n 27 La Lettre Sécurité Édito De la réaction à la détection / réaction, le nécessaire changement de posture du RSSI! Les initiatives sécurité ont lontemps consisté à définir et mettre en œuvre des plans de protection. Les différentes briques du système d information ont chacune leur tour fait l objet de projets d ampleur avec un objectif commun : les protéger face à des menaces connues et comprises. Ces briques permettaient d atteindre un niveau d assurance raisonnable de sécurité vis-àvis d attaques diffuses telles que des virus. 2012 l a bien montré, les menaces se multiplient et évoluent rapidement. Il devient également impossible de protéger l ensemble du système d information vue sa taille et l augmentation de sa surface d exposition. Il est donc contreproductif d essayer de se protéger à tout prix, il est nécessaire de changer de posture et d adopter une approche alliant protection, détection et réaction pour obtenir le «cocktail» le plus efficace. Se doter des moyens de détection de signaux faibles sur les infrastructures et dans les applications, construire une cellule à même de surveiller en continu le SI, définir et tester des processus de gestion de crise, voilà les grands chantiers que les équipes SSI sont en train de construire pour concrétiser cette nouvelle posture alliant détection et réaction. Gérôme Billois, Manager au sein de la practice Sécurité & risk management Sensibilisation à la sécurité de l information : où en sont les entreprises? La protection du patrimoine informationnel de l entreprise contre les différentes menaces, qu elles soient internes ou externes, est devenue un enjeu majeur pour les entreprises. Si de nombreuses solutions techniques et organisationnelles sont déjà en place, le maillon faible est souvent le comportement des utilisateurs! La sensibilisation des collaborateurs est donc un élément clé de la démarche de sécurité de l information. Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation? Pour répondre à ces questions, Solucom a analysé les pratiques de près de 25 grandes entreprises françaises. Sensibiliser, mais à quel prix? Affiches, e-mails, jeux, etc., il existe une multitude de moyens de sensibilisation présentant chacun leurs avantages et leurs défauts. Largement plébiscité par 78% des entreprises du panel étudié, l e-mail est le vecteur de sensibilisation le plus utilisé. Facile à déployer, peu coûteux, il n est néanmoins pas suffisant pour garantir l efficacité d une campagne de sensibilisation à la sécurité de l information. Ainsi, plus de 60% des entreprises optent pour la mise en place complémentaire d évènements sécurité et de contenu dynamique sur intranet, la diffusion de plaquettes et de fiches pratiques. Seules 25% des entreprises utilisent des solutions plus élaborées telles que la diffusion de contenu multimédia, la mise en place d e-learning ou encore le déploiement de jeux et de quizz. Comment expliquer l utilisation massive d emails qui ne seront pas forcément efficaces alors que la diffusion d un contenu multimédia assurerait un impact plus important auprès des collaborateurs à sensibiliser? La réponse tient en un mot : budget. Là où une campagne de mailing représentera un coût pratiquement nul pour l entreprise, le tournage d un clip vidéo de sensibilisation ou la mise en place d un e-learning peuvent s élever à plusieurs dizaines de milliers d euros, notamment en cas de recours à une agence de communication. Seules les entreprises ayant les budgets sensibilisation les plus importants peuvent donc s orienter vers cette solution. Suite en page 2 DÉCRYPTAGES P4 Continuité d activité : n oubliez pas d impliquer les ressources humaines! P6 Campagnes d audit de sécurité : comment trouver une aiguille dans une botte de foin?
