Jeudi 08 décembre 2011
Ne mettez pas votre entreprise en péril :
sécurisez votre informatique
Marlène Korsia
CCIMP
Service Innovation & TIC
marlene.korsia@ccimp.com
La totalité des entités récoltent, utilisent et stockent des
données :
- Clients
- Employés,
- Produits
- Activité
- Autre...
Perte et vol d‘information
Atteintes à l’image et la réputation
Perte de clients
Coûts internes de gestion des problèmes
P...
 4 entreprises sur 5 ont perdu des informations sensibles lors du
vol de notebooks Ponemon Institute LLC and Symantec end...
Sécurité du Cloud
L’externalisation… quels sont les risques
?
- Perte de maîtrise
- Déficience des interfaces
- Maintien d...
Pascal Guenot
pascal.guenot@izitic.fr
Définitions
PRA = Plan de Reprise d’Activité
Le Plan de Secours Informatique (PSI)
ET
L’organisation et les processus asso...
Définitions
RTO = Recovery Time Objective
Durée maximale d’interruption que l’entreprise peut tolérer
(délai de reprise de...
Définitions
RPO = Recovery Point Objective
Durée maximale d’enregistrement des données que l’entreprise
peut tolérer.
Le R...
Définitions
Quel impact des valeurs de RTO et RPO ?
Plus les objectifs pour les RTO et RPO seront ambitieux :
 Plus les i...
Illustration
Contexte
 Contrat de maintenance avec GTI à J+1
(Garantie de Temps d’Intervention au jour ouvré suivant)
 S...
Mise en place d’un PRA
Analyse préalable des risques
Réaliser un audit organisationnel
 Identifier et hiérarchiser les pr...
Les risques informatiques
Les risques d’origine physique
 Risques électriques (surtension, foudre…)
 Sinistres (incendie...
Les risques informatiques
Risques électriques
Protéger les équipements hébergés dans le local technique :
 Contre les dég...
Les risques informatiques
Sinistres (incendie, dégât des eaux…)
Protéger le local technique contre les sources de dommages...
Les risques informatiques
Vol de matériel
Protéger le local technique contre les intrusions :
 Sécurisation de l’accès (s...
Les risques informatiques
Pannes matérielles
Privilégier les gammes professionnelles des constructeurs :
 Fiabilité (qual...
Les risques informatiques
La sauvegarde des données
Les causes possibles pour perdre des données sont tellement
multiples ...
Les risques informatiques
La protection anti-virus
Il y a une croissance exponentielle des codes malveillants
L’enquête 20...
Les risques informatiques
Sécurité logique (empêcher les intrusions et les attaques)
 Protection en amont du réseau
 Pro...
Les risques informatiques
Les risques juridiques (1/2)
 LCEN (Loi pour la Confiance dans l’Economie Numérique)
 Hadopi (...
Les risques informatiques
Les risques juridiques
(2/2)
La loi Hadopi introduit l'obligation
de sécuriser son accès
La resp...
La définition du PRA
Nécessité d’un contexte stable
Au niveau organisationnel
 Les acteurs concernés par le PRA doivent t...
L’organisation du PRA
Formalisation des procédures
Les modalités d’activation et de conduite du PRA doivent être
formalisé...
L’organisation du PRA
Le test du PRA est fondamental
Tant qu’un PRA n’a pas été testé, il n’a pas fait preuve de son
effic...
Conclusion
• Mieux vaut anticiper les risques que de les subir
• Prévoir les choses ne les attire pas forcément
• Savoir r...
Conclusion
Questions / Réponses
La prochaine action
Réduisez vos déplacements avec les
solutions de communication à
distance
Le 15 décembre 2011
Marseille
Prochain SlideShare
Chargement dans…5
×

2011 12 08 securite et plan de reprise d'activite by competitic

3 023 vues

Publié le

Ne mettez pas votre entreprise en péril : sécurisez votre informatique.
Panne, indisponibilité technique, Anticipez les problèmes liés à l'arrêt de votre informatique.
Quels sont les types de risques dont il faut se prémunir ?
Comment définir un plan de reprise d'activité (PRA) qui permette d'assurer un fonctionnement sans informatique ?

