De l'importance d'une veille continue dans la revue d'une PSSI. Agenda



Documents pareils
Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Vers un nouveau modèle de sécurité

AUDIT CONSEIL CERT FORMATION

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Sécurité des Postes Clients

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

La nouvelle donne de la relation client

Prestations d audit et de conseil 2015

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

Sécurité des Systèmes d Information

Une démarche ACE Lean Six Sigma dans l IT

Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable.

Imaginez un Intranet

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Présentation de ACE. ACE : Amélioration Continue de l Efficacité. Technologies & Processus / Information Technology & Processes.

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

L analyse de risques avec MEHARI

Gouvernance & Influence des Systèmes d Information. 2 Décembre 2014

PÉRENNISER LA PERFORMANCE

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Piloter le contrôle permanent

SOMMAIRE I Le partenariat BNP Paribas et Orange 2 II Stratégie et positionnement 3 III L offre de services bancaires mobiles 9

dans un contexte d infogérance J-François MAHE Gie GIPS

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Présentation à l EIFR. 25 mars 2014

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés

Relever le challenge de la transformation numérique dans un contexte international

COMMENT PROTÉGER LE FLUX SORTANT?

UNE PALETTE D OUTILS D AIDE A LA DECISION

Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise.

Tout sur la cybersécurité, la cyberdéfense,

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

WHITE PAPER DES ASSISES 2011

ISO conformité, oui. Certification?

HySIO : l infogérance hybride avec le cloud sécurisé

En quoi nous pouvons vous aider?

Présentation de Financea Un dispositif adapté pour la recherche de la performance opérationnelle

Plan de secours. Annie Butel. CLUSIF Septembre PCA ppt

Gagner en performance avec un extranet. et mener son projet extranet?

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Dr.Web Les Fonctionnalités

curité des TI : Comment accroître votre niveau de curité

Solution téléphonique globale(1) : sur votre facture téléphonique globale! Configuration minimale requise : 1 fax + 1 fixe+ 1mobile.

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Malgré la crise, Le décisionnel en croissance en France

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

LES OUTILS COLLABORATIFS

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Panorama général des normes et outils d audit. François VERGEZ AFAI

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

impacts du Cloud sur les métiers IT: quelles mutations pour la DSI?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

La transformation numérique : facteur de convergence pour les professionnels de l information

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

Optimiser la maintenance des applications informatiques nouvelles technologies. Les 11 facteurs clés de succès qui génèrent des économies

Enseignement secondaire technique. Technologies de l'information et de la communication

IT Days Hery ANDRIANJAFY. 20 novembre 2014 Luxembourg

ALDEA ET SYSTEMES D INFORMATION

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Enquête ITIL et la performance en entreprise 2007 CONNECTING BUSINESS & TECHNOLOGY

Comment se protéger contre les s suspicieux?

La sécurité applicative

Maîtriser les mutations

Software Application Portfolio Management

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

LES METIERS DU NUMERIQUE COMMUNICATION ET MARKETING

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

5 novembre Cloud, Big Data et sécurité Conseils et solutions

JOURNÉE THÉMATIQUE SUR LES RISQUES

L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure. Kaspersky. avec. Open Space Security

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

PLATEFORME MÉTIER DÉDIÉE À LA PERFORMANCE DES INSTALLATIONS DE PRODUCTION

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Gestion des mises à jour logicielles

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Politique et charte de l entreprise INTRANET/EXTRANET

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

BNP Paribas. Jean Favarel. Responsable Développement Durable. Conference Cheuvreux 27 Septembre 2007

Créer un tableau de bord SSI

Gestion des utilisateurs et Entreprise Etendue

Jean-Louis FELIPE (Né le 20/11/1960) Consultant sénior ITSM

Comment promouvoir le Cloud dans l'entreprise?

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

La fonction achats dans le groupe BNP Paribas

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

Dans une stratégie de fidélisation, l ing comprend notamment l envoi d s d informations, d offres spéciales et de newsletters.

Le Cert-IST Déjà 10 ans!

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro


Transcription:

De l'importance d'une veille continue dans la revue d'une PSSI Xavier PANCHAUD, Sécurité des SI Groupe Paris 3 juin 2010 Agenda Chiffres clés Les forces de BNP Paribas Fonction Groupe : «Information Technologies & Processes» (ITP) Culture corporate d ouverture et de cohésion Présentation «SSI Groupe» Carte d identité Présentation des Activités L'usage de la veille Rappel : La démarche de revue d'une PSSI Quelle veille pour quels besoins? Besoins ponctuels ou continus? Risques de la démarche Cas pratiques Mise à jour des exigences sur la messagerie Conclusion

