Evolution du Modèle de Sécurité



Documents pareils
Gestion Mobile avec Afaria 7. Jérôme Lorido blue-infinity Mai 2013

Accès & Sécurité. edouard.lorrain@citrix.com Business Development Manager

La Sécurité des Données en Environnement DataCenter

Gestion des identités Christian-Pierre Belin

IBM MobileFirst Security L approche d IBM pour la sécurité des terminaux mobiles. Serge RICHARD - CISSP Security Solution Architect, Security Systems

ISO/IEC Comparatif entre la version 2013 et la version 2005

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Nouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Evolution des SI à l heure du Cloud

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

.Réinventons l innovation.

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

La nouvelle donne des espaces de travail mobiles. Didier Krainc 7 Novembre 2013

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Nouvelle génération, plus performante

Présentation de BlackBerry Collaboration Service

Vers un nouveau modèle de sécurité

Opportunités s de mutualisation ITIL et ISO 27001

Qui sommes-nous? Expertises. Chiffres clé. Premier intégrateur mondial des technologies Microsoft. Références Avanade Inc. All Rights Reserved.

La Gestion des Applications la plus efficace du marché

AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L'ANTIVIRUS FIREWALL PRO V1

Lieberman Software Corporation

AUDIT CONSEIL CERT FORMATION

La sécurité IT - Une précaution vitale pour votre entreprise

IBM Software «CAMS² & Business Partners»

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Poste de travail Bancassurance

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Atelier B 06. Les nouveaux risques de la cybercriminalité

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

LA PROTECTION DES DONNÉES

accompagner votre transformation IT vers le Cloud de confiance

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

CRIP Novembre 2014 Loïc BRUNEAU

Tivoli Endpoint Manager Introduction IBM Corporation

La sécurité applicative

PACK SKeeper Multi = 1 SKeeper et des SKubes

F5 : SECURITE ET NOUVEAUX USAGES

Le BYOD, risque majeur pour la sécurité des entreprises

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

- Couches - Éléments - Domaines - ArchiMate et les techniques du BABOK

Les marchés Security La méthode The markets The approach

GESTION DE FLOTTE MOBILE (MDM), LE GUIDE DES BONNES PRATIQUES

Relions les hommes à l entreprise Linking people to companies

L offre IBM Software autour de la valeur métier

Les tendances, la sécurité, le BYOD et le ROI de la mobilité. July 12

réussir la transition vers le Cloud Computing: équilibre entre rentabilité, fonctionnalité et fiabilité

The Path to Optimized Security Management - is your Security connected?.

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

L entreprise numérique est désormais une réalité

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Les nouveautés Aruba GRICS Présenté par Sébastien Langlois

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

Transformez les environnements de travail utilisateurs en mode «As a Service»

Hausse des prix User CAL et modifications des suites CAL

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

The impacts of m-payment on financial services Novembre 2011

Vers un nouveau modèle de sécurisation

Le marché des périphérique mobiles

Retour d'expérience sur le déploiement de biométrie à grande échelle

Partner Business School

mercoledì 22 febbraio 2012 Profil Société

Cloud Computing Stratégie IBM France

Panorama général des normes et outils d audit. François VERGEZ AFAI

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Information Security Management Lifecycle of the supplier s relation

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

BIG DATA APPLIQUÉES À LA SÉCURITÉ. Emmanuel MACÉ Akamai Technologies

Windows Server Chapitre 1: Découvrir Windows Server 2008

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

CATALOGUE Expertise ITIL - ISO Lean IT

Gestion des accès et des identités

Remote Networking - Evolutions. Serge Lhermitte Technical Director, Southern Europe

Innovative BI with SAP Jean-Michel JURBERT D. de Marché BI, HANA, BIG DATA _ SAP France

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

Atelier Sécurité / OSSIR

Big Data -Comment exploiter les données et les transformer en prise de décisions?

