Comment identifier et protéger vos
données sensibles
Présenté par : Patricia Bohbot – CCI MARSEILLE PROVENCE
RENDEZ-VOUS C...
2
Le rendez vous des TIC est une des prestations proposées
par la CCIMP pour faciliter l’appropriation des usages des TIC
...
3
La vision de la CCIMP sur la sécurité des données
 Les usages du numérique s’accélèrent et avec eux en parallèle de nou...
4
Le thème abordé aujourd’hui porte sur la famille d’usage
Sécurité
DEVELOPPER
L’ACTIVITE
COMMERCIALE
GERER LES
ACHATS
PIL...
Sommaire
Identifier et protéger vos données sensibles
1. Information c'est quoi ? 10mn
2. Vous avez dit « sensible » ? 10m...
Les intervenants
 Vincent IACOLARE
 09 79 36 87 24
 vincent.iacolare@synertal.fr
 www.synertal.com
www.talentrepreneur...
Partie 1: L'Information c'est quoi ?
L'information est partout
 Qu'est-ce qu'une information ?
L'information prend différentes formes :
Définition : une indic...
Sont à identifier et à estimer (valeur i.e. criticité) sur la base de critères
déterminés comme par exemple :
La violatio...
A quoi bon sécuriser l'information ?
Information = pétrole du XXIe siècle
La détenir
Force = Information utile à
l'entrepr...
Partie 2 : Vous avez dit « sensible » ?
Valeur de
l'actif/
Criticité du bien
(fort, moyen,
faible)
Menace /
vulnérabilité
→ Risques
Niveau de
risque brut
(fort, m...
Bien (actifs)
internes
Politique de sécurité
Objectifs de sécurité
Mesures de sécurité
Valeur du bien
Criticité du bien
(s...
Bien
(actifs)
Menaces
(augmentent le niveau de risque)
Diminue la
valeur du bien
Mesures de protection
(réduisent le nivea...
Menaces
 A)ccidentelle, D)élibérée ou E)nvironnementale
 D'origine interne ou externe
On distingue généralement :
 Mena...
Vulnérabilités
Techniques (matériel, logiciel, réseaux...)
 Faiblesses de conception (architecture, logiciel, etc.)
 Pr...
Partie 3 : Comment la protéger ?
Levier 1 : Capital humain
Identification du maillon faible de l’entreprise
Détenteur informations et de compétences
Diffuseur (in)volontaire d’infor...
Identification des utilisateurs
(authentification, habilitations)
Les protections dans le cadre des relations collectives ...
Partie 3 : Comment la protéger ?
Levier 2 : Outils & méthodes TIC
Méthodes, outils et bonnes pratiques
Recommandations
Difficile de donner des méthodes et outils
Dangereux
Agir de façon...
Méthodes, outils et bonnes pratiques
Mode d'emploi
 filtrage / journalisation des connexions réseau
 détection / prévent...
Méthodes, outils et bonnes pratiques
Exemples (non exhaustif, non prescriptif)
Poste client
Applications
Infrastructure
d'...
Partie 3: Comment la protéger ?
Levier 3 : Système de management
Mise en œuvre d'un système de management
→ Les thèmes traités (les maillons faibles les plus courants)
1. État
des lieux
2...
Politiques
(sécurité….)
mission-valeur-vision
Système de
management
Analyse
d'énergie
(accélérateur, frein)
Mise en œuvre ...
Approche top
down
Approche
bottom-up
Opérationnel
Direction
Intégrer
→ SM
entreprise
(y/c SSI)
Politique, objectifs,
plani...
28
Les points clés à retenir
Les points clés à retenir
• La sécurité doit être adaptée aux moyens
• La sécurité doit être adaptée aux risques
• La sécu...
30
Les intervenants
Vos questions / nos réponses !
 Vincent IACOLARE
 09 79 36 87 24
 vincent.iacolare@synertal.fr
 ww...
31
Comment rendre votre site
Internet visible sur Google?
Jeudi 21 mai 2015
Aix en Provence
WWW.CCIMP.COM pour
consulter l...
32
NOUVEAU : Cette vidéo sera disponible sur la
playlist CCIMP REPLAY de la chaine Youtube de
la CCIMP
33
Découvrez toutes les missions de la CCI Marseille Provence
• Faciliter votre quotidien, simplifier vos formalités
• Vou...
Prochain SlideShare
Chargement dans…5
×

Competitic - Identifier et Protéger vos données sensibles

715 vues

Publié le

Les cyberattaques touchent de plus en plus d'entreprises et sont toujours plus sophistiquées. Comment gérer ces risques? Comment développer une culture du secret informationnel dans mon entreprise.