Décryptage Les mêmes moyens de sensibilisation pour tous? Focus sur le Plan de Continuité d Activité (PCA) Seules 25% des entreprises utilisent l e-mail comme moyen de sensibilisation au PCA alors qu elles sont 78% à l utiliser pour la sensibilisation à la sécurité de l information. Cette différence tient dans le fait que la sensibilisation au PCA vise notamment à inculquer les réflexes à avoir en cas de sinistre informatique. Les supports dématérialisés ne seraient donc plus accessibles! Les plaquettes sont dès lors beaucoup plus utilisées. Cela illustre la nécessité d adapter les supports de sensibilisation, que ce soit en fonction de la cible visée ou des spécificités du sujet traité. La sensibilisation à la sécurité de l information et nouvelles technologies : une course contre la montre Web 2.0, réseaux sociaux, Bring Your Own Device, etc., ces nouvelles pratiques ne cessent de se développer au sein des entreprises, amenant avec elles de nouvelles menaces pour la sécurité de l information. La maîtrise des risques liés à ces services évoluant en permanence nécessite un effort constant pour rester efficace et ne pas subir l innovation. La démocratisation progressive de l utilisation de ces services au sein de l entreprise doit donc s accompagner d une sensibilisation à leur utilisation en toute sécurité. Parmi les usages récents, l utilisation des réseaux sociaux s est généralisée depuis 2008. 65 % des entreprises en autorisent maintenant l usage, majoritairement en en limitant l accès à certaines populations métier (55%). Mais ces outils ayant pénétré aussi nos vies personnelles, elles sont aujourd hui plus de 90% à sensibiliser leurs collaborateurs aux risques inhérents à leur utilisation. En revanche, le BYOD et les services de cloud computing personnels (Dropbox, Google Drive ) qui sont plus récents et moins répandus font encore peu l objet de l attention des utilisateurs : 12% des entreprises sensibilisent leurs collaborateurs au risque de fuite d information que représentent ces derniers, et seulement 8% les sensibilisent aux risques du Bring Your Own Device. L un des grands enjeux de la sécurité de l information aujourd hui est donc, à défaut de pouvoir traiter immédiatement toutes les menaces, de tenter de réduire le délai entre leur apparition et leur prise en compte effective! Nouveaux utilisateurs, nouveaux défis Ce sont des nouveaux usages à surveiller particulièrement, car ils arrivent en entreprise en même temps que la génération Y, les digital natives nés dans les années 80 et au début des années 90. Particulièrement friands de nouveautés technologiques, complètement à l aise avec des outils qu ils utilisent au quotidien depuis de nombreuses années, les utilisateurs de la génération Y représentent un challenge de plus pour le RSSI face à la sensibilisation. Car si la nouvelle génération est globalement plus éveillée aux risques de sécurité que ses aînés de la génération X, elle n en pêche pas moins par excès de confiance et se révèle tout aussi vulnérable! Une évolution sociologique à intégrer tout autant que les évolutions technologiques Article rédigé en collaboration avec Loïc Dechoux, consultant Marion Couturier, consultante senior marion.couturier@solucom.fr 2 La Lettre Sécurité N 27 Octobre 2012
Pratiques de sensibilisation à la sécurité de l information des grandes entreprises en 2012 Octobre 2012 La Lettre Sécurité N 27 3
Dossier Décryptage Continuité d activité : n oubliez pas d impliquer les ressources humaines! Vincent Exposito, consultant senior vincent.exposito@solucom.fr Si la construction, le pilotage et le maintien en condition opérationnelle des Plans de Continuité d Activité (PCA) s articulent naturellement autour du métier et des systèmes d information, les problématiques RH en découlant sont trop souvent occultées ou insuffisamment traitées. Cet aspect constitue en effet un volet essentiel du PCA : communication auprès des collaborateurs, maintien à domicile, chômage partiel, travail à distance, évolutions temporaires des contrats de travail sont autant de sujets qui sont à adresser en collaboration étroite avec la filière des ressources humaines. Préparer les dispositions applicables en anticipant les changements des conditions