Compte rendu de la table ronde :



Documents pareils
Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Contractualiser la sécurité du cloud computing

Les clauses sécurité dans un contrat de cloud

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Dématérialiser les échanges avec les entreprises et les collectivités

LA SIGNATURE ELECTRONIQUE

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Gestion des utilisateurs et Entreprise Etendue

Chapitre 1 : Introduction aux bases de données

3 Les premiers résultats des plans d'actions

Les clauses «sécurité» d'un contrat SaaS

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

LIVRET DE BIENVENUE SYNDICAT NATIONAL SILVER ECONOMIE 38, RUE DES MATHURINS PARIS. Ce document est réservé aux membres du Syndicat ASIPAG

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Panorama général des normes et outils d audit. François VERGEZ AFAI

Conditions générales d abonnement en ligne et d utilisation du site

Les enjeux de la dématérialisation en assurance

Prestations d audit et de conseil 2015

Tout savoir pour optimiser votre campagne d' ing B to B

Initiation aux bases de données (SGBD) Walter RUDAMETKIN

Tableau Online Sécurité dans le cloud

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

Contexte : «l e-business» TECHNIQUES DE MARKETING EN LIGNE. Contexte : «l e-business» Création de valeur 02/02/12

Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable.

A) Les modifications du champ d'application du Règlement n 1346

Principes de liberté d'expression et de respect de la vie privée

La carte d'achat dans les organisations françaises

I partie : diagnostic et proposition de solutions

Fiche de l'awt La sécurité informatique

État Réalisé En cours Planifié

LA (LES) LOGISTIQUE (S) Qu'est-ce que c'est? Que peuvent faire les pouvoirs publics? Michel VIARDOT WP 24 CEE/ONU mars

CHAPITRE VI : MODERNISATION DE L'INFRASTRUCTURE DES SYSTEMES DE PAIEMENT

JOURNÉE THÉMATIQUE SUR LES RISQUES

Conférence EDIFICAS. Le document électronique et sa valeur probante

Signature électronique. Romain Kolb 31/10/2008

Le standard d'échange d'annonces de covoiturage. RDEX- Ridesharing Data EXchange

L ERP global et proactif des Entreprises Moyennes

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

RDEX. Ridesharing Data EXchange Le standard d'échange d'annonces de covoiturage

ISO la norme de la sécurité de l'information

Lignes directrices relatives à la notion de personnes politiquement exposées (PPE)

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Cloud Computing. Veille Technologique

CONDITIONS GENERALES DE VENTE ET D UTILISATION

Pôle 3 : Mon cabinet, une entreprise performante

OBJET : Mise en œuvre du décret n du 26 octobre 2004 relatif à l'exécution des marchés publics par carte d'achat.

ET LA DÉLIVRANCE DU CERTIFICAT

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

"Questions & Answers" pour les actionnaires en Belgique. Formalités à remplir pour participer personnellement à l'assemblée Générale

Consultation de la CNIL. Relative au droit à l oubli numérique. Contribution du MEDEF

Alphonse Carlier, Intelligence Économique et Knowledge Management, AFNOR Éditions, 2012.

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

CONDITIONS GENERALES DE VENTE ET D UTILISATION

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Art. 2. Les vérificateurs environnementaux, tels que définis à l article 2, point 20) du règlement (CE), relèvent du régime suivant :

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD

La sécurité du «cloud computing» Le point de vue de Microsoft

Qu'est-ce que la normalisation?

L'identité numérique du citoyen Exemples Internationaux

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Louer et utiliser un Hébergement Mutualisé OVH (Version 1.0)

PLATEFORME MÉTIER DÉDIÉE À LA PERFORMANCE DES INSTALLATIONS DE PRODUCTION

LA COMPTABILITÉ DU COMITÉ D ENTREPRISE : DE NOUVELLES OBLIGATIONS DE TRANSPARENCE À PARTIR DU 1 er JANVIER 2015

Anticiper pour avoir une innovation d'avance : le leitmotiv de Pierre Jouniaux, entrepreneur du big data!

