Le modèle SSI actuel et ses limites



Documents pareils
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Projet Sécurité des SI

DECLARATION DES PERFORMANCES N 1

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Montrer que la gestion des risques en sécurité de l information est liée au métier

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

5 novembre Cloud, Big Data et sécurité Conseils et solutions

L hygiène informatique en entreprise Quelques recommandations simples

VIEW FROM SWITZERLAND ON FIGHTING CYBER CRIME

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

CNAM-TS. Constitution et mise en place d une équipe sécurité

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

dans un contexte d infogérance J-François MAHE Gie GIPS

Le Cloud Computing, levier de votre transformation digitale

Panorama général des normes et outils d audit. François VERGEZ AFAI

PRÉSENTATION DU FORUM DES COMPÉTENCES

Département de Maine et Loire OASIS. Observatoire d Analyse du Système d Information Stratégique

Synthèse. Quelle performance opérationnelle pour la sécurité de l information?

Guide pratique spécifique pour la mise en place d un accès Wifi

Management de la sécurité des technologies de l information

Gestion des autorisations / habilitations dans le SI:

On a souvent entendu que l information c est le pouvoir. En fait, c est le pouvoir d agir.

Créer un tableau de bord SSI

SSO : confort ou sécurité?

AUDIT CONSEIL CERT FORMATION

La sécurité IT - Une précaution vitale pour votre entreprise

Global State of Information Security Survey 2014

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Sécurité des Postes Clients

La sécurité de l'information

La télésanté clinique au Québec: un regard éthique par la CEST

HySIO : l infogérance hybride avec le cloud sécurisé

DEPENSES IT Crédit photo : Kim Steele - THINKSTOCK. Une étude

AUTHENTIFICATION dans les systèmes d information Avec la contribution de

Mise en place d une politique de sécurité

ACCOMPAGNEMENT VERS LE CLOUD COMPUTING BIENVENUE

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

Catalogue Audit «Test Intrusion»

Jusqu où aller dans la sécurité des systèmes d information?

La pertinence de l information pour agir au bon moment. Recherche exploitation de. l information. & pertinente

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

CSCP Maîtrisez votre Supply Chain et optimisez vos performances avec le nouveau Programme SUPPLY CHAIN MANAGEMENT MANAGEMENT DE LA DEMANDE

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e)

Club des Responsables d Infrastructures et de la Production

Gestion des incidents

«ASSISTANT SECURITE RESEAU ET HELP DESK»

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

TUNIS LE : 20, 21, 22 JUIN 2006

Bonnes pratiques en SSI. Présentation OzSSI - CDG 54 1

Groupe Eyrolles, 2004 ISBN :

Attaques ciblées : quelles évolutions dans la gestion de la crise?

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

Gestion du risque numérique

L'infonuagique, les opportunités et les risques v.1

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Sécurité informatique: introduction

Les accès aux plateformes CALMIP et GDRMIP. Une offre innovante. présenté par Marc Motais Ingénieur Technico Commercial

Indicateur et tableau de bord

Les leviers de performance du pilotage du processus achats/fournisseurs

s é c u r i t é Conférence animée par Christophe Blanchot

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

La mobilité & la relation client

HABILITATIONS dans les systèmes d information Avec la contribution de

Atteindre la flexibilité métier grâce au data center agile

Gestion des Incidents SSI

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Qu est-ce qu un système d Information? 1

face à la sinistralité

Savoir fidéliser ses clients

Maître de cérémonie Christian Fillatreau, Président du Cluster TIC Aquitaine

LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN

Introduction Big Data

Stratégie nationale en matière de cyber sécurité

Mesures détaillées. La cybersécurité des systèmes industriels

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Prestations d audit et de conseil 2015

~AISSE D'EPARGNE D'ALSACE

Comment faire de la gestion fournisseurs un levier de la performance achat? Sébastien TAUPIAC - Directeur Adjoint des Achats UGAP

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Atelier Tableau de Bord SSI

Piloter le contrôle permanent

erp : quelle réponse pour les pme?