Publié dans : Business
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
3 023
Sur SlideShare
0
Issues des intégrations
0
Intégrations
27
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Cf Livre Blanc Sophos
  • Slide objective: Highlight the sharp end of data loss incidents and the moment Chief Security Officer’s fear. Draw attention to the fact that publicly disclosed incidents of data loss are of course only the tip of the iceberg. The bulk of the iceberg is made up of:
    Large numbers of unannounced Personally Identifiable Information (PII)* losses which can still have significant reputational impact with customers and partners
    IP losses which can be very expensive for individual businesses but are not of interest to the wider public
    Undiscovered IP losses will be happening all the time and the greater the business exposure to these losses the higher the risk of public exposure
    Financial compensation cost also need to be considered:
    1. if in breach of regulatory compliance e.g. Nationwide (security breach cost $2 million in fines) *1
    2. if sued by other parties who suffer financial loss due to data loss negligence (e.g. US veterans and Heartlands class actions for data loss) *2
    Ponemon Institute - The average cost of a data breach in 2008 grew to $202 per record compromised, an increase of 2.5 percent since 2007 ($197 per record). The average total cost per reporting company was more than $6.6 million per breach and ranged from $613,000 to almost $32 million.
    The cost of lost business continued to be the most costly effect of a breach, averaging $4.59 million, or $139 per record compromised, the study says. Lost business now accounts for 69 percent of data breach costs,
    Some additional facts we can speak to as part of this slide:
    In the UK, online banking fraud losses from January to June 2008 totaled £21.4m ($31.3m) – a 185 percent rise on the 2007 figures, and 20,000 fraudulent phishing websites were set up – an increase of 186 percent.
    December 2008, for example, the accounts of 21 million German bank customers were being offered for sale on the black market for 12 million euros by a hacking gang.
    New incidents can be looked up here:
    http://datalossdb.org/ (global)
    http://www.openrightsgroup.org/orgwiki/index.php/UK_Privacy_Debacles (UK)
    -------------------------------------------
    Personally Identifiable Information (PII)* is any piece of information which can potentially be used to uniquely identify, contact, or locate a single person or can be used with other sources to uniquely identify a single individual.
    Whilst the acronym PII is commonly used, there is no common or agreed use of the words from which it is created. Common variants are personal identifiable information, personally identifiable information, personal identifying information, and personally identifying information. Nevertheless there should be a clear distinction between the identifying block (personally identifying information) and the identifiable data relating to an individual (personally identifiable information).
    ---------------------------------------------
    *1 http://www.watchyourend.com/2007/02/14/security-breach-costs-nationwide-nearly-%C2%A31-million/
    *2 http://www.securityfocus.com/brief/899 (Heartlands class action) & http://www.eweek.com/c/a/Security/Veterans-Sue-VA-over-Data-Loss/
  • Some statistics
    4 out of 5 companies have lost confidential data when a laptop was lost
    10% of all notebooks get stolen/lost annually
    1 in 2 USB drives contains confidential information
    70% of all company data are stored redundant on Endpoints (notebooks, USB sticks) not only on servers
    Top - reason for data breaches in Enterprises: 35% based on lost/stolen notebooks
  • Cf Livre Blanc Sécurité Cloud Computing (Syntec)
  • Eviter les vols opportunistes
    La majorité des vols seraient le fait du personnel lui-même
  • C’est différent si l’employeur met en œuvre un dispositif de surveillance de l’activité de ses salariés (contrôle de la messagerie, des sites Internet consultés...)
  • Il y a aussi des risques juridiques avec l’utlisation des logiciels piratés
  • 2011 12 08 securite et plan de reprise d'activite by competitic