Organisation du Groupe Fonction Groupe : «Information Technologies & Processes» (ITP) 5 missions intégrées Production IT sur un périmètre de production mutualisée* Achats Périmètre Groupe Immobilier d exploitation Périmètre France Sécurité Globale SI, personnes, sites Périmètre Groupe Assurance pour compte propre Périmètre Groupe Un lien fonctionnel fort entre le responsable ITP et les correspondants métiers/fonctions Un COMEX pour chaque mission qui définit les objectifs, suit les réalisations et contrôle les coûts 2 missions de gouvernance pour le compte de la Direction Générale Suivi de la cohérence des principaux projets de développements IT via des CSSI** Définition et contrôle des normes, standards et architecture Groupe Cohérence des développements IT Amélioration des processus 4 axes : internationalisation & mutualisation; standardisation; ACE Lean 6 sigma; autres optimisations Suivi de la cohérence des principaux projets d optimisation via des CSOP*** Missions de prestations de service pour certaines entités du Groupe Développement IT des SI des Fonctions Groupe Appui technique en immobilier d exploitation Hors France * Fonctions centrales, Retail Banking (hors filiales non majoritaires), IS (sauf BP2S NY et Singapour), Métiers de financement (France et Europe), ALM trésorerie ** CSSI : Comités de Suivi des Systèmes d information *** CSOP : Comités de suivi de l Optimisation des Processus

Culture corporate d ouverture et de cohésion Réactivité Créativité Être rapide dans l évaluation des situations et des évolutions comme dans l identification des opportunités et des risques Être efficace dans la prise de décision et dans l action Promouvoir les initiatives et les idées nouvelles Distinguer leurs auteurs Engagement Ambition S impliquer au service des clients et de la réussite collective Être exemplaire dans ses comportements Goût du challenge et du leadership Volonté de gagner en équipe une compétition dont l arbitre est le client Agenda Chiffres clés Les forces de BNP Paribas Fonction Groupe : «Information Technologies & Processes» (ITP) Culture corporate d ouverture et de cohésion Présentation «SSI Groupe» Carte d identité Présentation des Activités L'usage de la veille Rappel : La démarche de revue d'une PSSI Quelle veille pour quels besoins? Besoins ponctuels ou continus? Risques de la démarche Cas pratiques Mise à jour des exigences sur la messagerie Conclusion

Carte d identité OBJECTIF : maîtrise démontrée du risque sécurité lié aux SI conformément Aux lois et règlements de l'industrie bancaire et financière Les valeurs du groupe BNP Paribas : éthique, développement durable, valeur de la marque, maîtrise du risque opérationnel... L'appétence au risque propre à chaque métier dans chaque implantation PÉRIMÈTRE : tout le groupe sur l ensemble de ses territoires COUVERTURE : la sécurité de l'information comme définie par l ISO 27001 MOYENS : un cadre de management de la sécurité (politique, procédure, scorecard, gouvernance projet, veille...) et des actions permanentes EFFECTIFS : sécurité groupe + un réseau de BISO / CISO + une communauté et des acteurs opérationnels repartis (~500 pers.) La maîtrise du risque de sécurité lié aux SI, c'est : Une dimension de la stratégie de Sécurité Globale La contribution au processus global de gestion des risques opérationnels Un moyen de contrôle permanent Une valeur du groupe BNP Paribas et de des métiers Présentation des Activités PILOTAGE ASSISTANCE Suivi Incidents de Sécurité Intégration de la sécurité dans les projets Définition Méthodologies Participation Gestion Crise Communication & Sensibilisation & Formation Reporting Gestion du cadre de référence SERVICES COMMUNS Surveillance Sécurité Gestion des dérogations Expertise Sécurité Pilotage Projets Sécurité (MOA) RSSI Domaines Sensibles Une Une activité reposant sur sur 3 piliers piliers

Agenda Chiffres clés Les forces de BNP Paribas Fonction Groupe : «Information Technologies & Processes» (ITP) Culture corporate d ouverture et de cohésion Présentation «SSI Groupe» Carte d identité Présentation des Activités L'usage de la veille Rappel : La démarche de revue d'une PSSI Quelle veille pour quels besoins? Besoins ponctuels ou continus? Risques de la démarche Cas pratiques Mise à jour des exigences sur la messagerie Conclusion Rappel : La démarche de revu d'une PSSI Le contexte Les référentiels existants L'organisation interne Besoins Contexte Menaces Exigences Les besoins Les contraintes réglementaires Les spécificités locales Bâle 2, SOX, PSSI Les menaces Connaissance de l'existant Recensement des incidents Les exigences Bonnes pratiques ISO 27002 Types d usage, spécificités métier Maîtrise de ses processus, Cartographie de ses actifs, Adaptation en fonction de l'organisation (Fraude, détournement de données, dégradation) Définition des processus et actifs critiques

Quelle veille pour quels besoins? Conception Veille Environnementale Veille Stratégique Stratégie Technique Fonctionnelle Entreprise Métier Failles Menaces Exploits Veille Vulnérabilité Rapide Besoins Technologies matures Objectifs Nouvelles technologies Veille Spécifique Lente Règlementations Évolution Quelle veille pour quels besoins? Contexte Besoins Menaces Exigences Conception PSSI Technique Fonctionnelle Veille Environnementale Failles Métier Exploits Entreprise Menaces Besoins Technologies matures Veille Stratégique Stratégie Objectif Nouvelles technologies Règlementations Veille Vulnérabilité Rapide Veille Spécifique Lente Évolution

