Réduire la complexité!

Transcription

1 Réduire la complexité! Le principal challenge de la sécurité et de la gestion du risque Mark Laureys Director Business Development, EMEA Verizon Business Global Services, Security & ITS Paris, 4 février Verizon. All Rights Reserved. PTE /09

2 Verizon Communications Présentation du groupe Telecom Haut Débit et Vidéo pour le grand public et les PME/PMI Solutions de pointe et Services de Consulting mondiaux pour les Entreprises, les Administrations et Gouvernements Solutions et Services pour les Vente en gros, les revendeurs, les ISP et les opérateurs mobiles Une couverture mondiale dans plus de 150 pays et villes Solutions de Mobilité, Voix et Data pour le grand public et les entreprises Le plus grand opérateur Mobile aux Etats-Unis Le réseau Mobile, Voix et Data le plus fiable aux Etats-Unis Le taux de fidélité le plus élevé parmi tous les opérateurs mobiles aux Etats-Unis DES RESSOURCES PARTAGÉES Le Service Client Verizon Technologies de l Information Network Technology & Planning 3

3 Verizon Communications Stabilité Financières et performances Verizon Business, un leader mondial des solutions de Communications et des solutions IT, une division de Verizon Communications : $108 Md (USD) 2009 revenus consolidés collaborateurs dans le monde Une entreprise du Dow 30 Classement Fortune 500 : U.S. : #17 en 2009 Mondial : #55 en 2009 Revenu ($Md) $ $ $ $31.6 Md de liquidités issues des opérations Investissements ($Md) 4 Investissements : $17 Md pour Telecom & Wireless en 2009 Plus $3 Md investis dans le réseau Verizon depuis 2006 Verizon Wireless 1.2 M de nouveaux clients sur Q409 $ $ $

4 Verizon Business Des infrastructures globales pour répondre à nos clients partout dans le monde Etats Unis Bureaux 200 Collaborateurs 26,000 France Bureaux 6 Collaborateurs Réseau Fibre 800 Km MAN 16 EMEA Bureaux 71 Collaborateurs 4,650 Amérique du Sud Bureaux 16 Collaborateurs 350 Un réseau IP mondial 2,700+ Villes 150+ Pays Km de Fibre 200+ Data Centers 4,000+ Réseaux clients Managés Asie Pacifique Bureaux 28 Collaborateurs 1,000 5

5 La complexité l emporte toujours sur les avancées en matière de sécurité DLP POLICIES M&A COMPLIANCE CONTRACTS NETWORKS ANTIVIRUS CHANGE SYSTEMS YOU DATABASES THREATS ENCRYPTION ENDPOINTS STORAGE HACKERS USERS REGULATIONS BUs MOBILITY PEOPLE FIREWALLS TECHNOLOGY DATA VPNs PROCESSES IDS/IPS 6

6 La gestion du risque doit piloter les mesures de sécurité Operational Risk Reputation Risk Compliance Risk Risk Iceberg Keep the Business Running Preserving the Brand Balancing Cost and Compliance 7

7 Data Breach Investigations Report Pourquoi refaire les mêmes erreurs? Parution : 15 avril 2009 Dossiers Traités : Plus de 285 millions de cas de compromission provenant de 90 brèches de sécurité existantes en 2008 Parti-pris : Les données analysées proviennent uniquement des cas d attaques confiés à Verizon Business Traite des échecs, non des succès : Le rapport se concentre sur les violations de données et par conséquent fournit de l information sur les échecs de sécurité plutôt que sur leurs réussites Anonymat : Une fois les enregistrements réalisés et les chiffres collectés, l information recueillie est retraitée afin que le référentiel de travail ne puisse pas permettre d identifier l identité de nos clients 8

8 Data Breach Investigations Report Qui se cache derrière ces compromissions de données? 74% résultent de sources externes 20% ont été causés par des personnes internes 32% ont impliqué des partenaires commerciaux 39% proviennent de parties multiples 9

9 Data Breach Investigations Report Comment se produisent ces compromissions? 67% ont été facilitées par des erreurs significatives 64% résultent de piratage informatique 38% utilisent des malwares 22% impliquent un abus des droits d administrateur 9% ont lieu via des attaques physiques 10

10 Data Breach Investigations Report Les points communs 69% ont été découverts par une tierce partie 83% des attaques n étaient pas d un haut niveau de difficulté 87% auraient pu être évitées par des contrôles simples 99.9% des données compromises l ont été sur les serveurs et les applications 81% des victimes n étaient pas conformes aux exigences PCI 11

