08/02/2007 1© Hapsis Education - 2007

Sensibilisation à la Sécurité de l’Information Comment impliquer les PME ?

Palais des Congrès - Paris6 février 2007

« Si vous pensez que l’éducation coûte cher, essayez l’ignorance. »Abraham LINCOLN

08/02/2007 © Hapsis Education - 2007 2

Sommaire

Les questions clés du marché• Les positions et attentes institutionnelles• Les grandes entreprises et les PME• Les salariés – citoyens - consommateurs

Les bases de départ

La démarche d’éducation

Les meilleures pratiques et les outils

Annexes : Hapsis Education

08/02/2007 © Hapsis Education - 2007 3

Intervenant : Pierre-Luc REFALO

• Depuis 2002, fondateur de Icys-formation puis de Hapsis Education

• Auteur de l’ouvrage « Sécuriser l’entreprise connectée »

• 4 ans Directeur du Programme Sécurité de l’Information du Groupe Cegetel / SFR

• 10 ans d’expérience dans le conseil en SSI (Cisi, XP Conseil)

• Président du jury du ProCSSI (certification française en SSI délivrée par l’INSECA –Pôle L. De Vinci)

• Chargé de mission du Cercle Européen de la Sécurité(formation et certification)

• Intervenant à INT Entreprises, UT Troyes, ESIEE (CCIP)

• Conférencier à Netfocus France, Assises de la Sécurité, Convention Sécurité, Computer Security Institute (USA)

• Ancien représentant français à la Commission Européenne, au G8 et à l’OCDE sur le cybercrime et la sécurité de l’information

08/02/2007 © Hapsis Education - 2007 4

Les questions clés du marché

Les institutions cherchent à sensibiliser tous les acteurs

Des rapports gouvernementaux positionnent clairement les enjeux• B. Carrayon (IE – 2003, 2005) et P. Lasbordes (Sécurité SI - 2005)• A. Juillet (Formation IE et sécurité de l’information - 2005)

Des entreprises aux individus : des situations très variables• Comment sensibiliser sans une politique et une organisation formelles ?• Comment impliquer les collaborateurs sans exemplarité des dirigeants ?• Comment dénoncer la cybercriminalité sans stigmatiser ni fantasmer ?• Comment parler de sécurité sans faire « fuir » les individus ?• Comment bien / mieux dépenser en intégrant le facteur humain ?• Comment motiver les individus qu’ils soient salariés, citoyens ou consommateurs ?• Comment aborder les sous-traitants, fournisseurs et surtout les PME ?• Comment garantir que les infrastructures et les projets intègrent efficacement les risques

réels et les meilleures pratiques ?• Quelle démarche engager dans la durée en ciblant les actions et les messages ?• Quels sont les thèmes majeurs et les médias adaptés ?

08/02/2007 © Hapsis Education - 2007 5

1999Cryptologie II

Mars 2000Droit de la

preuve

2001 LSQConservat° de

donnéesCryptologie III

1996Cryptologie I

Sécurité Internet et messagerie

Cyber-Sécurité

Sécurité de l’information

Sécurité des Systèmes d’Information

Sécurité informatique

1995 2000

1978Informatique

et libertés1988

Fraude informatique

Méthodes et OrganisationSécurité physique et plan de secours

Cryptographie et Accès logiquesLutte anti-virus

Sécuritée-business

1995Droit du logiciel

1975

Intelligenceéconomique

Cyber-surveillance

Mars 2001Signature

électronique

1994Code Pénal

Accès logiques distribuésSingle Sign On

1990

1991Secret des

correspondances

Sécurité réseauxCloisonnement Détection et

Testsd’intrusion

2004 CNIL IIConfianceÉco Num

ISO 2700xLe RSSI (1)

Dématérialisation

2005

Gouvernance des risques

ISO 17799

Gestion desidentités

Biométrie

SOX

2005 Convention

cybercriminalité

Bâle II

LSF

Le CIL (2)Risquehumain

(1) : Responsable Sécurité desSystèmes d’Information

(2) : CorrespondantInformatique et Libertés

Principe deprécaution

2006Terrorisme

Malware

Réseauxsans fil

IFRS

2010

Moyens depaiement

2003LSI

Appréhender la complexité

08/02/2007 © Hapsis Education - 2007 6

GovernementsPublic safety / Terrorism

Organised crimeCritical infrastructures

Cybercrime

OwnershipBusiness secretIntellectual property

Copyright

FreedomPrivacy

SecurityComputer fraudCryptography

Electronic signatureCyber-surveillanceLegal interception

Data protectionData conservation

IndividualsHuman rights

Childhood protection

EnterprisesEconomic espionage

Financial fraudAssets protection

Banking regulations

Un cadre légal complexe

Sanctions civiles et pénalesPour le dirigeant et l’employé

08/02/2007 © Hapsis Education - 2007 7

Des risques réels forts nombreux

Fraudeéconomique

« Vol »

