La sécurité des systèmes d information i en PME PMI Isabelle Hebert Roux, INEO Com Anthony Côme, CPS Technologies Pascal Vincent, M2GS Ludovic d Anchald, Apex CLUSIF / CLUSIR Rha La SSI en PME Page 0
Constats & Objectifs Constats : Une PME fonctionne en mode «réactif» Le Dirigeant est souvent pris dans une sorte de «tourbillon» au sein de son environnement (entre son marché, ses clients et ses concurrents) Or une politique de sécurité nécessite une réflexion en amont, «prendre le temps de se projeter». La démarche SSI est peu démocratisée à ce jour et est perçue comme un domaine pointu d experts avec des outils spécialisés Nous avons donc souhaité créer un support à l intention des PME : Dirigeants, Responsables Informatique, Responsables techniques non experts en sécurité informatique Objectifs de ce support: Apporter un éclairage, guider, évangéliser et donner des bases sur «Comment évaluer les niveaux de risque?», bâtir sa politique de sécurité adéquate Car aujourd hui : La sécurité n est pas la priorité stratégique des PME en matière d investissement et pourtant certaines données sont des informations stratégiques. CLUSIF / CLUSIR Rha La SSI en PME Page 1
Plan Etat des lieux (Perceptions du vécu de la SSI par les PME) Comment agir? Panorama des méthodes Quelques exemples d actions Retour d expérience de 10 PME Se faire accompagner Témoignage d une PME Quelques points de repère (hors présentation orale) CLUSIF / CLUSIR Rha La SSI en PME Page 2
Etat des lieux CLUSIF / CLUSIR Rha La SSI en PME Page 3
Qui sont les PME? Au sens communautaire, une PME c est «Toutes entreprises dont l effectif est < à 250» La problématique SSI ne se traite pas de la même manière, selon deux critères : La taille, avec 3 tranches: o < 50 Personnes (TPE) o 50 100 personnes o 100 200 Personnes Le profil : o Les PME familiales qui n ont pas la valeur des données mais des compétences humaines o Les PME aux métiers traditionnels qui ont une obligation de SSI car concurrence forte, activité d export, ou déjà eu un sinistre de pertes de données o Les PME dites «High-tech» conscientes des enjeux Des besoins de sécurité à tous les niveaux pour un enjeu de compétitivité similaire CLUSIF / CLUSIR Rha La SSI en PME Page 4
L3 Clusir RhA Club SSI, le 20/04/2011 Perception de la SSI dans les PME Ont des difficultés à évaluer les pertes, identifier les risques Ne sont pas persuadées que certaines de leurs données sont vitales pour l entreprise Perception de la sécurité : Complexe, peu compréhensible, a priori i coûteux Pas compris l intérêt, pas pris le temps, urgence ailleurs, l exploitation et le métier d abord Pas un sujet discuté avec les autres dirigeants Rapidité, simplicité = SI acheté au rayon GMS Investissent au coup ppar coup et souvent en mode «correctif»et «non préventif» (après un problème rencontré) Acheter un firewall + antivirus suffirait = le verrou est bien sur la porte, mais les habitants ont laissé la fenêtre ouverte Alors que la sécurisation d une entreprise ce n est pas uniquement du technique, c est d abord une entreprise humaine et de l organisation CLUSIF / CLUSIR Rha La SSI en PME Page 5
Diapositive 6 L3 Evoquer SSI <-> Sécurité informatique Ludovic; 18/04/2011
Pourquoi la sécurisation du SI est-elle indispensable dans toutes les PME? Les menaces classiques : Interruptions de service (combien de temps peut-on travailler sans son informatique?) Risque juridique (notamment vis-à-vis de l utilisation faite de son SI) Divers risques internes et externes : o virus et programmes malveillants o vols de données o escroqueries sur internet o cyber-terrorisme o attaques de concurrents o CLUSIF / CLUSIR Rha La SSI en PME Page 6
