La sécurité informatique, c est votre problème aussi!



Documents pareils
5 novembre Cloud, Big Data et sécurité Conseils et solutions

GEWISS FRANCE S.A.S. CODE D ETHIQUE INFORMATIQUE

Agenda numérique - Partie V. Juillet 2015

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Le risque opérationnel - Journées IARD de l'institut des Actuaires

Meilleures pratiques de l authentification:

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Continuité d activité. Enjeux juridiques et responsabilités

Gestion des cyber-risques

Prévention LES ENJEUX DE LA PREVENTION. Infos INTRODUCTION : SOMMAIRE :

Mobiliser l épargne pour l investissement productif. Pistes de réflexion stratégique en matière de fiscalité de l épargne individuelle

Gestion de la sécurité de l information par la haute direction

ASSURANCE L assurance est-elle obligatoire et que peut-elle couvrir? responsabilité civile

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche

Concilier mobilité et sécurité pour les postes nomades

Stratégie nationale en matière de cyber sécurité

F RSE Plan d action A04 Bruxelles, le MH/JC/LC A V I S. sur

Logiciels de Gestion de Projet: Guide de sélection

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

L impact d un incident de sécurité pour le citoyen et l entreprise

LESPORT ÊTRE VIGILANT POUR PRÉSERVER

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Politique de sécurité de l information

Table des matières. 1 Le droit de la responsabilité : le domaine de la voirie... 7

de la DSI aujourd hui

Tout sur la cybersécurité, la cyberdéfense,

ORDRES DE VIREMENT DES ENTREPRISES

Réguler son enseignement : Pourquoi? Comment?

Commune de QUINT FONSEGRIVES 31130

ORDRES DE VIREMENT DES ENTREPRISES

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Présenté par : Mlle A.DIB

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Comment se déroule le droit de visite et d hébergement d un parent en cas de fixation de la résidence habituelle chez l autre parent?

Protéger et héberger vos donnés métiers : les tendances cloud et SaaS au service des entreprises

ReThink:Tax. Mobiliser l épargne pour l investissement productif. ReThink:Tax

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Emplacement de la photo d ouverture du domaine

Enseignement supérieur et Formation continue en Chine

Master Audit Contrôle Finance d Entreprise en apprentissage. Organisation de la formation

Sécurité des Postes Clients

LES INDICATEURS CLÉ DE PERFORMANCE : DÉFINIR ET AGIR

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Connaître les Menaces d Insécurité du Système d Information

2.2 Objet du contrôle Il y a lieu de vérifier les points suivants de manière individuelle ou combinée.

Le CR2PA Un club Utilisateurs pour l archivage managérial

L informatisation des centres publics d action sociale en Belgique, un cas de recherche action

Financement et régulation des pensions

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Questionnaire aux entreprises

Symantec CyberV Assessment Service

Pré-requis Diplôme Foundation Certificate in IT Service Management.

QUESTIONNAIRE PROPOSITION RC PROFESSIONNELLE INTERMEDIAIRE EN ASSURANCE

1. La sécurité applicative

La reprise d'activité après sinistre est-elle assez prise en compte par les PME?

Objectifs pédagogiques de l enseignement «Métiers»

IBM Software Business Analytics. IBM Cognos FSR Automatisation du processus de reporting interne

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Jean-Francois DECROOCQ - 03/01/2012

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Atelier B 06. Les nouveaux risques de la cybercriminalité

LES DROITS DE LA PERSONNALITE

Comment un. accident. peut-il engager la. responsabilité pénale. des élus locaux et des fonctionnaires territoriaux?

Université Paris-Dauphine

Formation Logistique Transport

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Management de la sécurité des technologies de l information

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Les botnets: Le côté obscur de l'informatique dans le cloud

Questionnaire Entreprises et droits humains

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Newsletter Avril 2013

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :

Organisation d une simulation sur un prototype logiciel workflow et GED. ImmoBiens. 1 - Description du projet de l entreprise

Excellence. Technicité. Sagesse

Intelligence economique Levier de competitivite

TNS Behaviour Change. Accompagner les changements de comportement TNS 2014 TNS

Certif icat Exécutif en Management etaction Publique Certificate of Advanced Studies (CAS) in Public Administration

Le régime de la responsabilité civile des enseignants

LOI ECKERT : Des dispositions nouvelles sur les comptes bancaires inactifs et les contrats d assurance vie en déshérence

Fiche de l'awt La sécurité informatique

Convergence Grand public professionnelle

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Antivirus : les Français, rois du gratuit, les Russes, rois du payant

HEC-ULg Executive School

LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

ProjectManagement. Gestion de projets pour les sociétés de conseil et de services

Data Breach / Violation de données

Transcription:

INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique, c est votre problème aussi! Les organisations prennent de plus en plus conscience des risques commerciaux et juridiques qu elles encourent du fait des vulnérabilités de leur système informatique. Et elles sont encore loin d imaginer le pire. InfoSafe, la nouvelle formation en management de la Sécurité des Systèmes d Information proposée par l ICHEC et les FUNDP, va les aider à relever le défi de la sécurité. Dans le cadre de la création du programme INFOSAFE, une table ronde a réuni les responsables de ce programme, Jacques FOLON (ICHEC), Yves POULLET et Laurent SCHUMACHER (FUNDP), dont l objectif est d aider à relever le défi de la sécurité informatique tant pour les entreprises que pour les administrations publiques. Quel est l état de la sécurité informatique en Belgique aujourd hui? Jacques FOLON : Les organisations font face à un paradoxe. D une part elles mentionnent majoritairement ne pouvoir se passer plus d un jour de leurs applications informatiques sans subir de lourds dommages. Mais en même temps, 34 % d entre elles ne disposent d aucun plan de secours! A titre d exemple, le Clusib (Club de la Sécurité Informatique Belge) estime qu à ce jour, 2/3 des entreprises belges ne seraient pas en état de survivre à un sinistre informatique important. La criminalité informatique (interne et externe) est de plus en plus fréquente et les entreprises attendent trop souvent un sinistre pour s intéresser sérieusement à cette question. En effet, les problèmes liés à la sécurité sont trop souvent vus comme une sorte de manque à gagner, une perte de temps. Cette vision est réductrice! Les organisations ont des obligations légales qu elles oublient trop souvent et les risques liés à une absence de sécurité peuvent entraîner une responsabilité juridique et commerciale majeure. De plus, quel sera l impact sur les partenaires d une organisation paralysée par sa négligence? Quelques chiffres frappants issus de la dernière enquête du Clusib 2006 : seules 40% des entreprises disposent de règles écrites pour la sécurisation des données sensibles et à peine la moitié d entre elles disposent d un budget de sécurité informatique en croissance. 31 % des 1

grandes entreprises n ont pas fait procéder à la validation de leur système de protection contre les intrusions par une entreprise spécialisée en la matière C est inquiétant vu que le rapport montre aussi une croissance considérable de la criminalité informatique : vols de matériel et de données, piratage de logiciels Néanmoins, les entreprises sont de plus en plus conscientes de l importance d une meilleure organisation et d un meilleur suivi d une politique de la gestion de la sécurité informatique. Il leur reste à passer à l action pour que la sécurité intègre la culture d entreprise. Pourquoi avez-vous créé cette formation? Yves POULLET : Diverses obligations de sécurité s imposent déjà à certains acteurs de la société belge. Ainsi, les utilisateurs du Registre national ou de la Banque Carrefour de la Sécurité Sociale doivent compter dans leurs rangs un préposé à la sécurité. Dans le secteur médical, l Arrêté Ministériel fixant les critères d agrément des gestionnaires de données médicales impose une formation en sécurité. Enfin, la Commission de La Vie Privée a récemment émis une recommandation visant à la désignation d un Conseiller en sécurité au sein de toute entreprise traitant des données personnelles. Des formations, il n en manque pas. Jacques FOLON : La sécurité requiert une approche pluridisciplinaire. Or, dans le paysage belge l offre de formation est morcelée. C est sur la base de ce constat que les Facultés Universitaires Notre-Dame de la Paix de Namur et l ICHEC ont décidé de créer un programme complet qui couvre l ensemble de la problématique. Nous avons observé que la plupart des formations organisées en Belgique sont essentiellement techniques et qu elles sont généralement organisées par des fournisseurs de solutions. Pourtant une bonne gestion de la sécurité informatique impose la maîtrise des différents aspects liés à l informatique tant hardware que software, aux contraintes juridiques et à la sécurité dans la gestion de l entreprise. Dans le cadre de ces réflexions il est donc devenu évident que pour être efficace, une formation en sécurité des systèmes d informations doit intégrer les aspects juridiques, techniques et organisationnels. Quel est le rôle des différents acteurs participant à cette formation? Jacques FOLON : Les acteurs se sont imposés naturellement du fait du contenu de la formation. Chaque institution apporte ses compétences. Ainsi, au sein de l Université de Namur Le CRID (centre de recherches informatique et droit) est un centre d excellence au niveau belge et européen en droit des nouvelles technologies. 2