de travail Au-delà du sinistre lui-même et de ses éventuelles conséquences sur les personnes physiques, qui réclament naturellement un accompagnement particulier des Ressources Humaines,la continuité d activité appelle une contribution importante de leur part. Il est en effet primordial de retenir le postulat suivant : le déclenchement d un PCA entraîne très souvent des modifications des conditions de travail des collaborateurs ; repli sur un lieu différent du site habituel, maintien à domicile de collaborateurs, pic d activité ou réaffectation de personnels, etc. Ces modifications nécessitent d être anticipées, a minima préparées et idéalement validées par la filière RH. Plusieurs thématiques, le plus souvent liées au contrat de travail des collaborateurs, sont à traiter. En voici quelques illustrations : Nouveau lieu d exercice d activité pour les collaborateurs La continuité d activité peut être assurée au travers d un dispositif de repli sur un site alternatif plus ou moins éloigné du site nominal, auquel cas les problématiques de lieu de travail (prévues ou non dans le contrat de travail), de transport, de gestion de frais (liés au déplacement, à la restauration et à l hébergement des collaborateurs mobilisés), d assurance et d éloignement vis-à-vis des familles doivent être abordées et arbitrées. Solution de travail à distance depuis le domicile Dans des circonstances exceptionnelles évoquées par l article 46 de la Loi Poisson cette solution ne relève plus du «télétravail» et de ses conditions d exercice très encadrées. Néanmoins, le décret d application associé n étant jamais paru, les RH sont pertinentes pour adresser les aspects juridiques de cette solution. Modification du temps de travail L exercice d une activité secourue amène le plus souvent une modification du temps de travail. La prise en compte de ces changements est une attente forte des collaborateurs concernés et doit être anticipée (primes exceptionnelles, paiement des heures supplémentaires, etc.). Interruption d activité prolongée Par construction, le PCA n assure le maintien que des activités les plus critiques. Dès lors, des activités resteront interrompues de manière plus ou moins prolongées. Les personnels concernés seront de fait sans activité, à moins d avoir été mobilisés sur d autres activités. Se posent les questions du maintien de salaire, de l exploitation des mécanismes de RTT ou de congés payés, du recours au chômage partiel, etc. Là encore, les RH seront force de proposition sur les dispositions à appliquer et sur les conditions de leur mise en œuvre. Construire la boite à outils RH du PCA Une bonne pratique consiste à constituer, pour et avec les acteurs des Ressources Humaines embarqués dans la gestion de crise, une «boîte à outils» regroupant toutes les informations utiles à la mise en œuvre les dispositions RH d accompagnement du PCA. Sous la forme de fiches pratiques, de procédures et de modèles types, cette «boîte à outil RH» vise à accroître l efficacité et la sensibilité des acteurs RH et de leurs suppléants et, plus largement, à renforcer le dispositif de continuité élaboré. Impliquer et sensibiliser le management et les IRP Au regard des impacts potentiels des différentes dispositions RH envisageables, il convient de présenter et d arbitrer avec le management les modes de réponse à retenir dans le contexte de l organisation. Par ailleurs, la substance de ces dispositions devra être évoquée aux Instances Représentatives du Personnel (IRP) afin de clarifier les principes RH pressentis en cas de déclenchement du PCA. Ces présentations constituent pour le Responsable PCA une très belle opportunité de sensibilisation au PCA et à ses enjeux, étant entendu qu il ne s agit pas de modifier les conditions de travail mais d identifier les ajustements provisoires déployés pour contribuer à assurer la survie de l organisation. L expérience montre que, même si les collaborateurs font souvent preuve de compréhension et d empathie lors de sinistres, l anticipation et la préparation des situations facilitent le traitement de la crise. In fine, la mobilisation de la filière RH permet d affiner si nécessaire la stratégie de continuité en l alignant avec la règlementation et les pratiques RH de l organisation mais surtout de la légitimer auprès de l ensemble des collaborateurs. Enfin, cette contribution doit s inscrire dans la durée, en impliquant la filière RH dans la gouvernance de la continuité d activité. 4 La Lettre Sécurité N 27 Octobre 2012