Et de nouveaux risques 4 L entrée en jeu d outils informatiques collaboratifs et nomades Un essor accru des menaces sur le Web, des attaques de plus en plus sophistiquées: Utilisation de sites web légitimes comme vecteurs d infection Les réseaux sociaux, une sécurité laxiste De plus en plus d exigences externes (commissaires i aux comptes, assurances, donneurs d ordres ) La montée en puissance de la dématérialisation Les besoins en sécurité ont évolué : Obligations, droit Responsabilité Risque (assurance) Norme (Marché logique Business) CLUSIF / CLUSIR Rha La SSI en PME Page 7
Diapositive 8 L4 ajouter sources Ludovic; 18/04/2011
ZOOM : vulnérabilités liées au e-travail et nomadisme Les outils de mobilité sont de plus en plus variés : PC portables, tablette PC, téléphones mobiles, Smartphone, PDA, carte 3 G Le travail à distance s impose : davantage de flexibilité dans l organisation, réactivité, productivité En moyenne : 20 % des collaborateurs sont nomades 9 % à domicile 35 % des entreprises donnent l accès à distance de leur SI Or, certaines flottes mobiles peuvent embarquer des données critiques pour l'entreprise Peu d entreprises à ce jour cumulent plusieurs modes de sécurisation : Source: Observatoire des usages TIC ENE o o A ce jour, moins d un tiers des Entreprises utilisent l authentification Forte et le chiffrement des échanges. =>Importances des authentifications des accès La gestion des mots de passe utilisateurs est très rarement renouvelée CLUSIF / CLUSIR Rha La SSI en PME Page 8
Quelques bonnes questions à se poser Est-ce que je connais les enjeux et les conséquences des pertes/vols/hacking /h de mes données SI? Est-ce que je sais analyser les risques liés à la sécurité de mon SI? Est-ce que je maitrise la sécurité des accès à mon SI? Est-ce que je sais cartographier les entrées / sorties de mon SI? Est-ce que je sais répondre (moyen humains/matériel/décisionnel) à une situation sécuritaire de mon SI? Est-ce que je sais prévoir des lignes de budgets pour sécuriser mon SI? CLUSIF / CLUSIR Rha La SSI en PME Page 9
Quelques chiffres 90% des entreprises sont attaquées 20% ont plus de 20 attaques par an 64% ont des pertes financières 44% des intrusions sont internes 80 % des pertes de données sont liées à l interne (faute involontaire..) Sources: Capgemini - 2008 CLUSIF / CLUSIR Rha La SSI en PME Page 10
Impacts de la non sécurité Peu d études concernant les PME CLUSIF / CLUSIR Rha La SSI en PME Page 11
Comment agir? CLUSIF / CLUSIR Rha La SSI en PME Page 12
Réfléchir avant d agir A. Se situer dans ses besoins en sécurité B. Définir un pilote de la SSI C. Choisir une méthode D. Faire un bilan / Analyse de risque E. Se situer dans le niveau d acceptation du risque F. Prioriser les actions Agir!! CLUSIF / CLUSIR Rha La SSI en PME Page 13
A. Se situer : une approche en deux étapes CLUSIF / CLUSIR Rha La SSI en PME Page 14
Etape 1: Quelle est l étendue de mon SI? Cas A Cas B Cas C Cas D Cas E Consultation Recherches d informations Site Web vitrine Visibilité de ma PME Site Web B to B Partage de données vitales Site Web e-commerce CLUSIF / CLUSIR Rha La SSI en PME Page 15
Etape 2: Variabilité des problématiques en fonction des métiers CLUSIF / CLUSIR Rha La SSI en PME Page 16
B. Choix du pilote : quelques bonnes pratiques Connaissance transversale de l entreprise indispensable Aptitude au pilotage de projets Etre volontaire Etre disponible (!) Expertise en technique informatique non nécessaire CLUSIF / CLUSIR Rha La SSI en PME Page 17
L6 Clusir RhA Club SSI, le 20/04/2011 C. Choisir une méthode Utiliser un existant Les méthodes : o Melissa o Méhari (Marion) o EBIOS o Ulysse Les Normes o ISO 27000 o PCI DSS en fonction de son niveau d acceptation du risque CLUSIF / CLUSIR Rha La SSI en PME Page 18
Diapositive 19 L6 EX: à rajouter Gestion des RH différentes pr 1 PME de 5 et 150 pers. Les brevets Ludovic; 18/04/2011
C. Choisir une méthode Panorama des méthodes CLUSIF / CLUSIR Rha La SSI en PME Page 19
