Upload
trancong
View
216
Download
0
Embed Size (px)
Citation preview
08/02/2007 1© Hapsis Education - 2007
Sensibilisation à la Sécurité de l’Information Comment impliquer les PME ?
Palais des Congrès - Paris6 février 2007
« Si vous pensez que l’éducation coûte cher, essayez l’ignorance. »Abraham LINCOLN
08/02/2007 © Hapsis Education - 2007 2
Sommaire
Les questions clés du marché• Les positions et attentes institutionnelles• Les grandes entreprises et les PME• Les salariés – citoyens - consommateurs
Les bases de départ
La démarche d’éducation
Les meilleures pratiques et les outils
Annexes : Hapsis Education
08/02/2007 © Hapsis Education - 2007 3
Intervenant : Pierre-Luc REFALO
• Depuis 2002, fondateur de Icys-formation puis de Hapsis Education
• Auteur de l’ouvrage « Sécuriser l’entreprise connectée »
• 4 ans Directeur du Programme Sécurité de l’Information du Groupe Cegetel / SFR
• 10 ans d’expérience dans le conseil en SSI (Cisi, XP Conseil)
• Président du jury du ProCSSI (certification française en SSI délivrée par l’INSECA –Pôle L. De Vinci)
• Chargé de mission du Cercle Européen de la Sécurité(formation et certification)
• Intervenant à INT Entreprises, UT Troyes, ESIEE (CCIP)
• Conférencier à Netfocus France, Assises de la Sécurité, Convention Sécurité, Computer Security Institute (USA)
• Ancien représentant français à la Commission Européenne, au G8 et à l’OCDE sur le cybercrime et la sécurité de l’information
08/02/2007 © Hapsis Education - 2007 4
Les questions clés du marché
Les institutions cherchent à sensibiliser tous les acteurs
Des rapports gouvernementaux positionnent clairement les enjeux• B. Carrayon (IE – 2003, 2005) et P. Lasbordes (Sécurité SI - 2005)• A. Juillet (Formation IE et sécurité de l’information - 2005)
Des entreprises aux individus : des situations très variables• Comment sensibiliser sans une politique et une organisation formelles ?• Comment impliquer les collaborateurs sans exemplarité des dirigeants ?• Comment dénoncer la cybercriminalité sans stigmatiser ni fantasmer ?• Comment parler de sécurité sans faire « fuir » les individus ?• Comment bien / mieux dépenser en intégrant le facteur humain ?• Comment motiver les individus qu’ils soient salariés, citoyens ou consommateurs ?• Comment aborder les sous-traitants, fournisseurs et surtout les PME ?• Comment garantir que les infrastructures et les projets intègrent efficacement les risques
réels et les meilleures pratiques ?• Quelle démarche engager dans la durée en ciblant les actions et les messages ?• Quels sont les thèmes majeurs et les médias adaptés ?
08/02/2007 © Hapsis Education - 2007 5
1999Cryptologie II
Mars 2000Droit de la
preuve
2001 LSQConservat° de
donnéesCryptologie III
1996Cryptologie I
Sécurité Internet et messagerie
Cyber-Sécurité
Sécurité de l’information
Sécurité des Systèmes d’Information
Sécurité informatique
1995 2000
1978Informatique
et libertés1988
Fraude informatique
Méthodes et OrganisationSécurité physique et plan de secours
Cryptographie et Accès logiquesLutte anti-virus
Sécuritée-business
1995Droit du logiciel
1975
Intelligenceéconomique
Cyber-surveillance
Mars 2001Signature
électronique
1994Code Pénal
Accès logiques distribuésSingle Sign On
1990
1991Secret des
correspondances
Sécurité réseauxCloisonnement Détection et
Testsd’intrusion
2004 CNIL IIConfianceÉco Num
ISO 2700xLe RSSI (1)
Dématérialisation
2005
Gouvernance des risques
ISO 17799
Gestion desidentités
Biométrie
SOX
2005 Convention
cybercriminalité
Bâle II
LSF
Le CIL (2)Risquehumain
(1) : Responsable Sécurité desSystèmes d’Information
(2) : CorrespondantInformatique et Libertés
Principe deprécaution
2006Terrorisme
Malware
Réseauxsans fil
IFRS
2010
Moyens depaiement
2003LSI
Appréhender la complexité
08/02/2007 © Hapsis Education - 2007 6
GovernementsPublic safety / Terrorism
Organised crimeCritical infrastructures
Cybercrime
OwnershipBusiness secretIntellectual property
Copyright
FreedomPrivacy
SecurityComputer fraudCryptography
Electronic signatureCyber-surveillanceLegal interception
Data protectionData conservation
IndividualsHuman rights
Childhood protection
EnterprisesEconomic espionage
Financial fraudAssets protection
Banking regulations
Un cadre légal complexe
Sanctions civiles et pénalesPour le dirigeant et l’employé
08/02/2007 © Hapsis Education - 2007 7
Des risques réels forts nombreux
Fraudeéconomique
« Vol »
Sabotage
Piratage
Atteinte à lavie privée
Contenusillégaux
Intrusion
INFRASTRUCTURESINFRASTRUCTURES
SERVICESSERVICESCONTENUSCONTENUS
Accidents
Erreurs
Catastrophesnaturelles
Négligences
Confidentialité
TraçabilitéDisponibilité
Une référence : la convention européenne « cybercriminalité » (Oct 2001)
Intégrité
08/02/2007 © Hapsis Education - 2007 8
Know your ennemy!
