GRAND OUEST. 12 Mai 2016

Documents pareils
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

politique de la France en matière de cybersécurité

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Les cyber risques sont-ils assurables?

Systèmes et réseaux d information et de communication

Division Espace et Programmes Interarméeses. État tat-major des armées

INSTRUCTION INTERMINISTÉRIELLE

dans un contexte d infogérance J-François MAHE Gie GIPS

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

M E T T R E E N P L A C E U N E V E I L L E

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

GUIDE OEA. Guide OEA. opérateur

Data Breach / Violation de données

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Auditabilité des SI et Sécurité

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Gestion des Incidents SSI

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

L Agence nationale de la sécurité des systèmes d information

AUDIT CONSEIL CERT FORMATION

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Prestations d audit et de conseil 2015

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

L hygiène informatique en entreprise Quelques recommandations simples

MINISTÈRE DU TRAVAIL, DES RELATIONS SOCIALES, DE LA FAMILLE, DE LA SOLIDARITÉ ET DE LA VILLE MINISTÈRE DE LA SANTÉ ET DES SPORTS ADMINISTRATION

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 33 du 4 juillet PARTIE PERMANENTE Administration Centrale. Texte 2

Connaître les Menaces d Insécurité du Système d Information

La cartographie des risques outil fédérateur de pilotage: exemple d'application dans un groupement d'établissements. Marc MOULAIRE

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Politique de Sécurité des Systèmes d Information

VIGIPIRATE DE VIGILANCE, DE PRÉVENTION ET DE PROTECTION FACE AUX MENACES D ACTIONS TERRORISTES. Partie publique du Plan gouvernemental

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS

27 mars Sécurité ECNi. Présentation de la démarche sécurité

E-réputation Méthodes et outils pour les individus et les entreprises

AGEFOS PME Nord Picardie Appel à propositions MutEco Numérique Picardie

Créer un tableau de bord SSI

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations sur le Cloud computing

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

Guide de Conduite éthique des Affaires Guide de bonnes pratiques en matière de gestion de l information

PASSI Un label d exigence et de confiance?

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Indicateur et tableau de bord

Compagnie Méditerranéenne d Analyse et d Intelligence Stratégique

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

INDICATIONS DE CORRECTION

Digital Trends Morocco Moroccan Digital Summit 2014 #MDSGAM - Décembre 2014

Divulgation 2.0 : approche comportementale. Comment détecter ou prévenir cette démarche compulsive amplifiée par les outils de mobilitédirectement

Auditer une infrastructure Microsoft

Commission pour la consolidation de la paix Configuration pays République centrafricaine

QUESTIONNAIRE Responsabilité Civile

Software Asset Management Savoir optimiser vos coûts licensing

ORDRES DE VIREMENT DES ENTREPRISES

Sécurisation d un site nucléaire

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Organisation de la Cyberse curite. E ric Jaeger, ANSSI/SDE/CFSSI Journe e SPECIF-Campus du 7 novembre 2014, CNAM, Paris

ORDRES DE VIREMENT DES ENTREPRISES

MALVEILLANCE ET PROTECTION PHYSIQUE

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

La sécurité applicative

Intelligence economique Levier de competitivite

Atelier numérique E-tourisme

Foire aux Questions (F A Q)

s é c u r i t é Conférence animée par Christophe Blanchot

Gestion de la continuité des activités. Mémento

Agent de prévention et de sécurité

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

L'AUDIT DES SYSTEMES D'INFORMATION

Module Projet Personnel Professionnel

La continuité d activité des Prestations de Service Essentielles Externalisées

STRATÉGIE DE SURVEILLANCE

FACULTE DE DROIT. 1. Premier Graduat I. CYCLE DE GRADUAT. 2. Deuxième Graduat

BREVET DE TECHNICIEN SUPERIEUR

Les conséquences de Bâle II pour la sécurité informatique

ENTREPRISES EN DIFFICULTE. Gestion de la crise

L-ebore SAS. choisissez des solutions à portée de main... La sûreté, les risques, la continuité d activité, les crises, au cœur de vos problématiques,