MEHARI Méthode Harmonisée d Analyse des Risques Origine : CLUSIF. Dernière version : janvier 2010 Méthode : Découpage en Cellules (l'entité ; le site ; les locaux ; les applicatifs ; les services offerts par les systèmes et l'infrastructure ; le développement ; la production informatique ; les réseaux et les télécoms ) analyser les enjeux majeurs, étudier les vulnérabilités, réduire la gravité des risques, piloter la sécurité de l'information. (accès libre sur le site du CLUSIF) CLUSIF / CLUSIR Rha La SSI en PME Page 20
EBIOS Expression des Besoins et Identification des objectifs de sécurité Origine : ANSSI Méthode : L'étude du contexte : L'étude des événements redoutés L'étude des scénarios de menaces L'étude des risques L'étude des mesures de sécurité Développé pour le service public. Sources : http://www.ssi.gouv.fr/site_article173.html CLUSIF / CLUSIR Rha La SSI en PME Page 21
L7 Clusir RhA Club SSI, le 20/04/2011 ULYSSE Origine : Ceforalp Audit Sensibilisation du personnel Rencontres Dirigeants Pilotes Ateliers et Formations Interentreprises Synthèse d'audit Elaboration de la feuille de route de la SSI 56 h Ecriture et mise en œuvre du PLAN d'actions Accompagnement Individuel en Entreprise : formation-action intra-entreprise 6 mois 2 demijournées Diplôme 5 demi-journées BILAN, mesure des résultats Orientation Méthode adaptée aux PMO (PME, collectivités ) Contact : Ludovic d Anchald, Apex CLUSIF / CLUSIR Rha La SSI en PME Page 22
Diapositive 23 L7 Schéma processus avec echelle de temps Ludovic; 18/04/2011
ULYSSE CLUSIF / CLUSIR Rha La SSI en PME Page 23
Comparatif de choix d une méthode Mehari Ebios Ulysse Thèmes abordés Risques techniques et organisationnels Nombre de questions 120 Ressources externes nécessaires Formation à l utilisation et à la pérennisation Livrables finaux Actions de sécurisation Livrables intermédiaires Indicateurs quantifiés Feuille de route Nbre de déploiements 80 Reconnaissance Aucune CLUSIF / CLUSIR Rha La SSI en PME Page 24
LES NORMES Chaque domaine peut avoir son propre référentiel : Bancaire Transaction Web Assurance Sécurité Les normes ISO 27000 inscrivent la SSI dans la démarche ISO Générale, mais avec de bonnes bases méthodologiques pour organiser la sécurité dans l entreprise CLUSIF / CLUSIR Rha La SSI en PME Page 25
NORMES ISO 27000 Oi Origine i : ISO, BS 17799 Utiles aussi bien dans une logique SSI que PCA elles donnent des bases pour : Définir une politique de la sécurité des informations : SMSI Définir i le périmètre du système de management de la sécurité de l information Réaliser une évaluation des risques de la sécurité Gérer les risques identifiés Choisir et mettre en œuvre les contrôles La norme ISO 27002 Liste des bonnes pratiques peut constituer un très bon outil de conseils s et de préconisation o de mise en œuvre. CLUSIF / CLUSIR Rha La SSI en PME Page 26
E. Se situer dans le niveau d acceptation du risque Analyse de risques prise en compte, sous des formes diverses, dans chaque méthode citée plus haut. Exemple dans une des méthodes CLUSIF / CLUSIR Rha La SSI en PME Page 27
F. Prioriser les actions Exemple dans une des méthodes En jeu C charte A H vol B I chiffrement F logs J sécu. physique A Politique SI B veille D secours C E CNIL G applis postes D Ef f ort Investissement CLUSIF / CLUSIR Rha La SSI en PME Page 28
Démarche Ulysse : 8 ans de de SSI en PME Agir : Eclairages sur les actions de SSI de quelques q PME/PMO CLUSIF / CLUSIR Rha Page 29
Echantillon : 54 structures (PME/PMO pour la plupart) ont mis en œuvre la démarche Ulysse-SSI de 2003 à 2011 140 plans d actions, affectés à un «domaine» qui indique la nature du risque que le plan d action a vocation à réduire Risques organisationnels Hameçonnage Risques internes Risques externes Négligences Erreurs de manipulation Vol de fichiers Sabotage Comportement malveillant Détournement intentionnel Perte de clé USB Vol de fichiers Vol de mot de passe Campagne de désinformation 1 Usurpation d'identité Négligence prestataire Piratage Canulars Système d information Risques techniques Pannes Casses Bugs 3 2 Spam Virus Dénis de service Cheval de Troie Défiguration de pages web 80% des P.A. prennent de 1 à 4 mois CLUSIF / CLUSIR Rha Page 30
