncé à ses droits

Plus en détail

Production / Qualité / Maintenance / Méthodes. Garantir un haut niveau de production

Production / Qualité / Maintenance / Méthodes. Garantir un haut niveau de production Garantir un haut niveau de production 1 - Ingénieur industrialisation 2 - Ingénieur maintenance 3 - Ingénieur méthodes 4 - Ingénieur production 5 - Ingénieur qualité projet 6 - Ingénieur résident qualité

Plus en détail

Développer vos compétences, pour innover sur vos territoires. Extrait du catalogue 2005

Développer vos compétences, pour innover sur vos territoires. Extrait du catalogue 2005 Développer vos compétences, pour innover sur vos territoires. Extrait du catalogue 2005 Association Rhône Alpes des professionnels des Développeurs Economiques Locaux 14 rue Passet 69007 Lyon Tél. : 04

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

L importance du volet comptable de la loi organique

L importance du volet comptable de la loi organique Discours d Alain Lambert, ministre délégué au Budget et à la Réforme budgétaire Journée d études des trésoriers-payeurs-généraux, relative à la nouvelle fonction comptable - 3 octobre 2003 - Mesdames et

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

MODELE D UN RAPPORT DE STAGE DE BAC PRO ELECTROTECHNIQUE

MODELE D UN RAPPORT DE STAGE DE BAC PRO ELECTROTECHNIQUE MODELE D UN RAPPORT DE STAGE DE BAC PRO ELECTROTECHNIQUE [Prénom Nom] Rapport sur le stage effectué du [date] au [date] Dans la Société : [NOM DE LA SOCIETE : Logo de la société] à [Ville] [Intitulé du

Plus en détail

Développer son expertise en tant que Responsable Formation

Développer son expertise en tant que Responsable Formation 1 Développer son expertise en tant que Responsable Formation Environnement et fondamentaux de la formation professionnelle L environnement de la formation professionnelle revêt un caractère de plus en

Plus en détail

La sécurité numérique de l entreprise

La sécurité numérique de l entreprise 11Pierre-Luc Réfalo La sécurité numérique de l entreprise L effet papillon du hacker, 2013 ISBN : 978-2-212-55525-7 Sommaire Avertissement...11 Préambule...13 Introduction...23 Première partie Tout est

Plus en détail

La cybersécurité dans les petits cabinets comptables

La cybersécurité dans les petits cabinets comptables La cybersécurité dans les petits cabinets comptables VISER DE MEILLEURES PRATIQUES ET MESURES DE PROTECTION Prêter attention à la sécurité informationnelle CPA Canada a récemment fait appel à Nielsen pour

Plus en détail

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable PASSEPORT DE CONSEILS AUX VOYAGEURS Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable Ce passeport de conseils aux voyageurs a été initialement réalisé par l Agence nationale

Plus en détail

DOSSIER DE PRESSE. Les premiers retours positifs d un projet innovant

DOSSIER DE PRESSE. Les premiers retours positifs d un projet innovant Inauguration 28 Novembre 2007 DOSSIER DE PRESSE ADITU, un outil de la compétitivité économique et numérique des territoires Les premiers retours positifs d un projet innovant Inauguration 28 Novembre 2007

Plus en détail

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

Chefs d entreprise, votre métier c est diriger!

Chefs d entreprise, votre métier c est diriger! Chefs d entreprise, votre métier c est diriger! Programme de formation Méthode pédagogique Le parcours «Chef d entreprise, votre métier c est diriger!» se compose de 18 journées de formation collective

Plus en détail

La carte d achat, c est quoi ça?

La carte d achat, c est quoi ça? La, c est quoi ça? C est un outil mis à disposition des structures publiques et privées qui modifie et simplifie l acte d approvisionnement : C est une carte bancaire nominative et sécurisée qui permet

Plus en détail

Du marketing dans ma PME!

