SlideShare une entreprise Scribd logo
1  sur  2
Télécharger pour lire hors ligne


!
IX - Savoir alerter
!! En cas de compromission de votre SI,
pensez à préserver tous les éléments de
preuves (journaux), isolez le poste infecté et
contactez l’unité de gendarmerie locale en
composant le 17.
!C o m m u n i q u e z l e m a x i m u m d e
renseignements (Qui, Quoi, Où, Quand,
Comment).
! S e l o n l a g r a v i t é d e s f a i t s , v o t r e
interlocuteur sera en mesure de prévenir et
de faire intervenir les enquêteurs spécialisés
en cybercriminalité ( Ntech).
Les dix
préconisations au
chef d’entreprise
sur la sécurité
des systèmes
d’information.
!Sécurité des systèmes d’information (SSI)
! La SSI est devenue incontournable, dans un
c o n t e x t e é c o n o m i q u e d e p l u s e n p l u s
concurrentiel. Elle contribue à protéger votre
patrimoine informationnel et entrepreneurial.
!Elle permet d’éviter les interruptions de
service, d’assurer une continuité d’exploitation,
d’éviter les risques juridiques liés à l’utilisation
du SI, d’éviter les divers risques cybernétiques
(vol, perte, atteinte, infection, e-réputation,
d é s i n f o r m a t i o n , … ) e t d ’ a p p r é h e n d e r l e s
nouveaux risques émergents (outils personnels,
cloud, contraintes légales, nouvelles attaques
ciblées,…).
!Vous trouverez ci-après quelques règles de
b a s e p o u r l i m i t e r v o t r e e x p o s i t i o n à l a
cybercriminalité.
Votre point de contact local
X - Rester informé
!V o u s d i s p o s e z d e p l u s i e u r s s i t e s
institutionnels de référence pour entretenir
vos connaissances :
!www.gendarmerie.interieur.gouv.fr
www.ssi.gouv.fr
www.intelligence-économique.gouv.fr
www.cnil.fr
www.cyber.event-etrs.fr
!Mais également pour signaler tout
contenu ou comportement illicite sur
internet, les spams et les phishing :
!www.internet-signalement.gouv.fr
www.signal-spam.fr
www.phishing-initiative.com
!
VI - Etre en conformité
! En votre qualité de chef d’entreprise, vous
êtes civilement et pénalement responsable des
données a caractère personnel liées à votre
SI et de son utilisation par vos collaborateurs
(cf. droits/obligations et guide travail de la
CNIL)
!Il faut veiller à être en conformité avec les
licences de logiciels et contenus soumis à
copyright.
!vous devez respecter et faire respecter
les contraintes légales de contrôle de vos
e m p l o y é s ( c f . c y b e r s u r v e i l l a n c e e t
reconnaissance juridique d’une vie privée
résiduelle sur le lieu de travail).
!
VII - Appréhender
l’externalisation
! Il convient de mesurer les risques liés à
toute externalisation (cloud, infogérance,…)
de tout ou partie de votre SI. Les données
hébergées aux Etats-Unis doivent respecter la
réglementation safe harbor.
!Optez pour des clauses de confidentialité
et contractualisez vos exigences relatives à
l’externalisation (disponibilité, intégrité,
réversibilité des données en cas de rupture de
contrat, effacement sécurisé, …)
VIII - Protéger vos
locaux
! L’enceinte de votre entreprise doit être
sécurisée : il s’agit de prévenir les risques
d’intrusion physique, de vol, d’espionnage
industriel ou tout autre acte de malveillance,
de jour comme de nuit.
!A d o p t e z u n p r i n c i p e d e d é f e n s e e n
profondeur : détecter, alerter et freiner.
!A c c o m p a g n e z c h a q u e i n t e r v e n a n t
extérieur et contrôlez les prestataires de
services (Ets de nettoyage, machine à café,
photocopieurs …) ainsi que les zones sensibles.
!Sensibilisez vos collaborateurs sur ces
menaces d’intrusion ou malveillances.
Groupement de Gendarmerie Départementale de la Gironde
I - Procéder à un inventaire
! La première règle d’or est de procéder à un inventaire exhaustif des données vitales pour votre entreprise ainsi
que des ressources et des biens disponibles indispensables à leur traitement :
✴ documents (bureautiques, comptables, commerciaux, financiers, r&D,…).
✴ Base de données (clients, fournisseurs, ressources humaines,…).
✴ Brevet, savoir-faire,…
✴ Ressources matérielles et logicielles.
✴ L’architecture réseau (cartographier l’infrastructure).
✴ les comptes privilèges (administrateur ou invité suivant les habilitations octroyées).
!Cet inventaire permet d’appréhender les mesures de sécurité adéquates la sauvegarde, la maintenance et les
obligations légales (cf. Loi informatique et liberté relatives aux données à caractère personnel de la CNIL).