Dossier de presse L'archivage électronique

Malveillances Téléphoniques

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

Tiers de Confiance : importance pour le marché du SaaS et aspects légaux

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Veille Technologique. Cloud Computing

Développement d un réseau de prospection TUNIS, Janvier 2003 Paola Morris, Ceipiemonte

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Formation «Système de gestion des documents d activité (SGDA)»

Annexe sur la maîtrise de la qualité

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

AFP Economie - Mardi 15 Janvier :47 - Heure Paris (674 mots) ass-soc-gen

Glossaire. Acces Denied

Simplifier la gestion de l'entreprise

La responsabilité civile et l'entreprise

L'APPLICATION DANS LE TEMPS DES ASSURANCES DE RESPONSABILITE CIVILE

Autorité de Régulation des Communications électroniques et des Postes

Sécurité des Postes Clients

client. ECOUTE, SIMPLICITE, SERVICE... Pour ELCIA, l'accompagnement est la clé de la satisfaction ELCIA, le savoir-faire et l'écoute

L'opérateur Économique Agréé

Etude d impact CIL Volet «Effort» F.A.Q Foire Aux Questions

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

politique de la France en matière de cybersécurité

La qualité opérationnelle = Mobilité + Rapidité + Traçabilité,

Guide d'intégration à ConnectWise

Transcription:

Compte rendu de la table ronde : DU RISQUE SI AUX RISQUES BUSINESS Jeudi 5 mars 2015

SOMMAIRE Du risque SI au risque business. Pour le développement d'une culture numérique responsable Rui Teixeira Guerra, administrateur FNTC et associé gérant de Darwin.... p.3 Loyauté et confiance dans l environnement numérique : à la croisée des chemins Paul-Olivier Gibert, président de l'association française des correspondants à la protection des données personnelles (AFCDP)..... p.4 Du risque SI au risque business Alexandre Fernandez Toro, RSSI Grand compte, auteur du livre "Implémentation ISO 27001 et ISO 27002. Management de la sécurité de l'information"....p.6 Bonnes pratiques de certification, de conformité Jérôme Bordier, directeur associé de Sealweb. p.7 Combattre le phreaking Christophe Fornes, directeur général de Mémobox....... p.8 2

Pour le développement d'une culture numérique responsable Rui Teixeira Guerra, administrateur FNTC et associé gérant de Darwin. Les technologies de la confiance numérique et la bonne gestion du risque SI font bon ménage. Identités numériques, signature électronique permettent de créer une chaîne de confiance numérique permettant de réduire les risques SI, et les risques business associés. La Fédération nationale des tiers de confiance, qui devient une fédération internationale, traite de la confiance numérique, clé d'abordage de cette problématique de l'avènement du numérique. J'ai retenu une phrase, entendue il y a quelques mois de la bouche d'un officier des renseignements : «faire confiance c est bien, contrôler c est mieux», ce qui est un peu paradoxal. On se rend compte que quand on parle de confiance numérique, c'est qu'on met en place des mécanismes pour contrôler facilement et automatiquement ce qui se fait en numérique (signatures, documents, données, dates, décisions...). On construit la confiance numérique avec des outils qui permettent de faire confiance. Si la problématique de la confiance numérique est si importante, c'est que contrairement au monde physique, on n'a pas la personne face à soi, donc on ne peut pas l'identifier. L'intervention d'un tiers neutre, qui va être un médiateur d'une transaction, est donc essentielle. D'où l'apparition de la FNTC dans les années 2000 notamment à l'initiative de l'ordre des experts comptables. On a essayé de définir ce qu'est le tiers de confiance numérique. Il doit, premier élément, être reconnu par ses pairs et répondre à une charte d'éthique. Deuxième élément, la notion de neutralité. Troisième axe, le respect des normes et labels avec une traçabilité des actes et des audits externes réguliers. Quatrième élément, la notion de pérennité et de continuité de services associée à une notion de réversibilité. Le point de départ de la chaîne de la confiance numérique est l'identité numérique, le deuxième maillon la signature électronique, le troisième élément, la conservation de l'acte, et enfin, le dernier élément, la notion de preuve : elle est fondamentale puisque tous les autres éléments de la chaîne doivent être utilisables pour prouver quelque chose. Aux Etats-Unis, depuis 2013, plus de 300 millions de contrats électroniques ont été réalisés sur la seule plate-forme Docusign. Ces contrats ont une valeur proche de zéro dans toute l'europe continentale car l'approche Docusign est jugée juridiquement incomplète et risquée. Les avocats en France se sont donc demandé comment faire signer des contrats numériques à leurs clients simplement et dans de bonnes conditions. Le CNB a combiné la simplicité de la signature des plateformes américaines avec une approche technique et juridique, garantie par l'intervention de l'avocat. Ce genre de plateforme est possible grâce aux autorités de certification françaises, dont la majorité est membre de la FNTC. Pour parler maintenant de la notion de confidentialité des archives, elle implique à mon avis la notion de chiffrement. Chiffrement et archivage ne font 3

