la sécurité de l'information (extrait de presentation)

243 vues

Publié le

extraits de la présentation

Publié dans : Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
243
Sur SlideShare
0
Issues des intégrations
0
Intégrations
17
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

la sécurité de l'information (extrait de presentation)

  1. 1. Sécurité de l’information
  2. 2. La sécurité de l’information I. La Sécurité de l’Information: de quoi parlons nous? • Le système d’information • L’information • La sécurité de l’information II. L’importance de la Sécurité de l’Information • Les mesures de sécurité de l’information • La variété des menaces à la sécurité de l’information • L’incidence des menaces à la sécurité de l’information III.Conclusions
  3. 3. La Sécurité de l’Information
  4. 4. Le système informatique, composant majeur du système d’information Le système d’information: les systèmes informatiques & l’information L’INFORMATION (Numérisée ou Tangible) ProcéduresMatériel Logiciels Données Personnel Acquérir Traiter Stocker Communiquer L’INFORMATION (Numérisée ou Tangible)
  5. 5. Une classification simplifiée de l’information Classification Définition Publique Discrétion mais pas d’impact négatif en cas de divulgation Sensible Requiert des mesures de précautions afin d’assurer l’intégrité et la confidentialité des données Privé Informations personnelles dont l’usage est perclus à la conduite des activités; leur divulgation peut affecter négativement le personnel ou l’organisation Confidentiel Dont l’usage est strictement limité à l’organisation ; selon les cas et pays, hors de portée de la loi sur la divulgation des informations; l’effet négatif sur l’organisation serait conséquent Secret Liée à la sécurité nationale; en cas de divulgation, pourrait significativement affecter la sécurité nationale
  6. 6. La Sécurité de l’Information La protection de l’information et des systèmes d’information contre tout accès, utilisation, divulgation, perturbation, modification ou destruction par un tiers sans autorisation. Principes Fondamentaux :  La confidentialité  L’intégrité  La disponibilité Critères de sécurité supplémentaires nécessaires:  La non-répudiation (le fait de s'assurer qu'un contrat, notamment un contrat signé via internet, ne peut être remis en cause par l'une des parties)  La traçabilité  L’identification/ L’authentification
  7. 7. La sécurité de l’information dans toute l’organisation ProceduresMatériel Logiciels Données Personnel
  8. 8. Typologie des mesures de Sécurité de l’Information Administratives Techniques Physiques (équipements, bâtiments, personnes) Virtuelles Opérationnelles Ces mesures doivent également être prises en cohérence avec: le degré de l’information à protéger le principe de sécurité mis à mal par les menaces
  9. 9. L’industrie La Gouvernance Responsabilités & pratiques de Sécurité de l’Information • Les Politiques internes de Sécurité (organisationnelles, problème/système-spécifiques) • Les Standards: activités, actions, règles ou régulations imposées • Les Procédures pour employés • Guidelines pour employés et clients Rôles & Responsabilités de Sécurité de l’information Dans ses activités • En tant que propriétaire de données • En tant que propriétaire et gestionnaire de systèmes et réseaux • En tant que propriétaire et gestionnaire de processus de transformation, diffusion… • En tant que propriétaire d’équipements, bâtiments.. • En tant qu’employeur • En tant qu’ employé
  10. 10. Belgique: o La région bruxelloise mise sur la sécurité informatique après qu’une étude ait mis en lumière la forte hausse du nombre des incidents cybercriminels Evolution du nombre d’incidents et notifications mensuels recensés par la Cyber Emergency Team depuis 2010:
  11. 11. La Sécurité de l’Information est donc… …l’ensemble des mesures légales, contractuelles, opérationnelles et organisationnelles limitant l’exploitation des vulnérabilités de l’entreprises par des menaces à l’intégrité, la disponibilité et la confidentialité des données de l’entreprise et de ses clients. Il est estimé opportun pour les entreprises d’investir leurs efforts dans la cyber sécurité et ce, au plus vite.
  12. 12. L’Importance de la Sécurité de l’Information Malgré la législation, sans les mesures de protections adéquates, les systèmes ICT restent extrêmement vulnérables aux menaces qui caractérisent l’environnement Internet La criminalité à leur encontre a de multiples implications. Exemples: - Début 2003, un virus a paralysé le réseau de self-banking durant plusieurs heures aux USA - Actuellement, le virus “Budbear” exploite les systèmes informatiques infectés et divulgue des quantités importantes de documents confidentiels  Les chiffres de la sécurité de l’information •Variété des menaces à la sécurité de l’information •Incidence des menaces à la sécurité de l’information
  13. 13. Menaces à la sécurité de l’information
  14. 14. Tirés d’une analyse estimant le coût global de la cybercriminalité conduite McAfee (2014) Des Chiffres en rapport aux Incidents Virtuels Incidents Par Source Incidents Par Type Malveillance Externe 55% Vol d’identité 54% Perte accidentelle 25% Fraude financière 17% Malveillance Interne 15% Accès aux comptes internet 11% Intrusion Gouvernementale 4% Spamming 10% Hacking 1% Données personnelles 8%