!Il doit être protégé et réservé qu’aux seules personnes habilitées à en connaître.
II - Faire des sauvegardes
! En cas de sinistre ou de malveillance perpétré à l’encontre de votre patrimoine, il est indispensable de disposer
d’une sauvegarde de vos données vitales pour assurer une continuité ou une reprise d’activité. Elle doit être
impérativement :
! ✴ pertinente (au regard de votre précèdent inventaire : informations triées, classées et dénommées
pour trouver le support externe ad hoc sur lequel la sauvegarde sera effectuée).
✴ automatisée (à l’aide d’un logiciel centralisé dédié).
✴ Fréquentielle (déterminé par rapport aux pertes acceptables de données et du temps
d’indisponibilité acceptable que vous pouvez supporter en cas de sinistre et des exigences métiers).
✴ Répertoriée et identifiée ( étiquetée) sur un support externe.
✴ Externalisée (stockée dans un autre bâtiment).
✴ Testée régulièrement (comme en situation de crise)
!Suivant la sensibilité de vos données, vos sauvegardes peuvent être cryptées et disponibles qu’aux seules
personnes habilitées.
III - Exiger l’authentification
! L’accès par identification (qui suis-je?) et/ou authentification (je le prouve) à votre SI (physique et logique)
impose une politique stricte d’habilitation et de gestion des mots de passe. L’authentification permet de définir les
responsabilités de chacun et la non-répudiation (impossibilité de nier la participation au traitement d’une
information).
!Un mot de passe doit être nominatif, unique, secret, temporaire (renouvelé périodiquement avec obligation d’en
changer) et robuste (au moins 8 caractères alphanumériques, majuscule, minuscule, caractères spéciaux, et
inintelligible). « Un mot de passe c’est comme une brosse à dents, cela ne se prête pas et on en change souvent».
!La gestion des mots de passe comprend le suivi individuel de chaque employé ou intervenant extérieur
(attribution nominative, changement et révocation ).
!Procédez régulièrement à des contrôles (journalisation des accès/profils d’habilitation).
IV - Imposer la sécurité
! Les postes de travail et solutions nomades
(téléphones, tablettes, …) doivent impérativement
disposer d’un antivirus et d’un pare-feu.
!Les systèmes d’exploitation et autres logiciels
doivent être automatiquement mis à jour pour
parer toute nouvelle vulnérabilité.
!Ces outils ainsi que leurs sessions doivent être
verrouillés par un mot de passe et disposer d’une
mise en veille automatique sécurisée. Les sessions
administrateur doivent être restreintes au strict
minimum (pas de compte admin pour le chef
d’entreprise et ses proches collaborateurs).
!Les périphériques recélant des données
sensibles doivent être cryptées et disposer de
logiciels permettant la transmission sécurisée de
données ( virtual private network - vpn). Pensez à
la mise au rebut du matériel obsolète en
détruisant celui-ci.
!Pensez à installer des logiciels qui tracent les
périphériques volés et effacent les données à
distance.
!
V - Effectuer des
sensibilisations
!V o s e x i g e n c e s c o n c e r n a n t l a S S I s o n t
subordonnées à la rigueur de sa mise en oeuvre par
vos employés. le facteur humain reste le maillon
faible mais peut devenir le maillon fort.
!V o s c o l l a b o r a t e u r s d o i v e n t ê t r e
régulièrement informés des risques liés à
l’utilisation des données de l’entreprise, du SI et
d e s n o u v e a u x d a n g e r s . L e s c a m p a g n e s d e
sensibilisation peuvent se faire par emails,
conférence, présentiel, jeux, …
!Vous devez leur donner des règles de base et
leur faire signer une charte informatique (droits
et devoirs quant à l’utilisation du SI).
!V e i l l e z à l i m i t e r l ’ u t i l i s a t i o n d ’ o u t i l s
informatiques personnels (cf. BYOD).
!Sensibilisez votre personnel sur les dangers de
divulgation de données professionnelles (attaques
social engineering ou appels téléphoniques avec
usurpation d’identité, réseaux sociaux personnels,
…)
!Informez votre personnel des dangers liés aux
emails. il convient de ne pas répondre à ces
courriers électroniques dès lors que l’expéditeur
n’est pas connu et de ne pas cliquer sur les liens
proposés et pièces jointes douteuses.
!V e i l l e z à c e q u e c h a q u e t e n t a t i v e d e
compromission ou action malveillante soit
immédiatement signalée à la personne désignée et
chargée de votre SI.
Groupement de Gendarmerie Départementale de la Gironde