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
715
Sur SlideShare
0
Issues des intégrations
0
Intégrations
31
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Competitic - Identifier et Protéger vos données sensibles

  1. 1. Comment identifier et protéger vos données sensibles Présenté par : Patricia Bohbot – CCI MARSEILLE PROVENCE RENDEZ-VOUS CCIMP des TIC Affichage des logos des partenaires
  2. 2. 2 Le rendez vous des TIC est une des prestations proposées par la CCIMP pour faciliter l’appropriation des usages des TIC • Prediagnostic etransformation • Ateliers • … • Rendez vous des TIC • Salon TOP TIC • Démonstrateurs (ex : Ma bouTIC) • « Portail des usages » : www.lenumeriquepourmonentreprise.com • … • Actions collectives • … L’OFFRE « TIC » DE LA CCIMP se décline en TROIS TYPES d’ACTION Sensibiliser Approfondir Accompagner
  3. 3. 3 La vision de la CCIMP sur la sécurité des données  Les usages du numérique s’accélèrent et avec eux en parallèle de nouveaux risques apparaissent.  Les entreprises sont les premières cibles des cyberattaques qui visent son patrimoine informationnel, son savoir faire, ses données clients, ses projets en cours…et les conséquences sont lourdes : pertes de données, perte de confiance, atteinte à l’image et à la réputation.  Face à ces nouveaux risques, qui peuvent aller jusqu’à l’arrêt total de l’activité, des mesures de précaution, des règles d’hygiène informatique sont à mettre en place pour réduire le risque et mieux gérer les situations de crises.
  4. 4. 4 Le thème abordé aujourd’hui porte sur la famille d’usage Sécurité DEVELOPPER L’ACTIVITE COMMERCIALE GERER LES ACHATS PILOTER L’ENTREPRISE OPTIMISER L’ACTIVITE
  5. 5. Sommaire Identifier et protéger vos données sensibles 1. Information c'est quoi ? 10mn 2. Vous avez dit « sensible » ? 10mn 3. Comment la protéger ? Levier 1 : capital humain 10mn Levier 2 : outils/ méthodes TIC 10mn Levier 3 : système de management 10mn Questions-Réponses 30mn
  6. 6. Les intervenants  Vincent IACOLARE  09 79 36 87 24  vincent.iacolare@synertal.fr  www.synertal.com www.talentrepreneur.fr Nous nous engageons avec eux pour la sécurité de l'information : Dirigeant Ingénieur conseil Écrivain militant Manager de projet certifié Afitep Auditeur certifié ICA - MASE - ADSN Concepteur, formateur et animateur qualifié Afnor Compétences & FCT Solutions
  7. 7. Partie 1: L'Information c'est quoi ?
  8. 8. L'information est partout  Qu'est-ce qu'une information ? L'information prend différentes formes : Définition : une indication, un renseignement, un événement, un fait, un jugement , une nouvelle communiquée, un élément de connaissance, … (d'après Larousse) numérique (fichier, base de données) savoir document (écrit)mot (oral) L'information se dématérialise de plus en plus L'information est partout (et plus elle se dématérialise et plus elle se répand) /!
  9. 9. Sont à identifier et à estimer (valeur i.e. criticité) sur la base de critères déterminés comme par exemple : La violation de la réglementation et de la législation, Manque à gagner pour l’entreprise, perte financière...., Impact sur la notoriété, Interruption de l’activité de l’entreprise, Brèches aux promesses de confidentialité avec les parties prenantes (clients, fournisseurs, partenaires, ...), Endommagement de l’infrastructure, Etc. Identification des actifs = Processus permanent et itératif Valorisation des actifs selon critères (par nature d'impact direct ou indirect i.e perte de, atteinte à, crise...) Information = ACTIFS /BIENS Les identifier
  10. 10. A quoi bon sécuriser l'information ? Information = pétrole du XXIe siècle La détenir Force = Information utile à l'entreprise pour se développer (pouvoir, anticipation, …) Risque = Information sensible (vol, IE, piratage...) La sécuriser Risque (tuer la performance, nuire au développement , alourdir le fonctionnement) Indispensable (survie) Maturité démarche de sécurité de l'information intégrée Force = Influence (information à communiquer sur l’entreprise)
  11. 11. Partie 2 : Vous avez dit « sensible » ?
