Rdv tic cybersécurité

Comment lutter contre une menace technologique qui évolue en permanence?

Présenté par : Patricia Bohbot – CCI MARSEILLE PROVENCE

RENDEZ-VOUS CCIMP des TIC

Affichage des logos des partenaires

2

Le rendez vous des TIC est une des prestations proposées par la CCIMP pour faciliter l’appropriation des usages des TIC

• Prediagnostic etransformation• Ateliers• …

• Rendez vous des TIC• Démonstrateurs (ex : Ma bouTIC)• « Portail des usages : www.lenumeriquepourmonentreprise.com• …

• Actions collectives• …

L’OFFRE « TIC » DE LA CCIMP se décline en TROIS TYPES d’ACTION

Sensibiliser

Approfondir

Accompagner

3

La vision de la CCIMP sur la Cybersécurité

L’utilisation du numérique est maintenant généralisée dans l’entreprise, elle est source d’opportunités et d’ouvertures vers de nouveaux services et de nouveaux usages.

Maintenant l’entreprise doit aussi intégrer la gestion des risques que ces évolutions technologiques génèrent (vol de données commerciales, vol de savoir-faire, atteinte à l’image, perte de données sensibles…). Les attaques sont plus fréquentes, bien organisées et de plus en plus destructrices.

La responsabilité du dirigeant est engagée, il a pour obligation de protéger juridiquement ses données et de déployer les moyens nécessaire pour assurer la maintenance de leur sécurité.

Dans un monde de menaces, quelles mesures l’entreprise doit prendre en compte? Quelle « hygiène informatique » doit elle mettre en place pour assurer sa pérennité?

4

Le thème abordé aujourd’hui porte sur la famille d’usage Piloter l’entreprise

DEVELOPPER L’ACTIVITE

COMMERCIALEGERER LES

ACHATS

PILOTER L’ENTREPRISE

OPTIMISER L’ACTIVITE

5

Intervenants

Aurélien Leickman Vice Président CLUSIR

PACA RSSI

Jaguar Network

Frédéric Vilanova Membre du Comité de

Gouvernance du Territoire Aix Marseille

EffectiveYellow

Club Régional de la Sécurité de l’Information Région Paca www.clusir-paca.fr

6

1. Le contexte de l’économie digitale

2. La cybercriminalité s’industrialise

3. Des enjeux majeurs, des nouvelles règles

4. Adopter une démarche pragmatique

5. Questionnaire : les bonnes questions concrètes à se poser

Sommaire

Auteur

Auteur

7

Atteintes aux données à différents niveaux:- National: espionnage, militaire, diplomatique- Entreprises: espionnage industriel (intelligence économique?)- Personnel: données bancaires, biométriques, données sociales, identifiants, mots de passe.

1. Le contexte de l’économie digitaleLes fuites de données font la une des journaux:

Auteur

Auteur

8

Le constat

Nous évoluons tous dans un environnement « Hostile »

+40% d’actes cybercriminels

en 2014*

Sources : rapport annuel Symantec 2015


9

Paiement sur Internet

Identité Numérique

9

Mix vie perso/vie pro

Objets Connectés

Les comportements évoluent


10

Big DataEn local Sur le Cloud

1 Zettabyte = 1021 bytes

AnnéeNbre de Zettabytes

stockés dans le mnode2009 0.82011 1.92015 7.92020 35

En profitant de nouveaux environnements technologiques

Nouvelle façon de stocker, partager, traiter les données


11

La technologie profite aussi aux criminels: recrutement via les réseaux sociaux, revente de données …

Le partage des calculs permet de former des unités de calculs permettant de réduire les couts et les délais de cassage des moyens de protection

Mise à disposition en ligne « d’Exploits Kits » Les protocoles et algorithmes qui servaient à la protection d’hier (et

d’aujourd’hui) ne seront pas ceux de demain => arrivée de l’ordinateur Quantique (on a encore un peu de temps)

2. La cybercriminalité s’industrialiseTechnicité, innovation et partage des cybercriminels…

12

Chaque minute un système accède à un site web malicieuxToutes les 9 minutes une application “à risques” est utiliséeToutes les 27 minutes un malware inconnu est téléchargéToutes les 49 minutes des données sensibles sont exfiltrées d’une entrepriseToutes les 24h un host est infecté par un bot

Source : Check Point 2014 Security Report

Technicité, innovation et partage des cybercriminels…


13

$445 MdsCoût mondial de la cybercriminalité en

2013

Des entreprises ont subi au moins unincident potentiel de fuite de

données en 2013 (54% en 2012)