Domaines des plans d'action par période Peu d évolution en 8 ans Les risques techniques internes sont de plus en plus souvent traités en amont CLUSIF / CLUSIR Rha Page 31
Domaines des plans d actions par taille Peu d évolution en fonction de la taille Les risques organisationnels sont un peu plus souvent traités en amont chez les grosses PME CLUSIF / CLUSIR Rha Page 32
Les sous-domaines les plus rencontrés Sous-domaine Domaine P.A. Stratégie, Politique Risques organisationnels 15% Continuité et disponibilité de service Risques techniques externes 14% Sauvegardes Risques techniques externes 12% Organisation Risques organisationnels 11% Juridique Risques organisationnels 10% Internet Risques techniques externes 9% Réseau interne Risques techniques internes 6% Portables et systèmes mobiles Risques techniques internes 5% Postes de travail (y compris ordinateurs portables) Risques techniques internes 5% Systèmes ou serveurs Risques techniques internes 4% Sécurité physique Risques techniques externes 3% Fichiers bureautiques Risques techniques internes 2% Interconnexions autres qu'internet Risques techniques externes 1% Formation Risques organisationnels 1% Applications métier multipostes Risques techniques internes 1% 100% CLUSIF / CLUSIR Rha Page 33
Réalisation d une étude exploratoire auprès de 10 PME après la méthode Ulysse Les PME parlent aux PME CLUSIF / CLUSIR Rha La SSI en PME Page 34
Retours d expériences des PME sécurisées Une étude exploratoire pour mieux interpeller les PME non sensibilisées Marquer l impact Les grandes lignes de l enquête téléphonique: Mesure de la motivation des PME: A la suite d un problème survenu sur leur SI Une volonté de la Direction Principaux avantages: Programme de formation intéressant, les outils méthodologiques, l organisation i interne structurée Un seul inconvénient la politique de continuité: Difficulté à s auto gérer(tenir les échéances) Débloquer du temps Rigueur (S imposer des réunions régulières pour faire le point) Leurs conseils: Faire un diagnostic, S informer, S assurer de la continuité de la production en cas de sinistre Sans oublier de sensibiliser les utilisateurs En annexe l étude complète CLUSIF / CLUSIR Rha La SSI en PME Page 35
La SSI un domaine trop pointu? Et pourtant vous devez bâtir votre politique sécurité Mais Vous n avez pas de ressources internes expertes? Vous n avez pas beaucoup de temps à y consacrer? Vous n êtes pas sûr d investir là ou il faut? Vous avez peu de moyens financier? Vous ne savez pas comment vous y prendre pour démarrer? Vous devez sensibiliser vos utilisateurs? La solution : l accompagnement externe CLUSIF / CLUSIR Rha La SSI en PME Page 36
L accompagnement externe : pour «relever ses besoins» et déployer «une continuité d action» Le conseil privé: Un recours à des experts pour compenser son manque de connaissance dans le domaine Avec une mission précise et une durée dans le temps définie au préalable Choix entre des consultants indépendants, des cabinets de conseil, SSI spécialisés sur des cœurs de métiers Objectif : pallier au domaine peu maîtrisé et en toute confiance Un regard extérieur neuf, une expertise technique, une aide à la réflexion, des propositions d actions et des solutions opérationnelles Les apports S assurer des investissements en adéquation avec la politique de sécurité définie L accompagnement sur les processus méthodes en rapport avec votre organisation métier Le transfert de compétences avec la vérification de leur efficacité. Faire passer les bons messages à vos utilisateurs Etre conformes avec les contraintes juridiques (charte, normes ) L assurance d utiliser les méthodologies d audit avec un processus de continuité d action dans le temps Contribue au bon choix des réponses technologiques à externaliser ou pas A ce jour Le marché du conseil reste embryonnaire car peu démocratisé Une étude sur le conseil en PME place au 4 ieme rang, le domaine SI et technologies (au même niveau que la stratégie) derrière les RH, Marketing / commercial, la qualité / organisation. (Source Enquête c-idf). CLUSIF / CLUSIR Rha La SSI en PME Page 37
