LA FRAUDE ET LES CYBER-ATTAQUES : UN SUJET MAJEUR DE PRÉOCCUPATION



Documents pareils
L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

Les cyber risques sont-ils assurables?

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Sécurité. Tendance technologique

Les Ateliers Info Tonic. La Sécurité sur Internet Mardi 11 Juin 2013

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE. 12 règles essentielles pour sécuriser vos équipements numériques

DOSSIER : LES ARNAQUES SUR INTERNET

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

Gestion du risque numérique

Attaques ciblées : quelles évolutions dans la gestion de la crise?

CHARTE INFORMATIQUE LGL

Gestion des cyber-risques

Atelier B 06. Les nouveaux risques de la cybercriminalité

politique de la France en matière de cybersécurité

L hygiène informatique en entreprise Quelques recommandations simples

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Menaces du Cyber Espace

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

27 mars Sécurité ECNi. Présentation de la démarche sécurité

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Sécurité informatique: introduction

Stratégie nationale en matière de cyber sécurité

La sécurité des systèmes d information

VIEW FROM SWITZERLAND ON FIGHTING CYBER CRIME

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

«Obad.a» : le malware Android le plus perfectionné à ce jour

Club des Responsables d Infrastructures et de la Production

La sécurité informatique

Progressons vers l internet de demain

ORDRES DE VIREMENT DES ENTREPRISES

ORDRES DE VIREMENT DES ENTREPRISES

HySIO : l infogérance hybride avec le cloud sécurisé

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

VISION : MULTILAYER COLLABORATIVE SECURITY *

s é c u r i t é Conférence animée par Christophe Blanchot

Politique de sécurité de l information

Note technique. Recommandations de sécurité relatives aux ordiphones

Big Data : se préparer au Big Bang

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Déjouer la fraude aux «faux» virements. MEDEF Lyon Rhône Mardi 28 avril 2015

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

PROTÉGER VOS BASES DE DONNÉES

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Management de la sécurité des technologies de l information

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

La sécurité de l'information

les prévisions securité 2015

Pour bien commencer avec le Cloud

LA SECURITE DE VOTRE ENTREPRISE

CHARTE WIFI ET INTERNET

Guide de Conduite éthique des Affaires Guide de bonnes pratiques en matière de gestion de l information

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Division Espace et Programmes Interarméeses. État tat-major des armées

escan Entreprise Edititon Specialist Computer Distribution

Les conseils & les astuces de RSA Pour être tranquille sur Internet

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Cahier des Clauses Techniques Particulières

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

Les vols via les mobiles

Présenté par : Mlle A.DIB

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

Modalités de transmission du pli par voie électronique

PRATIQUES ET USAGES DU NUMÉRIQUE DANS LES PME ET TPE

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

Livre blanc. Sécuriser les échanges


INDICATIONS DE CORRECTION

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Indicateur et tableau de bord

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

9 RÉFLEXES SÉCURITÉ

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Surveillance de réseau : un élément indispensable de la sécurité informatique

Sécuriser un équipement numérique mobile TABLE DES MATIERES

La cyberassurance reste aujourd hui un

CHARTE D UTILISATION DE L ESPACE MULTIMEDIA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Transcription:

LA FRAUDE ET LES CYBER-ATTAQUES : UN SUJET MAJEUR DE PRÉOCCUPATION Mercredi 24 juin 2015 UNE RENCONTRE DE LA COMMUNAUTÉ DIRIGEANTS DE PME-PMI Au-delà des risques «traditionnels» et bien connus (incendies, vols ), les entrepreneurs sont aujourd hui confrontés à des risques d une toute autre origine : les Cyber Risques. INTERVENANTS Alain Aubry, Directeur Technique, Gras Savoye Sud-Est Faisant désormais appel à des mécanismes de plus en plus sophistiqués et complexes, ces attaques peuvent avoir des conséquences destructrices pour une entreprise. Le saviez-vous? 55% des entreprises françaises ont été concernées par ces risques en 2014 (source : PWC 2014). La question n est pas de savoir si vous allez vous faire pirater mais quand! Quels sont les principaux risques? Quelles conséquences financières pour les sociétés? Quelles solutions pour vous protéger? Cet atelier a pour but de vous informer, de vous guider et d apporter des précisions à vos interrogations. Stéphane Chrobot, Chargé de Clientèle, Spécialiste Cyber Fraude Témoignage et retour d expérience d un agent de la DGSI (Direction Générale de la Sécurité Intérieure) Compte-rendu Grenoble Ecobiz - 28/04/2015 0

