Jean-François Baillette, ITrust TOP 10 DES FAILLES DE SÉCURITÉ

Documents pareils
99% des failles de sécurité dans les entreprises

Créer un tableau de bord SSI

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Introduction sur les risques avec l'informatique «industrielle»

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Sécurité des Systèmes d Information

dans un contexte d infogérance J-François MAHE Gie GIPS

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Gestion des Incidents SSI

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

«Sécurisation des données hébergées dans les SGBD»

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

INSTALLER LA DERNIERE VERSION DE SECURITOO PC

Tutoriel sur Retina Network Security Scanner

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Développeur de Logiciel cybersecurity

PROJET DASOËB AFTEC SIO 2. Bouthier Christophe. Dumonteil Georges. Jérémy Saumon. Alex Drouet. Présentation du plan de description. 0.

2011 et 2012 Arrow ECS. Partenaire Distribution EMEA. de l année

La sécurité IT - Une précaution vitale pour votre entreprise

RPVA. le cloud privé dédié aux avocats. le plus grand réseau VPN certifié Technologie française

mieux développer votre activité

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

NEXT GENERATION APPLICATION SECURITY

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Atelier Tableau de Bord SSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Guide Pratique Règles pour les dispositifs connectés d un Système d Information de Santé

Single Sign-on (Gestion des accès sécurisés)

Service Cloud Recherche

Attaques ciblées : quelles évolutions dans la gestion de la crise?

cc.region.beaujeu@wanadoo.fr Site Internet Actuellement nous trouvons ce schéma réseau :

NEXT GENERATION APPLICATION SECURITY

Solutions de gestion de la sécurité Livre blanc

Le Dossier Médical Personnel et la sécurité

Atelier " Gestion des Configurations et CMDB "

Prestations d audit et de conseil 2015

Cloud computing ET protection des données

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Groupe Eyrolles, 2006, ISBN : X

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Installer VMware vsphere

Fiche Pratique. ADIRA Sécurité & Innovation. Sécurité & Nomadisme. adira.org

LOGICIELS PHOTOCOPIEURS DÉVELOPPEMENT FORMATION ASSISTANCE MATERIELS

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Diriger comme un pilote. Analyses économiques & Techniques aéronautiques au service de la croissance

Les risques HERVE SCHAUER HSC

Logiciels de gestion sur mesure Etude et développement. Logiciel de suivi des évènements indésirables dans les établissements hospitaliers

Solution Haute Disponibilité pour Linux

Virtual Universe aperçu numéro 1

Positionnement produit

GUIDE UTILISATEUR. KPAX Discover

Manuel de configuration des fonctions de numérisation

Solutions de gestion Sage - Matériel - Services Toute l informatique des PME-PMI

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

IBM Tivoli Compliance Insight Manager

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Service Hébergement Web

5 novembre Cloud, Big Data et sécurité Conseils et solutions

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Vers un nouveau modèle de sécurisation

Infrastructure Management

Présenté par : Mlle A.DIB

TABLE RONDE TÉLÉTRAVAIL ET BYOD

Concept Compumatica Secure Mobile

ICI VOUS ÊTES QUELQU'UN CENTRE HOSPITALIER DE CORNOUAILLE "VOTRE IDENTITÉ C EST VOTRE SÉCURITÉ"

MANUEL DE L UTILISATEUR

VOS FAX PAR ENVOYEZ ET RECEVEZ. FaxBox Corporate:Go IP!

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Installation et Réinstallation de Windows XP

Menaces et sécurité préventive

Montrer que la gestion des risques en sécurité de l information est liée au métier

Hôpital performant et soins de qualité. La rencontre des extrêmes estelle

The Path to Optimized Security Management - is your Security connected?.

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

La qualité opérationnelle = Mobilité + Rapidité + Traçabilité,

Mission Val de Loire 81 rue Colbert BP TOURS CEDEX 1 Siret Cahier des charges MAINTENANCE INFORMATIQUE

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

PUISSANCE ET SIMPLICITE. Business Suite

Révolution du mode de travail en magasin

MSP Center Plus. Vue du Produit

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Architectures en couches pour applications web Rappel : Architecture en couches

protexial io Prop os ez vo tre exp e r ti s e da ns la s é c uri té de l ha b i ta t.

Stratégie IT : au cœur des enjeux de l entreprise

Hypervision et pilotage temps réel des réseaux IP/MPLS

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

Transcription:

Jean-François Baillette, ITrust TOP 10 DES FAILLES DE SÉCURITÉ

Présentation Est un dans la et l Acteur innovant Surveillance Amélioration continue de la Sécurité des Systèmes d Information. Expertise en SSI Produits Centre de sécurité

Présentation Aeronautics/Engineering Bank Healthcare Food industry SME/Association Leading IT provider Education

Cadre général de la Sécurité des SI D : Disponibilité I : Intégrité C : Confidentialité P : Preuve

Cadre général de la Sécurité des SI Disponibilité Un ami urgentiste m a dit dernièrement que: Soigner les malades n est pas une difficulté, Trouver des lits disponibles en spécialité c est moins évident Intégrité Les équipes des hôpitaux sont formées à l Identito-vigilance, la pharmaco-vigilance, "La peur en code barres» dans le livre de Cédric Cartau décrit une situation où 2 enfants échangent leur bracelets