Décryptage Externaliser la sécurité, oui, mais dans quel objectif? Matthieu Garin, manager matthieu.garin@solucom.fr La sécurité suit aujourd hui la tendance générale qui vise à externaliser de nombreuses fonctions du périmètre historique du SI (messagerie, applications métiers ). Force est de constater qu elle n est plus un frein à sa propre externalisation. Les principaux risques que craignaient les RSSI il y a encore quelques années peuvent désormais être maîtrisés. À condition bien entendu de respecter quelques règles d or acceptées par la plupart des fournisseurs : engagement de réversibilité, clauses d audit, mécanismes de suivi des SLA et certifications des fournisseurs... Le RSSI n a que l embarras du choix : il est aujourd hui possible d externaliser quasiment tous les services imaginables en termes de sécurité opérationnelle. Mais alors que doiton externaliser, et pourquoi? Externaliser pour rationaliser Depuis des années, les entreprises font appel aux MSSP (Managed Security Service Providers) pour gérer leurs infrastructures sécurité : management du parc de firewalls, surveillance des consoles anti-virus et des IDS Ces fournisseurs, tirant partie de leurs nombreux retours d expérience, proposent aujourd hui des offres totalement packagées et industrialisées. La mutualisation de leurs ressources et processus permet d optimiser les coûts, à tel point qu aujourd hui les business cases penchent quasi-systématiquement en faveur de l externalisation! Et l industrialisation pourrait encore aller plus loin avec le marché des SecAAS (Securityas-a-Service). Ces «nouveaux entrants» ne se limitent pas à la gestion des infrastructures, mais fournissent directement des mesures de protection dans le cloud (filtrage web, messagerie sécurisée, authentification forte ). Leurs clients peuvent ainsi bénéficier de tous les avantages du cloud (mutualisation, optimisation, flexibilité ) tout en réduisant le coût de l exploitation de leur infrastructure. Externaliser pour mieux se protéger Paradoxalement, l externalisation peut même avoir comme objectif premier d augmenter le niveau de sécurité... en tirant partie de la vision globale, inter-clients, des MSSP. Il s agit de confier à un MSSP la surveillance de l infrastructure sécurité, lui-même disposant d une vue sans pareille sur l actualité du monde de la cybercriminalité. Les grandes entreprises doivent désormais connaître les nouvelles menaces en temps réel et être en capacité de réagir en cas d attaque. Les MSSP leaders du marché ont compris l importance de ce changement et ont structuré leurs offres autour de leur connaissance du monde de la cybercriminalité (affiliation aux réseaux de CERT, présence sur les forums «underground», déploiement de réseaux de sondes dans le monde ). La surveillance des infrastructures de leurs clients ne se limite plus à l administration d outils SIEM (Security Information and Events Management) : les filtres de surveillance sont mis à jour au fil de l actualité, sans se limiter aux comportements définis préalablement avec leur client. De même, les activités historiques de veille et de tests de vulnérabilités sont largement complétées : les vulnérabilités des clients sont désormais analysées en connaissance des menaces réelles et la surveillance peut être adaptée tant que la vulnérabilité n est pas corrigée. La valeur ajoutée sécurité est évidente : les clients bénéficient d une mise à jour constante de leur niveau de sécurité. Bien entendu, plus le nombre de clients du MSSP est élevé, plus le service devient pertinent. Il n est donc pas surprenant que le marché soit aujourd hui dominé par les grands fournisseurs anglo-saxons. Mais peut-être pas pour longtemps, ces derniers étant bousculés depuis quelques temps par les groupes indiens qui tendent aujourd hui vers des services performants à des prix plus compétitifs. Externaliser pour encore plus de valeur ajoutée Les services proposés par les MSSP tendent à s homogénéiser