De nouvelles fraudes se développent comme la cybercriminalité, la fraude dite «au Président», ainsi que la fraude aux achats, obligeant les entreprises à toujours plus de vigilance. Dans les 24 prochains mois, les dirigeants français redoutent particulièrement la cybercriminalité. Cybercriminalité, de quoi parlons-nous? La cybercriminalité est le terme employé pour désigner l'ensemble des infractions pénales qui sont commises via les réseaux informatiques, notamment, sur le réseau Internet. Ce terme désigne à la fois : En 2011, le piratage de DigiNotar, l'autorité de certification avait été exploité pour générer plus de 500 certificats frauduleux, dont un utilisé pour intercepter les communications Gmail de milliers d iraniens. «L hacktivisme», interruption de service, messages idéologiques. Gains financiers vols de cartes de crédit, de données personnelles ou d entreprises. Hostilité entre Etats, destruction logique et/ou physique, vol de données stratégiques. Obtention de capacités d attaque, vol de mécanisme d authentification/certificats. «"Redoutez-nous!" est le La cybercriminalité en quelques chiffres message des Anonymous à 84% des attaques réussissent en moins d une journée ArcelorMittal, le géant de la sidérurgie. 69% des exfiltrations ont lieu en moins d une journée 256 jours sont en moyenne nécessaires pour détecter une attaque ciblée 63% des attaques sont signalées par un tiers 1,7 milliards d euros de pertes engendrées en France 3,12 millions d euros perdus en moyenne par violation de données d une entreprise en France La cybercriminalité et les risques métiers Notre hyper dépendance à l informatique (réseau, site web, e-commerce), l usage de nouveaux moyens de communication (token-cards, smartphones, réseaux sociaux) mais aussi les risques périphériques tels que le cloud computing, les data centers ou l utilisation du mode SaaS (Software as a Service) augmentent notre vulnérabilité. Tout chef d entreprise doit se poser systématiquement ces trois questions pour intégrer la cybercriminalité dans les analyses de risques métiers : Dans quel secteur mon entreprise évolue-t-elle et quel est son positionnement sur le marché? Quels sont les actifs qui peuvent représenter un attrait? Mes partenaires et/ou clients augmentent-ils mon attractivité? Les principaux risques identifiés sont : Le vol et la violation de la confidentialité des données Toutes les entreprises, quelle que soit leur taille et leur secteur d activité, sont exposées aux cyber-risques parce qu elles détiennent des données à caractère personnel ou des données confidentielles. La violation de la confidentialité des données (données personnelles, commerciales, bancaires ) peut résulter d un acte de malveillance externe (commis par un hacker) ou interne (par un employé) ou par la simple perte d un ordinateur ou d un smartphone. L indisponibilité du réseau informatique Toutes les entreprises sont dépendantes de leur système informatique. Qu il s agisse d un réseau partagé avec ses filiales dans le monde, ou que celui-ci soit propre à chaque entité, c est la colonne vertébrale de l entreprise. L indisponibilité du réseau peut être la conséquence d une attaque par Déni de Service (DoS), 1

mais également la conséquence d un virus informatique avec des impacts majeurs sur les résultats financiers de l entreprise, tels que les pertes d exploitation et/ou les frais supplémentaires consécutifs.» Les risques médiatiques pour l entreprise L utilisation des médias sociaux par les entreprises est un phénomène croissant. Les informations postées sur les réseaux sociaux ou dévoilées inopinément ou intentionnellement génèrent des réclamations de plus en plus nombreuses. L utilisation de ces sites engendre également des coûts relatifs à la gestion des droits d accès, ainsi que la nécessité, pour l entreprise, de mettre en place une Charte Informatique.» La cyber extorsion La menace d une attaque informatique, ou la demande de rançon pour empêcher la divulgation d informations deviennent monnaie courante. Il existe plusieurs typologies de cyber extorsion dont les plus répandues sont la menace d attaque par Déni de Service (DoS) et la demande de rançon contre la remise d une clé pour décrypter des données. Le hacker va exiger le paiement d une rançon contre la clé qui permettra de décrypter les données. La gestion des risques Un enjeu clé : changer le modèle de sécurité pour l orienter vers la détection et la réaction PARTICIPATION - suivi des menaces par un système de veille et des contrôles permanents PRÉVENTION - suivi des vulnérabilités PROTECTION - la sécurité maintient l objectif de lutter contre les risques majeurs DETECTION - supervision faite par la sécurité REACTION - privilégier la réactivité en acceptant la contre-partie, à savoir une perturbation générale. IMPUTATION des mécanismes sont implémentés sur les déclinaisons opérationnelles du modèle pour garantir l auditabilité. Une réglementation en évolution I. Protection des données à caractère personnel Le projet de règlement européen relatif à la protection des données à caractère personnel (DCP) et à la libre circulation de ces données est actuellement en discussion. La date prévisionnelle du vote est fixée au 1 er trimestre 2014 pour une entrée en vigueur au 1 er janvier 2016. Les obligations des entreprises : Notifier dans les 24h à la CNIL (Commission nationale de l'informatique et des libertés) et à chaque personne concernée par une notification individuelle toute violation de DCP. Conserver une trace documentaire de toute violation de DCP en indiquant son contexte, ses effets et les mesures prises. Nommer un délégué à la protection des données en charge de notifier toute violation à la CNIL. Prendre des mesures pour anticiper une prochaine tentative d intrusion. En cas de non application, les sanctions encourues pourraient aller jusqu à 1 million d euros d amende ou 2% du chiffre d affaires annuel. II. Protection des données de l entreprise Proposition de loi visant à sanctionner la violation du secret des affaires, adoptée en 1ère lecture par l'assemblée nationale le 23 janvier 2012. III. Protection de l état et des infrastructures vitales - Projet de loi de programmation militaire (publié le 02 août 2013). - Directive européenne NIS (publiée le 07 février 2013, à transposer en droit national par chaque état). 2