Contenu connexe

Tendances

Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Microsoft pour les PME
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
La sécurité en informatique de santé
La sécurité  en informatique de santéLa sécurité  en informatique de santé
La sécurité en informatique de santéLudovic Tant
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 

Tendances (19)

Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthez
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
La sécurité en informatique de santé
La sécurité  en informatique de santéLa sécurité  en informatique de santé
La sécurité en informatique de santé
 
Ssi
SsiSsi
Ssi
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
 

Similaire à Plaquette ssi

2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
LA GESTION DE CRIME NUMÉRIQUE
LA GESTION DE CRIME NUMÉRIQUELA GESTION DE CRIME NUMÉRIQUE
LA GESTION DE CRIME NUMÉRIQUETelecomValley
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité Geeks Anonymes
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprisemariejura
 
Les risques informatiques : des meures pour prévenir
Les risques informatiques : des meures pour prévenirLes risques informatiques : des meures pour prévenir
Les risques informatiques : des meures pour prévenirAlain Laumaillé
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprisemariejura
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Alain EJZYN
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Passeport de-conseils-aux-voyageurs janvier-2010
Passeport de-conseils-aux-voyageurs janvier-2010Passeport de-conseils-aux-voyageurs janvier-2010
Passeport de-conseils-aux-voyageurs janvier-2010vendeers
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueLaurent DAST
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSICGPME des Pays de la Loire
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnellesUNIVERSITE DE METZ
 
E réputation - protection des données en lignes
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignesDigital Thursday
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesSophie Roy
 
Interview : Quels sont les enjeux de la cybersécurité pour : chambé-carnet
Interview : Quels sont les enjeux de la cybersécurité pour : chambé-carnetInterview : Quels sont les enjeux de la cybersécurité pour : chambé-carnet
Interview : Quels sont les enjeux de la cybersécurité pour : chambé-carnetArnaud VELTEN (BUSINESS COMMANDO)
 

Similaire à Plaquette ssi (20)

2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
LA GESTION DE CRIME NUMÉRIQUE
LA GESTION DE CRIME NUMÉRIQUELA GESTION DE CRIME NUMÉRIQUE
LA GESTION DE CRIME NUMÉRIQUE
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
 