L'Institut d'informatique, pionnier en Europe de l'enseignement de l'informatique, se focalise de son côté sur les systèmes d'information et de communication. L ICHEC, reconnue pour sa pédagogie intégrant les aspects théoriques et pratiques apporte son expertise en gestion en général, et dans les technologies de l information en particulier. Quelle est l originalité de cette formation? Laurent SCHUMACHER : Ce programme repose sur trois piliers : Droit, Informatique et Gestion articulés de manière pluridisciplinaire. Les thématiques sont abordées de manière à la fois conceptuelle mais également concrète. En particulier, cela permet d analyser en profondeur les différentes implications d une stratégie de sécurité et d une analyse de risques efficaces. Un week-end résidentiel permet aux participants de mobiliser l ensemble de leurs connaissances et les compétences acquises durant la formation, en les confrontant à un cas pratique pour lequel ils doivent définir les réactions appropriées. Tout au long de la formation, les participants travaillent sur le «plan de sécurité» de leur entreprise, ce qui constitue une valeur ajoutée importante du programme.. Quels sont les principaux problèmes qui se posent au niveau strictement informatique? Laurent SCHUMACHER : Virus, failles du système d exploitation, pénétration de réseaux câblés ou sans fil, obsolescence des algorithmes de cryptage, etc. Les media, tant généralistes que spécialisés, fourmillent chaque jour de descriptions de nouvelles vulnérabilités dans les systèmes d information, plus vite exploitées les unes que les autres. L enjeu d InfoSafe, au niveau informatique, est de prendre du recul par rapport à cette actualité brûlante pour introduire la sensibilité à la sécurité dans les différents composants d un système d information, logiciels, équipements, bases de données, infrastructure de communication, si possible en amont de tout développement ou déploiement, afin que le respect d un niveau de sécurité, à définir en adéquation avec le «core business» de l organisation, fasse partie intégrante des fonctionnalités du système «from day one», au même titre que ses autres caractéristiques (performance, convivialité, coût, etc.). En quoi les aspects juridiques jouent-ils un rôle en matière de sécurité? Yves POULLET : De nombreux acteurs ne se rendent pas compte que la loi impose des obligations en matière de sécurité. Ainsi, dès qu'on est en présence de données à caractère personnel, la loi exige de prendre des mesures de sécurité techniques et organisationnelles. Si les mesures prises ne sont pas adéquates, on risque une sanction pénale et de voir sa 3

responsabilité engagée. Il est important aussi de connaître tous les comportements que la loi a érigés en infractions dans le cadre de la loi sur la criminalité informatique. Quels sont les problèmes organisationnels qui se posent pour implémenter une politique de sécurité? Jacques FOLON : Une politique de sécurité n est rien sans la compréhension et l adhésion de tous les membres de l entreprise. L Humain est à la fois la force mais également la maillon faible! Dans ce contexte, sans une implication forte de la direction générale et en l absence de l intégration de la sécurité dans la stratégie de l entreprise, toute politique de sécurité risque de rester lettre morte. De plus, il est indispensable de conscientiser le personnel aux risques liés à la sécurité, de mettre en place dans l organigramme des responsables à tous les niveaux et des processus, d établir des procédures tant préalables qu en ce qui concerne la réaction a des incidents de sécurité (sans oublier les audits de sécurité et les tests de pénétration). Une politique de sécurité théorique et non intégrée par l ensemble du personnel et qui ne serait pas soutenue par des procédures appropriées serait inefficace. Comment expliquez-vous le manque de prise de conscience des managers actuellement? Laurent SCHUMACHER : Il y a clairement un effet «cela n arrive qu aux autres» couplé à une tendance à minimiser les conséquences d incidents informatiques. Quid d un incendie, du vol d un ordinateur portable, de la disparition de secrets d affaires? Il y a une sorte d inconscience quant aux risques réels liés aux conséquences d incidents informatiques qu ils soient dus à des aléas extérieurs tels qu incendies, tempêtes ou a des attaques délibérées de criminels informatiques. Les managers font semblant de croire que leurs installations sont sécurisées et ne prennent pas en compte les risques réels liés par exemple aux vols de données ou de secrets d affaires. Le risque existe-t-il vraiment en Belgique? Yves POULLET : Les incidents sont peu connus parce que la réglementation actuelle n impose pas aux entreprises d informer le public lorsqu elles sont victimes d incidents de sécurité. Néanmoins des cas de vols d ordinateurs portables, d attaques informatiques et de vols de base de données par des employés sont malheureusement assez fréquents. Aux USA en 2006, plus de 150 millions d enregistrements de données personnelles ont été volées et tout porte à croire que la situation en Europe est similaire. 4

Pourquoi les entreprises devraient-elles investir dans la sécurité informatique, et dans la formation? Jacques FOLON : Le risque lié à l absence de sécurité peut entraîner une condamnation pénale dans le cadre de la protection des données personnelles. De plus, certaines réglementations sectorielles (Bâle II pour le secteur bancaire, Sarbanes-Oxley pour les filiales de sociétés américaines) imposent déjà aux entreprises concernées de mettre en place une politique de sécurité adéquate. En outre, des discussions au niveau européen envisagent d imposer aux entreprises, comme aux USA, de communiquer immédiatement tout incident informatique, comme le vol de données, et de rendre obligatoire la fonction de responsable de la sécurité informatique (Security Manager). Ces risques bien réels pourraient évidemment porter atteinte à la réputation d une entreprise. L entreprise devrait saisir l opportunité de communiquer à propos de ses investissements en sécurité informatique. Aujourd hui, c est encore un avantage concurrentiel dont elle peut tirer un bénéfice assuré! Jacques FOLON est Licencié en Droit et en droit fiscal, agrégé en droit, maître en management public, professeur ICHEC-ISFSC, chargé de cours à la Louvain School of Management et à l Université de Metz, Managing Partner Eucoprise et Partner JITM. Yves POULLET est Professeur aux Facultés de Droit des FUNDP et de l ULg Liège et Directeur du Centre de Recherches Informatique et Droit (CRID) FUNDP. Laurent SCHUMACHER est Professeur à l Institut d Informatique des FUNDP. Vous trouverez de plus amples renseignement sur le site de la formation : www.infosafe.be 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back