    1. 1. Jeudi 08 décembre 2011 Ne mettez pas votre entreprise en péril : sécurisez votre informatique
    2. 2. Marlène Korsia CCIMP Service Innovation & TIC marlene.korsia@ccimp.com
    3. 3. La totalité des entités récoltent, utilisent et stockent des données : - Clients - Employés, - Produits - Activité - Autres… Elles doivent mettre en œuvre toutes les dispositions nécessaires pour les protéger contre la perte, le vol, les accès non autorisés… Quelles sont les données en danger ?
    4. 4. Perte et vol d‘information Atteintes à l’image et la réputation Perte de clients Coûts internes de gestion des problèmes Pertes de revenus associés à la propriété intellectuelle
    5. 5.  4 entreprises sur 5 ont perdu des informations sensibles lors du vol de notebooks Ponemon Institute LLC and Symantec end-user survey, August 2009  10% des notebooks sont perdus ou volés par an Web & Collaboration Strategies 2009  1 disque USB sur 2 contient des informations sensibles Forrester Research, Inc. and Symantec Corp. survey, February 2008.  70% des données des entreprises sont dupliquées hors des serveurs (notebooks, clé USB …) Ponemon Institute, U.S. Survey: Confidential Data at Risk, August 2008  Fuite d’informations: Augmentation de 47% entre 2007 – 2009 Breach List and Statistics - Identity Theft Resource Center (ITCP) Date: 01/12/2010  Principales raisons de la fuite d’information : Perte de portables ou de device – 35% Ponemon Institute, 2009, Annual Study: Costs of Security Breaches Des données mobiles de plus en plus exposées
    6. 6. Sécurité du Cloud L’externalisation… quels sont les risques ? - Perte de maîtrise - Déficience des interfaces - Maintien de la conformité - Localisation des données - Perte des données - Usurpation
    7. 7. Pascal Guenot pascal.guenot@izitic.fr
    8. 8. Définitions PRA = Plan de Reprise d’Activité Le Plan de Secours Informatique (PSI) ET L’organisation et les processus associés
    9. 9. Définitions RTO = Recovery Time Objective Durée maximale d’interruption que l’entreprise peut tolérer (délai de reprise de l’outil informatique). Le RTO dépend de la ressource informatique considérée :  Une application qui conditionne la production aura un RTO faible  On pourra (peut-être) tolérer un RTO plus long pour une application de messagerie
    10. 10. Définitions RPO = Recovery Point Objective Durée maximale d’enregistrement des données que l’entreprise peut tolérer. Le RPO dépend du type de donnée considérée :  RPO = 0 pour des transactions bancaires  On pourra tolérer un RPO plus long pour des données que l’on peut ressaisir
    11. 11. Définitions Quel impact des valeurs de RTO et RPO ? Plus les objectifs pour les RTO et RPO seront ambitieux :  Plus les investissements informatiques seront élevés  Plus l’organisation et les processus seront importants pour le bon déroulé du PRA On parle plutôt de PCA = Plan de Continuité d’Activité dans le cas d’un RTO minimal et RPO = 0 Cela nécessite une infrastructure à haute disponibilité
    12. 12. Illustration Contexte  Contrat de maintenance avec GTI à J+1 (Garantie de Temps d’Intervention au jour ouvré suivant)  Sauvegarde des données en fin de journée Déroulé du PRA  Panne du serveur informatique le mardi en fin d’après-midi  Intervention du mainteneur informatique le mercredi matin  Le mercredi soir, remise en service et restauration des données  Le jeudi est consacré à ressaisir les données du mardi qui ont été perdues  L’entreprise n’est vraiment à nouveau opérationnelle que le vendredi matin Soit 3 jours de perte de production
    13. 13. Mise en place d’un PRA Analyse préalable des risques Réaliser un audit organisationnel  Identifier et hiérarchiser les processus de l’entreprise  Bien identifier les enjeux, le périmètre, les objectifs… Réaliser un audit technique  Recenser les vulnérabilités du système informatique  Identifier les solutions à mettre en place Etablir un plan d’actions Arbitrer un plan d’actions en cohérence entre les risques identifiés et les objectifs de l’entreprise
    14. 14. Les risques informatiques Les risques d’origine physique  Risques électriques (surtension, foudre…)  Sinistres (incendie, dégât des eaux…)  Vols de matériel (ordinateurs et, de plus en plus, smartphones ou tablettes)  Pannes matérielles (crash disque…) Les risques d’origine humaine  Mauvaise manipulation, malveillance interne…  Cybercriminalité
    15. 15. Les risques informatiques Risques électriques Protéger les équipements hébergés dans le local technique :  Contre les dégâts électriques  Installation électrique aux normes (disjoncteurs thermiques et différentiels, qualité de mise à la terre…)  Parafoudre, parasurtenseur…  Circuit électrique dédié au local technique  Contre les coupures d’énergie  Onduleur  Groupe électrogène
    16. 16. Les risques informatiques Sinistres (incendie, dégât des eaux…) Protéger le local technique contre les sources de dommages matériels :  Système de détection incendie, voire d’extinction automatique  Système de détection d’humidité et de fuite d’eau  Climatisation (a minima une ventilation efficace) Tester les systèmes régulièrement !
