Jusqu où aller dans la sécurité des systèmes d information? Jacqueline Reigner dr ès sciences bio-médicale Experte en sécurité informatique Directrice de Sémafor Conseil SA à Pully / Lausanne, Genève et Sierre http://www.semafor-conseil.ch
Les bonnes questions en matière de sécurité informatique... Que faire qui soit simple, efficace et pas cher? Je ne veux pas me casser la tête, j ai d autres priorités! Que prévoir pour survivre en cas d incident grave? Mon ordinateur est hors d usage, mais qu estce-que je peux faire pour récupérer mes informations et continuer mon travail?
... et les questions que je vous pose : Combien de temps avez-vous perdu à cause d un problème informatique? Combien vous coûte une journée sans système d information? Combien de temps pouvez-vous vous passer de votre système d information?
Etude de cas Indépendant PME Société de service
Etude de cas - un indépendant dentiste ou fiduciaire Mon ordinateur est encore tout neuf, il n a que 3 ans et ma secrétaire s en sert seulement pour la messagerie, le télébanking et la bureautique. Problème : l ordinateur est très lent, il ne fonctionne plus comme avant.
Des dégâts qui coûtent chers Diagnostic: virus présents, anti-virus hors date, système d exploitation non mis à jour Conséquences / impact: Temps perdu, Informations perdues, Coût de la réparation.
Il faut bien récupérer la situation Solution: Nettoyage des virus ( x heures) ou réinstallation complète, Mises à jour du système d exploitation Windows, Mac OS ou Linux, Renouveler la licence anti-virus, mises à jour quotidiennes, Installer un firewall, Formation.
Hier cadre supérieur, aujourd hui vous vous mettez à votre compte Choisissez des systèmes simples et peu coûteux: logiciels libres, outsourcing. Prenez soin de vos informations: Mettez à jour tous vos systèmes d exploitation et vos logiciels, Mettez à jour votre anti-virus, renouvelez l abonnement, Sauvegardez vos données tous les jours, Prenez conseil auprès d un expert neutre.
Etude de cas - PME Une étude d avocats installe un réseau wifi Contexte : priorité à la confidentialité des informations. Souhait : installer un réseau wifi.
Comment veiller à la confidentialité des informations? Priorité à la sécurité informatique sur le réseau câblé (LAN): Un identifiant et un mot de passe secret pour chaque collaborateur. Toutes les mesures de sécurité sont prises sur les ordinateurs, sur le serveur et sur le firewall. Formation spécialisée de chaque collaborateur en particulier sur la confidentialité de la messagerie électronique.
Pourquoi sécuriser son réseau wifi? Pour éviter que le voisin utilise à saturation votre accès Internet sans le payer. Afin d empêcher un concurrent ou la partie adverse de fouiner dans vos dossiers électroniques. Pour échapper aux logiciels zombies, aux images pédophiles, etc... qui pourraient être déposés sur un espace caché de votre serveur.
Comment sécuriser un réseau wifi? Confiez l installation à un spécialiste compétent. Gardez le point d accès invisible. Réservez l accès au réseau aux seules personnes ou machines autorisées. Utilisez une méthode d authentification sûre.
Et si votre point d accès doit être à disposition de vos partenaires visiteurs? Les visiteurs sont autorisés à utiliser exclusivement l accès Internet sans aucun accès à vos informations.
Votre responsabilité de patron: Evaluez vos propres risques. Gérez, contrôlez et améliorez la sécurité de vos informations, ISMS (information security management system, réf ISO 27001). Choisir la stratégie informatique. Prenez conseil auprès d un expert neutre.
Etude de cas - Société de services Survivre à un incident grave Vous fournissez des services haut de gamme: outsourcing, ASP, services internet. Vous consacrez beaucoup d énergie à assurer la disponibilité de vos services. Etes-vous prêt à affronter un sinistre ou un incident grave?
Quelles sont vos solutions actuelles? Tout à double: redondance, load balancing. Est-ce adéquat en cas de sinistre dans la salle des machines? Avez-vous un plan de secours, un DRP?
DRP, qu est ce que c est? DRP : disaster recovery plan en français: plan de secours
Pourquoi un plan de secours? Pour protéger les activités fondamentales liées à la mission de l organisation. Pour neutraliser les interruptions de services. Pour protéger les processus métier des sinistres et des défaillances des systèmes d information. Pour garantir la reprise des processus métiers dans des délais acceptés par les décideurs ou les clients. Réf ISO 27001, chap 14. Gestion de la continuité des activités.
Plan de secours - 4 phases 1 Analyse stratégique. 2 Choix des solutions. 3 Réalisation. 4 Suivi - validation.
Plan de secours - 1 Analyse stratégique Organisation et conduite de projet: équipe, planification et formation. Analyse des risques. Inventaire des machines, réseau, applicatifs, etc... et des risques probables. Analyse d impact. Perte de temps, perte d image, perte de clients. Détermination du DMIS, le délai maximal d interruption de service accepté en cas de sinistre.
DMIS? Quelle est votre DMIS? Combien vous coûte 1 jour sans système d information? Combien de jours pouvez-vous tenir?
Plan de secours - 2 Choix des solutions Analyse et choix des solutions en fonction des critères stratégiques de l entreprise. un serveur de réserve mutualisé ou dédié sur site. un système complet ou un serveur dédié hors site avec les applications et les données à jour en temps réel.
Plan de secours - 3 Réalisation Mise en oeuvre opérationnelle. Documentation complète.
Plan de secours - 4 Suivi & validation Test d alerte, de bascule programmés du site de production vers le site de secours. Mise à jour du plan de secours en continu. Audit du plan de secours.
Avantages du plan de secours d une société de service Avantage concurrentiel. Vous le proposez aussi à vos clients. Une garantie de survie de votre société.
Jusqu où aller en sécurité des systèmes d information? La sécurité informatique est un ensemble de pratiques et de solutions - les exemples d aujourd hui - qui contribuent ensemble à la confidentialité de vos informations, à leur disponibilité et à leur intégrité font partie de votre ISMS (information security management system, réf ISO 27001).
Nouveaux projets de Sémafor Veille en sécurité informatique Une collection de bandes dessinées
Pour en savoir plus: http://www.17799central.com/iso-27001.htm http://www.cert.org/ Sécurité informatique et réseaux, Solange Ghernaouti-Hélie, Dunod, 2006 Tableaux de bord de la sécurité réseau, Cédric Llorens, Laurent Levier, Eyrolles, 2003
Merci de votre attention jacqueline.reigner@semafor-conseil.ch http://www.semafor-conseil.ch