Sabotage

Piratage

Atteinte à lavie privée

Contenusillégaux

Intrusion

INFRASTRUCTURESINFRASTRUCTURES

SERVICESSERVICESCONTENUSCONTENUS

Accidents

Erreurs

Catastrophesnaturelles

Négligences

Confidentialité

TraçabilitéDisponibilité

Une référence : la convention européenne « cybercriminalité » (Oct 2001)

Intégrité

08/02/2007 © Hapsis Education - 2007 8

Know your ennemy!

Acteurs

Employés

Justice

Autorités de régulation

Consultants

Journalistes

Crime organisé

Compétiteurs

Clients

Et l’ignorance …

Fraud

EspionnageSabotage

Piracy

Privacy

Illegalcontent

Intrusion

INFR

ASTR

UC

TUR

ESIN

FRA

STRU

CTU

RES

SERVICESSERVICES

CONTENTSCONTENTS

Accidents

Errors

Catastrophes

Negligences

Quelques exemples

Crédit LyonnaisFree

CNRSClearstreamHP, Pepsi, …

Rumeurs boursièresInsultes en ligne

Usurpations internesSpammingPhishing

Fuite du fichier offreursSumitomoScandia

…

Modèles des risques

On commence à comprendre les incidents réels pour les grandes entreprises.Mais qu’en est-il pour les plus petites ?

08/02/2007 © Hapsis Education - 2007 9

Les risques majeurs pour les PME

0 5 10 15 20 25 30

Risque client

Destruct° actif

Fraude/Vol/Vandalisme

Interruption activité

Perte homme-clé

Sécurité informatique

Dommage au tiers

Accident du travail

Non-conformité

Défaillance logistique

Rappel produit

Responsabilité dirigeant

JuristeDirigeant

Source : AFJE – Nov 2005

Six des 12 risques majeurs sont impactés par les SI.La Sécurité informatique se place en 5ème position pour les dirigeants et 2nde pour les juristes.

08/02/2007 © Hapsis Education - 2007 10

Données personnelleset stratégiques

Marketingdu secret

DématérialisationE-business

Marketingde la confiance

LABELLISATIONLABELLISATIONDES SERVICESDES SERVICESPROTECTIONPROTECTION

DES INFORMATIONSDES INFORMATIONS

QUALIFICATION DESQUALIFICATION DESINFRASTRUCTURESINFRASTRUCTURES

Everything is marketing!

Certification des technologies et prestataires IT Marketing de la peur

Les 3 dimensions du marché de la sécurité

08/02/2007 © Hapsis Education - 2007 11

7 points clés pour le futur

MenacesMobility &

Individualism(Freedom

and Ownership)GrowingRegulations(Governance)

Technologylimits

(Protection)

OrganisedCybercrime

(Revenues)

Informationwarfare

(Competition)

CyberSurveillance(Monitoring)

Transparency(Ethics)

OpportunitOpportunitééssMenaces

VulnVulnéérabilitrabilitééssL’information, en tant que patrimoine est au cœur de la problématique.

La compréhension des enjeux et l’amélioration des comportements ne peuvent être garanties que par l’éducation de tous.

08/02/2007 © Hapsis Education - 2007 12

L’éducation, un des 6 axes du management

Réglementation(Elaborer les référentiels

et fixer les limites)

Lutte contre l’espionnageéconomique

Protection dupatrimoine immatériel

Lutte contre lafraude informatique

Protection dela vie privée

Organisation(Définir les responsabilitésÉlaborer et contrôler les

procédures)

Education(Impliquer et

consolider la culture)

Veille(Connaître et influencer

l’environnement)

Economie(Maîtriser les risques réels

et adapter les moyens)

Prévention des catastrophesnaturelles et accidentelles

Lutte contre lafraude économique

Architecture(Concevoir et mettre enœuvre les outils adaptés)

08/02/2007 © Hapsis Education - 2007 13

Pré-requis 1 : une politique structurée et ciblée

Organisation opérationnelleSécurité dans les projetsDémarche d’analyse de risquesContrôle et auditContinuité des activitésGestion des incidents et crisesVeille et relations extérieures

