Belkacem KECHICHEB
Introduction Dans un monde sans frontières, un monde d échange et de partage d information, la question de sécurité et de protection des données devient de plus en plus complexe. Le capital informationnel des entreprises et des institutions est au centre des préoccupations des spécialistes, sa protection demeure une priorité absolue. Que faire? Comment le faire? Quand le faire? Qui le fait? Autant de questions sur lesquelles nous essayons de répondre à travers notre intervention,
Stratégie de sécurité Une stratégie de sécurité est une vision cohérente en terme de protection des données sensibles. Trois questions majeures se posent; - Que doit-on protéger? - Les biens sensibles - Les données stratégiques - Le capital informationnel - Pourquoi doit-on le faire? - Question de survie de l organisation - La concurrence - La confidentialité - Comment doit-on le faire? - Les moyens humains et matériels - Les coûts
Que doit-on protéger? Question ouverte à l ensemble des personnes présentes D après vous que doit-on protéger au sein d une organisation?
Que doit-on protéger? - Mon système d information? - Quel est le périmètre? - L interaction avec l environnement extérieur - L information sensibles? - Comment la définir? - Comment la qualifier? - Comment la surveiller? - Exigences clients/fournisseurs - Manipulation de l information sensible par le client ou le fournisseur - Intervention des clients/fournisseurs au sein de son système d information - Sous-traitance, Collaboration, etc.
Pourquoi doit-on le faire? Question ouverte à l ensemble des personnes présentes D après vous pourquoi doit-on se protéger au sein d une organisation?
Pourquoi doit-on le faire? - Question de survie de l organisation! - Risque important de perte de clients, d activité, de confiance, etc. - L information est capitale, sa valeur est inestimable! - La maîtrise de l information est souvent le secret de réussite des entreprises, - La discrétion serait la base de toute réussite الك تم ان س ر الن ج اح - C est une obligation légale envers: - Votre organisation, - Vos clients et fournisseurs - Vos employés. - La concurrence (Le monde de Bisounours n existe pas)
Comment doit-on le faire? Question ouverte à l ensemble des personnes présentes D après vous, comment doit-on se protéger au sein d une organisation?
Comment doit-on le faire? Moyens humains - Management, - Ressources Internes - Ressources Externes Moyens matériels - Trouver les budgets, - Identifier le matériel adéquat, - Trouver le bon fournisseur.
Les bonnes questions Que faire? Comment le faire? Quand le faire? Qui le fait? «Toute la réflexion autour de ces questions doit se faire en groupe et jamais seul dans son coin»
Comment se protéger? Protéger l essentiel de votre capital informationnel, Résultat d une étude ou d une analyse des risques. Mettre en place des solutions reconnues et pérennes, Allouer les ressources qualifiées, La protection «la sécurité» est le problème de tous, La sécurité est un exercice en continu et doit être reconnue comme une activité à part entière! Pas de date de fin
Comment agir? N attendez pas la survenance d un incident grave pour agir! Dans un schéma classique: - L employer doit alerter! - Le responsable doit traiter et remonter l information, - Le Management doit prendre des décisions. Mais logiquement tout le monde est concerné et doit agir en bon père de famille.
Quelle tactique de sécurité suivre En fonction du contexte et de l activité de l entreprise, les approches et tactiques peuvent varier! Les experts recommandent l approche systémique Dans d autres termes, la mise en place d un système de gestionproprement dit, relatif à la taille et l activité de l entreprise.
Où faut-il concentrer ces efforts? Identifier les menaces, Trouver les vulnérabilités, Évaluer l impact. Quelles actions entreprendre? Commencer par colmater les petites brèches? Ou s attaquer aux gros problèmes? Aux grosses failles?
Contexte de priorisation C est la priorisation qui définie clairement par quoi commencer! N oublier jamais le facteur coût! C est généralement un facteur important qui risque d influencer la décision au niveau du management.
«Best practices» en matière de sécurité des systèmes d information et de communication Standards internationaux (ISO, COBIT, ITIL, etc.) SMSI «Système de Management de la Sécurité de l Information» Qualité, Sécurité et Amélioration continue.
Conclusion Il est encore temps d agir par quoi commencer? 1. Feuille de route, 2. Approche standardisée, 3. Aller en douceur Attention aux changement brutaux!
Merci pour votre attention Belkacem KECHICHEB Senior Consultant & Information Security Expert, Open Field SA [Luxembourg] Managing Director, GP-CIM Consulting [France] Mobile-LU: +352 691 250 632 Mobile-FR: +33 610 832 229 b.kechicheb@openfield.eu b.kechicheb@gpcim.com