Les risques informatiques : des meures pour prévenir
Les risques informatiques : des meures pour prévenirLes risques informatiques : des meures pour prévenir
Les risques informatiques : des meures pour prévenir
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprise
 
Risque cyber
Risque cyberRisque cyber
Risque cyber
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Passeport de-conseils-aux-voyageurs janvier-2010
Passeport de-conseils-aux-voyageurs janvier-2010Passeport de-conseils-aux-voyageurs janvier-2010
Passeport de-conseils-aux-voyageurs janvier-2010
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnelles
 
E réputation - protection des données en lignes
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignes
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
 
Interview : Quels sont les enjeux de la cybersécurité pour : chambé-carnet
Interview : Quels sont les enjeux de la cybersécurité pour : chambé-carnetInterview : Quels sont les enjeux de la cybersécurité pour : chambé-carnet
Interview : Quels sont les enjeux de la cybersécurité pour : chambé-carnet
 

Plaquette ssi

  • 1. 
 ! IX - Savoir alerter !! En cas de compromission de votre SI, pensez à préserver tous les éléments de preuves (journaux), isolez le poste infecté et contactez l’unité de gendarmerie locale en composant le 17. !C o m m u n i q u e z l e m a x i m u m d e renseignements (Qui, Quoi, Où, Quand, Comment). ! S e l o n l a g r a v i t é d e s f a i t s , v o t r e interlocuteur sera en mesure de prévenir et de faire intervenir les enquêteurs spécialisés en cybercriminalité ( Ntech). Les dix préconisations au chef d’entreprise sur la sécurité des systèmes d’information. !Sécurité des systèmes d’information (SSI) ! La SSI est devenue incontournable, dans un c o n t e x t e é c o n o m i q u e d e p l u s e n p l u s concurrentiel. Elle contribue à protéger votre patrimoine informationnel et entrepreneurial. !Elle permet d’éviter les interruptions de service, d’assurer une continuité d’exploitation, d’éviter les risques juridiques liés à l’utilisation du SI, d’éviter les divers risques cybernétiques (vol, perte, atteinte, infection, e-réputation, d é s i n f o r m a t i o n , … ) e t d ’ a p p r é h e n d e r l e s nouveaux risques émergents (outils personnels, cloud, contraintes légales, nouvelles attaques ciblées,…). !Vous trouverez ci-après quelques règles de b a s e p o u r l i m i t e r v o t r e e x p o s i t i o n à l a cybercriminalité. Votre point de contact local X - Rester informé !V o u s d i s p o s e z d e p l u s i e u r s s i t e s institutionnels de référence pour entretenir vos connaissances : !www.gendarmerie.interieur.gouv.fr www.ssi.gouv.fr www.intelligence-économique.gouv.fr www.cnil.fr www.cyber.event-etrs.fr !Mais également pour signaler tout contenu ou comportement illicite sur internet, les spams et les phishing : !www.internet-signalement.gouv.fr www.signal-spam.fr www.phishing-initiative.com ! VI - Etre en conformité ! En votre qualité de chef d’entreprise, vous êtes civilement et pénalement responsable des données a caractère personnel liées à votre SI et de son utilisation par vos collaborateurs (cf. droits/obligations et guide travail de la CNIL) !Il faut veiller à être en conformité avec les licences de logiciels et contenus soumis à copyright. !vous devez respecter et faire respecter les contraintes légales de contrôle de vos e m p l o y é s ( c f . c y b e r s u r v e i l l a n c e e t reconnaissance juridique d’une vie privée résiduelle sur le lieu de travail). ! VII - Appréhender l’externalisation ! Il convient de mesurer les risques liés à toute externalisation (cloud, infogérance,…) de tout ou partie de votre SI. Les données hébergées aux Etats-Unis doivent respecter la réglementation safe harbor. !Optez pour des clauses de confidentialité et contractualisez