88%

Sources : Center for Strategic and International Studies – Checkpoint 2014 Security Report – Ponemon Institute

$145Coût moyen de la perte ou de la

compromission d’une donnée

500mJeux de données personnelles

volés en 2013

Quelques chiffres clés


14

16,3 Md$

Paiements « Card not present »:66% du montant de la fraude12% des transactions Source : The Nilson Report

500 m€

Focus sur la fraude aux paiements par carte


15

L’économie numérique ne se développera quesi les consommateurs ont confiancedans leurs fournisseurs de services

Les risques liés à la cybercriminalité apparaissent dans le top 10 des risques majeurs dans la gouvernance des grandes entreprises

La sécurité des données et des processus devient un argument commercial et un facteur de développement de l’économie numérique

La confiance, l’élément clé de l’économie numérique


16

- Particuliers- Marchands- Fournisseurs de service- Régulateurs- Gouvernements

Chaque acteur doit devenir « data responsable »

Des données fiables sont le carburant de l’économie

numérique

Nouvelles règles d’utilisation des données


17

SecuRePay DSP2

TokenisationP2PE

GDPR

Tokenisation paiements mobiles

LCENRGS

De nouvelles lois et des standards pour faire face aux nouvelles menaces

Nouvelles règles d’utilisation des données


18

Des moyens renforcés pour assurer la Cyberdéfense

Organisation opérationnelle

Enjeux majeur pour la Défense Nationale : cadre de la loi de programmation militaire


19

Intérêts fondamentaux défense et sécurité des systèmes d’information de l’état et des infrastructures critiques, crise informatique.

Confiance numérique, vie privée, données personnelles, cyber malveillance.

Sensibilisations, formations initiales, formations continues.

Environnement des entreprises du numérique, politique industrielle, export et internationalisation.

Europe, souveraineté du numérique, stabilité du cyberespace.

Stratégie Nationale pour la Sécurité du Numérique : 5 priorités


20

Biométrie Chiffrement des données

Tokenisation Coffres forts Numériques

Utilisation de la technologie comme moyen de réponse


21

Connaitre les risques de son métier• Avoir identifier et localisé les données sensibles

Et tout particulièrement:

• Une sensibilisation des utilisateurs pour une prise de conscience active et quotidienne des enjeux de sécurité

• Avoir un bon management et une bonne gouvernance de ses Systèmes d’Information

• Avoir une bonne connaissance et une bonne gestion de ses risques informatiques

• Disposer d’une définition des contre-mesures et des contrôles, et l’actualiser régulièrement

La technologie n’est rien sans bon sens


23

Une organisation incapable de prouver à ses clients et prospects qu’elle protège leurs données ne sera pas digne de confiance

L’image de votre marque et sa réputation dépendent de façon significative de la sécurité de vos données

• Protégez vos données• Protégez les données que l’on vous confie• Protégez votre image

La sécurité numérique: un vecteur de développement


Montrez que vous êtes digne de confiance

25

Les cyberattaques passives interception, écoute, espionnage…

Quelles natures de cyberattaques ?


Les cyberattaques peuvent être fondées sur l’usurpation de mots de passe (notamment sans que l’on s’en aperçoive): • monitoring des paquets IP, sniffer les données échangées, • Envoi de lots d’emails visant à leurrer certains utilisateurs pour qu’ils livrent

d’eux-mêmes des informations sensibles (identifiant, mot de passe, numéro de compte..) (phishing)

• déchiffrer un mot de passe chiffrés (attaque par force brute via l’algorithme de chiffrement ou par dictionnaire),

• utilisation de périphériques logiques ou physiques d’espionnage (captage des touches frappées…),

• utilisation d’une faille d’accès au serveur d’authentification (attaque du référentiel de compte / pass-the-hash)

Les cyberattaques actives modification, fabrication, interruption, destruction..

26



Les cyberattaques peuvent être fondées sur le leurre…

• Le hacking non éthique consiste à s’introduire illégalement par leurre et détournement de technologies dans un système tiers.

• Il utilise les vulnérabilités des environnements Internet, des protocoles de communication, des systèmes d’exploitation, des processeurs, des configurations systèmes pour usurper votre identité, rediriger des flux de données (routage), voler des connexions TCP, détourner des flux applicatifs (man in the middle).