Acteurs
Employés
Justice
Autorités de régulation
Consultants
Journalistes
Crime organisé
Compétiteurs
Clients
Et l’ignorance …
Fraud
EspionnageSabotage
Piracy
Privacy
Illegalcontent
Intrusion
INFR
ASTR
UC
TUR
ESIN
FRA
STRU
CTU
RES
SERVICESSERVICES
CONTENTSCONTENTS
Accidents
Errors
Catastrophes
Negligences
Quelques exemples
Crédit LyonnaisFree
CNRSClearstreamHP, Pepsi, …
Rumeurs boursièresInsultes en ligne
Usurpations internesSpammingPhishing
Fuite du fichier offreursSumitomoScandia
…
Modèles des risques
On commence à comprendre les incidents réels pour les grandes entreprises.Mais qu’en est-il pour les plus petites ?
08/02/2007 © Hapsis Education - 2007 9
Les risques majeurs pour les PME
0 5 10 15 20 25 30
Risque client
Destruct° actif
Fraude/Vol/Vandalisme
Interruption activité
Perte homme-clé
Sécurité informatique
Dommage au tiers
Accident du travail
Non-conformité
Défaillance logistique
Rappel produit
Responsabilité dirigeant
JuristeDirigeant
Source : AFJE – Nov 2005
Six des 12 risques majeurs sont impactés par les SI.La Sécurité informatique se place en 5ème position pour les dirigeants et 2nde pour les juristes.
08/02/2007 © Hapsis Education - 2007 10
Données personnelleset stratégiques
Marketingdu secret
DématérialisationE-business
Marketingde la confiance
LABELLISATIONLABELLISATIONDES SERVICESDES SERVICESPROTECTIONPROTECTION
DES INFORMATIONSDES INFORMATIONS
QUALIFICATION DESQUALIFICATION DESINFRASTRUCTURESINFRASTRUCTURES
Everything is marketing!
Certification des technologies et prestataires IT Marketing de la peur
Les 3 dimensions du marché de la sécurité
08/02/2007 © Hapsis Education - 2007 11
7 points clés pour le futur
MenacesMobility &
Individualism(Freedom
and Ownership)GrowingRegulations(Governance)
Technologylimits
(Protection)
OrganisedCybercrime
(Revenues)
Informationwarfare
(Competition)
CyberSurveillance(Monitoring)
Transparency(Ethics)
OpportunitOpportunitééssMenaces
VulnVulnéérabilitrabilitééssL’information, en tant que patrimoine est au cœur de la problématique.
La compréhension des enjeux et l’amélioration des comportements ne peuvent être garanties que par l’éducation de tous.