  12. 12. Valeur de l'actif/ Criticité du bien (fort, moyen, faible) Menace / vulnérabilité → Risques Niveau de risque brut (fort, moyen, faible) Mesure de protection existant, Moyen de Sauvegarde / Secours, de Reprise/ Restauration / Niveau de risque résiduel (fort, moyen, faible) Si fort, Action - d'évitement - de réduction - de partage ou transfert - d'élimination - d'acceptation Le plus SIGNIFICATIF forts Sensible = Risques : Niveau de risque & actions de réduction, juste nécessaire
  13. 13. Bien (actifs) internes Politique de sécurité Objectifs de sécurité Mesures de sécurité Valeur du bien Criticité du bien (selon son impact sur l'organisme) Vulnérabilités (exposent le bien) Système de management Menaces (exploitent la vulnérabilité) externes organisme Sensible = risques = menaces + vulnérabilités (1/2)
  14. 14. Bien (actifs) Menaces (augmentent le niveau de risque) Diminue la valeur du bien Mesures de protection (réduisent le niveau de risque) Risques résiduels Risques (niveau de risque) l'essentiel = connaître les menaces (causes potentielles d'incident) et les vulnérabilités (faiblesse d'un bien pouvant être exploité par une menace) Criticité du bien Vulnérabilités (augmentent le niveau de risque) Source de risque Danger Facteur de risque Risque Conséquence Impact Sensible = risques = menaces + vulnérabilités (2/2)
  15. 15. Menaces  A)ccidentelle, D)élibérée ou E)nvironnementale  D'origine interne ou externe On distingue généralement :  Menace passive : elles ne modifient pas le contenu de l'information et portent essentiellement sur la confidentialité (branchement sur une ligne de transmission, capture de signaux hertziens...).  Menace active : elles modifient le contenu de l'information ou le comportement des systèmes de traitement (brouillage des communications, modification des données transmises ou résidentes, pénétration du système, destruction physique ou logique).
  16. 16. Vulnérabilités Techniques (matériel, logiciel, réseaux...)  Faiblesses de conception (architecture, logiciel, etc.)  Programmes peu robustes Organisationnelles (site, organisation, ...)  Architectures permissives  Emploi de versions non corrigées des erreurs  Administration non sécurisée de l’exploitation Humaines  Méconnaissance de la menace  Insouciance des utilisateurs … et/ou de la Direction  Connexions internet sans sécurité suffisante Extérieures  Image et notoriété  Diffamation, dénigrement, décrédibilisation
  17. 17. Partie 3 : Comment la protéger ? Levier 1 : Capital humain
  18. 18. Identification du maillon faible de l’entreprise Détenteur informations et de compétences Diffuseur (in)volontaire d’informations Acteur interne ou externe de l’entreprise  Existe t-il des mesures de protections ? L’HUMAIN Capital humain & mesures de protection
  19. 19. Identification des utilisateurs (authentification, habilitations) Les protections dans le cadre des relations collectives (guide, règlement, charte ..) / individuelles (contrat, convention, ...) Les clauses de protection du savoir faire (confidentialité, non concurrence, propriété intellectuelle...) Les clauses relatives à l'usage des TIC (téléchargement, cloud, réseaux sociaux messagerie, espaces stockage...) Les mesures de protection Identification des protagonistes (matrice RACI) La formation/sensibilisation La charte informatique Capital humain & mesures de protection
  20. 20. Partie 3 : Comment la protéger ? Levier 2 : Outils & méthodes TIC
  21. 21. Méthodes, outils et bonnes pratiques Recommandations Difficile de donner des méthodes et outils Dangereux Agir de façon adapté et proportionné aux risques Respecter le droit à en connaître Faire appel à des "professionnels" voire aux autorités (ANSSI, ….)  Ne pas se laisser séduire par le chant des chimères Privilégier une protection « conjuguée » A noter : Nous ne sommes prescripteur d'aucun produit Nous ne cherchons pas ici à être précis et exhaustif
  22. 22. Méthodes, outils et bonnes pratiques Mode d'emploi  filtrage / journalisation des connexions réseau  détection / prévention d'intrusion (scanner de vulnérabilité, log, ...)  filtre Anti-DoS (Deni de service)  connexion sécurisée (VPN, SSL/ TLS…)  chiffrement du stockage  supervision & monitoring  sécuriser les "applications" & développements  …. 1) sécuriser le physique / matériel (accès aux serveurs-machines, cablage, réseau sans fils) 2) sécuriser au mieux le système d'exploitation (OS) (serveur et poste client) 3) ajouter des couches de protection "sécurité" :
