7 avril 2009 Divulgation de données : mise en place du chiffrement au sein des PME

Transcription

1 Chiffrementdes données locales des moyens nomades (ordinateurs portables et clés USB) Divulgation de données : mise en place du chiffrement au sein des PME

2 «Premiers» faits marquants Déclarations accrues de pertes de supports informatiques (sauvegarde) par des banques américaines AmeritradeHolding (200k), Bank of America(1,2 M), Citigroup(3,9M) (cf. Panorama Cybercriminalité, année 2005) Obligation déclarative http//breachblog.com (Fin d activité du site mais liste de liens utiles) Nouvel acronyme : DLP (Data Leak/loss prevention/protection) 2

3 Variétés de types d information Données bancaires (et phishing) Savoir-faire industriel Médicales Profils d individu, état civil (spamming, contrefaçon) Données judiciaires Données militaires de supports Bandes de sauvegarde (cf. norme bancaire THS dans le passé) Ordinateur portable, PDA, smartphone Clef USB CD, DVD, disque externe, appareil photo 3

4 Variétés de circonstances Divulgation accidentelle Divulgation malveillante Divulgation accidentelle puis extorsion Vengeance/espionnage économique (recel) de conséquences Engagements réglementaires (civil, pénal) Class Action Gestion de crise Perte de chiffre d affaires, de part de marché 4

5 Données nominatives, données à caractère personnel. Evolutions réglementaires Historiquement, la CNIL (30 ans en 2008) Durcissement des lois aux Etats-Unis et en Grande-Bretagne à/c 05/2009, Etat du Massachussetts, loi la plus stricte Code Pénal, Art «Le fait de procéder ou de faire procéder àun traitement de données àcaractère personnel sans mettre en œuvre les mesures prescrites àl'article 34 de la loi nº78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de Euros d'amende.»( 5

6 Success stories et points d intérêt Quantité de données dérobées CardSystems(40M de cartes) et perte de contrats de gestion de la monétique TJX, 2006? # de 45 à94 millions de références de cartes Banques Allemandes Hamburg, décembre 2008, vente de 21 millions de références bancaires pour 12 millions d euros (1,2 millions de réf. données en gage de «bonne foi») 6

7 Success stories et points d intérêt Conformité réglementaire New England, mars : la chaîne de supermarchéhannaforddécouvre une fraude aux cartes bancaires. Environ 4,2 millions de références ont étépiratés (numéro de la carte, date d expiration mais pas le nom du porteur). Les informations collectées étaient envoyées «overseas». Courant mars, cas avérés de fraude Frais de réémission pour environ cartes Une action en recours collectif (class action) de 5 millions de dollars par un cabinet d avocats Des millions de dollars d investissement en sécurité: chiffrement des données en transit, un système de monitoring en 24/7 Hannafordétait conforme àla norme PCI-DSS qui a étémodifiée dans l urgence pour prendre en compte le mode opératoire! 7

8 Success stories et points d intérêt Pertes indirectes et gestion de crise La compagnie Express Scripts est victime d une chantage par . Le message menace de divulguer les dossiers de 75 personnes. La base clients concerne plusieurs millions de personnes (# 50) Web de crise pour informer et gérer les plaintes de clients. Mise en place d une cellule de traitement des informations qui seraient divulguées. Appel àune sociétéspécialisée en investigation. Une récompense d un million de dollars pour l aide à la capture des rançonneurs! Moindre conséquence portable chiffré Vol d ordinateurs portables d un cabinet audit financier de dimension internationale Mais pas toujours Avril 2009, les 4 portables, non chiffrés, du futur Centre Pénitentiaire de Nancy-Maxéville sont retrouvés. Les disques contiendraientles codes de fabrication des clefs et divers plans 8

9 Agenda de session Introduction M. Pascal LOINTIER - Conseiller Sécurité de l'information - AIG Europe Quels moteurs, quels freins aux déploiements de solutions de chiffrement? - Le cas des déploiements PGP en France M. Alain TAKAHASHI- Responsable des projets PGP - Hermitage Solutions Le chiffrement des équipements nomades: les clés du succès M. Laurent PERRUCHE- Consultant Senior Sécurité Solucom M. Cyril MONERON -Responsable Sécuritédes Systèmes d Information (RSSI) - Groupe Saint-Gobain M. Nicolas FERNANDEZ -Responsable Sécuritédes Systèmes d Information Adjoint - Groupe Saint-Gobain Une réponse aux enjeux de sécuritéet mobilité: la carte àpuce M. Charles d AUMALE-Responsable Marketing et Commercial, Communications Sécurisées - ERCOM.../... 9

10 Agenda de session (suite et fin) Table ronde Animateur: M.Fred Messika, Président de SEKOIA et Responsable de l organisation des conférences du CLUSIF M. Philippe BLOT-SGDN / DCSSI M. Emmanuel FORGUES-Chef de produit globull-bull M. Leif KREMKOW- Responsable Technique - QUALYS M. Alain TAKAHASHI- Responsable des projets PGP - Hermitage Solutions M. Cyril MONERON -Responsable Sécuritédes Systèmes d Information (RSSI) - Groupe Saint-Gobain M. Nicolas FERNANDEZ -Responsable Sécuritédes Systèmes d Information Adjoint - Groupe Saint-Gobain Cocktail! Pour prendre date : 4 juin «Fraude interne, malveillance interne: détection et gestion» 10