Quelques arguments en faveur d une démarche de SSI L investissement de départ peu être coûteux mais le ROI est assuré sur la finalité, en rapport du risque encouru (perte des données critiques) Mise en place de la politique de sécurité interne (charte info, architecture, infrastructure) Responsabiliser les utilisateurs, expliquer la finalité, les enjeux et risques Mises en place d une gestion de sauvegardes de ses données avec des règles (à une heure précise, changement de cassette ou bande et rangement dans un lieu hors site et spécifique) Mise à jour régulière de l ensemble des outils informatiques Prévoir et tester t ses plans de PCA et de PRA en cas sinistre. i Formaliser un PRA est un vrai plus pour les assurances. CLUSIF / CLUSIR Rha La SSI en PME Page 38
L8 Clusir RhA Club SSI, le 20/04/2011 Les RSSI conseillent les PME Une étude exploratoire sur le retour d expériences «le vécu terrain» des RSSI Réalisation d une enquête téléphonique auprès des RSSI Grands comptes Les grandes lignes de leur perception de la SSI en PME: Manque de méthode formalisée, pas d anticipation Problématique Humaine Manque de ressources compétences Manque de sensibilisation des utilisateurs Manque d informations sur la prévention Leurs préconisations: L importance de la protection de données Le niveau de sécurisation à adapter selon l entreprise et son métier Impliquer sa Direction, faire adopter la politique sécurité Utiliser des outils/ méthodologies nécessaires pour décliner une politique de sécurité En annexe l étude complète CLUSIF / CLUSIR Rha La SSI en PME Page 39
Diapositive 40 L8 Isabelle fait une synthèse Ludovic; 18/04/2011
Témoignage g Diagnostic informatique réalisé par une Sté de Services, Deuzzi, dans une PME multi-sites de 35 personnes Plan de travail conduit dans le cadre du diagnostic et des préconisations : o Présentation de la société auditée : métiers, organigramme des sociétés, liste des personnes, des fonctions et de leurs besoins. o Plan du réseau informatique détaillé : infrastructure des sites Liaisons intersites Liste des utilisateurs Liste des équipements et état (date achat, marque, modèle, garantie, ), par site, Rôle des serveurs CLUSIF / CLUSIR Rha La SSI en PME Page 40
suite Organisation de la sécurité o Accès physiques o Accès internet o Accès internes o Antivirus Anti Spam o Continuité du services : importance accordée et priorisation o Infrastructure physique o Doc, CD, classement, centralisation (historique) o Contrat de maintenance matérielle et logicielle o Licences (version, conformité, homogénéité o Niveau de service attendu o Infra logicielle : métiers (gestion commerciale, planning et interaction actuelle ou attendues), comptabilité (et interface), bureautique. La paie est externalisée (expert comptable) o Autres interfaces éventuelles CLUSIF / CLUSIR Rha La SSI en PME Page 41
Suite Site web et messageries Gestion des noms de domaines Hébergement du site, logiciel de création, y compris analyse des référencement des entreprises Organisation o Besoins des personnes et profils : un temps a été consacré à l interview de chaque personne o Partage d informations : partage de documents (doc techniques, drivers métiers, reporting, docs administratifs pour les appels d offre, documents plus confidentiels à accès restreints Tableau de synthèse : Permet de mettre en évidence les aspects : Techniques, fonctionnels et organisationnels i Permet de prioriser : L important Limportant Le critique CLUSIF / CLUSIR Rha La SSI en PME Page 42