08/02/2007 © Hapsis Education - 2007 12
L’éducation, un des 6 axes du management
Réglementation(Elaborer les référentiels
et fixer les limites)
Lutte contre l’espionnageéconomique
Protection dupatrimoine immatériel
Lutte contre lafraude informatique
Protection dela vie privée
Organisation(Définir les responsabilitésÉlaborer et contrôler les
procédures)
Education(Impliquer et
consolider la culture)
Veille(Connaître et influencer
l’environnement)
Economie(Maîtriser les risques réels
et adapter les moyens)
Prévention des catastrophesnaturelles et accidentelles
Lutte contre lafraude économique
Architecture(Concevoir et mettre enœuvre les outils adaptés)
08/02/2007 © Hapsis Education - 2007 13
Pré-requis 1 : une politique structurée et ciblée
Organisation opérationnelleSécurité dans les projetsDémarche d’analyse de risquesContrôle et auditContinuité des activitésGestion des incidents et crisesVeille et relations extérieures
Contrat de travailRèglement intérieur
Données personnellesPaiementsLutte contre la fraudeSignature électronique
Accords de confidentialitéSécurité dans les projets
Sécurité dans les contratsSignature électronique
Contrôle d’accès logiquesSécurisation des systèmesCloisonnement de réseaux
Gestion des attaques logiquesConfidentialité des informations
Plans de secours
Normes et référentiels
Politique « collaborateurs »
Politique « prestataires »
Politique « clients »
Charted’entreprise
Engagementdes dirigeants
Principes fondateurs
« Guides de bonnes pratiques et de management »
Codes de déontologieSurveillance des salariés
Source : Sécuriser l’entreprise connectéePierre-Luc REFALOEd d’Organisation - 2002
Déclinaison de la politique au sein des activités, filiales, partenaires, pays, …
08/02/2007 © Hapsis Education - 2007 14
Pré-requis 2 : des rôles définis et connus
Managementstratégique
Managementopérationnel
Cellule« Politique et pilotage »
Cellule« Mise en oeuvre »
Enjeux
Processus
Meilleures pratiques(règles)
RégulateurVeilleur
EducateurAuditeur
AnalysteArchitecte
FournisseurIntégrateur
AdministrateurContrôleur
UrgentisteEnquêteur
ProjetsMétiers
IT
ProcessusIT
JuridiqueRH
Communicat°QualitéAudit
Métiers
Politique
Rôles
Structures
Des choix essentiels en termes d’externalisation.Les PME sont concernés au 1er point
08/02/2007 © Hapsis Education - 2007 15
L’éducation, une démarche permanente
Meilleures pratiquesÉlaboration – Mise en oeuvre
Processus clésde la SSI
Analyse - Alignement
Rôles et champsd’action de la SSI
Définition - Diagnostic
ISO 2700x
PilotageAccompagnement
ÉvaluationBenchmark
AméliorationsAteliers thématiques
CommunicationSensibilisation
Formation
Enquêtes
08/02/2007 © Hapsis Education - 2007 16
Réduire le risque Améliorer les comportements
Limiter les impacts
5%La part des actions de formation
dans les dépenses SSI
14 € / personneLe coût annuel moyen des actions
de sensibilisation
80 000 €Impact moyen d’un vol /
perte d’information / entreprise
32 000 €Impact moyen d’une attaque
virale / entreprise
>75%Existence d’une politique
< 50% dans les PME
+15% / anLe marché des produits et
services SSI
Maintenir des budgets Sécurité SI est utile …Mais développer la culture sécurité de l’information est crucial et efficace !
Comment bien dépenser ?
Source : IDC, CSI
08/02/2007 © Hapsis Education - 2007 17
Du technico-juridique au socio-économique
Education
Dissuasion
Répression
Motivation
Prévention
Protection
Détection
Réaction
Les mesures classiques doivent être renforcées par une dimension plus humaine trop oubliée
08/02/2007 © Hapsis Education - 2007 18
Eduquer par une bonne communication
Principe N°1 : Montrer par l’exempleles conséquences de la négligence, l’imprudence ou la malveillance
LA PRISE DE CONSCIENCE
08/02/2007 © Hapsis Education - 2007 19
Dissuader avec transparence
LA CYBER-SURVEILLANCE
Principe N°2 : Expliquer que Sécurité des SI n’est pas « Surveillance par le SI »
08/02/2007 © Hapsis Education - 2007 20
Sanctionner avec justesse
LA SANCTION DES IRREDUCTIBLESPrincipe N°3 : Ne pas laisser se développer
les « petits incidents » encourageant les déviances plus graves
08/02/2007 © Hapsis Education - 2007 21
Motiver grâce aux tableaux de bord
L’INTERESSEMENT DE TOUS
Principe N°4 : Se donner les moyens de montreravec des chiffres, les effets positifs de la prévention / éducation / dissuasion
08/02/2007 © Hapsis Education - 2007 22
Démarches et messages à bien cibler
Qui ?
Les dirigeantsLes managers d’activitéLes sous-traitants (notamment PME)Les prestatairesLes métiers « sensibles »Les collaborateurs, stagiaires, intérimairesLes informaticiens
Mais aussi, les politiques, les médias, …
Et les citoyens, les consommateurs
Comment ?