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

Solutions de Cybersécurité Industrielle

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

La sécurité des systèmes d information

LE MARKETING WEB ET LES RÉSEAUX SOCIAUX : LES NOUVEAUX LEVIERS DE BUSINESS PROXIMEETING AIXE SUR VIENNE

Transcription:

GRAND OUEST 12 Mai 2016

Paul-Vincent VALTAT- PORTS DE PARIS/HAROPA

Ports de Paris, un port HAROPA Une façade maritime de premier plan 1 er port français pour les conteneurs 1 er port intérieur français, 2 ème port intérieur européen 1 er port exportateur de céréales pour l Europe de l Ouest 1 er port intérieur mondial pour le tourisme 1 er port mondial pour les vins et spiritueux

Le réseau HAROPA

La cartographie des risques La cartographie est un outil de référence en matière de gestion des risques. Elle résulte d une démarche globale, devenant un outil de visualisation des risques majeurs d une entreprise à un instant «T». En donnant une représentation synthétique des risques majeurs à date, elle permet à l entreprise de piloter la gestion des risques et de contribuer à sa performance.

Cartographie des risques et Sécurité-Sûreté Cartographie des risques opérationnels basée sur le scénario de l évènement redouté ou sur la menace Une différence entre Sécurité VS Sûreté : Accidentel VS Intentionnel Risques de sécurité : incendie, pollution des sols, accidents divers Risques de sûreté : petite délinquance, terrorisme, cyber-sécurité, protection des expatriés 1 er échelon de la démarche de cartographie des risques Extension de la démarche vers d autres domaines (RH, finance, commercial etc.)

Cartographie des risques opérationnels : risques bruts

Titre Cartographie des risques opérationnels : risques nets

Sûreté en entreprise Des menaces, internes ou externes On parle de: Sûreté des biens et des personnes Sécurité informatique Fraude économique Risque d attentat, terrorisme et malveillance Vis-à-vis du personnel, des prestataires et clients Terrorisme, attentat kidnapping, agression Vis-à-vis du matériel Vols d informations commerciales (fichiers clients ) Vols technologiques (ordinateurs, machines, brevets, licences ) Vis-à-vis des actifs financiers Extorsion, blanchiment Escroquerie financière (fraude aux Présidents, crypto logiciels) Vis-à-vis de la notoriété Attaque à la réputation (E-réputation)

Sûreté en entreprise La sûreté : Devenu une obligation de résultat et non plus de moyens vis à vis des salariés (Karachi, 2002) Est un enjeu stratégique pour l entreprise qui concerne la protection de ses valeurs : humaines (salariés, expatriés et leur famille, clients, prestataires), matérielles (établissements, machines, capitaux, etc.) ou immatérielles (image de marque, procédés de fabrications, etc.) Concerne toutes les entreprises : privées comme publiques, grandes entreprises comme les PME/PMI qui représentent 80 % des entreprises en France Développement du concept de coproduction de sûreté : à l Etat la protection stratégique globale, aux entreprises la protection de leurs points vitaux, de leurs ressources humaines et patrimoniales.

Coproduction de sûreté Trois vecteurs sont à l œuvre dans le processus de coproduction de sûreté en cours en France depuis bientôt 20 ans : Secteur d activité Directives Nationales de Sécurité d importance vitale - 10 DNS SAIV - État - Opérateur d importance vitale - OIV Plan de Sécurité de l Opérateur PSO - Opérateur - Point d importance vitale - PIV Plan Particulier de Protection PPP - Opérateur - Plan de Protection Externe PPE - État - Coproduction de la sûreté (lois cadres de la sécurité depuis 1995) Une reconnaissance du secteur de la sécurité privée comme intervenant légitime, voire comme supplétif dans la chaîne de protection des personnes et des biens