MICHEL ET AUGUSTIN DOSSIER 1 : Conquérir un nouveau secteur géographique

Traitement des Données Personnelles 2012

Introduction sur les risques avec l'informatique «industrielle»

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Bilan et attentes des PME françaises

JSSI - Sécurité d'une offre de nomadisme

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

Le contrat Cloud : plus simple et plus dangereux

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Mécanismes de configuration automatique d une interface réseau, aspects sécurité

Transcription:

22 e Colloque annuel 7 décembre 2012 Le modèle SSI actuel et ses limites Olivier Chapron Damien Jullemier RSSI Groupe Société Générale Adjoint du RSSI LCL

Introduction Le modèle actuel est challengé car : Trop statique Peu adapté aux nouvelles exigences liées à la mobilité, l externalisation, etc. Peu résistant aux nouveaux types d attaques Parfois trop coûteux Et pas assez efficace sur certains sujets Notre exposé montrera que l évolution doit intervenir sur : La construction même du modèle actuel Les modes de protection Les responsabilités au sein de l entreprise

La construction du modèle doit évoluer Pour satisfaire les métiers qui souhaitent des évolutions en matière : De réactivité (discordances entre rythmes internes et externes) D adaptation au marché (le SaaS est très présent mais difficile à traiter par les modèles et politiques actuels) De mobilité (pour les salariés et les clients) De coût Pour satisfaire des besoins de sécurité en dépit de : L absence de maîtrise : du terminal, de la localisation des traitements (poupées gigognes de l externalisation) Le traitement de données localisées à l extérieur et à l intérieur, par des internes et des externes

Les modes de protection doivent évoluer Parce que le paradigme change : Les attaques sont ciblées : métaphore de l Ours Les attaques réussissent (DDoS, APT) et leur sophistication est très forte (exemples des attaques sur les postes des clients) Tous les acteurs veulent une mobilité totale, un choix de terminal, etc. Et donc pour être efficace, il faut être adaptatif : Inclure au dispositif des moyens externes adaptés (ex. DDoS) Changer les organisations internes : les efforts doivent être davantage axés sur la détection, l analyse et la réaction (force d intervention rapide, cloisonnement adaptatif) que sur la protection (maximisée dans le modèle actuel : exemple des parefeu et des antivirus) Faire évoluer la protection en fonction du contexte d utilisation (d une application, d un terminal), ce qui est rarement le cas à ce jour Parce que par nécessité nous ne pouvons nous concentrer que sur les actifs les plus sensibles

Les responsabilités doivent évoluer Pour une maîtrise globale : L interpénétration forte fait parfois porter les décisions sur des acteurs qui n ont pas la vue globale (ex. simplification des infrastructures, traitement d un projet transverse) Le silotage coûte cher! Nous n avons pas à ce jour les leviers sur la globalité des dépenses sécurité des organisations (et donc la responsabilité des priorisations). Certains modèles de gouvernance les concentrent dans le budget du RSSI. De par l importance du facteur humain dans la limitation des risques : À ce jour les modèles sont avant tout axés sur les moyens organisationnels et techniques Les entreprises les plus performantes ont su faire passer dans leur culture la sécurité (sur la confidentialité en particulier)

En conclusion Les nouveaux modèles ne remettront pas en cause les démarches classiques en cours : Le métier doit sélectionner les traitements les plus sensibles Les applications doivent fiabiliser authentification et habilitations Les infrastructures doivent traiter leurs vulnérabilités et surveiller les réseaux internes Les modèles actuels évolueront naturellement dans nos établissements : Parce que les filières sécurité savent éclairer les décideurs sur la nécessité de changer Car certaines évolutions sont naturellement à l ordre du jour (réactivité demandée, conséquence d une attaque interne ou connaissance d une attaque externe réussie)

Merci de votre attention 22e Colloque annuel 7 décembre 2012

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back