Tableau de synthèse CLUSIF / CLUSIR Rha La SSI en PME Page 43
Merci de votre attention Questions et suggestions CLUSIF / CLUSIR Rha La SSI en PME Page 44
Points de repère CLUSIF / CLUSIR Rha La SSI en PME Page 45
Où se situe ma PME face à ma politique de sécurité? Les nécessités sécurité en fonction des situations Cas A Cas B Cas C Cas D Cas E Consultation Recherches d informations Site Web Site Web vitrine B to B Site Web Visibilité de ma PME Partage de e-commerce données vitales Protection du poste Serveur & Utilisateurs Protection de la Donnée Authentification Cas A + Protection Périmétrique Cas A +B + Protection Web Contrôle d intégrité Cas A + B + C Encryptions des échanges Cas A + B + C + D Payement sécurisé CLUSIF / CLUSIR Rha La SSI en PME Page 46
Investissements en fonction des typologies de PME et des risques métiers Coûts Le besoin d expertise externe croît avec le niveau de sécurité attendu PCI DSS ISO 27000 Périmétrique Certificat SSL PCA Anti-fishing Antivirus Firewall Anti- Spam Sécurité TPE PME Familiales PME Traditionnelles PME High Tech Grands Comptes Banques CLUSIF / CLUSIR Rha La SSI en PME Page 47
Quelques règles de sécurisation de base Eduquer les utilisateurs Déployer une politique avec des règles/ La charte informatique Analyser les accès physiques (visiteurs, stagiaires, gestion du personnel) Gérer les droits informatiques (Protection du réseau) Evaluer la population p nomade et les risques engendrés Gérer les sauvegardes avec des règles préétablies Placer son serveur dans une salle dédiée à l informatique, fermée et uniquement accessible par 1 ou 2 personnes Une démarche proactive Formaliser un PCA (Plan de Continuité d Activité ) anticiper et s assurer en cas de sinistre CLUSIF / CLUSIR Rha La SSI en PME Page 48
Exemple d enveloppe budgétaire En moyenne, pour un service managé L abonnement mensuel d un antivirus, est de 7 euros par mois (1 à 25 postes), Le firewall 1500 euros ( installé, configuré et managé) L'anti-spam managé coûte 40 euros par pack de 5 adresses de messagerie 10 euros par mois le giga pour la sauvegarde. CLUSIF / CLUSIR Rha La SSI en PME Page 49
Solutions de Sous-traitance (outsourcing) des fonctions du SSI Plusieurs niveaux : Externalisation partielle ou totale de la fonction RSSI Externalisation des données (traitement & stockage) Faire confiance à une société externe, c est un choix de stratégie de la PME Avantages : Se focaliser sur son métier sereinement Pas de préoccupations pour les mise à jour des outils informatiques Le bon sous-traitant est toujours à la pointe de la sécurité Cout? Pas d investissement mais un cout mensuel ou par trimestre et selon la solution choisie Inconvénients : Pas forcément toute la visibilité Ne remplace pas toutes les fonctions du RSSI, (réponses technologiques fiables) mais pas de réelle management interne. Pas de maîtrise sur la qualité de son sous-traitant Des contrats non contractualisés car pas de demande: Importance de valider ses attentes t en amont CLUSIF / CLUSIR Rha La SSI en PME Page 50
Typologies des sous-traitants Différentes prestations de services offrent des supports technologiques de sécurité Les constructeurs : mise à disposition de boitiers Les auditeurs (Audit théorique / test d intrusion) Les intégrateurs t : offre intégrée, é conseil et préconisation technologique, installation, configuration et maintenance Les opérateurs de services/ hébergeurs/ MSSP: ils «opèrent» le système sécurité de la PME. L accès internet passe par eux (Filtrage et authentification). Certaines sociétés sont à la fois des intégrateurs et opérateurs de services CLUSIF / CLUSIR Rha La SSI en PME Page 51