Vulnérabilité et protection Comment définir la vulnérabilité de l entreprise face au terrorisme? - Symbolique de l entreprise (ex : Charlie Hebdo) - Lieu de forte fréquentation et de rassemblement (ex : 13 Novembre, attentat déjoué au 4 temps, RER Observatoire) Mais une limite lorsque l on parle de terrorisme d opportunité. Quelle protection mettre en place? Protection humaines : questionnement sur l habilitation du port d armes par des agents de sécurité, à l image des transporteurs de fonds (ex : agents de sécurité dans un centre commercial) Protection des biens matériels : questionnements sur la sécurisation des locaux de l entreprise. les contres mesures aux attentats (protection pare-balles, PNG sécurisé) peuvent être antagonistes au bon fonctionnement de l entreprise sans garantir une protection totale.

Sécurité-Sûreté et Assurances Une distinction à faire entre sécurité et sûreté Accidentel VS Intentionnel Pour la sécurité : fort lien avec les assurances Pour la sûreté : Quasi absence de lien Difficultés de probabilisation des actes intentionnels et nuisibles Des risques dans la sûreté de plus en plus importants Exemple : la cybercriminalité, actions violentes armées Un marché à fort potentiel pour les assurances Une réponse de transfert assurantiel pour ce type de risque

Peut-on aussi parler de cyberterrorisme? Fictions et réalités

Définition d une cyberattaque Cyberattaque = tentative d atteinte à des systèmes informatiques réalisée dans un but malveillant Objectifs : voler des données (secrets militaires, diplomatiques ou industriels, données personnelles, bancaires, etc.) détruire, endommager ou altérer le fonctionnement normal de dispositifs informatiques prendre le contrôle de processus informatiques tromper les dispositifs d authentification pour effectuer des opérations illégitimes Motivation : Attaques massives / attaques ciblées 15

Définitions du cyberterrorisme 1) regroupe l ensemble des pratiques en ligne des groupes terroristes 2) terme restreint à un type d attaques précis, celles qui utilisent le réseau Internet comme arme et/ou cible Impact motivation 16

Mythe ou réalité? Des auteurs (Winn Schwartau, John Arquilla, ), des séries Des groupes non-étatiques ont-ils vraiment : les moyens les compétences Des intérêts à utiliser ce levier leur action (attaques ciblées) Quelle faisabilité? Faible menace (impact) Mais existence de mercenaires informatiques 17

Déstabilisation des états Menaces sur les infrastructures (Dénis de service) Organiser et exécuter des attaques contre les réseaux et les SI Menacer : Disponibilité, Confidentialité, Intégrité Demande de rançons Fuite d informations Défacement de sites : notoriété Echanges d informations sur les réseaux 18

Usages d Internet par les groupes terroristes la communication (interne et externe) le recrutement le financement l organisation 19

Un levier de propagande Vidéos Forums Réseaux sociaux Communications secrètes => radicalisation autonome voire l émergence d individus organisant seul des attentats terroristes résumé dans le concept de «lone wolf» 20

Des exemples d attaques 2015 : 20 cyberattaques d'envergure en France (ANSSI) Décembre 2015 : Ukraine Avril 2015 : TV5 Monde Octobre 2012 : Octobre rouge Avril 2011 : Sony Mars 2011 : le Ministère des Finances Janvier 2011 : Canada Octobre 2010 : Stuxnet 2010 : découverte du réseau de machines «zombies» Mariposa 2008 : Installations militaires aux USA 2007 : Estonie 21

La Loi de Programmation Militaire et les OIV Secteurs étatiques : activités civiles de l état activités militaires de l état activités judiciaires espace et recherche Secteurs de la protection des citoyens : santé gestion de l eau alimentation Secteurs de la vie économique et sociale de la Nation : énergie communications électroniques, audiovisuel et information transports finances industrie 22