  23. 23. Méthodes, outils et bonnes pratiques Exemples (non exhaustif, non prescriptif) Poste client Applications Infrastructure d'application Infrastructure physique matériel réseaux Système d'exploitation Serveurs SGBD horizontales (CRM, GRH, ...) Applications ... ... Applications dédiées au net verticales Applications (métiers) Linux ;Pack office libre Antivirus Chiffrement du stockage type « truecrypt » Extinction automatique serveur inactif Cryptage automatique de disque inactif Proxy/ reverse proxy ; Coupe-feu à jour Bien configurer les "VLAN" ; sécuriser le "DNS" VPN / IPSec/SSL/TLS (OpenVPN avec certif) Stockage des données applicatives maîtrisé Supervision, scanner de vulnérabilité Sécuriser les "application", dans l'ordre : annuaire (type LDAP ou MS AD), sauvegarde, messagerie (anti-virus / anti- spam / chiffrement transfert, …) Sécuriser les "développements spécifiques"
  24. 24. Partie 3: Comment la protéger ? Levier 3 : Système de management
  25. 25. Mise en œuvre d'un système de management → Les thèmes traités (les maillons faibles les plus courants) 1. État des lieux 2. Définition politique 3. Mise en œuvre & contrôles 4. Amélioration continue Contraintes, exigences stratégie, ... Pilotage de la sécurité de l'information Cartographie des biens et des risques Se protéger contre les erreurs humaines & techniques Orientations, sens, objectifs cibles
  26. 26. Politiques (sécurité….) mission-valeur-vision Système de management Analyse d'énergie (accélérateur, frein) Mise en œuvre d'un système de management → les éléments structurants essentiels Produit/ service merci help « client » « client » périmètre maîtrise
  27. 27. Approche top down Approche bottom-up Opérationnel Direction Intégrer → SM entreprise (y/c SSI) Politique, objectifs, planification, R&A, …. Biens, risques, menaces, vulnérabilités, mesures, contrôles, …. Iso 27001.... mais pas que (9001, 14001, 20000-1, 18001, 21500, 26000, ...) Système de management, Clés du succès : croiser 2 approches + intégrer
  28. 28. 28 Les points clés à retenir
  29. 29. Les points clés à retenir • La sécurité doit être adaptée aux moyens • La sécurité doit être adaptée aux risques • La sécurité doit être adaptée au comportement humain • La sécurité doit minimiser l'impact sur la productivité • Le point sensible de la sécurité reste l'humain • La sécurité c'est l'affaire de tous, tout le temps (sans fin) • Le risque 0 n'existe pas (connaître et maîtriser ses risques) • La sécurité est une affaire de moyens mais pas que... • Un SMSI certifié ne signifie pas un système inviolable • La sécurité n'empêche pas les intrusions (elle les retarde) • Un SMSI est compatible avec des sociétés de toutes tailles
  30. 30. 30 Les intervenants Vos questions / nos réponses !  Vincent IACOLARE  09 79 36 87 24  vincent.iacolare@synertal.fr  www.synertal.com  www.talentrepreneur.fr N'attendez plus, engagez-vous !!!
  31. 31. 31 Comment rendre votre site Internet visible sur Google? Jeudi 21 mai 2015 Aix en Provence WWW.CCIMP.COM pour consulter l’AGENDA des RDV et vous INSCRIRE Evènement accessible de chez vous ou de votre bureau avec un ordinateur et une connexion internet Liste des logos des partenaires Restons en contact Rejoignez-nous sur le portail des usages et retrouvez :  Les supports des présentations  La présentation des usages du numérique  Les actualités  L’annuaire des entreprises Suivez-nous sur les réseaux sociaux : @competitic Projet régional CompetiTIC
  32. 32. 32 NOUVEAU : Cette vidéo sera disponible sur la playlist CCIMP REPLAY de la chaine Youtube de la CCIMP
  33. 33. 33 Découvrez toutes les missions de la CCI Marseille Provence • Faciliter votre quotidien, simplifier vos formalités • Vous accompagner pour développer votre entreprise : des méthodes, des outils, des rencontres business, des réseaux • Défendre vos intérêts et ceux du territoire • Favoriser les conditions du développement économique et des grands projets Rendez-vous sur ccimp.com & – des actus – des infos pratiques & solutions business – l’agenda de nos réunions – des e-services : annuaire des réseaux, boîtes à outils du dirigeant, aides financières, fichiers de prospection, échéancier social…

×