Du marketing dans ma PME! Du marketing dans ma PME! Manque d expérience marketing des managers de sociétés technologiques, difficulté de recruter des profils marketing formés ou expérimentés : pourquoi la mission marketing est-elle

Plus en détail

Forum Pan-Africain des Secrétaires Généraux de Gouvernements

Forum Pan-Africain des Secrétaires Généraux de Gouvernements Centre Africain de Formation et de Recherche Administratives pour le Développement La République de Madagascar Forum Pan-Africain des Secrétaires Généraux de Gouvernements Thème : Les Nouvelles Approches

Plus en détail

Introduction... 3 1/ En quoi consiste une veille commerciale?... 4 2/ Quel est son rôle?... 5 3/ Quels sont les bénéfices au niveau de l organisation

Introduction... 3 1/ En quoi consiste une veille commerciale?... 4 2/ Quel est son rôle?... 5 3/ Quels sont les bénéfices au niveau de l organisation Introduction... 3 1/ En quoi consiste une veille commerciale?... 4 2/ Quel est son rôle?... 5 3/ Quels sont les bénéfices au niveau de l organisation commerciale?... 6 A. Le temps... 6 B. La productivité...

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE

UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE LIVRE BLANC UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE Comment choisir un CRM qui répondra à toutes les attentes de vos commerciaux www.aptean..fr LIVRE BLANC UNE SOLUTION CRM CONÇUE POUR LA FORCE

Plus en détail

LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE

LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE Dans son activité quotidienne, le policier, quelles que soient ses tâches, est très souvent confronté à la nécessité

Plus en détail

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS Université de Corse DESS ISI Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche Manuel BERTRAND Septembre 2004 Sommaire I. Problématique du nomadisme au

Plus en détail

Copyright 2006 Rockwell Automation, Inc. Tous droits réservés. Imprimé aux Etats-Unis.

Copyright 2006 Rockwell Automation, Inc. Tous droits réservés. Imprimé aux Etats-Unis. Publication EMSE00-BR371A-FR-E Avril 2006 Copyright 2006 Rockwell Automation, Inc. Tous droits réservés. Imprimé aux Etats-Unis. EXPERTISE EN GESTION DE PROJET VOUS POUVEZ COMPTER SUR DES SERVICES DE GESTION

Plus en détail

Référentiel professionnel pour le Diplôme d État d Ingénierie Sociale DEIS

Référentiel professionnel pour le Diplôme d État d Ingénierie Sociale DEIS Institut du Travail Social de Tours Cellule VAE Référentiel professionnel pour le Diplôme d État d Ingénierie Sociale DEIS Annexe I de l arrêté du 2 août 2006 relatif au Diplôme d État d Ingénierie Sociale

Plus en détail

Dossier de Présentation Forum Open- IPVideo

Dossier de Présentation Forum Open- IPVideo Dossier de Présentation Forum Open- IPVideo Association Loi de 1901-18 Rue Irénée Blanc 75020 Paris SIRET 520 224 734 00019 APE 9499Z http://www.open-ipvideo.org Page 2 sur 13 Sommaire 1. PREAMBULE...

Plus en détail

Comptabilité par internet isobec

Comptabilité par internet isobec Comptabilité par internet isobec Sobec a investi dans la réalisation d un logiciel de saisie et de mise à disposition de données comptables. Grâce aux codes qui vous sont fournis, vous avez accès à votre

Plus en détail

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE

deno DATA ENGINEERING AND OPERATIONAL WISDOM PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Que la stratégie soit belle est un fait, mais n oubliez pas de regarder le résultat. Winston Churchill PERFORMANCE DES FLUX D INFORMATIONS, VALEUR DES SAVOIR-FAIRE Conseil en Organisation, stratégie opérationnelle

Plus en détail

Conditions générales d utilisation Option Anti-virus Firewall PC 4 postes

Conditions générales d utilisation Option Anti-virus Firewall PC 4 postes Conditions générales d utilisation Option Anti-virus Firewall PC 4 postes ARTICLE 1: DÉFINITIONS Les parties conviennent d entendre sous les termes suivants: Client: personne physique ou morale s étant

Plus en détail

LES RÉSEAUX INFORMATIQUES

LES RÉSEAUX INFORMATIQUES LES RÉSEAUX INFORMATIQUES Lorraine Le développement d Internet et de la messagerie électronique dans les entreprises a été, ces dernières années, le principal moteur de la mise en place de réseau informatique