Il s’agit d’escroquerie électronique qui leurre les systèmes et les utilisateurs…

27



Les cyberattaques peuvent être fondées sur la manipulation d’information…

• La modification de pages de vos sites Web (defacement attack) qui peut causer des dommages importants en termes d’image et de pertes indirectes. Les attaques d’infoguerre (infowar) s’inscrivent parfois dans des attaques sémantiques (semantic attack) pour manipuler la population voire provoquer une crise.

• Redirection vers un faux site pour récupérer des informations confidentielles puis éventuellement redirection vers le vrai site pour entretenir l’illusion (phishing)

28



La cybercriminalité est avant tout une criminalité économique mais elle peut s’inscrire en macro dans un contexte de guerre ou en micro dans une action visant à porter atteinte à l’intégrité morale et physique dune personne.

Les virus sont plus ciblés, souvent à buts financiers et servant la grande criminalité classique…

Sous couvert d’aide à la navigation ou de services personnalisés, des programmes malveillants (malware, espions spyware, publicitaire adware) downloadent et installent des outils de capture d’information, d’appropriation de ressources et d’attaque (pilotage d’attaques DDoS)… La détection et la désinstallation de ces malvares est difficile.

Attention aux logiciels gratuits ou en démonstration.

29

Il est important de faire un bilan régulier de votre situation en matière de sécurité informatique.

Vous pouvez à cet effet utiliser:

- Vos compétences techniques si vous en avez en interne ainsi que celles de vos prestataires pour les compléter: quelles sont vos actions de sauvegarde des données et des paramètres de vos serveurs et éléments actifs du réseau ? Quels sont les travaux de contrôle des profils et droits d’accès « administrateurs » à vos actifs informatique ? Etc.

- Demander à chacun de vos directeurs de projet quel est le volet sécurité du projet, ses objectifs, ses travaux, ses tests et ses résultats, et ce à chaque changement de phase de projet…

Bilan de la situation sécuritaire et référentiels de bonnes pratiques


30

Vous pouvez également utiliser:

- Un cabinet spécialisé ou des consultants expérimentés indépendants pour vous aider à cadrer puis à piloter votre Politique de Sécurité des Systèmes d’Information.

- Vous pouvez vous doter tout simplement d’un cadre de gouvernance et de management de vos SI tel que COBIT5 pour évaluer et suivre votre progression en maturité en sécurité et en continuité informatique. Cobit5 impose aux informaticiens et prestataires de se faire comprendre par les dirigeants et de proposer une gouvernance claire en informatique.

Cobit5 est global et il permet d’intégrer d’autres référentiels importants selon la réalité particulière de votre entreprise, de vos métiers:

- ISO 27001 27002 27010 … SECURITY ISMS- ISO 27032 (GUIDELINES FOR CYBERSECURITY) (PAYS)- ISO 27033 (NETWORK SECURITY)- ISO 22301 CONTINUITE ACTIVITE- ISO 20000 ITILV3 IT DEPARTMENT QUALITY- 31000 ERMS ERM ENTERPRISE RISK MGT SYSTEM, - COSO2013, COSO2 ERM ENTERPRISE RISK MGT

Bilan situation et référentiels de bonnes pratiques


31

Gouverner le Système d’Information c’est essentiellement: - Disposer d’un Cadre de Gouvernance efficace ajusté aux besoins et au

contexte de l’entreprise- Assurer l’optimisation des Risques- Assurer l’optimisation des Ressources- Assurer la transparence aux Parties Prenantes

Manager le Système d’Information c’est en particulier:- Gérer l’architecture informatique- Gérer le risque informatique: Plan de Management des Risques,

inventaire des risques, parades en place, risque résiduel acceptable…- Gérer la sécurité informatique: Plan de Management de la Sécurité

incluant sensibilisation, formation et tests réguliers- Gérer les accords de service: les prestataires sont impliqués en sécurité - Gérer la continuité: Plan de Continuité, Back-Up, Reprise sur Sinistre,

sensibilisation et formation interne…- Gérer les services de sécurité: éléments actifs s’exécutant au quotidien tel

que les contrôles et authentification d‘accès informatiques, les mise en production ou exécution de programmes…

Etapes clés et bon sens managérial4. Adopter une démarche pragmatique

32

Pour mémoire, les types de mesure de sécurité:

Mesures de protection = Empêcher la survenue d’incidents• Mesures préventives: servent de barrière, contrôle accès physique et logique,

détecteur de virus…• Mesures structurelles: cloisonnement d’environnements, redondance,

fragmentation de l’information…• Mesure de dissuasion: procédures de détection et de traçage, procédures

juridiques et administratives… • Mesure de protection: améliorent la robustesse et diminuent l’impact des

incidents, détecteurs d’intrusion, d’incendie, d’humidité, contrôles de cohérence, coupe-feu…

