La sécurité - Pourquoi? Pourquoi la sécurité? (suite) Confiance Affaires. Pourquoi parler de sécurité? La sécurité informatique, une entrée en matière



Documents pareils
Groupe Eyrolles, 2006, ISBN : X

Management de la sécurité des technologies de l information

La sécurité informatique

La gestion des risques en entreprise de nouvelles dimensions

La Pédagogie au service de la Technologie

La sécurité des systèmes d information

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Economic Cyber Crime. Exigences minimales de prévention pour les PME. Romain Roubaty, novembre 2012

CHARTE WIFI ET INTERNET

Présenté par : Mlle A.DIB

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Sécurité informatique: introduction

La sécurité de l'information

Des passionnés et des curieux avec un regard avisé et exigeant sur :

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Situation actuelle : Sommaire d une recommandation Page 1 de 5

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Qu est-ce qu un système d Information? 1

s é c u r i t é Conférence animée par Christophe Blanchot

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Protection pour site web Sucuri d HostPapa

Catalogue «Intégration de solutions»

Mise en œuvre de la certification ISO 27001

Guide sur la politique de la protection des renseignements personnels et des données électroniques de Groupe Cloutier Inc. Annexe 16 Novembre 2013

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Fiche descriptive de module

Malveillances Téléphoniques

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Graphisme et Design. L'interface client respectera votre charte graphique et sera adaptée selon vos recommandations.

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

1. GOUVERNANCE IT (INFORMATIQUE ET TÉLÉCOMS)

Bibliographie. Gestion des risques

Internet haute vitesse - Guide de l utilisateur. Bienvenue. haute vitesse

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Fiche Technique. Cisco Security Agent

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Menaces et sécurité préventive

Jusqu où aller dans la sécurité des systèmes d information?

EXIN Cloud Computing Foundation

Certificat Informatique et Internet

«ASSISTANT SECURITE RESEAU ET HELP DESK»

La haute disponibilité de la CHAINE DE

Concilier mobilité et sécurité pour les postes nomades

CONDITIONS GENERALES

La sécurité dans les grilles

La renaissance de la PKI L état de l art en 2006

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Sécurité informatique

Copyright Crypto-sud PROGRAMME DE FIDÉLITÉ TOTARA - CARTES MULTI-COMMERCES COMMUNICANTES CRYPTO-SUD

Gestion du risque numérique

Gouvernez les flux de données au sein de votre entreprise pour une meilleure flexibilité

Sommaire. Le quotidien du Service informatique. Qu est-ce que Panda Cloud Systems Management? Le cercle vertueux

Sécurité et Consumérisation de l IT dans l'entreprise

Secured Internet Gateway. Découvrez nos nouvelles solutions de sécurisation orientées-applications

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

ITIL Gestion de la continuité des services informatiques

Plan de l exposé Projets E-Business en PME le pourquoi et le comment

Risques liés aux systèmes informatiques et de télécommunications

Projet Sécurité des SI

Prestataire Informatique

Devoir Surveillé de Sécurité des Réseaux

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Cycle de conférences sur Cloud Computinget Virtualisation. Le Cloud et la sécurité Stéphane Duproz Directeur Général, TelecityGroup

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Solution de sauvegarde pour flotte nomade

L'infonuagique, les opportunités et les risques v.1

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

La Qualité, c est Nous!

PortWise Access Management Suite

Virtualisation et sécurité Retours d expérience

Mise en place d une politique de sécurité

Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre

La continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008

POST-GRADUATION SÉCURITÉ INFORMATIQUE SPÉCIALISÉE EN

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Menaces du Cyber Espace

Indicateur et tableau de bord

E-Commerce Tutoriels TABLE DES MATIÈRES. Tutoriel 1 EC 1.01 Qu est-ce que le commerce électronique

CA ARCserve Backup r12

La biométrie au cœur des solutions globales

HySIO : l infogérance hybride avec le cloud sécurisé

Cegid OPEN SECURITE PREMIUM

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

Firewall Net Integrator Vue d ensemble

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

FAIRE FACE A UN SINISTRE INFORMATIQUE

Gestion des mises à jour logicielles

Les enjeux de la sécurité informatique

INTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Trusteer Pour la prévention de la fraude bancaire en ligne

De vous familiarisez avec les concepts liés aux droits des consommateurs.

Montrer que la gestion des risques en sécurité de l information est liée au métier

Transcription:

Pourquoi parler de sécurité Si vous ne pouvez expliquer un concept à un enfant de six ans, c est que vous ne le comprenez pas complètement - Albert Einstein La sécurité - Pourquoi Pourquoi la sécurité (suite) PME Confiance Affaires Mais aussi... PME Protéger la réputation Eviter des pertes financières Satisfaire aux exigences légales, assurances Clients Marché Il est important de noter que nous ne protégeons pas nos biens pour des besoins de sécurité mais nous appliquons des mesures de sécurité pour protéger nos biens e-business / e-commerce 3 4 La sécurité informatique, une entrée en matière La sécurité = {mesures} permettant d assurer la protection des biens / valeurs. 5 6