Contrat de travailRèglement intérieur

Données personnellesPaiementsLutte contre la fraudeSignature électronique

Accords de confidentialitéSécurité dans les projets

Sécurité dans les contratsSignature électronique

Contrôle d’accès logiquesSécurisation des systèmesCloisonnement de réseaux

Gestion des attaques logiquesConfidentialité des informations

Plans de secours

Normes et référentiels

Politique « collaborateurs »

Politique « prestataires »

Politique « clients »

Charted’entreprise

Engagementdes dirigeants

Principes fondateurs

« Guides de bonnes pratiques et de management »

Codes de déontologieSurveillance des salariés

Source : Sécuriser l’entreprise connectéePierre-Luc REFALOEd d’Organisation - 2002

Déclinaison de la politique au sein des activités, filiales, partenaires, pays, …

08/02/2007 © Hapsis Education - 2007 14

Pré-requis 2 : des rôles définis et connus

Managementstratégique

Managementopérationnel

Cellule« Politique et pilotage »

Cellule« Mise en oeuvre »

Enjeux

Processus

Meilleures pratiques(règles)

RégulateurVeilleur

EducateurAuditeur

AnalysteArchitecte

FournisseurIntégrateur

AdministrateurContrôleur

UrgentisteEnquêteur

ProjetsMétiers

IT

ProcessusIT

JuridiqueRH

Communicat°QualitéAudit

Métiers

Politique

Rôles

Structures

Des choix essentiels en termes d’externalisation.Les PME sont concernés au 1er point

08/02/2007 © Hapsis Education - 2007 15

L’éducation, une démarche permanente

Meilleures pratiquesÉlaboration – Mise en oeuvre

Processus clésde la SSI

Analyse - Alignement

Rôles et champsd’action de la SSI

Définition - Diagnostic

ISO 2700x

PilotageAccompagnement

ÉvaluationBenchmark

AméliorationsAteliers thématiques

CommunicationSensibilisation

Formation

Enquêtes

08/02/2007 © Hapsis Education - 2007 16

Réduire le risque Améliorer les comportements

Limiter les impacts

5%La part des actions de formation

dans les dépenses SSI

14 € / personneLe coût annuel moyen des actions

de sensibilisation

80 000 €Impact moyen d’un vol /

perte d’information / entreprise

32 000 €Impact moyen d’une attaque

virale / entreprise

>75%Existence d’une politique

< 50% dans les PME

+15% / anLe marché des produits et

services SSI

Maintenir des budgets Sécurité SI est utile …Mais développer la culture sécurité de l’information est crucial et efficace !

Comment bien dépenser ?

Source : IDC, CSI

08/02/2007 © Hapsis Education - 2007 17

Du technico-juridique au socio-économique

Education

Dissuasion

Répression

Motivation

Prévention

Protection

Détection

Réaction

Les mesures classiques doivent être renforcées par une dimension plus humaine trop oubliée

08/02/2007 © Hapsis Education - 2007 18

Eduquer par une bonne communication

Principe N°1 : Montrer par l’exempleles conséquences de la négligence, l’imprudence ou la malveillance

LA PRISE DE CONSCIENCE

08/02/2007 © Hapsis Education - 2007 19

Dissuader avec transparence

LA CYBER-SURVEILLANCE

Principe N°2 : Expliquer que Sécurité des SI n’est pas « Surveillance par le SI »

08/02/2007 © Hapsis Education - 2007 20

Sanctionner avec justesse

LA SANCTION DES IRREDUCTIBLESPrincipe N°3 : Ne pas laisser se développer

les « petits incidents » encourageant les déviances plus graves

08/02/2007 © Hapsis Education - 2007 21

Motiver grâce aux tableaux de bord

L’INTERESSEMENT DE TOUS

Principe N°4 : Se donner les moyens de montreravec des chiffres, les effets positifs de la prévention / éducation / dissuasion

08/02/2007 © Hapsis Education - 2007 22

Démarches et messages à bien cibler

Qui ?

Les dirigeantsLes managers d’activitéLes sous-traitants (notamment PME)Les prestatairesLes métiers « sensibles »Les collaborateurs, stagiaires, intérimairesLes informaticiens

Mais aussi, les politiques, les médias, …

Et les citoyens, les consommateurs

Comment ?