voire même à se standardiser. Il est de plus en plus complexe de négocier des SLA particuliers, ou d exiger des ressources spécifiques ou dédiées. Cette approche mutualisée est très efficace tant que les services portent sur la sécurité des infrastructures, cependant elle est fortement limitée lorsqu il s agit de protéger les besoins métiers spécifiques. Le «surmesure» est indispensable pour lutter contre les menaces les plus avancées et pour protéger de manière fine les applications critiques de l entreprise. Aujourd hui, il n existe pas d acteurs majeurs capables de surveiller les applications ou de détecter les fuites d information avec une vision métier. Peut-être ce marché est-il à la portée des MSSP français qui restent assez proches de leurs clients, avec des offres encore adaptables? Il est donc à la fois possible d optimiser ses coûts et d augmenter son niveau de sécurité en externalisant la sécurité des infrastructures. En revanche, sur le terrain de la sécurité applicative les clients devront encore attendre! Les fournisseurs externes sont en effet encore trop loin des enjeux métiers de leurs clients. Octobre 2012 La Lettre Sécurité N 27 5
Décryptage Campagnes d audits de sécurité : comment trouver une aiguille dans une botte de foin? Benoît Marion, consultant senior benoit.marion@solucom.fr Rien ne ressemble plus à une campagne d audit qu une autre campagne d audit Pas si sûr! À chaque campagne ses objectifs propres, desquels découle la démarche à adopter. Chercher dans la bonne direction À quoi peut servir une campagne? Deux objectifs se dégagent principalement de celles que nous avons réalisées : soit mesurer le niveau de sécurité sur un échantillon de thèmes et cibles techniques, à consolider ensuite en risques à destination des métiers, soit à l inverse évaluer à partir des processus métier les vulnérabilités techniques pouvant porter atteinte à leurs enjeux. Deux objectifs distincts, qui induisent des approches différentes lors du cadrage : soit basée sur les cibles techniques, soit sur les actifs et processus métier à protéger. La phase de cadrage se révèle alors clé dans l efficacité de la campagne et l atteinte de ses objectifs. Afin de donner de l intérêt et du relief aux constats, les périmètres à enjeux forts doivent être privilégiés. D un point de vue plus pragmatique : il s avère important d aller dans les détails dès le pré-cadrage, pour identifier non seulement la charge à prévoir, mais aussi valider l intérêt de la cible, et s intégrer le cas échéant dans le cycle projet de la cible. Il faut trouver l aiguille et non pas brasser du foin! La tendance actuelle est de raccourcir la durée des audits, dans le but de livrer une synthèse des points les plus saillants, par opposition à un rapport exhaustif de 200 pages Enfin, une campagne d audit demande de rester flexible pour faire face à l imprévu : il faut conserver une marge de manœuvre afin d absorber les extensions de périmètre ou les demandes de dernières minutes justifiées par l actualité ou les incidents. Savoir faire preuve de souplesse et d efficience dans la recherche Si le cadrage doit être précis, le savoir-faire des auditeurs ne se limite pas à dérouler un plan prédéfini! Il leur incombe de faire preuve d agilité par rapport au périmètre défini, pour passer moins de temps sur les parties peu vulnérables ou peu critiques, et se concentrer sur les sujets intéressants (présence de vulnérabilités ou criticité élevée). Un autre aspect où la souplesse est de mise : la gestion des ressources. Le démarrage de la campagne, focalisé sur le cadrage, nécessite une forte présence du pilotage mais peu de réalisation d audits. Une réduction des ressources peut par ailleurs être anticipée sur les périodes creuses. Enfin, le pilotage doit s assurer de remonter en temps réel les alertes relatives aux vulnérabilités les plus critiques mises en évidence. Les objectifs ont-ils été atteints? En fin de campagne, le bilan doit être fait sur deux aspects. En premier lieu sur la forme : intérêt a posteriori des cibles choisies? Améliorations à apporter au déroulement de la campagne? Mais également sur le fond : quels sont les principaux risques identifiés? Quels sont les périmètres en danger, les enjeux ou processus à renforcer? C est bien lors de la consolidation de l ensemble des résultats que la campagne prend son sens, et la restitution finale doit apporter des réponses aux objectifs fixés lors du cadrage. La préparation de la campagne suivante peut ainsi s envisager après identification des axes d amélioration, et en capitalisant sur les périmètres d audit intéressants identifiés tout au long des audits : la prochaine fois, on trouvera l aiguille plus vite! 6 La Lettre Sécurité N 27 Octobre 2012