Plus en détail

Catalogue des formations

Catalogue des formations Catalogue des formations S FORMATIONS OPÉRATIONNELLES POUR LES ARTISANS ET LES ENTREPRENEURS Une nouveauté CAPBOX 2012 370 DU MANAGEMENT Animer et motiver son équipe Recruter et intégrer un nouveau collaborateur

Plus en détail

«LES MERCREDI DE L ENA» Termes de référence DANS LES PAYS DE L UEMOA»

«LES MERCREDI DE L ENA» Termes de référence DANS LES PAYS DE L UEMOA» REPUBLIQUE DU SENEGAL =-=-=-= PRIMATURE =-=-=-= ECOLE NATIONALE D ADMINISTRATION =-=-=-= «LES MERCREDI DE L ENA» Edition spéciale Termes de référence THEME : «REFORMES DES FINANCES PUBLIQUES DANS LES PAYS

Plus en détail

NOS SOLUTIONS ENTREPRISES

NOS SOLUTIONS ENTREPRISES NOS SOLUTIONS ENTREPRISES VOIX & CONVERGENCE IP DATA & RESEAUX D ENTREPRISES HEBERGEMENT, CLOUD & SERVICES Nos solutions VOIX & convergence IP LA RÉVOLUTION IP L arrivée d une toute nouvelle génération

Plus en détail

Le contrôle parental

Le contrôle parental Le contrôle parental Premier partenaire de votre réussite Cette fiche a pour objectif de vous fournir quelques éléments de réflexion sur l utilisation de l ordinateur et d internet et sur le rôle que vous,

Plus en détail

Guide d installation et d utilisation

Guide d installation et d utilisation Guide d installation et d utilisation A lire avant toute installation de certificat (Mandataire de Certification et Porteur) Décembre 2011 Vous avez choisi le certificat Net-Identity de BNP Paribas et

Plus en détail

EXPORTER, INVESTIR, S INTERNATIONALISER...

EXPORTER, INVESTIR, S INTERNATIONALISER... EXPORTER, INVESTIR, S INTERNATIONALISER... SIMPLIFIER ET ACCÉLÉRER LA RÉALISATION DE VOS PROJETS WWW.BUSINESSFRANCE.FR CHIFFRES-CLÉS 1 500 collaborateurs expérimentés à votre écoute et prêts à se mobiliser

Plus en détail

OUTILS ACHATS & FONCTIONNALITES COLLABORATIVES

OUTILS ACHATS & FONCTIONNALITES COLLABORATIVES Sujets d actualité, débats, perspectives, enjeux Tendances Achats vous donne la parole et analyse pour vous le monde des Achats. OUTILS ACHATS & FONCTIONNALITES COLLABORATIVES «La réussite des directions

Plus en détail

Institut des Reviseurs d Entreprises

Institut des Reviseurs d Entreprises Institut des Reviseurs d Entreprises Assemblée Générale 27 avril 2007 Jacques Potdevin 1. Je suis particulièrement heureux d être parmi vous ce jour et je voudrais avant tout rendre hommage aux contributions

Plus en détail

3. Guide Technique Type de l «utilisateur»

3. Guide Technique Type de l «utilisateur» 3. Guide Technique Type de l «utilisateur» Sommaire 1. Préambule.......................... page 25 2. Champ d application................... page 25 3. Procédures de sécurité................. page 25 3.1

Plus en détail

SFR Business Global Access

SFR Business Global Access SFR Business Global Access Travaillez partout comme si vous étiez au bureau! sfrbusinessteam.fr En déplacement, restez connecté à votre entreprise en toute circonstance Avec, accédez partout et en toute

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD1 Exercices Exercice 1 : Décrivez les facteurs internes qui ont un impact sur les communications réseau. Les facteurs internes ayant un impact sur les communications sont liés à la nature

Plus en détail

ACCEDER A SA MESSAGERIE A DISTANCE

ACCEDER A SA MESSAGERIE A DISTANCE Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie

Plus en détail

«seul le prononcé fait foi»

«seul le prononcé fait foi» «seul le prononcé fait foi» Discours à l occasion de la réunion du Pacte de Responsabilité et de Solidarité Lundi 26 mai 2014 Lesparre-Médoc Mesdames et Messieurs les Parlementaires Mesdames et Messieurs

Plus en détail

Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection. Thierry Rouquet Président du Directoire

Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection. Thierry Rouquet Président du Directoire Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection Thierry Rouquet Président du Directoire IHEDN 27 Mars 2007 AGENDA 1. Arkoon Network Security 2. Les enjeux de

Plus en détail

Les réseaux sociaux. ViGlob Informatique Inc. 400 boulevard Saint-Marin Ouest, bureau 206 Laval (Québec) H7M 3Y8

Les réseaux sociaux. ViGlob Informatique Inc. 400 boulevard Saint-Marin Ouest, bureau 206 Laval (Québec) H7M 3Y8 Les réseaux sociaux TABLE DES MATIÈRES TABLE DES MATIÈRES... 2 LES RÉSEAUX SOCIAUX... 3 Gestion des contacts... 4 Comment fonctionnent les forums dans les réseaux sociaux?... 5 Pourquoi exploiter les réseaux

Plus en détail

La Délégation interministérielle à l intelligence économique (D2IE)

La Délégation interministérielle à l intelligence économique (D2IE) La Délégation interministérielle à l intelligence économique (D2IE) Qu est ce que l intelligence économique (IE)? L intelligence économique (IE) consiste à collecter, analyser, valoriser, diffuser et protéger

Plus en détail

Vote par Internet : quel avenir?

Vote par Internet : quel avenir? Journée de la sécurité des systèmes d information du 22 mai 2008 Proposition d intervention Thème général : anonymat, vie privée et gestion d'identité Vote par Internet : quel avenir? Le 22 mai 2008 Benoit

Plus en détail

La sécurité informatique

La sécurité informatique Plusieurs risques peuvent affecter un système informatique : - Les risques accidentels : incendie, panne, catastrophes naturelles, - Les risques liés à des erreurs : d utilisation ou dans la conception

Plus en détail

ACCÉDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE ACCÉDER A SA MESSAGERIE A DISTANCE Lorraine Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile.

Plus en détail

Le DMP et vos droits Dossier Médical Personnel

Le DMP et vos droits Dossier Médical Personnel BROChURE D information PATIENT Le DMP et vos droits Dossier Médical Personnel Créer votre DMP, un acte important pour votre santé au service de la santé www.dmp.gouv.fr 2 Le dmp et vos droits 4 Qu est-ce

Plus en détail

REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS

REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS REFERENTIEL D EVALUATION DES ACQUIS DE L EXPERIENCE POUR LE DIPLOME CAFERUIS Référentiel d activités Le référentiel d activités décline les activités rattachées aux six fonctions exercées par l encadrement

Plus en détail

Intégrer un salarié dans l entreprise

Intégrer un salarié dans l entreprise L objectif de ce guide est d aider les managers à optimiser l accueil et l intégration des nouveaux salariés dans l entreprise. Un autre guide Fafsea «Assurer la fonction de tuteur» est à la disposition

Plus en détail

ÉTAT DES LIEUX. Les questions que vous vous posez. Gardez juste l essentiel!

ÉTAT DES LIEUX. Les questions que vous vous posez. Gardez juste l essentiel! ÉTAT DES LIEUX Les nouvelles technologies annoncent depuis 15 ans le règne du zéro papier et du gain de temps. Dans la réalité, l entreprise et l administration ont vu leur consommation de papier exploser

Plus en détail

14 Adopter une attitude professionnelle

14 Adopter une attitude professionnelle 14 Adopter une attitude professionnelle Pour mener à bien votre projet et instaurer des relations constructives le groupe doit adopter une attitude professionnelle et se montrer : 1. Mobilisé tous les

Plus en détail

Choisissez un pôle d activité ou un profil et cliquez

Choisissez un pôle d activité ou un profil et cliquez Organisation et planification des activités du service Gestion des ressources matérielles Gestion et coordination des informations Relations professionnelles Rédaction et mise en forme de documents professionnels

Plus en détail

MMA - Projet Capacity Planning LOUVEL Cédric. Annexe 1

MMA - Projet Capacity Planning LOUVEL Cédric. Annexe 1 Annexe 1 Résumé Gestion Capacity Planning Alternance réalisée du 08 Septembre 2014 au 19 juin 2015 aux MMA Résumé : Ma collaboration au sein de la production informatique MMA s est traduite par une intégration