Panda Managed Office Protection. Guide d'installation pour les clients de WebAdmin

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

Mobilisez votre Système d Information

ez Publish Cloud Edition Présentation

Cycle de conférences sur Cloud Computinget Virtualisation. Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France

2011 et 2012 Arrow ECS. Partenaire Distribution EMEA. de l année

Gestion du risque avec ISO/EIC17799

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

5 novembre Cloud, Big Data et sécurité Conseils et solutions

1 Cloud PAR le Groupe et POUR le Groupe

Solution de Collaboration synchrone

Webinaire Windows 8. Nous recommandons les logiciels Microsoft Nous recommandons les logiciels Microsoft

ÉVÉNEMENT «DYNAMISEZ VOTRE INTRANET» INTRANET, PANORAMA 2012 ET NOUVELLES TENDANCES JÉRÔME BAILLY

Transcription:

Evolution du Modèle de Sécurité Didier GRAS RSSI du Groupe BNP Paribas

Le périmètre abordé Depuis au moins une vingtaine d années la sécurité informatique a énormément évolué, on peut retrouver ce thème selon plusieurs angles: la Sécurité des Systèmes d Information (le contenant: les systèmes informatiques, les réseaux, les ordinateurs, les moyens de paiements), la Sécurité de l Information (le contenu: les données, le papier, les conversations), la Sécurité numérique (les usages: l accès aux services bancaires à partir d Internet ou de son téléphone, le télétravail, l accès aux réseaux sociaux). Sécurité des usages Sécurité des terminaux Sécurité des réseaux informatiques Sécurité des Data Centers Sécurité des Moyens de paiement Le numérique a bouleversé la société, le monde de l entreprise, les banques BNP Paribas. La sécurité apporte une contribution significative afin de préserver l essentiel de notre Patrimoine numérique.

Les enjeux Facteur endogènes Informatisation des activités Opérations complètement digitales Interopérabilité multi-métier Dépendance de l'activité face à l'information Evolution des usages Clients : banque électronique, relation client numérique, multicanal Employés : mobilité, collaboration en ligne, réseaux sociaux Opérations bancaires Opérations assurance Opérations des autres entités Facteurs exogènes Professionnalisation de la cybercriminalité Monétisation des données financières Industrialisation des menaces Augmentation des attaques ciblées "Hacktivisme" (wikileaks,...) Augmentation de la complexité technologique Cycles de vie technologique réduits Augmentation des interconnexions Balkanisation du paysage applicatif L'importance de la SSI pour les opérations de BNP Paribas croît dans le contexte métier "connecté"

Un changement du paradigme stratégique de la sécurité des SI est nécessaire Jusqu'ici, la sécurité s'est appuyée avec succès sur un modèle de sécurité "périmétrique"......mais les évolutions du contexte Métier remettent en question la sécurité de bout en bout Enceinte délimitant l'interne et l'externe Employés et applications à l'intérieur de l'enceinte Complexité des flux de données en raison de l'internationalisation et de l'informatisation des activités Arbitrages coût/sécurité dus au enjeux de compétitivité Davantage d'intrusions (volontaires ou non) dues à l'industrialisation de la cybercriminalité "Pare-feu" pour filtrer les flux de données Tunnels pour les nouveaux usages et pour contourner la complexité Périmètre non contrôlé dû à l'externalisation et aux partenaires

