Prof. S. Ghernaouti. Membre de l Académie suisse des sciences techniques. Université de Lausanne

Dimension: px

Commencer à balayer dès la page:

Download "Prof. S. Ghernaouti. Membre de l Académie suisse des sciences techniques. Université de Lausanne"

Aubin Renaud
il y a 8 ans
Total affichages :

1 Cyberstratégie des entreprises L informa+on stratégique Prof. S. Ghernaouti Membre de l Académie suisse des sciences techniques Université de Lausanne Swiss Cybersecurity Advisory & Research Group Comlexity Science Group 2 décembre 2013, Paris 1

2 Le contexte Prof. S. Ghernaouti - 2

3 3 Prof. S. Ghernaouti - L entreprise Le reste du monde

4 Stratégie d entreprise Stratégie du système d information de la sécurité Information stratégique Information Critique Compétitivité Pérennité Efficacité Efficience de l organisation Qui a un impact sur la stratégie défini3on, modifica3on, remise en cause de la stratégie,.. Connaissance de l environnement Gain de produc3vité, de temps, 4 Prof. S. Ghernaouti -

5 Informations stratégiques Les problèmes Prof. S. Ghernaouti - 5

6 1 Définition Prof. S. Ghernaouti - 6

7 Définition de l information stratégique Données qui génèrent de la valeur 7 Prof. S. Ghernaouti -

8 Notions de «Marché» Compétitivité Modification Données autorisant la création de biens et de services Destruction Appropriation illicite Données de support à la prise de décision Données liées aux produits, aux modes de production, à la propriété intellectuelle (PI) Valeur 8 Prof. S. Ghernaouti -

9 March licitte Patch de Sécurité O Day Découverte d une vulnérabilité High Diffusion Communica3on Marché noir Créa3on De malware Obsolescence de la vulnérabilité U3lisa3on Exemple de cycle de vie d une informa+on stratégique Source

10 2 Caractéristiques Prof. S. Ghernaouti

11 Information stratégique Multiforme Multi domaines Multi supports et mobile Cadre juridique Contraintes règlementaires SI clés USB portables, tablettes, téléphones, personnes, Clients, sous-traitants, fournisseurs, investissements, données financières, données personnelles, projets, mode de production, recrutement, R&D Prof. S. Ghernaouti -

12 Prof. S. Ghernaouti - Information partagée Collaborateurs Information convoitée Information vulnérable Partenaires Information menacée Quelle sécurité? 12

13 3 Les menaces Prof. S. Ghernaouti

14 Intensité variable Cyber Menaces Omniprésence espionnage surveillance Prof. S. Ghernaouti

15 4 Les facteurs de risques Prof. S. Ghernaouti

16 Facteur technologique Facteur humain Facteur contextuel Défaut de : Discrétion Défaut de sécurité: Technologique Procédurale Accès illicites Interception Surveillance Espionnage Intelligence économique Malveillance externe Vol Sensibilisation Formation Réflexes sécuritaires Malveillance interne Oubli Perte de matériels Erreurs Négligences Managériale Organisationnelle Energétique Physique Logique Cyber territoire! recyclage 16 Prof. S. Ghernaouti -

17 5 Les coûts Prof. S. Ghernaouti

18 Coûts Prof. S. Ghernaouti

19 Coûts R o I Assurance Prof. S. Ghernaouti

20 Principales causes de risques pour les PME selon Sophos - Ponemon Ins-tute Novembre Cyber agaques non détectées 2. Vulnérabilités non déterminées 3. Mesures de sécurité non efficaces 4. La cybersecurié n est pas une priorité 5. Inves3ssements en cybersécurité insuffisants 6. Mobilité et BYOD 7. Impacts financiers de la cybercriminalité inconnus Source: «The Risk of an Uncertain Security Strategy Study of Global IT Prac33oners in SMB Organiza3on» hgp://sophos.files.wordpress.com/2013/11/2013- ponemon- ins3tute- midmarket- trends- sophos.pdf Prof. S. Ghernaouti

21 Prof. S. Ghernaouti

22 Selon Symantec : Le nombre de cyberagaques ciblées a augmenté de 42% en 2012 dans le monde 2013 Internet Security Threat Report, Volume 18 hgp:// Les PME et l'industrie, cibles de choix des cyberagaques 31 % des agaques ciblent des entreprises de moins de 250 salariés. REUTERS/Kacper Pempel/Files hgp://lexpansion.lexpress.fr/high- tech/les- pme- et- l- industrie- cibles- de- choix- des- cyberagaques_ html Prof. S. Ghernaouti

23 Ampleur de la cybercriminalité Relative méconnaissance Phishing et ingénierie sociale Déni de service et réseaux de zombies Logiciels malveillants Dispositifs compromis Fraudes internes Etc. Prof. S. Ghernaouti

24 Sécurité de l informa3on: Prise en compte des risques tradi3onnels: Incendie, Perte d exploita3on et des risques informa3ques Un an3virus ou un pare- feu ne suﬃsent pas! Gestion des risques, de la sécurité, des crises, Gestion de l incertain 24

25 La sécurité: un projet d entreprise Le risque informatique doit être identifié au même titre que tous les autres risques de l organisation Stratégie de sécurité Conduite générale de protection, prévention, de réaction en dehors des frontières traditionnelles de l entreprise (cyber territoires dynamiques) Organiser la défense Renforcer la résilience Maîtriser les risques par des mesures de sécurité complémentaires et adaptées Démarche proactive et réactive 25 Prof. S. Ghernaouti -

26 Gouverner la sécurité Diriger, piloter la sécurité o Appréhender et traiter la sécurité comme un processus continu Gouverner o La sécurité ne doit pas être une juxtaposition de technologies de sécurité o Approche globale systémique et intégrative o Recherche de cohérence Quelques mots clés : Conscience Connaissance Responsabilité Proportionnalité Efficacité Efficience Contrôle Évaluation / réévaluation / optimisation Sécurité Informatique et Réseaux - 4e édition - S. Ghernaouti Dunod

27 Maîtrise des risques Gestion des risques Valeurs Vulnérabilités Menaces Impacts Appréciation des risques Gestion de la sécurité Politique de sécurité Pilotage Organisation Mise en œuvre opérationnelle Que protéger? Pourquoi? Contre qui? Comment? Priorisation Exigences de sécurité / Ressources critiques Maîtrise de la sécurité

28 Quelques Responsabilités du Management Établir une politique de SMSI Décider des critères d acceptation des risques Désigner les rôles et responsabilités Assurer que des audits du SMSI seront effectués Communiquer Assurer que le personnel lié au SMSI est compétent Etc. 28

29 La sécurité: des compromis Coût du risque Coût de la sécurité Besoin de Protection Besoin de Production Réduire les risques à un niveau acceptable Minimiser les pertes Permettre un usage efficace des technologies 29

30 La sécurité: du bon sens un avantage compétitif Prof. S. Ghernaouti

31 Je vous remercie de votre attention Pour en savoir plus 31 Prof. S. Ghernaouti -

Documents pareils

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,