Plus en détail

Contenu de la Présentation

Contenu de la Présentation Contenu de la Présentation I. Introduction II. L Augmentation des menaces et une vulnérabilité plus forte III. Le marché de la SSI : les enjeux financiers et économiques IV. Répondre aux enjeux économiques

Plus en détail

Sécurité de données holistique. Comment protéger vos données sensibles contre toutes les menaces

Sécurité de données holistique. Comment protéger vos données sensibles contre toutes les menaces Comment protéger vos données sensibles contre toutes les menaces Sécurité de communications holistique Comment protéger vos données sensibles contre toutes les menaces Quand il s agit d informations relevant

Plus en détail

Evolution des infrastructures informatiques au Cerema. Patrick Berge Comité Technique d Établissement

Evolution des infrastructures informatiques au Cerema. Patrick Berge Comité Technique d Établissement Evolution des infrastructures informatiques au Cerema Patrick Berge 1 Objectifs de cette présentation Le contexte de l informatique au Cerema Les besoins du Cerema en matière d Infrastructure Informatique

Plus en détail

Communiqué de presse ALTER PERFORMANCE, un modèle de start up qui a le vent en poupe

Communiqué de presse ALTER PERFORMANCE, un modèle de start up qui a le vent en poupe Dossier de presse Communiqué de presse ALTER PERFORMANCE, un modèle de start up qui a le vent en poupe ALTER PERFORMANCE est une nouvelle société de conseil qui a fait le choix d'accompagner les TPE-PME

Plus en détail

7 INNOVATIONS QUI TRANSFORMENT LES SERVICES PAIE ET RH

7 INNOVATIONS QUI TRANSFORMENT LES SERVICES PAIE ET RH 7 INNOVATIONS QUI TRANSFORMENT LES SERVICES PAIE ET RH LES 7 INNOVATIONS QUI TRANSFORMENT LES RH C est en 1970 qu apparurent les premiers logiciels destinés au monde des ressources humaines et plus particulièrement

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

Fonctionnement de Windows XP Mode avec Windows Virtual PC

Fonctionnement de Windows XP Mode avec Windows Virtual PC Fonctionnement de Windows XP Mode avec Windows Virtual PC Guide pratique pour les petites entreprises Table des matières Section 1 : présentation de Windows XP Mode pour Windows 7 2 Section 2 : démarrage

Plus en détail

Management des organisations et stratégies Dossier n 10 Veille et intelligence économique

Management des organisations et stratégies Dossier n 10 Veille et intelligence économique Management des organisations et stratégies Dossier n 10 Veille et intelligence économique.i. Les enjeux et domaines de la veille.ii. La mise en place d un processus de veille.iii. Illustration d une démarche

Plus en détail

1 Présentation du Pôle Fibres-Energivie.

1 Présentation du Pôle Fibres-Energivie. Appel d offres pour l accompagnement du Pôle Fibres-Energivie dans la mise en œuvre du service d accompagnement BIM DATA auprès des collectivités et des bailleurs sociaux Cette consultation a pour objectif

Plus en détail

Acheter autrement : un enjeu public et privé Jean-Jacques.Rivy@dr5.cnrs.fr

Acheter autrement : un enjeu public et privé Jean-Jacques.Rivy@dr5.cnrs.fr Pépinière Acheteurs publics 21 avril 2006 Atelier : «Conduite du changement» Acheter autrement : un enjeu public et privé Jean-Jacques.Rivy@dr5.cnrs.fr Atelier «Conduite du changement» Plan de l intervention

Plus en détail

Véronique LANG. Philippe MARCHESSOU. Frédéric GRODWOHL. Christiane VIGUIER. Assistantes et secrétaires. Laurent KELLER. Pedro MARTINEZ-WHITE

Véronique LANG. Philippe MARCHESSOU. Frédéric GRODWOHL. Christiane VIGUIER. Assistantes et secrétaires. Laurent KELLER. Pedro MARTINEZ-WHITE Philippe MARCHESSOU Avocat associé, professeur des universités, auteur, formateur. Fondateur du cabinet en 1981. Philippe Marchessou est titulaire des mentions de spécialisation en droit public, droit

Plus en détail

Lumesse Avis d expert. Agile Learning Etes-vous prêt au changement?