pas toujours bon ménage car le chiffrement protège la confidentialité mais introduit un risque de perte d accès à une archive, en cas de perte des clés de déchiffrement. Dans ce contexte global, comment gérer les risques? L'entreprise doit se soucier d'une bonne construction de la confiance numérique par l'utilisation d'identités numériques : Qui a fait quoi dans l'entreprise? À quel moment? Qui s'est logué sur le système? Cette identité est-elle fiable? Comment je crée cette identité? Comment je crée la preuve que cette personne a fait quelque chose? Comment je protège mes logs? Comment je protège mes traces? La notion de tiers est aussi pertinente à l'intérieur de l'entreprise au sens où moi, patron, je ne suis pas neutre dans cette gestion d'identité. C'est pour cela que beaucoup d'entreprises commencent à utiliser des autorités de certification externes tiers de confiance neutres - pour leur fournir des identités à l'intérieur de l'entreprise. Loyauté et confiance dans l environnement numérique : à la croisée des chemins Paul-Olivier Gibert, président de l'association française des correspondants à la protection des données personnelles (AFCDP) L'association a été créée en 2004, juste après la modification de la loi Informatique & Libertés de 1978 et en a repris la terminologie puisque cette loi a créé la fonction de correspondant à la protection des données à caractère personnel. Elle transposait en droit français une disposition d'une directive de 1995 qui permet de désigner un délégué à la protection des données à caractère personnel, chargé de veiller à la protection des droits et libertés des personnes par la bonne application de ses dispositions. L'AFCDP compte environ 600 adhérents et 1500 personnes physiques qui contribuent à ses travaux. Sa fonction est d'être la place du village du professionnel de la protection de la vie privée en France via notamment un réseau social associatif ou encore une université annuelle, lieu d'échange avec la CNIL et lieu d'échange d'expériences. La protection des données à caractère personnel est une obligation qui vient de la loi Informatique & Libertés y compris dans sa version initiale de 1978. Une entreprise a obligation de protéger les données à caractère personnel qu'elle utilise, qu'elle gère, sous peine de sanctions. Celles-ci sont pour l'instant relativement légères dans le cadre de la réglementation actuelle : au maximum 300 000 euros en cas de récidive. Un manquement peut toutefois provoquer un certain nombre de dommages d'image : il peut y avoir des sanctions ou même des avertissements publics de la part de la CNIL. Il y a donc cette notion de protection et finalement aussi de "risque SI" puisqu'une intrusion ou une perte de données peuvent provoquer des problèmes et se traduire par une difficulté "business". 4

On est dans une période de croisée des chemins pour plusieurs raisons. D'abord, parce que le cadre légal et réglementaire va évoluer. Un projet de règlement européen va instaurer un cadre légal uniforme pour l'ensemble de l'union européenne. C'est un changement important, utile et nécessaire parce que la loi de 1978 est fondée sur une territorialité ce qui pose un premier problème : une territorialité à l'échelle nationale est un cadre beaucoup trop restreint par rapport à la situation actuelle. La deuxième question que l'on peut se poser - mais ce sont des évolutions à échéance beaucoup plus lointaine - est de savoir si la notion de territorialité est encore pertinente à l'ère numérique. Un exemple très simple : on a longtemps pensé qu'une donnée était localisée sur un serveur uniquement. Maintenant, avec la logique du cloud, il y a de grandes chances qu'elle soit sur "n" serveurs avec des logiques de réplication entre ces serveurs. Un certain nombre de techniques de sécurité - en particulier chez Gmail - consistent par exemple à ne jamais conserver la totalité d'un mail sur un seul serveur mais sur plusieurs serveurs répartis un peu partout, et à la reconstituer par des algorithmes. Dans ce cas-là, quelle est la territorialité de la donnée? Le projet de règlement européen a de bonnes chances d'être adopté d'ici fin 2015. Quelles sont les principales évolutions de ce texte : la notion de territorialité européenne donc, celle d'"accountability" : les entreprises devront documenter les motivations, les analyses de sécurité sur les nouveaux traitements et cela remplacera très largement les mécanismes de déclaration préalable actuels. Il y a une nouvelle notion dont il faut bien mesurer la portée, c'est celle de portabilité des données : elle permettra à tout personne de demander à un organisme qui a des données à caractère personnel la concernant de les lui fournir dans un format réutilisable. Les données deviendront beaucoup plus facilement contrôlables par les individus et c'est un changement extrêmement important. Il y a aussi une discussion sur le montant des sanctions. Il est prévu qu'il soit en pourcentage du chiffre d'affaires mondial. Les éléments du nouveau règlement européen : moins de formalités préalables, une protection renforcée pour les individus, des sanctions plus fortes et un plus gros travail de documentation et de justification de la nécessité du traitement. Il sera aussi nécessaire de réaliser une analyse de l'impact potentiel sur la vie privée d'un traitement envisagé. 5