Informations (données) Les biens à protéger... 0000000 000000 000 000000 000000 00000000000 000000 Catalogue de services Offres Commandes Contrats - Données clientèles Données financière - Données stratégiques - Données privés des employés (Salaires) - Données de productions Systèmes permettant de traiter, stocker et gérer l information La sécurité, une entrée en matière La sécurité = {mesures} permettant d assurer la protection de l information & Systèmes la confidentialité, l intégrité, la disponibilité, {L authentification. Application Serveurs - Stations de travail - bases de données - Réseaux internes et externes - Bandes de sauvegarde - CD-ROM/Disquettes imprimantes 7 8 Se protéger contre qui Ouaaaa!! Je ne le crois pas, regarde on est dans le système informatique du Père Noël...Bon, fais ta liste!!!!! 9 0 Externes Internes Externes Internes Pirates Saboteurs Concurrents Anciens employés Organisations criminelles Employés mécontents Fraudeurs Complices / Espions Innocents employés Employés en transit Travailleurs à domiciles Compagnies de nettoyages Compagnies de maintenances Déménageurs Visiteurs

Classes de menaces Actes malicieux, calculés, volontaires Se protéger contre quoi Evènements involontaires - Accidents (Faute à pas de chance) 3 4 Enquêtes Incidents informatiques frappant les entreprises européennes Codes cachés 78 % Erreurs d utilisation 6 % Erreurs de conception (Bogues) 38 % Pannes internes 37 % Evènements naturels % Abus ou fraude d un utilisateur en interne 6 % Piratage (intrusion) 8 % IDC - 00 Menace : Action, événement, entité pouvant porter préjudice à ce que l on désire protéger (information, Sytèmes informatiques, Entreprises ) Une menace est générique (ne dépend pas du contexte) Une menace ne peut s exécuter toute seule. 5 6 Vulnérabilités Vulnérabilité : Réactif (faiblesse) permettant à la menace de s exécuter Une vulnérabilité dépend du contexte L essence même de la sécurité est d identifier et réduire la présence de vulnérabilités. Absence ou manque de procédures organisationnelles Absence ou manque de procédures et mesures techniques Ex: Ex: Absence de support et compréhension du management Absence du suivi des problèmes et solutions, Absence de politique de sécurité Fichier de traces non configurés / non contrôlés, Absence de programme de sensibilisation, Présence d utilisateurs fantômes, Absence de personnel qualifié, Absence ou faible niveau de ségrégation du réseau,... Manque de contrôle des fichiers téléchargés, Absence de contrôle des médias de sauvegarde, Présence de service non requis sur les machines, Absence de tests négatifs,... 7 8 3

Faut-il se protéger et jusqu à quel niveau Tout dépend de notre environnement, de nos besoins propres. Comment définir ses besoins en sécurité Face à un risque, trois types de réactions possibles: L ignorance complète des risques La protection totale La gestion de risques En passant par une gestion des risques 9 0 Principes de bases Exemple: Quel est le risque pour votre entreprise que des systèmes d informations (serveurs, stations de travail) soient infectés par un virus Un risque n existe que dans le cas où ses trois composantes sont présentes: Un Bien, une Menace et une Vulnérabilité. Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l impact. L acceptation d un risque est, en soi, un risque Pour votre entreprise Fonction du marché / environnement Fonction de la présence de vulnérabilités Niveau de Risque IMPACT PROBABILITE FAISABILITE H: Haut M: Moyen F: Faible Le pire des risques est celui dont vous ignorez l existence Sécurité Organisationnelle Analyse de risques Politique de sécurité Organisation Sécurité des utilisateurs Gestion des utilisateurs / mots de passe ou authentifications Utilisateurs internes / externes fortes Sécurité Applicative Definition des profiles /roles E-Applications / E-Services Verification des autorisation, Tenir compte des contraintes liés à votre environnement Le budget octroyé L environnement technique Les ressources disponibles La politique de sécurité de l entreprise Les nouvelles vulnérabilités introduites Chiffrement des données Sécurité des serveurs Stations / Serveurs / Bases de données Infrastructure réseau Unix/ NT fortification La sécurité réseau Firewall & détecteurs d intrusions Chiffrement en ligne 3 4 4

Questions à prendre en considération dans le choix d une solution Fiches de risques organisationnelle Liste des mesures potentielles Identification des contraintes Liste des mesures applicables physique Quel problème est-ce que la solution permet de résoudre Comment est-ce que la solution permet de résoudre le problème Quels autres problèmes la solution permet de résoudre Quels nouveaux problèmes la solution engendre Quels est le coût de la solution Est-ce que la solution vaut la dépense technologique (IT) 5 6 L ouvrage étudie et répond à ces questions pour les mesures de sécurité suivantes: Mécanismes d authentification Mot de passe statique Générateurs de codes dynamiques Cartes à puce Systèmes biométriques Signatures digitales et infrastructure à clés publiques Authentification unique et administration centralisée La Cryptologie la cryptographie symétrique la cryptographie asymétrique la cryptographie hybride SSL, PGP, VPN la stéganographie La sécurité des réseaux firewall détecteurs d intrusions La sécurité du commerce électronique paiement par carte de crédit monnaie électronique Implémentation et gestion de la sécurité 3 scénarios envisageables: Utilisation de ressources internes Outsourcing (hébergement) Utilisation de ressources externes Le Copyright sur l Internet 7 8 Contacts & liens Conclusion S il fallait mentionner deux qualités essentielles de tout bon responsable ou consultant en sécurité, ce serait la paranoïa et le bon sens. La paranoïa pour pouvoir identifier le plus grand nombre de scénarios de désastres et de vulnérabilité exploitables. Le bon sens pour pouvoir mitiger ces scénarios, identifier des priorités et des mesures de sécurité réalistes et cohérentes pour l environnement étudié. didier.godart@skynet.be http://users.skynet.be/fa0454/livre_securite.html Didier Godart Consultant http://www.ecci.be 9 30 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back