Lumesse Avis d expert. Agile Learning Etes-vous prêt au changement? Lumesse Avis d expert Agile Learning Etes-vous prêt au changement? Dans l univers sans cesse mouvant de la Gestion des Talents, nous observons un nouveau changement fondamental en matière de développement

Plus en détail

ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP)

ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP) OMPI CDIP/5/5 Corr. ORIGINAL : anglais DATE : 21 juillet 2010 ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE F COMITÉ DU DÉVELOPPEMENT ET DE LA PROPRIÉTÉ INTELLECTUELLE (CDIP) Cinquième session

Plus en détail

Livre ouvert sur la sécurité

Livre ouvert sur la sécurité Livre ouvert sur la sécurité Issu d un travail commun du Centre Français de réflexion sur la sécurité des systèmes d information 4 nov 2004 4 nov 2004 etna Voir en dernière page pour les droits de reproduction

Plus en détail

Intégrer un salarié dans l entreprise

Intégrer un salarié dans l entreprise L objectif de ce guide est d aider les managers à optimiser l accueil et l intégration des nouveaux salariés dans l entreprise. Un autre guide Fafsea «Assurer la fonction de tuteur» est à la disposition

Plus en détail

Note technique d orientation n 2 : Élaboration d un plan de travail ITIE

Note technique d orientation n 2 : Élaboration d un plan de travail ITIE Cette note technique a été publiée par le Secrétariat international de l ITIE en collaboration avec GIZ (Coopération internationale allemande). L'objectif de cette note est de prodiguer des conseils aux

Plus en détail

Quelle est l utilité d une veille commerciale pour la prospection? livre blanc

Quelle est l utilité d une veille commerciale pour la prospection? livre blanc Quelle est l utilité d une veille commerciale pour la prospection? livre blanc Vecteur Plus N 1 français de l information commerciale qualifiée juin 2009 SOMMAIRE 1/ En quoi consiste une veille commerciale?

Plus en détail

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises Une solution simple, efficace et compétitive pour les petites entreprises Présentation Symantec Protection Suite Small Business Edition est une solution de sécurité et de sauvegarde simple et compétitive.hautement

Plus en détail

Comment sécuriser les communications vers des tiers et des établissements partenaires?

Comment sécuriser les communications vers des tiers et des établissements partenaires? Comment sécuriser les communications vers des tiers et des établissements partenaires? Olivier Mazade Responsable Réseaux Centre Hospitalier Universitaire de Clermont Ferrand Xavier Hameroux Directeur

Plus en détail

PREPARATION A L EXAMEN PROFESSIONNEL DE SECRETAIRE ADMINISTRATIF DE CLASSE EXCEPTIONNELLE EPREUVE DE LA NOTE OPERATIONNELLE

PREPARATION A L EXAMEN PROFESSIONNEL DE SECRETAIRE ADMINISTRATIF DE CLASSE EXCEPTIONNELLE EPREUVE DE LA NOTE OPERATIONNELLE PREPARATION A L EXAMEN PROFESSIONNEL DE SECRETAIRE ADMINISTRATIF DE CLASSE EXCEPTIONNELLE EPREUVE DE LA NOTE OPERATIONNELLE RAPPEL DU SUJET : Vous êtes secrétaire administratif de classe exceptionnelle,

Plus en détail

REJOIGNEZ NOTRE RÉSEAU

REJOIGNEZ NOTRE RÉSEAU REJOIGNEZ NOTRE RÉSEAU PRÉSENTATION DU GROUPE Présent depuis plus de 17 ans en région Rhône Alpes où il a acquis une position de leader sur son marché, le Groupe CFI a élaboré, développé et modélisé avec

Plus en détail

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour

Plus en détail

Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS

Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS Introduction à la Sécurité des Systèmes d Information en établissements de santé Fiche N 1 : Les enjeux

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

REFONDRE SON SITE INTERNET, LES PISTES A SUIVRE

REFONDRE SON SITE INTERNET, LES PISTES A SUIVRE LAD C MENES / Shutterstock REFONDRE SON SITE INTERNET, LES PISTES A SUIVRE Février 2014 Loire-Atlantique développement - Direction de l'action touristique - 1 PRÉAMBULE Votre site web est la vitrine de

Plus en détail