Témoignage Comment combattre la fraude à l assurance? François Bressac, consultant manager françois.bressac@solucom.fr Il ne se passe pas quelques semaines sans que l actualité nous le rappelle, un des sports national des Français est de frauder, notamment dans l assurance. Et tout comme en matière de délit routier, seule la peur du Gendarme est réellement efficace. François Bressac, expert assurance, nous explique. Qu est-ce que la fraude, qui sont les fraudeurs et quels en sont les impacts financiers? Le concept de fraude est très difficile à définir, la différence entre abus et fraude étant ténue. Certains avancent qu une fraude est associée à un «faux», c est-à-dire à un document falsifié ou indûment possédé permettant d obtenir une prestation non fondée. Pour fixer les esprits, disons que l abus est seulement constaté alors que la fraude est réprimée. Il serait très facile de stigmatiser une catégorie d acteurs en particulier. La fraude peut être réalisée sur l ensemble de la chaîne, depuis la déclaration à l assureur, à la prestation (en nature ou en numéraire) jusqu au moment de sa comptabilisation. Les fraudes les plus délicates à détecter étant celles des professionnels. Pour ce qui est de son impact financier, par nature, les assureurs comme les complémentaires, ne communiquent pas sur leur taux de fraude mais il serait compris, selon certaines sources entre 2 % et 3 %. En biens et responsabilités, elle est estimée à 2 milliards d euros par an et en automobile 30 000 sinistres matériels par an seraient frauduleux, un sinistre moyen coûtant un peu plus de 1000 euros! Quant à la CNAM, côté santé et prévoyance, elle estime économiser 200 millions d euros chaque année grâce à la lutte contre la fraude! Quelles sont les tendances en matière de nouvelles fraudes? En matière d assurance à la personne, deux nouvelles tendances apparaissent, l usurpation d identité (facilitée par l arrivée des nouvelles technologies) et la fraude «en bande organisée» issue de la coordination de l action de plusieurs professionnels, accompagnées ou non d une collusion avec l assuré. Quelle que soit la branche d assurance concernée, la lutte n est efficace que si elle est combinée sur 4 axes (prévention, détection, sensibilisation, réaction) ce qui suppose de disposer de personnel très formé, d un dispositif de veille technologique et juridique et d un SI très performant. Quels sont les meilleurs moyens pour lutter contre la fraude? Pour l heure on peut identifier des moyens de lutte très prometteurs. La systématisation des réseaux de prestataires agréés d assurance (réparateur auto, opticien ou dentiste agréé, etc.) est une bonne réponse car elle permet d encadrer les pratiques. Les prestataires agréés, en échange du respect d un cadre de pratiques de gestion, sont assurés d un chiffre d affaires. De plus, ceux-ci sont régulièrement audités et testés par des organismes externes. Les initiatives prises récemment par l ALFA (Agence de Lutte contre la Fraude à l Assurance) permettent le partage d informations entre les différents acteurs de l assurance afin de détecter plus facilement la fraude de la part de professionnels. Les systèmes de datamining, outils décisionnels permettant d élaborer des scores de potentialité de fraude, dédiés, constituent une réponse très intéressante. Peu encore d acteurs ont fait ce choix. Mais ceux qui ont tenté l aventure n ont eu aucune difficulté à rentabiliser leur projet (on parle de plusieurs centaines de milliers d euros). Malakoff Mederic a par exemple fait ce choix. Mais l avenir passera certainement par un SI de détection commun entre l ensemble des acteurs de l assurance, à condition, bien entendu, que chacun joue le jeu et mette à disposition ses données. Une ombre persistante réside cependant dans la faiblesse du cadre légal français. Dans des tribunaux encombrés, les atteintes aux personnes prennent le pas sur les affaires financières. Certains acteurs peuvent être privilégiés : la CNAM par exemple dispose de son propre pôle santé publique au sein du Parquet. Face à cette situation, l ALFA et les différents acteurs du marché ne ménagent pas leurs efforts pour faire aboutir leurs contentieux. Par défaut, une prévention ingénieuse sera le premier et dernier rempart. Octobre 2012 La Lettre Sécurité N 27 7