Cadre général de la Sécurité des SI Confidentialité Serment d'hippocrate et celui de l'ordre apportent un respect à la personne humaine et la notion d'intimité, Versus OpenData et objets connectés Preuve Il existe d excellentes raisons métier et médicolégales pour que les processus de stérilisation soient parfaitement contrôlés de bout en bout

Cadre général de la SSI - SPOF Single Point Of Failure Le grain de sable Les accidents n arrivent pas toujours là où on s y attend et où on aurait vu du risque Exemple du CHU de Nantes : pour des raisons de licence périmée, l imprimante codes barre pour plateaux repas ne fonctionne plus et provoque une rupture de la chaîne d'approvisionnement des 3000 lits de l hôpital.

Avez-vous des vulnérabilités? Vos vulnérabilités menacent-elles : La disponibilité de votre SI? (Si le réseau tombe que se passe-t il?) L intégrité des informations ou des patients? (Pompes à insuline, pace maker) La confidentialité des informations qui vous sont confiées? (Bases de données ou équipements avec mots de passe par défaut) Votre capacité à établir des preuves? (Altération de logs, suppression de fichiers, )

90% de chances Que notre équipe rentre chez vous avec seulement 10 clefs

Constat 75% C est le taux d entreprises piratées au cours des 2 dernières années (Source étude Cenzic). Ce taux atteint 90% sur les statistiques de nos audits. La plupart du temps les entreprises ne savent même pas qu elles sont piratées.

Constat 115 audits depuis 2007

TOP Ten Les 10 failles de sécurité les plus fréquemment rencontrées

10, 09, 08, 10 Systèmes trop verbeux : DNS 09 - Relations de confiance telnet,.rhosts, hosts.equiv, 08 Gestion des droits Exemple du stagiaire qui a souvent plusieurs maîtres de stages et tous leurs droits

07, 06, 05 07 Protocoles d administration Avec SNMP on peut arrêter un onduleur pourquoi pas le bloc opératoire? 06 Bases de données Mot de passe d origine 0000 (pour ne pas oublier) 05 Partage de fichiers Le plus souvent sans restriction

04, 03, 02 04 Serveurs de test ou à l abandon Contiennent de nombreuses informations exploitables Voire des informations confidentielles 03 : Vulnérabilités web/internet Cookies avec mots de passe en clair Caméras de vidéo-surveillance utilisables 02 : Mots de passe 1234 Sous le clavier Ou dans un fichier

01 Vulnérabilités Historiques Vulnérabilités connues Quasiment 100% de présence Problématique la plus facile à exploiter et à automatiser Il suffit de mettre à jour les systèmes et applications pour s en prémunir. Responsables de la plupart des exploitations dans l actualité Exemple du Playstation Network Conficker dans les hôpitaux

Conclusion Plus de 9 fois sur 10 nous pénétrons un système au cours d un audit à partir d une vulnérabilité de ce top 10. 75% C est le taux d entreprises piratées au cours des 2 dernières années. 97% Des attaques auraient pu être évitées par des contrôles simples ou intermédiaires (Source Verizon). Un outil de détection de services et de vulnérabilités automatisé permet d identifier la majeure partie de ces menaces.

Bonne nouvelle : 99% des failles de sécurité peuvent être corrigées très facilement Et ne sont pas traitées par les antivirus et firewalls!

2 ème bonne nouvelle : C est comme les lunettes, la première paire est gratuite! Elle vous permet une auto-évaluation en continu.

A quoi ça sert? A piloter le processus de sécurité Vue Destinataire Indicateurs Stratégie DG/DSI - % du budget SSI dans le budget SI - Nombre de plaintes - Nombre d évènements indésirables - % utilisateurs formés Pilotage DSI - Nombre d incidents majeurs - Couverture des risques - Avancements des projets / mesures SSI Opérationnels DSI-OP - Nombre d incidents de sécurité - Taux de vulnérabilité des architectures - Taux de couverture antimalware - Taux de conformité du parc PC By courtesy of Stéphane Duchesnes, RSSI CHU Bordeaux

Qui peut aider? Souvent le salut vient de la réglementation. Les incitatifs sont forts dans hôpital numérique avec des bénéfices à la clef Le contrôle est rendu obligatoire, c est une tendance forte dans les normes et guides Guide d hygiène sur la sécurité de l ANSSI 20 contrôles de sécurité du SANS Norme santé HDS publications de l ASIP Travaux des RSSI, des GCS, ISO 27001

Qui peut aider? Le GCS TéléSanté Centre est un outil à disposition de ses adhérents pour les accompagner dans leur démarche. TéléSanté Centre propose un service d'audit flash de sécurité permettant d'aider les établissement à faire leur autoévaluation en termes de maturité Sécurité des SI.

Questions? ITrust - Siège Social 55 Avenue l Occitane, BP 67303 31673 Labège Cedex +33 (0)5.67.34.67.80 contact@itrust.fr www.itrust.fr www.ikare-monitoring.com

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back