Interventions courtes (45mn)Sessions détaillées (3 à 6h)Vidéos
Supports / guides de communicationArticles dans une revue interneIntranet / Bibliothèque documentsCampagnes d’e-mailing
Quiz en ligne (concours, analyse comportementale)Scénettes, jeux en ligneCours en ligne
Security day / DémonstrationsSites institutionnels
08/02/2007 © Hapsis Education - 2007 23
Les réponses de Hapsis Education
Hapsis Education propose un point de contact unique pour tous types de projet
1- Missionsd’accompagnement
Conseil
Formation / Sensibilisation Edition / Outils en ligne
Une équipe d’une dizained’animateurs indépendants
2- Projets e-learning
3- Plans de sensibilisation
4- Programmes de formation5- Certification
08/02/2007 © Hapsis Education - 2007 24
Démonstrations
SensiWebSensiNewsSensiGuide
SecurIT SavvySecurIT Quiz
SensiRiskSensiQuizScenaRiskSensiWave
CCI
08/02/2007 © Hapsis Education - 2007 25
Les idées forces pour bien communiquer
1. Ne jamais oublier que la sécurité du SI permet d’abord à l’entreprise d’atteindre ses objectifs.
2. Le recentrage sur son métier de base renforce pour les dirigeants l’exigence de maîtrise des risques opérationnels, dont ceux liés au SI.
3. Intégrer les risques liés aux effets de la globalisation et de la dématérialisation en développant l’axe de la confiance « en ligne » avec ses clients, fournisseurs, partenaires, …
4. La sécurité des SI est aussi (re) devenue une question de contenuautant que d’infrastructure.
5. La sécurité du SI n’est pas la surveillance par le SI : bien séparer les rôles !
6. C’est par le comportement et l’implication de tous que les plus grands progrès sont accomplis.
7. Toujours intégrer à la démarche une dimension économique et médiatique.
8. Rechercher, si possible, les potentiels d’économie des actions de sécurité !
9. Le RSSI est l’expert qui fait bien son job et permet aux dirigeants de « dormir tranquille ».
10. Ne pas oublier d’intégrer le management de l’incertitude : se préparer au pire !
08/02/2007 © Hapsis Education - 2007 27
Les réponses de Hapsis Education
Une union de bon sensCabinet de conseil en SSI développantdepuis 2003 une offre de sensibilisationen ligneOrganisme de formation développantdepuis 2003 des services deformation / sensibilisation en SSI
Une capacité à répondre à toutes les problématiques du moment• Nature des projets : communication / sensibilisation / formation et certification• Thèmes : stratégie, méthodologie, organisation, comportement, technique,
juridique
Incontestablement l’acteur de référence du marché• Plus de 30 clients et 50 références• Un chiffre d’affaires consolidé de l’ordre de 580 k€ en 2006
Nos atouts : action quotidienne, indépendance et excellence
08/02/2007 © Hapsis Education - 2007 28
Les réponses de Hapsis Education
Hapsis Education propose 10 types de services éprouvés
Accompagner la démarche
pédagogique
Agir sur les comportements
Améliorer les organisations
Renforcer la professionnalisation
Pilotage des projets« sensibilisation / formation »
Fourniture de contenus pédagogiques
Fournitured’outils pédagogiques
en ligne
Animationde sessions
de sensibilisation
Formationd’animateurs relais
Coaching individuelou d’équipes
Animation d’atelierssur des thèmes
d’actualité
Conception etanimation de programmes
« intra entreprise »
Organisationde programmes
« inter entreprise »
Certificationsindividuelles
08/02/2007 © Hapsis Education - 2007 29
Nos références depuis 2003
PilotageSaint Gobain, MinEFI,
SNCF, SMA BTP,GIE Réunica Bayard,
Société Générale GIMS
SéancesBNPParibas, CEA,
I-CDC, SNCF,IXIS-CIB, SFR,
Natexis, CHU AngersCCI Indre
CoachingBosch, CNAM-TS
I-CDC
AteliersSociété Générale, Thomson,
Bouygues Telecom, SNCF
Programmes « Intra »Unedic, Natexis, CNAM-TS,
CDC, I-CDCUTT, INT/FT, ESIEE
Sessions « Inter »AG2R, MACIF, BNPParibas, Thomson, Natexis, Lucent,
MinEFI, INT
En ligneThomson, Escota, CDC, TDF,
PagesJaunes, Natexis,Bouygues Telecom, AGF,