L actualité Solucom Événements Assises de la Sécurité - SecApp : réussir la transition vers la sécurité applicative (4 octobre 2012) La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Les équipes sécurité, historiquement centrées sur la protection des infrastructures, sont souvent éloignées des problématiques des études, des chefs de projet applicatifs et des développeurs. Les initiatives de sécurisation se multiplient (méthodes de développement, gestion des identités, analyses de risques projets, web application firewall, chiffrement des bases, tests et recettes, etc.) mais montrent rapidement leurs limites du fait de cette distance et des incompréhensions qui en découlent. Comment alors réussir la transition vers une sécurité applicative réelle et efficace? Quelle organisation mettre en place et où la rattacher? Comment l outiller? Ce que nous pouvons d ores et déjà affirmer : 2013 sera l année de la sécurité applicative! Cet atelier sera l occasion de revenir sur les enjeux de la sécurité applicative, sa concrétisation dans les DSI et avec les métiers et de projeter les évolutions d organisation nécessaires. Sébastien Bombal, Operations manager security & industrial system d Areva interviendra lors de l atelier pour partager ses retours d expérience opérationnels. Présentation par Gérôme BILLOIS et Matthieu GARIN Plus d informations : http://www.les-assises-de-la-securite.com Les Assises de l Ausim (Maroc) Atelier «la confiance numérique» (12 octobre 2012) intégrer l ère du numérique et adopter les nouvelles technologies comportent aussi des risques pour l entreprise : le système d information devient de plus en plus exposé et ouvert. D où la nécessité de bien identifier, évaluer et maîtriser ces risques et de sensibiliser les acteurs de l entreprise à la protection des données numériques. Les entreprises sont-elles préparées? Les utilisateurs sont-ils suffisamment sensibilisés? Quels sont les enjeux et défis de la loi 09-08? Quelles recettes pour gagner davantage la confiance des clients et des citoyens? Quelles données protéger et comment? Présentation par Gérôme Billois Plus d informations : http://lesassisesdelausim.ma Actualités Solucom Solucom ouvre un bureau au Maroc Solucom ouvrira à l automne son premier bureau à l étranger, au Maroc, à Casablanca. Cette ouverture concrétise les efforts de développement de Solucom dans ce pays et contribuera à développer notre proximité avec nos clients marocains. La sécurité de l information et la gestion des risques sont aujourd hui des sujets clés de notre développement au Maroc. L actualité législative de ce pays, en particulier dans le domaine de la protection des données à caractère personnel génère ainsi beaucoup d interrogations. Solucom annonce l extension à son site de Nantes de sa certification ISO 27001 sur les audits de sécurité Solucom a obtenu pour la 4ème année consécutive le maintien de la certification ISO/IEC 27001:2005 pour ses prestations d audits de sécurité des systèmes d information. Cette certification a été à nouveau confirmée suite à un audit de surveillance un an après le renouvellement de la certification. Cette année, elle a pour la première fois été étendue au périmètre nantais. Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, François Bressac, Marion Couturier, Loïc Dechoux, Vincent Exposito, Matthieu Garin, Benoît Marion. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN 1995-1975 La Lettre Sécurité revue de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, 100-101 terrasse Boieldieu La Défense 8 92042 Paris - La Défense solucom@solucom.fr http://www.solucom.fr abonnement : lettresecurite@solucom.fr