USER Legend: SLA PAS 5 User EM Morocco 1 -Importance: 1 -Icon by threat: data confidentiality, virus, hack - ISS Process : ANTICIPATION, PREVENTION, PROTECTION, DETECTION, REACTION ACTIVE DIRECTORY NETWORK Hack 3 Retail Banking Agency Managed by EM Morocco Logon Delegation?? Replication VPN Third Party Carrier Managed by Third Party Carrier 4 5 Virus Users Computers Groups Printers Domain Controller 3 Patching EM Datacenter (Morocco) Managed by EM Morocco Managed by EM VPN WIN Network EMEA (child domain) Managed by ITPS & entities other Managed by WIN APPLICATION Replication PANDA Firewalls Virus 1 CORE-PETAL Firewall Managed by ITPS Firewall Team Roles & Rights 6 Patching 3 Managed by ITPS Shared datacenter network (core) P, A D Point-to-point rules 2 Managed by ITPS (BP2I) INFRA.NET (Root domain) Domain Controller BDDF Segmented Network Zone ATLAS2 Obsolescence & Firewall Numbers 2012 IBM Corporation Approche retenue Cartographie des risques Métier Principes de sécurité Mesures de sécurité adaptées Outils Risques potentiels suite à un incident SI, requérant des mesures de protection L impact de la menace est mesuré sur 3 dimensions Les fonctions de sécurité pour limiter l impact des menaces sont axées sur: Employee Agent Communication Processing S4 S1 S3 DATA S2 Partner & contractor POURQUOI? Indisponibilité des moteurs de paiement Fraude sur les applications transactionnelles Fuite d information de données clients Incapacité de produit le reporting financier Perte d image... Contexte d accès Contexte réseau Contexte application/donnée s Exigences organisationnelles Exigences sur les processus Exigences techniques Le diagramme du modèle de sécurité assure l adéquation des fonctions de sécurité avec l impact des menaces System & Middleware Access Channel Data / App Context Applications External Subcontracted External External Internal Path Context Data Managed Sub-contracted provider Transport Network employee Contractor physical secured location physical non-secured location Client Partner Laptop Client Smartphone & Tablet Thin Client Partner location location UYOD Laptop & Agent UYOD Smartphone & Tablet Location Access Context End User Device QUOI? COMMENT?

Ecosystème APPLICATION & MIDDLEWARE Logiciels assurant une fonction de traitement sur des données DONNEES Classification des données en fonction de la politique Application & Middleware S1 Data S1 S2 S3 Partner Client Agent AGENT Personne physique ou application tiers accédant à un actif S2 S3 S4 SYSTEME Zone d échange entre la couche applicative et le canal de communication System S4 Internal Internal Employee Contractor Laptop Smartphone & Tablet Thin Client UYOD Laptop & UYOD Smartphone & Tablet End User Device SUPPORT D ACCES DE L AGENT Composant utilisé par l agent pour se connecter à un actif External External 4 contextes définis Contexte d accès CANAL DE COMMUNICATION APPLICATIVE Cette couche assure le transfert de données vers l application cible, ex: Centre de Production Informatique (Data-Center) Data/Application Channel User Channel CANAL DE COMMUNICATION UTILISATEUR Cette couche assure le transfert de données depuis le support d accès de l agent vers le SI Contexte réseau Contexte Application/Données Système de gestion de la sécurité

Un exemple de cas d usage Data Data Security sub- Profiles Applications Agent Agent Security sub- Profiles Application Security sub-profiles System & Middleware Security sub-profiles Access Channel Security sub-profiles System & Middleware Access Channel External Subcontracted External Internal Intranet Extranet Transport Network employee Contractor physical secured location Partner Laptop physical non-secured location Client Smartphone & Tablet Partner location Thin Client location UYOD Laptop & UYOD Smartphone & Tablet Location End User Device Risks End User Device Security sub-profiles Location Security sub-profiles Use Case Risk Profile

Une évolution du Modèle de sécurité Niveaux de sécurité minimum cohérents et partagés pour la protection des données de bout en bout Management opérationnel aux commandes Niveaux de sécurité progressifs adaptés au risque et à la sensibilité des données / actifs Capacités de sécurité nécessaires Ex. : équipe de réponse / centre de suivi Ensemble cohérent (de bout en bout) de fonctionnalités de sécurité, adaptées aux niveaux de sécurité

Une chaîne de valeurs Governance Anticipation Prevention Protection Detection Reaction

Trois caractéristiques Des concepts similaires sont déployés par d'autres institutions financières... et sont adaptés au contexte d'activité de Plus "centrés sur les données" De bout en bout Orientée "risque" Rééquilibrer la protection de sécurité de "centrée sur le réseau" à "centrée sur les données" Pour lutter contre l'augmentation des fuites de données...... celà nécessite identifier et protéger les données les plus critiques Assurer une sécurité constante dans toutes les couches du système d'information (pas uniquement le réseau) D'une approche de "pare-feu" solide...... à une combinaison de différentes mesures de sécurité couvrant les employés, la technologie et les opérations, adaptée au nouveau contexte d'activité connecté Adapter la protection aux risques anticipés Démoyenniser le niveau de sécurité selon les risques (menaces, probabilité et impact)

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back