  15. 15. Quelques Chiffres sur les Incidents Virtuels par Source Incidents involontaires dus aux employés et utilisateurs • 95% des entreprises se disent menacées par des problèmes de sécurité liés au matériel informatique appartenant à leurs employés. (Jacopini, D. 2015) • 47% des entreprises ont observé des intrusions suites à des brèches présentes dans des appareils mobiles (Jacopini, D. 2015) • 77% des sites internet propageant des malwares sont des sites légitimes mais infectés Incidents malveillants (employés, tiers, outsider) Cette étude souligne la nette augmentation du nombre d’attaques cybercriminelles: par ex, le vol des données a augmenté de 78% entre 2013 et 2014 Le secteur technologique était le 3ième à être le plus touché par la perte ou le vol de données, après le secteur marchand et financier en 2014. L’Europe comptait 12% des incidents cybercriminels mondiaux. La Belgique fait partie du top 10 des pays Européens les plus affectés en 2014.
  16. 16. L’Impact économique de la Cybercriminalité Menaces Impact sur l’Entreprise en termes de performance Impact sur l’Emploi Impact sur l’économie Nationale Les pertes liées à la cybercriminalité ont été évaluées à $400 Milliards par an. Ce chiffre correspond au coût supporté par plus de 800 millions d’individus à travers le monde dont les informations ont été volées. Et selon les projections, les choses n’iront pas en s’arrangeant…
  17. 17. Les menaces virtuelles évoluent aussi rapidement que la technologie. “De nouvelles fonctionnalités dans les rootkits et botnets pourraient engendrer de nouvelles menaces” (Lyne, J. Sophos, 2015) Le rapide essor de la cybercriminalité tient -Des rendements substantiels que cette industrie génère -Du caractère réduit des risques contingents à l’entreprise cybercriminelle En effet, selon le rapport produit par McAfee en 2014 sur l’impact économique net de la cybercriminalité: La hausse des pertes liées au cyber crime est inhérente à • La dépendance des activités des entreprises et individus au virtuel augmentera • L’impunité qui caractérise le vol de propriété intellectuelle à des fins compétitives ou malveillantes
  18. 18. Les menaces internes La culture de l’entreprise: la sécurité de l’information y est-elle intégrée de manière appropriée? Principes de sécurité liés au personnel: - La sensibilisation: Les personnes juridiquement responsables, les responsables de la sécurité du système d’information, l’encadrement du personnel, des managers,… - Les responsabilités: Le management de la sécurité, la séparation des responsabilités personnes juridiquement responsables/ responsables sécurité / utilisateurs/ tiers sous-traitant
  19. 19. Les acteurs de l’entreprises: potentielles sources internes d’incidents Mener une politique de sécurité de l’information rigoureuse permet d’anticiper et d’éviter une grande majorité des incidents au sein même de l’entreprise  Les infrastructures: • Contrôles humain et technologique d’identitié, d’authentification, à l’entrée des bâtiments, par étages, par locaux • Enregistrements du personnel et visiteurs • Caméras, vidéo-surveillance …  Management: • Les différents directeurs de l’entreprise sont-ils impliqués dans la politique de sécurité dans l’entreprise et dans quelle mesure? • Conduisent-ils leurs activités et projets en cohérence avec les principes fondamentaux de sécurité? • Reçoivent-ils la formation nécessaire? • Mettent-ils l’accent sur la sécurité dans leurs relations avec employés, sous-traitants, clients et managers? • La coordination entre niveaux et la communication sont-elles existantes et efficaces?
  20. 20. Les employés • Avant l’engagement: Le screening et la vérification des cvs se font-ils de manière systématique et rigoureuse par le directeur des Ressources Humaines? • Pendant l’engagement: La communication sur les incidents, changements et procédures est-elle appropriée? La notion de la sécurité est-elle comprise de tous, notamment vis-à-vis des responsabilités qui leur incombe en la matière par contrat? Les employés ont-ils reçu les formations nécessaire et requises? • Fin de l’engagement: Les contrats incluent-ils les clauses appropriées spécifiques à la sécurité de l’information de l’entreprise et de ses clients? Récupère t on les données stratégiques? Contrôle t on les mouvements physiques et virtuelles de la personne ?
  21. 21. La Sécurité de l’Information est cruciale afin de limiter la potentielle incidence de telles menaces Selon une analyse comparative menée en Allemagne, Autriche et Suisse cette année, 75% des entreprises estiment moyen à élevé le degré d’importance accordé à la sécurité de l’information par le top management. • Les risques en termes de sécurité sont généralement ignorés lors de la prise de décisions et la conduite du “business” • Seules 31% des entreprises considèrent que la sécurité de l’information est en adéquation avec la réalisation des objectifs commerciaux. • Les firmes se contentent de l’évaluation de l’efficacité de leurs mesures de sécurité. • Seules 7% d’entre elles utilisent des indicateurs de performance spécifiques • Tandis que 5% à peine portent attention au ROI de la sécurité de l’information Pourtant, aligner les activités principales d’une entreprise avec les critères de sécurité les plus pointus offre aux entreprises de nombreux avantages.
  22. 22. Autres Impacts des incidents de sécurité & ROI  Interruption du Business-As-Usual  Conséquences légales  Dommage à la confiance des utilisateurs  Dommage à la confiance de l’investisseur  Dommage à la réputation  Perte de revenus  Une “business value” peut être dérivée d’un investissement pointu en matière de sécurité de l’information: une étude conduite en 2010 aux USA a permis de déterminer que les entreprises ayant investit dans des initiatives à la pointe ont vu doubler (voire plus) leur retour sur investissement annuel comparé entreprises ayant investit dans des garanties de sécurité moins fiables.
  23. 23. Pour plus d’information, contactez Diane Kaeuffer diane@12select.be +32(0)486270987

×