11 Data Breach Investigations Report Les recommandations Assurez-vous que les contrôles fondamentaux soient bien réalisés Contrôlez les mouvements de vos données Collectez et surveillez les logs d événements Vérifiez les comptes utilisateurs et leurs accréditations Testez et passez en revue vos applications Web 12

12 Réduire les erreurs et la complexité grâce à une approche de la sécurité en trois couches Mesures contre le risque Rencontrer de multiples exigences de conformité Attention aux tiers Gérer le risque et la conformité Risque et conformité Sécuriser l entreprise étendue Sécurité des applications Protection des données Contrôle d accès à l info Sécuriser l information Sécurité de l information Contrôle/gestion continus Suivi des logs de sécurité Continuité de l activité Sécurité des mobiles Sécuriser l infrastructure Programme Sécurité de l infrastructure en trois couches 13

13 Sécuriser l infrastructure Nos conseils Réévaluez votre infrastructure de sécurité Accès à distance, connexions tiers, SSL, VPN et NAC, authentification forte 32% des compromissions impliquent des partenaires commerciaux * Gérez les vulnérabilités proactivement Scans de vulnérabilité tant externe qu interne, tâches de correction Segmentez le réseau Création de "zones" pour le contrôle granulaire des données, contrôle pointu des événements, pare-feu et technologies IDS/IPS entre les segments Suivez les logs de sécurité et les alertes Contrôles réguliers, plate-forme SEM/SIM ou services Managed Security 66% des victimes de compromission avaient les informations suffisantes pour découvrir la compromission dans leur journal d événements * 14 * 2009 Verizon Business Data Breach Investigations Report

14 Sécuriser l information Nos conseils Données données données Identification et classement des données avec information auprès des utilisateurs sur les données confidentielles ou critiques Chiffrement ainsi que technologies de protection de base de données (DP) ou de prévention de perte de données (DLP) Plan de réponse aux incidents afin d être prêt à une éventuelle compromission Applications Evaluation de la vulnérabilité des applications web (de manière automatisée via des scans ou manuellement via des tests d intrusion) Contrôles de sécurité d application (pare-feu d application, détection d intrusion hôte, systèmes de prévention) Journaux d accès aux applications et bases de données critiques Contrôles et suivis réguliers, plate-forme SEM/SIM ou services de Managed Security 38% des données impliquées lors des compromissions n étaient pas répertoriées comme étant dans le système! * 15 * 2009 Verizon Business Data Breach Investigations Report

15 Risque et conformité Nos conseils Nous mesurons tout, pourquoi pas la sécurité? Le plan de sécurité devrait contenir des indicateurs précis établis régulièrement (exemples : scans de vulnérabilité exécutés chaque trimestre, vulnérabilités L1 objets d un suivi, applications Web critiques concernées lors de chaque mise à jour, nombre d incidents de sécurité, actions de réponse aux incidents) Vérifiez que les décisions de sécurité sont bien fondées sur le risque Est-ce que le prochain investissement pour la sécurité réduira effectivement le risque encouru par mon entreprise? Les exigences de conformité n ont pas à être une contrainte La manière coûteuse : prendre chaque exigence et mettre en place des actions correctives dans une perspective de conformité de la sécurité La manière efficace et économique : définir un ensemble de contrôles de sécurité efficaces, les mettre en œuvre au sein de l entreprise, et de là établir quelles exigences de conformité de sécurité de l information il reste à satisfaire 87% des compromissions peuvent être évitées par des contrôles simples ou intermédiaires * 16 * 2009 Verizon Business Data Breach Investigations Report

16 DLP M&A ENCRYPTION HACKERS NETWORKS ANTIVIRUS CHANGE SYSTEMS STORAGE DATABASES THREATS REGULATIONS CONTRACTS MOBILITY ENDPOINTS USERS BUs VPNs DATA Résumé Réussissez à réduire la complexité en donnant une priorité à la réduction des risques IDS/IPS évitant les erreurs déjà faites par d autres appliquant un programme de sécurité complet TECHNOLOGY PROCESSES Risque et conformité COMPLIANCE POLICIES Risk Iceberg FIREWALLS PEOPLE Sécurité de l Information Sécurité de l Infrastructure 17

17 Merci de votre attention. Questions? Une stabilité financière Verizon Business Des Solutions complètes Une couverture mondiale Une expertise mondiale Un portefeuille mondial et un service basés sur nos clients 18