Agirc Arcco, Systalians, Total,Société Générale CIB
Accompagner la démarche
pédagogique
Agir sur les comportements
Améliorer les organisations
Renforcer la professionnalisation
ContenusSaint Gobain, PagesJaunes,
Escota, MinEFI, I-CDC,Société Générale GIMS
RelaisACFCI
08/02/2007 © Hapsis Education - 2007 30
Les chiffres clés
Des réalisations• 30 clients et plus de 50 projets• Une quinzaine de références en e-learning• Plus de 10 000 personnes sensibilisés• Plus de 100 jours de formation auprès de plus de 300 professionnels• Un CA 2006 consolidé de l’ordre de 580 k€• Environ 15 jours d’intervention en Écoles : UTT, INT, ESIEE-CCIP, EPF
Des moyens• Le potentiel humain des consultants de Hapsis (25 personnes)• Un réseau d’une vingtaine d’animateurs indépendants et expérimentés• Un catalogue de 10 outils dont 8 en ligne (Conscio Technologies et TerraNova)
08/02/2007 © Hapsis Education - 2007 31
Les chiffres clés
96
128
74
30
15
6070
100
0
20
40
60
80
100
120
140
Sensibilisation Formation Actions e-learning Conseil/Etudes
20052006
• Une activité d’environ 250 k€ en 2006• Dont 200 k€ de produits de e-learning
08/02/2007 © Hapsis Education - 2007 32
Les outils en ligne
Les Quiz• SensiQuiz de Conscio Technologies (démarche « concours »)• SecurIT Quiz de TerraNova (démarche « statistique »)
Les modules en ligne• Scenarisk / Sensiwave de Conscio Technologies (70 scenettes 3D)• SensiWeb de Hapsis Education (13 modules d’information)• SecurIT Savvy de TerraNova (16 activités pédagogiques)
Le jeu• Sensirisk de Conscio Technologies (jeu de l’oie en séance ou intranet)
Les enquêtes• Computer Crime Investigation de Conscio Technologies (scénario animé de
gestion d’incident)
Les outils d’accompagnement• Sensinews : articles de communication interne• Sensiguide : catalogue des 120 bonnes pratiques
08/02/2007 © Hapsis Education - 2007 33
Les ateliers thématiques
Objectifs• Éviter des études longues et théoriques produisant des rapports peu utiles• Formaliser un plan d’action consensuel dans un délai réduit
Démarche• Préparation
• Sélectionner un thème, une durée (1/2 à 2 jours) et les acteurs concernés• Fixer des objectifs : clarifier une problématique interne, lancer un projet, fixer un
budget, préciser les rôles, choisir une technologie, …• Un atelier en 4 parties (+ 1 option) :
• Tour de table : problématique et attentes (tous)• État de l’art sur le thème proposé (expert externe)• Bilan de la situation interne / Expérience (équipe client)• Option : travail de groupe• Synthèse / Débriefing (tous)
• Rédaction d’une note de synthèse (animateur / expert)Thèmes
• De la SSI à la Sécurité de l’Information, la Conformité juridique, Protection des données personnelles avec ou sans CIL, la classification des informations en pratique, la supervision de la sécurité, la gestion des identités, la gestion des crises, …
08/02/2007 © Hapsis Education - 2007 34
Le programme de formation
Le pilotage des risques informatiques et informationnels• L’essentiel : 4 fois 2 jours : avril / mai / juin / juillet et sept / oct / nov / déc• La mise en œuvre d’un SMSI : 5 jours
La protection des infrastructures critiques et la fraude informatique• L’essentiel : 4 fois 2 jours : avril / mai / juin / juillet et sept / oct / nov / déc• La mise en œuvre des processus sécurité « systèmes – réseaux » : 10 jours
La protection des données personnelles et la vie privée• Au second semestre 2007
La protection des données stratégiques et l’intelligence économique• Au second semestre 2007
La protection des services en ligne et la confiance du e-business• Au second semestre 2007
Un programme de plus de 40 jours animé par les meilleurs experts françaisA voir sur www.hapsis-education.com
08/02/2007 © Hapsis Education - 2007 35
Les contacts
Hapsis Education1, rue Bourdaloue
75009 PARISTél : +33 153 16 30 60
Michel GERARD : Pré[email protected]
Pierre-Luc REFALO : Directeur Général [email protected] : 06 24 36 93 73