Du risque SI au risque business Alexandre Fernandez Toro, RSSI Grand compte, auteur du livre "Implémentation ISO 27001 et ISO 27002. Management de la sécurité de l'information" Je suis responsable sécurité des systèmes d'information d'une entité d'environ 2000 personnes au sein d'un grand groupe industriel. C'est de ce point de vue que je vais vous parler du "risque SI au risque business". Comment suis-je arrivé au risque business, sachant que je suis plutôt informaticien et que quand on parle de risque je pense plutôt au risque SI? J'y suis arrivé par le risque SI. Dans l'entité où je me trouve, nous avions un projet de certification ISO 27001 qui impose la mise en place d'un système de management de la sécurité de l'information. C'est ce projet qui m'a conduit vers le risque business. Une des toutes premières étapes de la 27001 est de faire une appréciation des risques en sécurité de l'information. Il existe énormément de méthodes pour cela et un ensemble de fournisseurs compétents et expérimentés en la matière. J'ai choisi la 27005 simplifiée et décidé de faire l'appréciation des risques moi-même en interne. L'appréciation des risques n'est pas scientifique, c'est une modélisation des risques. Ce n'est pas la méthode d'appréciation qui va vous faire trouver des risques dans votre SI ; elle va vous faire rencontrer les différents responsables dans l'entreprise et c'est eux qui vont vous aider à les trouver. L'appréciation des risques permet de mettre les choses à plat car chaque direction, chaque département, chaque employé a sa vision des risques qui est partielle. À son issue, ça permet de faire un plan d'action de traitement des risques : on établit une cartographie des risques et on identifie les différentes mesures de sécurité qu'on va mettre en place. Je suis ensuite allé voir le comité de direction et j'ai présenté les risques résiduels et les actions prévues. C'est là qu'intervient le lien entre risque SI et risque business car malgré le fait que j'aie demandé son avis à chaque membre du CODIR avant la réunion, on s'est rendu compte que j'étais passé à côté de certains risques qui n'étaient pas liés à l'informatique mais qui étaient surtout de gros risques business : je n'avais pas du tout pensé au recouvrement, or pas de recouvrement pas de trésorerie, pas de trésorerie pas d'approvisionnement et pas d'approvisionnement, pas de production industrielle. Le deuxième intérêt de rencontrer le CODIR a été de l'informer des aspects réels d'un plan de continuité de service. Appréciation et plan de traitement des risques ne sont que la partie émergée de l'iceberg dans la gestion de risque. En dessous, il y a les projets de sécurisation puis la sécurité opérationnelle que l'on met en place dans la durée pour préserver et faire monter en maturité la sécurité. La direction a plusieurs types de risques à gérer et c'est très important de lui faire comprendre que ce projet de gestion des risques va prendre plusieurs années. 6