Le témoignage d un agent de la DGSI Un solide bon sens et des règles simples peuvent éviter bien des désagréments en matière de sécurité informatique. Les dix règles de base 1. Utiliser des mots de passe de qualité, c est-à-dire difficile à retrouver à l aide d outils automatisés, et difficile à deviner par une tierce personne. Ne pas le noter dans un carnet ou dans son smartphone! Sa durée de vie est de 45 jours. 2. Avoir un système d exploitation et des logiciels à jour : navigateur, antivirus, bureautique, pare-feu personnel, etc. 3. Effectuer des sauvegardes régulières permet si besoin d assurer la continuité de l activité. 4. Désactiver par défaut les composants ActiveX et JavaScript. 5. Ne pas cliquer trop vite sur des liens. 6. Ne jamais utiliser un compte administrateur pour naviguer. 7. Contrôler la diffusion d informations personnelles. L Internet n est pas le lieu de l anonymat et les informations que l on y laisse échappent instantanément! 8. Ne jamais relayer des canulars. Ne jamais relayer des messages de type chaînes de lettres, portebonheur ou pyramides financières, appel à solidarité, alertes virales, etc. Quel que soit l expéditeur, rediffuser ces messages risque d induire des confusions et de saturer les réseaux. 9. Soyez prudent : l Internet est une rue peuplée d inconnus! Si un correspondant bien connu et avec qui l on échange régulièrement du courrier en français, fait parvenir un message avec un titre en anglais (ou toute autre langue) il convient de ne pas l ouvrir. En cas de doute, il est toujours possible de confirmer le message en téléphonant. D une façon générale, il ne faut pas faire confiance machinalement au nom de l expéditeur qui apparaît dans le message et ne jamais répondre à un inconnu sans un minimum de précaution. 10. Soyez vigilant avant d ouvrir des pièces jointes à un courriel : elles colportent souvent des codes malveillants. Une des méthodes les plus efficaces pour diffuser des codes malveillants est d utiliser des fichiers joints aux courriels. Pour se protéger, ne jamais ouvrir les pièces jointes dont les extensions sont les suivantes :.pif (comme une pièce jointe appelée photos.pif) ;.com ;.bat ;.exe ;.vbs ;.lnk. À l inverse, quand vous envoyez des fichiers en pièces jointes à des courriels privilégiez l envoi de pièces jointes au format le plus «inerte» possible, comme RTF ou PDF par exemple. Cela limite les risques de fuites d informations. Mémo pratique L Agence nationale de la sécurité des systèmes d information met à disposition des outils facilitant l homologation de sécurité. o, Guide d hygiène informatique L ANSSI et la CGPME présentent douze règles essentielles pour la sécurité des systèmes d information des petites et moyennes entreprises. o, Guide CGPME les bonnes pratiques de l informatique L'Espace Numérique Entreprises créé en 2003 à l'initiative du Grand Lyon par la Chambre de Commerce et d'industrie de Lyon, la Chambre de Métiers et de l'artisanat du Rhône, le MEDEF, la CGPME et soutenu par la région Rhône-Alpes et la DRIRE proposent le programme SI PME aux entreprises qui le souhaitent. o Programme Système d Information PME 3

4

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back