Les obligations des OIV : Gouvernance de la cybersécurité Rôles et responsabilité Impliquer les porteurs de risques métier dans le comité stratégique. Identifier les rôles manquants dans la gestion des SIIV et définir les objectifs de la mission. Décliner sur le périmètre des SIIV les procédures et référentiels déjà en place sur le reste du périmètre des SI. PSSI (Politique de sécurité des SI) Démontrer une stratégie interne de contrôle de la sécurité des SIIV. Indicateurs Créer des indicateurs et des données d inventaires pour chaque SIIV. Transmettre annuellement les indicateurs de chaque SIIV à l ANSSI. Formation Mettre en place un programme de sensibilisation et formation à la cybersécurité. Formation certifiante ou spécialisée (au moins au niveau de l entreprise) d administrateur SIIV. Démontrer un plan de formation/sensibilisation SSI au périmètre SIIV. 23

Homologation Les obligations des OIV : Maîtrise des risques Adapter les processus existants et les procédures d audit. Revoir annuellement le processus d homologation. Faire homologuer chaque SIIV tous les 3 ans par un audit d homologation classifié CD (audit d architecture + audit de configuration + audit organisationnel et physique) avec plan d action. 24

Les obligations des OIV : Maîtrise des systèmes d information Cartographie Cartographier ou mettre à jour la cartographie de chaque SIIV. Intégrer très en amont dans la conception des systèmes (Cahier des Charges) des exigences de cartographie. Cartographier les processus vitaux (essentiels aux missions vitales) et leurs dépendances respectives. Classifier les processus vitaux en correspondance avec la classification ANSSI. MCS (Maintien en condition de sécurité) Imposer la pratique de patch management et de maintien en condition de sécurité. Démontrer une politique de suivi des vulnérabilités et de leur traitement (correctifs) pour tout élément hard ou soft d un SIIV. 25

Les obligations des OIV : Gestion des incidents de cybersécurité Détection Définir d une politique de détection et de réaction Installer des sondes de détection d éléments suspects du SI Recourir à un prestataire de détection des incidents qualifié par l ANSSI sur chaque interconnexion des SIIV. Journalisation Intégrer très en amont dès la conception des exigences de journalisation. Formaliser et communiquer les directives de journalisation. Mettre en place une journalisation. Démontrer une politique de journalisation (6 mois mini) sur services applicatifs, réseaux, système, équipements de sécurité, postes d administration Installer, paramétrer et personnaliser les outils d analyse et de corrélation de journaux (SIEM). Traitement Recourir à un prestataire de réponse aux incidents qualifié par l ANSSI. Points de contact avec l ANSSI Identifier et communiquer les points de contact à l ANSSI. Fournir la cartographie de chaque SIIV à l ANSSI. Mettre en place le dispositif de remontée d alerte vers l ANSSI. Gestion de crise Adapter les cellules de crise, astreintes et procédures pour les décliner sur le périmètre industriel. Tous les 2 ans, démontrer sa capacité à pouvoir activer les mesures de crise. 26

Les obligations des OIV : Protection des systèmes Gestion des identités et des accès Identifier et valider les habilitations des personnes autorisées à accéder aux données confidentielles (ex. rapports d audit, inventaires, etc.). Créer un SI confidentiel défense afin de stocker les informations classifiées. Mettre en place des infrastructures de contrôle d accès et de gestion des habilitations. Administration Formaliser une politique de gestion et de rationalisation des comptes à privilège. Intégrer en amont à la conception des clauses de sécurité intégrant entre autre la gestion des comptes. Défense en profondeur Durcir les accès d administration, d ingénierie/maintenance (pas d Internet, de messagerie venant d Internet, réseau dédié ou chiffré). Mettre en place du cloisonnement intra SIIV. Mettre en place 3 mesures de réaction (configuration spécifique, filtrage, isolement Internet). Durcir les accès distants (hors opérateur ou prestataire qualifié SIIV) authentification, chiffrement des flux et des mémoires de masse. Durcir les SIIV par la désactivation des services non nécessaires et un filtrage des média amovibles. 27

Vigipirate : objectifs de cybersécurité 1. Piloter la gouvernance de la cybersécurité 2. Maîtriser les risques 3. Maîtriser ses systèmes d information 4. Protéger les systèmes 5. Gérer les incidents de cybersécurité 6. Evaluer le niveau de sécurité 7. Gérer les relations avec les autorités 28

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back