Economic Cyber Crime. Exigences minimales de prévention pour les PME. Romain Roubaty, novembre 2012

Transcription

1 Economic Cyber Crime Exigences minimales de prévention pour les PME Romain Roubaty, novembre 2012

2 En 16 leçons

3 Leçon n 1 «Dieu me garde de mes amis, mes ennemis je m'en charge» Maréchal de Villars Le danger essentiel vient de l intérieur

4 Leçon n 1 Illustration Vols de données bancaires SR Suisse [Christian Loose - Fotolia] [Martin Ruetschi - Keystone]

5 Leçon n 2 «Il faut vivre dangereusement» Nietzsche Le risque 0 n existe pas

6 Risque = Menace* Vulnérabilité Contre mesure Menace o Tout type d actions susceptibles de nuire Vulnérabilité o o Niveau d exposition face à la menace Faille, brèche Contre-mesure o o o Action mise en œuvre en prévention de la menace Mesure technique Formation, sensibilisation, règles de fonctionnement

7 Leçon n 3 «La connaissance s'acquiert par l'expérience, tout le reste n'est que de l'information.» Albert Einstein Maîtriser le terrain Quels sont les risques?

8 Risques sur les données Virus et programmes malveillants s frauduleux Piratage Espionnage industriel Malversation Perte d'information Divulgation d informations confidentielles Erreur de manipulation Désastre naturel, problème d environnement Panne matérielle, panne du réseau Coupure électrique Bogue logiciel, problème réseau

9 Leçon n 4 «Jamais la souris ne confie à un seul trou sa destinée.» Plaute Diversité des solutions de protection

10 Diversité des solutions de protection

11 Leçon n 5 «Le prix s oublie, la qualité reste.» Michel Audiard Efficacité des solutions de protection

12 Efficience des outils de protection Sondes de sécurité Prévention pertes de données Effectiveness (somewhat+) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Firewalls Access Control sys Acess Control Complex PSWD Encryption SPAM filter App FW Host FW Ntwk AV Identity Mgt IDS/IPS Policy net con RBL SPAM filter Surveillance Wireless encrypt Patch Mgt Host AV Badging Change/config net policy enforce rights mgt strong authent NAC Role authen Host policy enfmnt App config mgt Host IDS/UPS Manual Patches Host SPAM net monitor soft dev tools host anti SPAM data tracking host change/con app monitor digital signature one-time pswd wireless monitor DLP app signing auto integrity con anomaly detection biometrics keystroke monitor Guidance Software Système de détection d intrusions

13 Leçon n 6 «Qui veut vaincre s'attaque au maillon le plus faible.» Alphonse Karr C est par le point le plus faible que l adversaire s introduit

14 Cohérence Ne pas négliger un pan de la sécurité Risques physiques accès, bâtiments, fourniture électrique, climatisation Risques logiques interne, voleur, hacker,

15 Leçon n 7 «L'équilibre est la règle souveraine des plus grands comme des plus petits.» Romain Roland Sécurité <> Convivialité <> Coûts

16 Equilibre Chercher le bon équilibre sécurité <> utilisabilité sécurité <> coût Il n y a pas de solution universelle

17 Leçon n 8 «Rien n'est plus dangereux au monde que la véritable ignorance et la stupidité consciencieuse.» Martin Luther King Formation négligée Procédure périmée

18 Formation Tous les acteurs utilisateur/trice lambda mot de passe responsables sécurité cadres

19 Procédures périmées Affaire de tous les instants Mise à jour régulière

20 Leçon n 9 «Exception. Dites qu'elle confirme la règle. Ne vous risquez pas à expliquer comment.» Gustave Flaubert Gestion des exceptions

21 Exceptions Illustrations Commercial nomade Intervenant occasionnel CEO

22 Leçon n 10 «Il n'y a qu'une chose qui se démode : la mode, et c'est la mode qui emporte le succès.» Pierre Reverdy Suivre la mode

23 Leçon n 10 Illustration Pub Cloud

24 Leçon n 10 Lire avec un esprit critique Se poser les bonnes questions

25 Cloud Confiance Conformité réglementaire Localisation (législation) Confidentialité Viabilité à long terme

26 Leçon n 10 Conséquence Posséder soi-même une connaissance minimale du domaine Pouvoir recourir aux conseils d experts compétents et neutres

27 Objectifs de la sécurité informatique Intégrité des données Confidentialité des données Disponibilité des données Non répudiation Authentification

28 Leçon n 11 «Tricher au jeu sans gagner est d'un sot.» Voltaire Intégrité des données

29 Intégrité des données Communication Dans la base de données Solutions Empreinte numérique Journal des transactions Sauvegarde

30 Leçon n 12 «Les secrets ne sont bien cachés que s'ils ont un seul gardien.» Abu Shakour Confidentialité des données

31 Confidentialité des données Données hors de l entreprise Dans la base de données A protéger du vol interne et externe Solution Chiffrement

32 Leçon n 13 «Car tout nombre nous limite et la perfection n'a pas de bornes» (Jonathan Lingston le goéland) Richard Bach Disponibilité des données

33 Disponibilité des données Sécurité des serveurs Redondance % 73 jours % 37 jours % 19 jours % 88 heures % 44 heures % 9 heures % 53 minutes % 5 minutes % 32 secondes

34 Leçon n 14 «Dire le secret d'autrui est une trahison, dire le sien est une sottise.» Voltaire Non répudiation

35 Non répudiation Provenance et réception Solutions Signature, certificat Horodatage

36 Leçon n 15 «La grande malice des uns est le plus souvent faite de la stupidité des autres.» Henri Maret Authentification

37 Authentification Droits d accès Problèmes Renifleurs de clavier Les droits mis il y a très longtemps La naïveté Solutions Empreintes digitales Définition des rôles

38 Leçon n 16 «Rien ne sert de courir, il faut partir à temps.» La Fontaine Affaire de tous les instants

39 Leçon n 16 Affaire de bon sens Mieux vaut prévenir que guérir (cf que faut-il faire?)

40 Que faut-il faire? protéger l'accès à internet protéger le réseau informatique vérifier le contenu de votre site web sauvegarder vos données maintenir le logiciel et les systèmes d exploitation filtrer les courriers électroniques sensibiliser les utilisateurs anticiper les incidents

41 Merci! Centre d investigation numérique et de cryptologie (CINC) Formations sur mesure Expertises Mandats d investigation numérique ou de cryptologie Conseil