    17. 17. Les risques informatiques Vol de matériel Protéger le local technique contre les intrusions :  Sécurisation de l’accès (serrure, lecteur de badge…)  Détection d’ouverture du local Prévoir un câble antivol pour chaque ordinateur Installer une vidéo-protection des locaux Pour les équipements portables, protéger l’accès aux données confidentielles (mot de passe, chiffrement…)
    18. 18. Les risques informatiques Pannes matérielles Privilégier les gammes professionnelles des constructeurs :  Fiabilité (qualité des composants)  Robustesse (portables)  Support garanti 3 voire 5 ans… Pour les serveurs en particulier :  Alimentation électrique doublée  Disques en tolérance de panne (RAID)  Protection électrique obligatoire (onduleur) Les contrats de garantie et de services avec les constructeurs doivent être en cohérence avec le RTO !
    19. 19. Les risques informatiques La sauvegarde des données Les causes possibles pour perdre des données sont tellement multiples que la sauvegarde est une exigence incontournable ! C’est la valeur du RPO qui va déterminer la technologie de sauvegarde et leur fréquence /durée de rétention Les données de sauvegarde doivent être externalisées  Supports magnétiques stockés hors de l’entreprise  Sauvegarde externalisée dans un data center Les tests de restauration doivent être réguliers !
    20. 20. Les risques informatiques La protection anti-virus Il y a une croissance exponentielle des codes malveillants L’enquête 2010 du CLUSIF (*) rapporte que 40% des entreprises ont subi un incident de sécurité dû à une infections virale (*) Club de la Sécurité de l’Information Français – www.clusif.asso.fr Les sources d’infection sont multiples : messagerie, clé USB, téléchargements… La politique de sécurité doit prévoir les mises à jour logicielles :  En « temps réel » pour le logiciel anti-virus (base de signatures)  Aussi fréquente que possible pour les systèmes d’exploitation (correction des failles de sécurité)
    21. 21. Les risques informatiques Sécurité logique (empêcher les intrusions et les attaques)  Protection en amont du réseau  Protection des accès Wifi pour éviter l’écoute, le détournement de connexion…  Les accès distants via l’Internet public doivent être sécurisés (VPN) Sécurité du réseau local Sécurité physique (limiter les pannes réseau)  Architecture adaptée aux besoins (bande passante, nombre de prises…)  Pas de câblage « volant »
    22. 22. Les risques informatiques Les risques juridiques (1/2)  LCEN (Loi pour la Confiance dans l’Economie Numérique)  Hadopi (loi Création et Internet)  LOPPSI (Loi d'Orientation et de Programmation pour la Performance de la Sécurité Intérieure) Conservation des données de trafic dans le but de permettre la recherche et la poursuite des infractions pénales Obligations liées à la CNIL (Commission Nationale de l’Informatique et des Libertés) en ce qui concerne l’enregistrement de données personnelles : ces informations doivent être effacées ou rendues anonymes Au final, la CNIL considère que les entreprises fournissant un accès Internet à leurs employés ne sont pas concernées par cette obligation de conservation
    23. 23. Les risques informatiques Les risques juridiques (2/2) La loi Hadopi introduit l'obligation de sécuriser son accès La responsabilité de l'employeur est engagée dans le cas d'une infraction constatée au sein de l'entrepriseUne solution de filtrage pour empêcher le téléchargement illégal est fortement recommandée
    24. 24. La définition du PRA Nécessité d’un contexte stable Au niveau organisationnel  Les acteurs concernés par le PRA doivent tous être impliqués Au niveau technique  Tous les points critiques mis en évidence par l’audit technique doivent être corrigés avant de formaliser le PRA Les objectifs doivent être fixés et partagés Il faut arbitrer entre :  les risques dont on veut se prémunir  les objectifs (RTO/RPO, mode dégradé…)  les coûts pour répondre aux exigences de reprise
    25. 25. L’organisation du PRA Formalisation des procédures Les modalités d’activation et de conduite du PRA doivent être formalisées : Au niveau organisationnel  Identification des acteurs et leur rôle pendant :  le déclenchement  la période de secours  le retour à la normale Au niveau technique Procédures techniques pour dérouler le plan de secours informatique
    26. 26. L’organisation du PRA Le test du PRA est fondamental Tant qu’un PRA n’a pas été testé, il n’a pas fait preuve de son efficacité Il vaut mieux découvrir les problèmes pendant les tests que pendant la crise Le retour d’expérience (analyse post mortem) permet de corriger ce qui n’a pas bien fonctionné Le maintien en conditions opérationnelles (MCO) Le PRA doit donc évoluer et être retesté régulièrement en conséquence des modifications de l’environnement : Evolution de l’organisation de l’entreprise  Turnover du personnel  Changements sur le système informatique…
    27. 27. Conclusion • Mieux vaut anticiper les risques que de les subir • Prévoir les choses ne les attire pas forcément • Savoir réagir au plus vite pour se remettre à flot
    28. 28. Conclusion Questions / Réponses
    29. 29. La prochaine action Réduisez vos déplacements avec les solutions de communication à distance Le 15 décembre 2011 Marseille

    ×