Interventions courtes (45mn)Sessions détaillées (3 à 6h)Vidéos

Supports / guides de communicationArticles dans une revue interneIntranet / Bibliothèque documentsCampagnes d’e-mailing

Quiz en ligne (concours, analyse comportementale)Scénettes, jeux en ligneCours en ligne

Security day / DémonstrationsSites institutionnels

08/02/2007 © Hapsis Education - 2007 23

Les réponses de Hapsis Education

Hapsis Education propose un point de contact unique pour tous types de projet

1- Missionsd’accompagnement

Conseil

Formation / Sensibilisation Edition / Outils en ligne

Une équipe d’une dizained’animateurs indépendants

2- Projets e-learning

3- Plans de sensibilisation

4- Programmes de formation5- Certification

08/02/2007 © Hapsis Education - 2007 24

Démonstrations

SensiWebSensiNewsSensiGuide

SecurIT SavvySecurIT Quiz

SensiRiskSensiQuizScenaRiskSensiWave

CCI

08/02/2007 © Hapsis Education - 2007 25

Les idées forces pour bien communiquer

1. Ne jamais oublier que la sécurité du SI permet d’abord à l’entreprise d’atteindre ses objectifs.

2. Le recentrage sur son métier de base renforce pour les dirigeants l’exigence de maîtrise des risques opérationnels, dont ceux liés au SI.

3. Intégrer les risques liés aux effets de la globalisation et de la dématérialisation en développant l’axe de la confiance « en ligne » avec ses clients, fournisseurs, partenaires, …

4. La sécurité des SI est aussi (re) devenue une question de contenuautant que d’infrastructure.

5. La sécurité du SI n’est pas la surveillance par le SI : bien séparer les rôles !

6. C’est par le comportement et l’implication de tous que les plus grands progrès sont accomplis.

7. Toujours intégrer à la démarche une dimension économique et médiatique.

8. Rechercher, si possible, les potentiels d’économie des actions de sécurité !

9. Le RSSI est l’expert qui fait bien son job et permet aux dirigeants de « dormir tranquille ».

10. Ne pas oublier d’intégrer le management de l’incertitude : se préparer au pire !

08/02/2007 © Hapsis Education - 2007 26

Savoir raison garder !

08/02/2007 © Hapsis Education - 2007 27

Les réponses de Hapsis Education

Une union de bon sensCabinet de conseil en SSI développantdepuis 2003 une offre de sensibilisationen ligneOrganisme de formation développantdepuis 2003 des services deformation / sensibilisation en SSI

Une capacité à répondre à toutes les problématiques du moment• Nature des projets : communication / sensibilisation / formation et certification• Thèmes : stratégie, méthodologie, organisation, comportement, technique,

juridique

Incontestablement l’acteur de référence du marché• Plus de 30 clients et 50 références• Un chiffre d’affaires consolidé de l’ordre de 580 k€ en 2006

Nos atouts : action quotidienne, indépendance et excellence

08/02/2007 © Hapsis Education - 2007 28

Les réponses de Hapsis Education

Hapsis Education propose 10 types de services éprouvés

Accompagner la démarche

pédagogique

Agir sur les comportements

Améliorer les organisations

Renforcer la professionnalisation

Pilotage des projets« sensibilisation / formation »

Fourniture de contenus pédagogiques

Fournitured’outils pédagogiques

en ligne

Animationde sessions

de sensibilisation

Formationd’animateurs relais

Coaching individuelou d’équipes

Animation d’atelierssur des thèmes

d’actualité

Conception etanimation de programmes

« intra entreprise »

Organisationde programmes

« inter entreprise »