Besoins ponctuels ou continus? Des besoins ponctuels Dans les actions stratégiques Lors de la révision des documents Et technique Lors de la création de nouveaux documents Une veille continue Pour le suivi des vulnérabilités Pour la mise à jour des documents à très forte teneur technique Et de l'image de l'entreprise Pour suivre l'évolution des risques portés par l'entreprise Varie en fonction du type de document Risque de la démarche Se focaliser sur une seule des veilles Baser son modèle sur une démarche réactive Veille sur les menaces Impliquant de nombreux changements lourds à formaliser Reportant la PSSI dans un domaine purement technique Limitation du périmètre d application S'orienter vers une démarche attentiste Veille sur les besoins ou le contexte Basée uniquement sur les concepts à long terme Difficilement exploitable par les opérationnels en charge de sa déclinaison Décalée de la réalité

Agenda Chiffres clés Les forces de BNP Paribas Fonction Groupe : «Information Technologies & Processes» (ITP) Culture corporate d ouverture et de cohésion Présentation «SSI Groupe» Carte d identité Présentation des Activités L'usage de la veille Rappel : La démarche de revue d'une PSSI Quelle veille pour quels besoins? Besoins ponctuels ou continus? Risques de la démarche Cas pratiques Mise à jour des exigences sur la messagerie Conclusion Mise à jour des exigences sur la messagerie Exigences de sécurité sur la messagerie (email) À partir d'une analyse EBIOS simple Des thèmes clés, prioritisés : Protection des informations Contrôle d'accès Protection et maintenance de l'infrastructure et du client Traçabilité Quelle veille lancer? Choix des mots clés Messagerie, Messagerie d'entreprise, Menaces, Atteinte, Protection Choix des sources Presses spécialisés Veille du CERT-IST

Mise à jour des exigences sur la messagerie Premiers résultats Qui amènent d'autres recherches plus ciblées. Mise à jour des exigences sur la messagerie Lotus Notes : 5 failles critiques en 2010, 6 failles critiques en 2009 BlackBerry : Des vulnérabilités exploitées par l envoi d un PDF malicieux en pièce jointe, utilisé pour une attaque de déni de service ou l exécution de code à distance Spam sur messagerie instantanée : une nouvelle variante d'un ancien vers informatique, 4 mai 2010 Maîtrise des infrastructures : Seulement 11% des entreprises interrogées procèdent au filtrage de contenu des données synchronisées entre les smartphones et les ordinateurs des employés Mots de passe : la vitesse des attaque par brute force multipliée par 10 voire 100 grâce aux cartes graphiques Spam : sur 1000 mails - 2 phishing, 3 virus, 900 spam, 95 vrais mails, Mars 2010 Erreur humaine : 50 % des employés du panel avouent déjà avoir envoyé des informations sensibles à un mauvais destinataire L auto-complétion de l adresse : en Angleterre, un policier a envoyé accidentellement un fichier Excel sensible et non protégé à un journaliste (contenant des casiers judiciaires de milliers de personnes), Mars 2010 Social engineering : Accès à des comptes Twitter personnels dont ceux de Barack Obama et de Britney Spears Mots de passe : 1/3 des internautes ont un mot de passe commun pour tous leurs sites Maîtrise des infrastructures : ICQ vendu par AOL à un fonds d'investissement russe, Digital Sky Technologies, 29 avril 2010 Vulnérabilité Spécifique Environnementale Stratégique 18

Mise à jour des exigences sur la messagerie Évolutions Veille stratégique Complétude du spectre messagerie instantanée, messagerie mobile et modèle externalisé Veille vulnérabilité Mise à jour des guides pratiques à usage des administrateurs messagerie Position Paper venant pérenniser des messages d'alertes Veille spécifique Affinage des seuils Veille environnemental Outil de communication pour accompagner la diffusion du document Révision de certaines exigences devenues désuètes Robustesse des moyens d'authentification par exemple Agenda Chiffres clés Les forces de BNP Paribas Fonction Groupe : «Information Technologies & Processes» (ITP) Culture corporate d ouverture et de cohésion Présentation «SSI Groupe» Carte d identité Présentation des Activités L'usage de la veille Rappel : La démarche de revue d'une PSSI Quelle veille pour quels besoins? Besoins ponctuels ou continus? Risques de la démarche Cas pratiques Mise à jour des exigences sur la messagerie Conclusion

Outil d'évolution continue Veille permettant une coordination des résultats identifiés Présentant souvent le résultat d'une menace dans un contexte défini, pour un besoin spécifique Facilitant la mise en lumière des objectifs de la PSSI Pour accompagner : Sa promotion Son évolution Veille Spécifique Veille Stratégique Besoins Contexte Exigences Menaces Veille Vulnérabilité Veille Environnementale PSSI

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back