Contenu de la Présentation

Transcription

1 Contenu de la Présentation I. Introduction II. L Augmentation des menaces et une vulnérabilité plus forte III. Le marché de la SSI : les enjeux financiers et économiques IV. Répondre aux enjeux économiques : les Réponses des Etats, des entreprises, et de la société civile V. Conclusion : une prise de conscience (?) 2

2 I. Introduction

3 Information / Dominance Les SI partie intégrante du fonctionnement des administrations publiques, de l activité des entreprises et du mode de vie des citoyens (PU/eau ou en électricité) : l accès aux réseaux aux premières préoccupations du citoyen (enquêtes ménages depuis 2000). Une place de choix : recherche d une productivité sans cesse croissante, nécessite la maîtrise de l information (économique, sociale ou culturelle). La sécurité des systèmes d information (SSI) est un enjeu à l échelle de la Nation tout entière (intérêt stratégique et politique d un contrôle absolu de l information). Pour l État : Enjeu de souveraineté nationale. Pour les entreprises : protection du SI de la concurrence et de la malveillance enjeu majeur (propriété intellectuelle, savoir-faire, stratégie de développement). 4

4 Un petit panorama historique : 2014 l année des vulnérabilités Début 2014 : 2 vulnérabilités majeures LL (Heartbleed et Shellshock, touché l ensemble des utilisateurs de l Internet et trouvent leur origine dans les programmes de LL avec des répercussions sur les logiciels propriétaires s appuyant sur les bibliothèques OpenSSL et GNU Bash). Attaques visant les distributeurs de billets et les applications d e-banking et les SI des établissements financiers (skimming amovible, JPMorgan _83 millions de comptes clients divulgués). Affaire Sony Pictures, extraction de plus de 110 To de données et l établissement reçoit en novembre un courrier électronique de demande de rançon. 5

5 Un petit panorama historique : 2014 l année des vulnérabilités Les nouvelles menaces : l Internet des objets (IoT) les données ne sont plus créées par les internautes mais directement captées par les objets, en 2014, le marché a explosé mais la sécurité n a pas été la priorité des fabricants et des prestataires : multiplication des thingbot et des atteintes à la vie privée; Les objets connectés pourraient devenir de nouveaux outils pour la criminalité dite «classique»; Nouvelles portes d entrée sur les systèmes d informations du monde industriel en matière d outils de chiffrement et de normes IoT? 6

6 Questions qui devraient être posées Préoccupations de souveraineté Pays Maîtrise des MSSI? Performance économique Les Conditions nécessaires pour créer les conditions favorables à l instauration d une économie de confiance dans la société de l information («patriotisme économique») : Positionnement du pays sur le marché de la SSI ce qui permet d esquisser les orientations pour le secteur économique; L investissement public et privé dans la SSI (coût Investissements classiques de défense. 7

7 II. Un marché de la SSI en forte croissance mais

8 Marché fragmenté entre multitude de fournisseurs Sécurité hybride Absence de solution unifiée Un caillou qui coûte cher (3 à 5% du Bi) Standards d échange 3 critères principaux 1Besoins à satisfaire 2Client3Technologie mise en œuvre 9

9 La sécurité en chiffres Explosion des données Puissance de traitement qui double tous les 18 mois Explosion de données (80% des données n existent pas 2 ans) 1,8 Zeta octet données créées et répliquées en 2012 Estimation ,9 Zeta octtet 294 milliards d s échangés /J dans le monde 2012 (68% des spams) Sécurité informatique Des coûts et des usages différents Des coûts de traitement et de stockage qui baissent régulièrement 2005 / 20 $ 2015/ 0,6 $ Une nouvelle ère de Mobilité et de connectivité Consumérisation des traitements et du stockage Des actifs plus nombreux et plus complexes à sécuriser 10

10 Budgets consacrés à la sécurité en croissance POUR LES ENTREPRSES 8,2% en 2007, 14% en 2010, 17% en ,36 milliards de dollars consacrés par les EU en 2012 pour protéger données classifiées 500 milliards de dollars des dépense mondiales sécurité pour 2015 (Fourchette basse) 11

11 Les comportements ne suivent pas (enquête IBM global study 2012) 11% perte financière 9% vol de P.I Impact des incidents sur les entreprises 9% Compromis sion de l image de marque 12

12 Impact économique Comment de déterminer le coût pour les organisations d une interruption ou d une défaillance au niveau des processus métier ou des services informatiques? Coûts (Opportunités métier manquées) : Coûts liés au temps d inactivité ou à la perte de productivité des utilisateurs en raison d une indisponibilité ou d un retard de performance système, Coûts liés à la recherche pour déterminer les causes premières des interruptions ou des défaillances, Coûts liés au support technique requis pour rendre les systèmes à nouveau opérationnels, Coûts liés aux dommages causés à la réputation et à l image de marque, Perte de chiffre d affaires en raison de problèmes liés à la disponibilité du système, Coûts liés aux problèmes de conformité réglementaire. 13

13 Impact économique Les estimations indépendantes indiquent que : les impacts financiers sont en hausse (en France : coût moyen par donnée piratée est de 122 en 2013 avec une augmentation annuelle de 13%) Les estimation du coût total moyen en euro d une interruption des opérations métier et informatiques donnent : Majeur (450) Modéré (100) Mineur (20)

14 V. Répondre aux enjeux

15 Comprendre le panorama des menaces «des programmes dédiés à la continuité des opérations et à la SI» Actes d ingérence divers Sécurité économique Economie Monde Vols de supports nomades, Intrusion dans les SI, Piratages, Que protéger? de la SSI (Chine) Intensité concurrentielle croissante et ouverture porteuse de croissance 16

16 Protéger les entreprises c est protéger les emplois Menaces en termes d impact éco Erreur humaine Violation de Cyber sécurité Atteinte à la protection des données Perte de données Faits atténuants (Stratégies Entreprises) Investir dans des programmes de continuité des opérations et de sécurité informatique renforcer la valeur de la marque et la réputation Protection de la PI objectif essentielle de la fonction du DSI Des garanties suffisantes stockage Défaillances du SI Minimiser les non-conformités réglementaires ou juridiques Défaillance du Système chez partenaire tiers Se conformer aux normes de Sécurité informatique 17

17 Conclusion La sécurité des systèmes d information, sans laquelle la souveraineté nationale s effrite, doit être considérée comme une priorité nationale par les plus hautes autorités de l État. Pour traduire cette priorité, la plupart des pays ont mis en œuvre au moins les 7 axes stratégiques : Sensibiliser et former à la sécurité des systèmes d information ; Responsabiliser les acteurs ; Renforcer la politique de développement des technologies et de produits de SSI ; Définir une politique d achat public cohérente ; Rendre accessible la SSI à toutes les entreprises ; Accroître la mobilisation des moyens judiciaires ; Assurer la sécurité de l État et des infrastructures vitales. 19

18 MERCI