éthique cybersécurité en entreprise



Documents pareils
AUDIT CONSEIL CERT FORMATION

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

5 novembre Cloud, Big Data et sécurité Conseils et solutions

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

politique de la France en matière de cybersécurité

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Catalogue de formation LEXSI 2013

Excellence. Technicité. Sagesse

La sécurité applicative

PASSI Un label d exigence et de confiance?

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

2012 / Excellence. Technicité. Sagesse

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

CATALOGUE DES FORMATIONS SECURITE INFORMATIQUE

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

L Agence nationale de la sécurité des systèmes d information

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

CATALOGUE DE FORMATION Information Security Risk Management IT Service Management Application Security Business Continuity

THEORIE ET CAS PRATIQUES

Menaces du Cyber Espace

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Cabinet d Expertise en Sécurité des Systèmes d Information

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

L entreprise face à la Cybercriminalité : menaces et enseignement

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Prestations d audit et de conseil 2015

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

SSO : confort ou sécurité?

Vers un nouveau modèle de sécurité

L analyse de risques avec MEHARI

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Des modules adaptés aux réalités des métiers de la sécurité de l information

Retour d'expérience sur le déploiement de biométrie à grande échelle

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014

LES METIERS DU NUMERIQUE COMMUNICATION ET MARKETING

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Module Projet Personnel Professionnel

Vector Security Consulting S.A

Systèmes et réseaux d information et de communication

INF4420: Sécurité Informatique

Panorama général des normes et outils d audit. François VERGEZ AFAI

impacts du Cloud sur les métiers IT: quelles mutations pour la DSI?

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

sommaire dga maîtrise de l information LA CYBERDéFENSE

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Gestion des Incidents SSI

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Recommandations sur le Cloud computing

Club toulousain 7 février Couverture organisme national

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

INDICATIONS DE CORRECTION

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

LES 11 COMPÉTENCES CLÉ DU COACH SELON LE RÉFÉRENTIEL ICF OBJECTIFS CERTIFICATION PRINCIPES ET ORIENTATIONS

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

La cybersécurité active. Guider les entreprises et organisations publiques dans leur transformation digitale de façon sécurisée

DÉPARTEMENT FORMATIONS 2015 FORMATION-RECRUTEMENT CATALOGUE. CONTACTS (+226)

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Club ISO Juin 2009

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Risques d accès non autorisés : les atouts d une solution IAM

Résultats test antivirus ESIEA

Présentation de la démarche : ITrust et IKare by ITrust

Catalogue des formations 2014 #CYBERSECURITY

ISO la norme de la sécurité de l'information

WHITE PAPER DES ASSISES 2011

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

Organisation de la Cyberse curite. E ric Jaeger, ANSSI/SDE/CFSSI Journe e SPECIF-Campus du 7 novembre 2014, CNAM, Paris

Tout sur la cybersécurité, la cyberdéfense,

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

CATALOGUE DE FORMATIONS

FORMATION FIBRE OPTIQUE

Aspects juridiques des tests d'intrusion

Mes logiciels d'entreprise dans le Cloud. Didier Gabioud

Plan d études du CAS SMSI Volée 2014

Politique de sécurité de l information

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

Attaques ciblées : quelles évolutions dans la gestion de la crise?

FORMATIONS EN SECURITE INFORMATIQUE

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

NF Service avis en ligne : la seule certification qui améliore la confiance à accorder aux avis de consommateurs

Transcription:

éthique cybersécurité en entreprise Eric Dupuis eric.dupuis@orange.com Consulting & Hacking Team - Orange Cyberdefense

2 regards de l éthique cybersécurité dans l entreprise les salariés avec des missions sensibles dans l entreprise ou pour l entreprise des entreprises & des services Ethique dans l entreprise Ethique pour l entreprise «Ethique» de l entreprise 2

des métiers de la cybersécurité au métier «du hacker» Gouvernance, Risque, Conformité > RSSI > Juriste > Risk-manager > Spécialiste SMSI > Spécialiste référentiel d entreprise Ingénierie > Chef de projet > Architecte IT > Architecte réseau > Intégrateur de sécurité > Expert solutions Veille > Consultant veille menace > Ingénieur veille technique audit > Auditeur technique > Auditeur organisationnel intervention opération > Opérateurs et experts solutions > Opérateur SOC > > CSIRT > Opérateur Forensic > Analyste post incident 3