Certificationsindividuelles

08/02/2007 © Hapsis Education - 2007 29

Nos références depuis 2003

PilotageSaint Gobain, MinEFI,

SNCF, SMA BTP,GIE Réunica Bayard,

Société Générale GIMS

SéancesBNPParibas, CEA,

I-CDC, SNCF,IXIS-CIB, SFR,

Natexis, CHU AngersCCI Indre

CoachingBosch, CNAM-TS

I-CDC

AteliersSociété Générale, Thomson,

Bouygues Telecom, SNCF

Programmes « Intra »Unedic, Natexis, CNAM-TS,

CDC, I-CDCUTT, INT/FT, ESIEE

Sessions « Inter »AG2R, MACIF, BNPParibas, Thomson, Natexis, Lucent,

MinEFI, INT

En ligneThomson, Escota, CDC, TDF,

PagesJaunes, Natexis,Bouygues Telecom, AGF,

Agirc Arcco, Systalians, Total,Société Générale CIB

Accompagner la démarche

pédagogique

Agir sur les comportements

Améliorer les organisations

Renforcer la professionnalisation

ContenusSaint Gobain, PagesJaunes,

Escota, MinEFI, I-CDC,Société Générale GIMS

RelaisACFCI

08/02/2007 © Hapsis Education - 2007 30

Les chiffres clés

Des réalisations• 30 clients et plus de 50 projets• Une quinzaine de références en e-learning• Plus de 10 000 personnes sensibilisés• Plus de 100 jours de formation auprès de plus de 300 professionnels• Un CA 2006 consolidé de l’ordre de 580 k€• Environ 15 jours d’intervention en Écoles : UTT, INT, ESIEE-CCIP, EPF

Des moyens• Le potentiel humain des consultants de Hapsis (25 personnes)• Un réseau d’une vingtaine d’animateurs indépendants et expérimentés• Un catalogue de 10 outils dont 8 en ligne (Conscio Technologies et TerraNova)

08/02/2007 © Hapsis Education - 2007 31

Les chiffres clés

96

128

74

30

15

6070

100

0

20

40

60

80

100

120

140

Sensibilisation Formation Actions e-learning Conseil/Etudes

20052006

• Une activité d’environ 250 k€ en 2006• Dont 200 k€ de produits de e-learning

08/02/2007 © Hapsis Education - 2007 32

Les outils en ligne

Les Quiz• SensiQuiz de Conscio Technologies (démarche « concours »)• SecurIT Quiz de TerraNova (démarche « statistique »)

Les modules en ligne• Scenarisk / Sensiwave de Conscio Technologies (70 scenettes 3D)• SensiWeb de Hapsis Education (13 modules d’information)• SecurIT Savvy de TerraNova (16 activités pédagogiques)

Le jeu• Sensirisk de Conscio Technologies (jeu de l’oie en séance ou intranet)

Les enquêtes• Computer Crime Investigation de Conscio Technologies (scénario animé de

gestion d’incident)

Les outils d’accompagnement• Sensinews : articles de communication interne• Sensiguide : catalogue des 120 bonnes pratiques

08/02/2007 © Hapsis Education - 2007 33

Les ateliers thématiques

Objectifs• Éviter des études longues et théoriques produisant des rapports peu utiles• Formaliser un plan d’action consensuel dans un délai réduit

Démarche• Préparation

• Sélectionner un thème, une durée (1/2 à 2 jours) et les acteurs concernés• Fixer des objectifs : clarifier une problématique interne, lancer un projet, fixer un

budget, préciser les rôles, choisir une technologie, …• Un atelier en 4 parties (+ 1 option) :

• Tour de table : problématique et attentes (tous)• État de l’art sur le thème proposé (expert externe)• Bilan de la situation interne / Expérience (équipe client)• Option : travail de groupe• Synthèse / Débriefing (tous)

• Rédaction d’une note de synthèse (animateur / expert)Thèmes

• De la SSI à la Sécurité de l’Information, la Conformité juridique, Protection des données personnelles avec ou sans CIL, la classification des informations en pratique, la supervision de la sécurité, la gestion des identités, la gestion des crises, …

08/02/2007 © Hapsis Education - 2007 34

Le programme de formation

Le pilotage des risques informatiques et informationnels• L’essentiel : 4 fois 2 jours : avril / mai / juin / juillet et sept / oct / nov / déc• La mise en œuvre d’un SMSI : 5 jours

La protection des infrastructures critiques et la fraude informatique• L’essentiel : 4 fois 2 jours : avril / mai / juin / juillet et sept / oct / nov / déc• La mise en œuvre des processus sécurité « systèmes – réseaux » : 10 jours

La protection des données personnelles et la vie privée• Au second semestre 2007

La protection des données stratégiques et l’intelligence économique• Au second semestre 2007

La protection des services en ligne et la confiance du e-business• Au second semestre 2007

Un programme de plus de 40 jours animé par les meilleurs experts françaisA voir sur www.hapsis-education.com

08/02/2007 © Hapsis Education - 2007 35

Les contacts

Hapsis Education1, rue Bourdaloue

75009 PARISTél : +33 153 16 30 60

www.hapsis-education.comcontact@hapsis-education.com

Michel GERARD : Présidentmichel.gerard@hapsis.fr

Pierre-Luc REFALO : Directeur Général Adjointplr@hapsis-education.comMobile : 06 24 36 93 73