«Le devoir de Cybersécurité des Dirigeants» ATELIER CYBERSECURITE Sensibilisation des Dirigeants CLUSIR PACA Frédéric VILANOVA Vice Président en charge des Evènements
Se saisir du dossier «Sécurité des Systèmes d Information» lorsqu on est Dirigeant d Entreprise La sécurité des systèmes d information a longtemps été reléguée aux frontières techniques: celles du Responsable Informatique, celles du Responsable des Services Généraux (et autres) Ce n est nécessairement plus le cas en raison: de l avènement des réseaux de télécommunication et d interconnexion d objets (Data, Voix, Wan, Lan, 3G, 4G, IoTS Objets Connectés, M2M ), de l omniprésence des outils informatiques logiciels et matériels depuis les ateliers d usine jusqu à la DG, en passant par la Production et la Finance, du nomadisme des commerciaux et des salariés travaillant à distance Dit autrement: > soit le dirigeant est en mesure de gouverner sa sécurité informatique et de la faire manager par les bons acteurs, internes ou externe > soit il subit ou expose la transformation numérique de ses métiers
Se saisir du dossier «Sécurité des Systèmes d Information» Le rôle du CLUSIR PACA Grâce à une convention avec le CLUSIF, Le CLUSIR-PACA fédère les professionnels de la sécurité informatique: à la fois des Professionnels de la Sécurité Informatique: P-SSI tels que les RSSI, les DSI, les ingénieurs réseaux et Système, les CIL, les avocats spécialisés et des offreurs de services et de solutions techniques pour manager la sécurité, la tester et la hacker, la gouverner selon les référentiels de la profession (Iso27000, Cobit5 ) Sa mission est de favoriser les échanges d expériences entre professionnels de la sécurité, de sensibiliser les dirigeants et d être le relais territorial du CLUSIF en région PACA. Le Clusir PACA existe depuis plus de 20 ans et regroupe plus de 200 personnes à travers ses territoires: Aix-Marseille créé en octobre 2015, Côte d Azur créé en janvier 2016 et bientôt Arles-Avignon et Toulon Rejoignez le CLUSIR PACA pour profiter des savoirs techniques échangés en commission de travail, en réunion RSSI et pour bénéficier de la visibilité de notre association.
ATELIER CYBER SECURITE Au programme PIRATAGE DES ENTREPRISES Phénomène, population, enjeux, POURQUOI ET COMMENT ANTICIPER Usages, Cloud, Hacking BONNES PRATIQUES Les premières bases saines
LE PIRATAGE EN ENTREPRISE
LES PILIERS DU PIRATAGE EN ENTREPRISE Les Risques Les Failles Les Hackers Non Ethiques Les Attaques
Pourquoi seriez-vous attaqué? On attaque pour Comprendre S amuser Faire le malin Motivations multiples Rebondir Savoir Se venger Parce que! Tester Protester Saboter Détruire Terroriser
LES RISQUES = Survenance d une Attaque qui vient frapper une Zone de Vulnérabilité Image Légal Financier Technique Sociaux professionnels
LES FAILLES HUMAINES Erreurs, négligence Infraction à une règle Empathie TECHNIQUES Infrastructure Flux Applications PROCESSUS ET ORGANISATION Règles internes Politiques de sécurité Management Impréparation
LES AUTEURS ATTAQUANTS INTERNES AUTORISES Employés avec droits restreints Employés avec droits étendus Employés VIP ATTAQUANTS EXTERNES AUTORISES Prestataires Sous-traitants Stagiaires Partenaires ATTAQUANTS EXTERNES NON AUTORISES Pirates informatiques Fraudeurs Concurrents Anciens employés Proches d employés
Pirate = "Une personne qui contourne ou détruit les protections d'un logiciel, d'un ordinateur ou d'un réseau informatique." Journal officiel du 16 mars 1999 Vocabulaire de l'informatique et de l'internet www.culture.gouv.fr Le hacking = bidouillage, bricolage Techniques visant à comprendre pour détourner une fonctionnalité de sa fonction première. Hackers Crackers White Hat Black Hat Crashers hacker éthique ou un expert en sécurité informatique qui réalise des tests d'intrusion et d'autres Légal Autorisation Script Kiddies «gamins» N00bs Newbies «débutants» Grey Hat Hacktivistes savoir-faire technologiques et analyses politiques Carders Pirates Etc. hacker mal intentionné non éthique Illégal Non autorisé Morale?