Mesures de réaction = Réagir aux incidents survenus• Mesures palliatives: utiliser les sauvegardes et ressources de secours prévues au

Plan de Continuité et au Plan de Sécurité • Mesures correctives: réparations, corrections• Mesures de récupération: permettent un retour à la normale en limitant les pertes

consécutives à un sinistre, en réduisant l’impact financier d’un sinistre (transfert de pertes (assurances), dommages et intérêts suite à action en justice contre un prestataire…)

Etapes clés et bon sens managérial


33

Recourir à des techniques d’audit pour être directement conseillé est utile au dirigeant d’entreprise, à ses N-1 et tout particulièrement au DSI, au DAF, au RSSI…

• Car les assurances couvrent rarement et à des conditions très restrictives les risques financiers liés à une brèche du SI de l’entreprise (des offres d’assurances spécifiques commencent à apparaître sur le marché)

• Car le dirigeant doit protéger ses actifs et donc les sécuriser sans pour autant entraver la fluidité de l’information

• Car le dirigeant doit éviter toute fraude, altération, falsification, omission ou dissimulation intentionnelle, détournement d’actifs (financiers, corporels…), fausse présentation des faits dans les états financiers (cf. norme internationale d’audit 240, obligations de l’auditeur en matière de fraude lors d’un audit d’états financiers). Le dirigeant doit donc mettre en œuvre des procédures et des contrôles visant à garantir l’authenticité des transactions et l’exactitude des informations.

Protection du dirigeant social, du DSI, du RSSI, du DAF…


34

Les bonnes questions concrètes à se poser

5. Questionnaire

Questionnaire Non Il me semble

Oui mais pas formalisé

Oui et formalisé

Savez-vous comment différencier la cybersécurité et la sécurité informatique en général pour votre entreprise ?

Avez-vous un Plan de Management de la Sécurité des SI?Avez-vous un Plan de Management de la Continuité des SI?Disposez-vous de sauvegardes régulières et dont la remontée en production a été testée cette année ? Disposez-vous sur tous vos postes et tous vos serveurs d’un antivirus adapté ?

35

Questionnaire Non Il me semble

Oui mais pas formalisé

Oui et formalisé

Votre encadrement est-il moteur des bonnes pratiques en Sécurité des SI

Le management donne-t-il une gouvernance claire aux dirigeants en matière de Sécurité des SI?

Avez-vous un tableau de bord de Cybersécurité ?

Disposez-vous d’un cadre simple et efficace de suivi de votre maturité en management des systèmes d’information (du type Cobit5, ISO 27000, etc.) ?

Par quoi commencer ? Avez-vous besoin d’un accompagnement ?

Les bonnes questions concrètes à se poser

5. Questionnaire

Club Régional de la Sécurité de l’Information Région Provence Alpes Côte d’Azur

Merci pour votre attention

Toute l’équipe du CLUSIR PACA est à votre écoutewww.clusir-paca.fr

Aurélien LEICKNAMVice Président du Territoire Aix Marseille

Frederic VILANOVAMembre du Comité de Gouvernance du Territoire Aix Marseille

http://www.clusir-paca.fr/

Le prochain rendez-vous

37

Comment identifier et suivre les « influenceurs » sur le web pour développer son

business

WWW.CCIMP.COM pour consulter l’AGENDA des RDV et vous INSCRIRE

Evènement accessible de chez vous ou de votre bureau avec un ordinateur et une connexion internet

Liste des logos des partenaires

Restons en contact

Rejoignez-nous sur le portail des usages et retrouvez : Les supports des présentations La présentation des usages du

numérique Les actualités L’annuaire des entreprises

Suivez-nous sur les réseaux sociaux :

@competitic

Projet régional CompetiTIC

38

• Faciliter votre quotidien, simplifier vos formalités• Vous accompagner pour développer votre entreprise : des méthodes,

des outils, des rencontres business, des réseaux

• Défendre vos intérêts et ceux du territoire• Favoriser les conditions du développement économique et des grands

projets

Rendez-vous sur ccimp.com & – des actus– des infos pratiques & solutions business– l’agenda de nos réunions– des e-services : annuaire des réseaux, boîtes à outils du dirigeant, aides

financières, fichiers de prospection, échéancier social…

Découvrez toutes les missions de la CCI Marseille Provence

Business

Rdv tic cybersécurité