Bonnes pratiques de certification, de conformité Jérôme Bordier, directeur associé de Sealweb Pour tout prestataire de service sur Internet, une des questions est de savoir "comment je garantis à mes usagers que mon service est de bonne qualité sécuritaire"? Cette question est relativement complexe. On a pas trouvé d'autre solution que des diplômes, donc, pour être clair, des audit de services pour garantir - sans pour autant dire qu'on est infaillible - qu'on a mis tous les moyens nécessaires en œuvre afin d'assurer au système d'information la plus grande maîtrise sécuritaire possible. Ces diplômes sont attribués soit à des personnes soit à des services soit encore à des produits. Les diplômes de personnes sont assez nombreux. Ils attestent de la compétence individuelle. Pléthore de gens en France ont aujourd'hui des compétences en sécurité dont on peut affirmer qu'elles sont bonnes car certifiées par des formations et examens. Certains diplômes visent les systèmes des entreprises et en particulier les services de confiance numérique. Certains connus comme l'iso 27001 ou moins connus comme la certification RGS. C'est un décret, "référentiel général de sécurité" de l'anssi. On peut aussi faire certifier ses services de confiance numérique par des normes de l'etsi, le label PASSI (Prestataires d Audit de la Sécurité des Systèmes d Information) ou pour le cloud par des labels de confiance comme Cloud Confidence. Enfin, il y a les diplômes de produits dédiés aux offreurs de logiciels et matériels. Je souhaite attirer particulièrement votre attention sur les diplômes relatifs à la qualité de la sécurité des systèmes d'information. La norme 27001, dont on a parlé précédemment, en fait partie. Toute certification est attribuée après un audit. On ne fait pas auditer une seule fois mais régulièrement car le plus difficile pour un prestataire est de garantir le niveau de sécurité dans le temps au regard de l'évolution permanente des problèmes de sécurité. Certification ETSI et qualification RGS (qui ne s'applique pas au BtoB) sont moins connues mais à terme, ce sera un enjeu plus critique. En effet, quand je fais des échanges avec ma banque, avec mon assurance, avec mon offreur de services sur Internet, ils me garantissent qu'ils sont bien du même niveau de qualité que le papier. Voire même plus sécurisés. Car quand on passe en électronique, on fait le travail des fournisseurs de services (assurance en ligne...). Progressivement, des services comme l'identité, la signature et l'eurodatage électroniques se mettent en place permettant d'obtenir le même niveau de valeur juridique que le papier. Ils ont intérêt à d'obtenir des labels de confiance français ou internationaux. Et on retrouve sur Internet, produisant des identités électroniques, toutes les institutions françaises. Les différents diplômes sont en cours de mutation, le contexte réglementaire européen en place depuis 15 ans évoluant. La Commission a voté en septembre dernier un règlement 7

européen, eidas, applicable à partir du 1er juillet 2016. Un organisme aura par exemple interdiction de refuser un document au motif qu'il est électronique. Il pourra par-contre organiser les procédures pour des raisons sécuritaires. On pourra auditer à partir de cette date tous les services d'identité numérique et de confiance numérique. Il existe d'autres diplômes un peu moins matures comme le label PASSI de l'anssi et Cloud Confidence qui est une garantie de non utilisation par un prestataire cloud des données personnelles à d'autres fins que celles définies... Combattre le phreaking Christophe Fornes, directeur général de Mémobox Le phreaking, qui consiste à pirater les PABX, permet à des tierces personnes d'entrer sur le système téléphonique d'une entreprise. Des robots composent des numéros au hasard et tentent une action quand le téléphone décroche de préférence à des moments où l'entreprise est déserte car le meilleur moyen de rentrer sur le PABX est de le faire par les messageries ou répondeurs. Les passerelles ainsi créées permettent d'effectuer un certain nombre de programmations sur le PABX et d'envoyer, dès la reprise du trafic, des appels qui sont re-routés à partir de l'autocommutateur et dont la charge financière sera assurée par l'entreprise attaquée. C'est un phénomène qui se produit un peu partout par vagues. Mémobox est spécialisé dans l'édition de solutions de "call accounting", notamment pour repérer ce genre d'attaque. Le phreaking n'est pas facile à détecter car, en général, il a lieu le week-end et l'entreprise ne s'en aperçoit que le lundi ou le mardi, en fonction notamment de la réactivité de l'opérateur téléphonique qui surveille également les lignes. Généralement il est trop tard et ça provoque des coûts assez importants. Les témoignages sont peu nombreux car les victimes ne tiennent pas à faire de la publicité. Parfois même elles ne s'en aperçoivent pas du tout. Les exemples que je vais donner sont ceux de nos clients : une communauté d'agglomération qui, en 2013, a subi un préjudice de 15 000 euros, une grande administration multi sites qui, en un week-end, a eu 2 400 appels sur l'un d'eux vers des mobiles étrangers, ce qui a provoqué une hausse de facture de 3750%... Certaines attaques entraînent des surcoûts de plusieurs dizaines de milliers d euros. Plus une société dispose de sites, plus elle a de chances de se faire hacker puisqu'elle dispose d'un grand nombre de SDA et que les attaques se font sur de la numérotation SDA. La première chose à faire pour prévenir le phreaking est de changer régulièrement les mots de passe et codes d'accès à la maintenance de son PABX. Ensuite, on peut mettre en place des solutions d'alerte par e-mail par exemple. Des systèmes d'assurance en cas de fraude existent également. 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back