05-12-2007 Institute Canadienne 1
Sécurité des courrielsOù débuter
mais surtout Où terminer et de façon sécuritaire
Présenté à Montréal Présenté à Montréal
Hôtel IntercontinentalHôtel Intercontinental
5 décembre 20075 décembre 2007
05-12-2007 Institute Canadienne 2
Depuis l’arriver des technologies de Depuis l’arriver des technologies de collaborations et de leur insertion dans les collaborations et de leur insertion dans les processus d’affaires de première ligne, le courriel processus d’affaires de première ligne, le courriel a su se tailler une place de choix. a su se tailler une place de choix.
Il est maintenant non seulement utilisé pour les Il est maintenant non seulement utilisé pour les échanges de correspondance aussi bien pour échanges de correspondance aussi bien pour l’interne que de l’externe, mais aussi il et est l’interne que de l’externe, mais aussi il et est maintenant devenu partie intégrante des maintenant devenu partie intégrante des applications transactionnel et de gestion des applications transactionnel et de gestion des accès.accès.
Introduction
05-12-2007 Institute Canadienne 3
Selon le programme
• Stratégies de gestion (Centralisé)• Faciliter le repérage (Outils de recherche)• Preuves (Cadre Légal)• Délais (1-24 mois) • Intégrité (Signature)• Confidentialité (Cryptographie)• Sauvegarde et archivage(2,5,7 ans)• Politique d’utilisation (Guide utile)
05-12-2007 Institute Canadienne 4
Sylvain Viau TP, CD, pm, CISA, BSI
Président D’ISACA MontréalEx-Officio de l’Association de Sécurité de l’information du Montréal Métropolitain (ASIMM).
President of ISACA MontrealEx-Officio of the Association of Security in Information for the Montreal Metropolitan (ASIMM)
Conseiller en sécurité de l’information depuis plus de 9 ans, Sylvain Viau est spécialisé dans le développement et la pratique de la continuité des affaires. Il est aussi reconnu pour son expertise dans l’évaluation de conformité en sécurité de l’information pour les grandes entreprises, banques canadiennes et agences gouvernementales. Il a aussi servi dans la Force Régulière et œuvre présentement avec la Réserve Primaire de l'Armée Canadienne pour un total de plus de 30 ans en génie des télécommunications, Guerre Électronique, sécurité physique et de l’information.
Security consultant for more than 9 years, Sylvain Viau is specialized in the development of business continuity practices. He is also well recognized for it’s expertise in security conformity by multi-national corporations, canadian banks and government agencies. He also served in the Regular Forces and still active in the Primary Reserve with 30 years of combine service in telecommunication engineering, Electronic Warfare, information and physical security.
Courriel / e-mail : [email protected] / mobile : (514) 704-8400
05-12-2007 Institute Canadienne 5
05-12-2007 Institute Canadienne 6
05-12-2007 Institute Canadienne 7
Acronyme
• DSS (Digital Signature Standards)
• E-Privacy• IBE (Identity-Based Encryption)
• HTTPS (Hyperlink Transfer Protocols (secure))
• MIME (Multipurpose Internet Mail Extension)
• S/MIME• PGP (Pretty Good Privacy)
• SSL (Socket Security Layer)
• VPN (Virtual Private network)
05-12-2007 Institute Canadienne 8
Découvertes 9 avril 2006• - Le cyberespace : à vos risques et périls -Ce futur imaginé il y a 20 ans dans les laboratoires
de quelques visionnaires est aujourd’hui à la portée de tous les doigts. À la vitesse de la lumière, en faisant fi des distances, anonyme, un réseau de connexions unique dans l’histoire de l’humanité fait maintenant office de continent virtuel. Dans le cybermonde, il y a un milliard d’ordinateurs, dont les conversations en mode numérique sont devenues l’espace de jeu et d’affaires de la planète entière.
Passeport pour se rendre dans le cyberespace : un simple ordinateur. C’est la clé d’entrée dans un territoire virtuel impossible à délimiter, dans lequel se paient les factures, se mobilisent les ONG, se communiquent les dernières nouvelles de la famille, s’ébauchent des banques de données médicales universelles et se complètent les rapports d’impôts, avec en prime, le numéro d’assurance sociale, clé de voûte de l’identité légale des citoyens.
Dans le cyberespace circulent, chaque jour, 60 milliards de courriels et un trillion de dollars; on y trouve, en consultation libre, l'équivalent de 400 milliards de livres. Mais si les avantages offerts par le cyberespace sont fabuleux, les périls y sont aussi de plus en plus nombreux. Et ils commencent à la maison.
Journaliste: Mario Masson Réalisatrice: Jeannita Richard
05-12-2007 Institute Canadienne 9
Rôle du courriel
•Le courriel est devenu une des applications les plus critique d’affaire.
– Communication– Livraison de document de travail et sensible– Programmation d’activités– Contacts– Archives et records
05-12-2007 Institute Canadienne 10
Coté sombre du Courriel
•Litiges – Scandale des commandites– Imperial Tobacco– Vérification des identités
L’admissibilité des courriels à titre d’évidence par L’admissibilité des courriels à titre d’évidence par la cours ne cesse d’augmenté pour les litiges entre la cours ne cesse d’augmenté pour les litiges entre
employés, employeur et organisations.employés, employeur et organisations.