cybersécurité tapis rouge pour les hackers «savoir attaquer pour mieux se défendre!» 4

le triptype «hacker-risk» en entreprise fraude, déviance, vengeance et autres petits tracas de la nature humaine Accès aux données et processus sensibles de l entreprise (RH, stock, logistique, R&D, Finances ) «la qualité» et «probité» de l intervenant 5 confiance n exclut pas le contrôle

des «hackers» avec une éthique professionnelle «irréprochable»! Loi fondement du professionnalisme Entreprises Internationales différences sur l esprit des lois Déontologie Morale Ethique Différences culturelles Liberté / responsabilité individuelle 6

retour sur la culture «hacker» et une classification «mythique» des hackers de la sécurité Ethique du travail Ethique de l argent Nethique passion / implication non appropriation «intellectuelle» libre circulation du savoir Hackers Hacktivistes : Crackers Lamer Script-Kiddies 7 GREY : WHITE Hackers : Hackers exploitant travaillant leurs trouvailles à la sécurisation à des fins des de preuves et de démonstrations systèmes, BLACK : Hackers communiquant (pénétrations conservant aux réelles les éditeurs informations, dans leurs des systèmes ou etc.... sans trouvailles exploitant nuisance). et leurs Motivés en leur trouvailles par laissant le jugement à le des temps fins porté hostiles, de sur corriger eux par les autres avant hackers, parasitaires, de ils rendre communiquent maffieuses, publics leurs terroristes... leurs travaux. prouesses (consultants, afin de se faire valoir mais services ne dégradent de l états, rien, chercheurs) ne compromettent... rien, ne divulguent rien des données auxquelles ils auraient pu accéder

Direction pour dérober, pénétrer, attaquer,, données, processus, métiers sensibles Communication Production R&D Commerce Ressources Humaines Administratif & Financier 8

quelques missions et «extrapolations hasardeuses» White Hats, Grey Hats to Barbouze 2.0 stress-tests, audits de solutions, de produits, de sites web tests de pénétration entrainement d équipes SOC enquêtes internes (Direction du contrôle et de l audit) 9 missions de réponse pour la légitime défense des missions d analyse IES missions de rétroingénierie de lutte anti-plagiat missions de «private cyber- detective»

l intégration dans le champs des métiers sécurité dans un cadre léger mais «visible» d ingénierie et de méthodologie Administrateur Système Intégrité Objectivité Confidentialité Compétence Opérateur Informatique Opérateur Réseau Développeur Ingénieur SSI auditeur SSI Intégrateur Sécurité opérateur SOC Ethical Hacker Pentesteur... Auditeur technique sécurité 10

Formation & Certification amélioration et validation des compétences de nombreuses et grandes écoles d ingénieurs des «Newbies» consolidation d expertises techniques BAC+5 Alternance Licence de spécialisation 11 Certified Ethical Hacker (CEH, LPT) GIAC (Global Information Assurance Certification) Penetration Tester (GPEN) Offensive Security Certified Professional (OSCP) des expérimentés expérience & certifications professionnelles

faire appel à des «Ethical Hackers» dans un contexte «contractuel» d expertise ou d audit Métier Equipe C onform ité référentiel de déontologie référentiel méthodologique référentiel métier de l audit (ISO 19011, ISO27001) intégration professionnelle dans une équipe cadre métier avec «ces valeurs» mentor et management par le défi revues d éthique cadre légal espace contractuel borné sur les responsabilités, les assurances. charte d éthique client 12

un référentiel de l Agence Nationale SSI Audit organisationnel et physique audit de conformité (27K, PCI/DSS, RGS ) Auditeurs Gouvernance, Risques, Conformité PCI/DSS, RGS, ISO Architectes IT & SEC Cloud, Application, Infra, réseau Auditeurs techniques Ethical Hackers Tests d'intrusion Audit d Architecture Audit de configuration cyberprofiling, menace globale, scénario défense en profondeur, architecture crypto et PKI, IAM Audit de code source études ciblées & orientées Web et Mobile configuration des équipements de bordure, des équipement s terminaux le référentiel PASSI Prestataires d Audit Sécurité des Systèmes d Information 13

Orange Hats Cyberdefense Team questions?

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back