LES ATTAQUES INGENIERIE SOCIALE Attaque des services financiers Récupération d informations sensibles Manipulation Astuces logiques TECHNIQUE Intrusion SI Intrusion application Interceptions Infection DENIGREMENT Nuisance e-réputationnelle Rumeur 2.0 Désinformation 2.0
Sur Site (LAN) Sur liens Télécom (WAN) Sur Clouds Sur passerelles (Gateway entre différents réseaux, tels que réseaux IoTs et WAN) Attaquer quoi? Utilisateur Utilisateur (documents, correspondances, configs, etc.) Applications (Office, antivirus, Adobe, etc.) Réseau (IP, TCP, HTTP, etc.) Hôte et réseau Système d Exploitation (noyau, drivers, configuration, etc.) Matériel (composants, périphériques, etc.) Physique (bâtiments, personnes, énergie, sacs, etc.) Physique
ANTICIPATION
POURQUOI ANTICIPER : ASPECTS LEGAUX Article 226-17 Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n 78-17 du 6 janvier 1978 Article 34 Loi 78-17 Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données Sans parler du rôle majeur d un dirigeant qui est d assurer la continuité d activité de son entreprise. Or les activités métiers sont très très informatisées exposées au web, posées sur cloud, transitent dans des réseaux successifs (3G, 4G, web, Wan, Lan )
Le «cloud» désigne l'ordinateur «de quelqu'un d'autre» Il faut donc être en mesure de contrôler au moins en partie ses fournisseurs d informatique et de telecom =et de leur demander des comptes en matière de sécurité + = + =
Les usages et les produits se complexifient: ne restez pas sans aide, faites appel à des experts pour vous aider à y voir clair, à piloter, à gouverner la sécurité et à l inclure dans vos projets métiers IPv6 Objets connectés / Internet of Things (IoT) Big Data Réalité augmentée Biotique Villes intelligentes Etc.
LES PRATIQUES DE LA SECURITE EN ENTREPRISE SENSIBILISATION Prise de conscience PCA & PRA Continuité d Activité Informatique PSSI Politique AUDITS SSI Contrôle interne ou externe SMSI Système de Management CNIL Protection des Données Privées Outils & Matériel etc.
BONNES PRATIQUES DE PREVENTION Identifier votre capital informationnel le plus sensible aux cyber attaques : recenser les données les plus sensibles que vous possédez : données clients, personnelles, brevets, stratégique. N inventez pas de référentiel de sécurité, ils existent déjà et ils fonctionnent: ISO27000, COBIT5 for Security, NIST, CyberNexus Demander à vos employés, vos fournisseurs et vos conseils de vous guider pour mûrir en sécurité informatique selon ces référentiels (c est auditable et donc ça a de la valeur notamment en cas de revente de votre société )
BONNES PRATIQUES DE PREVENTION Former et sensibiliser les utilisateurs: les cybercriminels profitent de la crédulité des utilisateurs pour obtenir des informations permettant de conduire une cyber attaque. Il convient de sensibiliser les utilisateurs à certaines attaques (Phishing) et former les équipes informatiques aux bonnes pratiques de sécurité.
BONNES PRATIQUES DE PREVENTION Maîtriser les aspects liés à la protection de la vie privée (Privacy by design). Les technologies comme le Big Data ou l Internet des Objets (IoT) conduisent les entreprises à manipuler de plus en plus de données personnelles à l heure ou la réglementation Européenne se renforce pour protéger les citoyens.
BONNES PRATIQUES DE PREVENTION Réviser ses polices d assurances pour réduire l impact des risques liés à la cybersécurité Le risque zéro n existe pas: quel que soit les organisations, la maîtrise totale des technologies est rare ou très onéreuse. Les organisations ont en fonction de secteurs d activité ou de tailles d entreprise, construit des systèmes d informations évoluant dans un univers technologique varié. L acceptation du risque en est la résultante concrète. Assurer l activité en cas d attaque: une attaque informatique peut avoir de lourdes conséquences sur l activité de l entreprise: coûts de remise en service, coûts de communication, frais d avocat... L assurance couvre les frais dus au traitement de la menace. Accompagner dans la gestion de l incident: une attaque informatique entraine l intervention rapide de spécialistes techniques pour stopper l attaque et l éradiquer. Il est parfois également nécessaire de faire appel à des agences de communication pour protéger l identité de l entreprise
EN GUISE DE SYNTHESE BONNES PRATIQUES DE SECURITE Choisir avec soin vos mots de passe Mettre à jour régulièrement vos logiciels Effectuer des sauvegardes régulières Sécuriser les données personnelles de vos contacts professionnels Protéger le smartphone pour éviter les surprises Maintenir votre site internet à jour des patchs de sécurité Être prudent lors de l utilisation de sa messagerie et des réseaux sociaux Sensibiliser vos utilisateurs Pensez également aux assurances
QUESTIONS ET ECHANGES Merci pour votre attention et votre accueil Nous sommes à votre écoute Intervenant(s) de ce jour: Frederic VILANOVA frederic.vilanova@clusir-paca.fr VP Evènements Et toute notre équipe régionale: Ely de TRAVIESO e.detravieso@clusir-paca.fr Président Robert FARGIER robert.fargier@clusir-paca.fr VP Territoires Julien VALIENTE julien.valiente@clusir-paca.fr VP Commissions de Travail Gérald BOLLON gérald.bollon@clusir-paca.fr VP Finances et Adhésions Claude LELOUSTRE claude.leloustre@clusir-paca.fr VP Relations Publiques Olivier de AMICIS olivier.de-amicis@clusir-paca.fr VP Administration et Web