05-12-2007 Institute Canadienne 11
Risques externe à la sécurité des courriels
•Interception– Les chances d’interception sont faible mais peut être
ciblé sur une organisation.
•Viruses -Pourriel– En 2003, le coût de perte en productivité planétaire
était estimés a - $1.8 Trillons (US) (PriceWaterhouseCoopers)
– En 2002, 70% des PME en Angleterre étaient infectées par un virus, causant des pertes (Monétaire, productivité, d’information etc..(McAfee).
Les risques internes pause un problème similaire mais Les risques internes pause un problème similaire mais ce dernier est souvent négligé. ce dernier est souvent négligé.
05-12-2007 Institute Canadienne 12
Risques interne à la sécurité des courriels
• Employés mécontent ou non sensibilisé– Expose des informations sensibles
Impact sur:La réputationProductivité
• Erreur
05-12-2007 Institute Canadienne 13
Risques interne à la sécurité des courriels
•Utilisation du courriel corporatif peu être couteux, tacher la réputation et avoir des retomber légales. :
– 30% des employées font suivre des courriel personnel à partir de l’entreprise (NFO Worldwide, 1999)
– 64% RX ou TX des courriel d’agression (NFO Worldwide, 1999)
– 36% TX des courriel racisme, sexiste ou pornographique (Computer weekly, 2001)
– $12,000 par jours de perte de productivité (organisation avec 5000 employées * 30mins par jours) (Web White & Pearson)
05-12-2007 Institute Canadienne 14
Diminuer les risques
•Sensibilisation (Politique)
•Surveillance (Détection)
•Technologique (Protection)
–Garde barrière–Anti-virus –Anti-Spam–Cryptographie –Surveillance –Sauvegarde
La technologie est aussi efficace que son maitre.La technologie est aussi efficace que son maitre.
05-12-2007 Institute Canadienne 15
Politique d’utilisation
• Protection des droits.Employées et Employeurs ont leurs droit respectifs
• Relation de travail ‘Big Brother’
• Législatif et de conformitéSox ISO etc…
05-12-2007 Institute Canadienne 16
Profil d’un Fraudeur Cybernétique
• Intelligent, patient, attentif• Position de confiance• 75% Hommes 25% Femmes• Bon citoyen• Travailleur stable • Sans précédent judiciaire• Très bonne connaissance de
l’environnement visé
05-12-2007 Institute Canadienne 17
Recommandations
• Réduire l’imputabilité de l’entreprise– Politique – Sensibilisation
• Maintenir une infrastructure adéquate– Protection du périmètre (Physique, Logique et Informatique)
– Composante fiable et redondante– Sauvegarde et archivage– Cryptographie (Applicatif et de réseau)
• Surveillance continuel des activités
05-12-2007 Institute Canadienne 18
Comment reconnaître failles dans Comment reconnaître failles dans nos courriels ?nos courriels ?
05-12-2007 Institute Canadienne 19
Modèle de base pour assurer la sécurité des courriels
Supervision
Protection
Virus
Zero-Hour Anti-Virus
Détection
Pourriel
Réputation Dynamique
Conformité
et Règles
Analyse de sécurité Digitale
Courriel
Sécurisé
Analyse du contenu
réseautique
Analyse
• Défend contre les menaces externe entrante
• Prévient la perte d’information
• En code les information sensible
• Analyse les infrastructures utilisés par le courriel
• Fait la gestion touchant la livraison du courriel
Centre de Réponse aux Attaques Cybernétique (CRAC)
05-12-2007 Institute Canadienne 20
Points à questionner
• Sauvegarde ( Corporative et Encodé)• Location des courriels (Local ou réseau)• Filtres (Virus)• Surveillance (Dynamique)
• Penser(Confidentialité, Intégrité, Accessibilité)
05-12-2007 Institute Canadienne 21
Em
ail
Gestion
Rapport
Supervision
Audit
HIPAA*
Sarbanes-Oxley
Politique corporative
GLBA*
Do
cum
ents
Mes
g.
inst
an
tan
és
VO
IP
Ap
pli
cati
on
s
Services IBE
Fournisseur IBE
Usagers Authentification
POLITIQUE et CONFORMITÉ CONSOLE DE GESTION
Mo
bil
eServices
Gestion des plateformes privées
*Health Insurance Portability and Accountability Act
* Gramm-Leach-Bliley Act
05-12-2007 Institute Canadienne 22
Selon le programme
• Stratégies de gestion (Centralisé)• Faciliter le repérage (Outils de recherche)• Preuves (Cadre Légal)• Délais (1-24 mois) • Intégrité (Signature)• Confidentialité (Cryptographie)• Sauvegarde et archivage(2,5,7 ans)• Politique d’utilisation (Guide utile)
05-12-2007 Institute Canadienne 23
Questions
05-12-2007 Institute Canadienne 24
Digital Signature Standard (DSS)
05-12-2007 Institute Canadienne 25
Il ne vous reste qu’à suivre la route
Recommended