vos exigences relatives à l’externalisation (disponibilité, intégrité, réversibilité des données en cas de rupture de contrat, effacement sécurisé, …) VIII - Protéger vos locaux ! L’enceinte de votre entreprise doit être sécurisée : il s’agit de prévenir les risques d’intrusion physique, de vol, d’espionnage industriel ou tout autre acte de malveillance, de jour comme de nuit. !A d o p t e z u n p r i n c i p e d e d é f e n s e e n profondeur : détecter, alerter et freiner. !A c c o m p a g n e z c h a q u e i n t e r v e n a n t extérieur et contrôlez les prestataires de services (Ets de nettoyage, machine à café, photocopieurs …) ainsi que les zones sensibles. !Sensibilisez vos collaborateurs sur ces menaces d’intrusion ou malveillances. Groupement de Gendarmerie Départementale de la Gironde
  • 2. I - Procéder à un inventaire ! La première règle d’or est de procéder à un inventaire exhaustif des données vitales pour votre entreprise ainsi que des ressources et des biens disponibles indispensables à leur traitement : ✴ documents (bureautiques, comptables, commerciaux, financiers, r&D,…). ✴ Base de données (clients, fournisseurs, ressources humaines,…). ✴ Brevet, savoir-faire,… ✴ Ressources matérielles et logicielles. ✴ L’architecture réseau (cartographier l’infrastructure). ✴ les comptes privilèges (administrateur ou invité suivant les habilitations octroyées). !Cet inventaire permet d’appréhender les mesures de sécurité adéquates la sauvegarde, la maintenance et les obligations légales (cf. Loi informatique et liberté relatives aux données à caractère personnel de la CNIL). !Il doit être protégé et réservé qu’aux seules personnes habilitées à en connaître. II - Faire des sauvegardes ! En cas de sinistre ou de malveillance perpétré à l’encontre de votre patrimoine, il est indispensable de disposer d’une sauvegarde de vos données vitales pour assurer une continuité ou une reprise d’activité. Elle doit être impérativement : ! ✴ pertinente (au regard de votre précèdent inventaire : informations triées, classées et dénommées pour trouver le support externe ad hoc sur lequel la sauvegarde sera effectuée). ✴ automatisée (à l’aide d’un logiciel centralisé dédié). ✴ Fréquentielle (déterminé par rapport aux pertes acceptables de données et du temps d’indisponibilité acceptable que vous pouvez supporter en cas de sinistre et des exigences métiers). ✴ Répertoriée et identifiée ( étiquetée) sur un support externe. ✴ Externalisée (stockée dans un autre bâtiment). ✴ Testée régulièrement (comme en situation de crise) !Suivant la sensibilité de vos données, vos sauvegardes peuvent être cryptées et disponibles qu’aux seules personnes habilitées. III - Exiger l’authentification ! L’accès par identification (qui suis-je?) et/ou authentification (je le prouve) à votre SI (physique et logique) impose une politique stricte d’habilitation et de gestion des mots de passe. L’authentification permet de définir les responsabilités de chacun et la non-répudiation (impossibilité de nier la participation au traitement d’une information). !Un mot de passe doit être nominatif, unique, secret, temporaire (renouvelé périodiquement avec obligation d’en changer) et robuste (au moins 8 caractères alphanumériques, majuscule, minuscule, caractères spéciaux, et inintelligible). « Un mot de passe c’est comme une brosse à dents, cela ne se prête pas et on en change souvent». !La gestion des mots de passe comprend le suivi individuel de chaque employé ou intervenant extérieur (attribution nominative, changement et révocation ). !Procédez régulièrement à des contrôles (journalisation des accès/profils d’habilitation). IV - Imposer la sécurité ! Les postes de travail et solutions nomades (téléphones, tablettes, …) doivent impérativement disposer d’un antivirus et d’un pare-feu. !Les systèmes d’exploitation et autres logiciels doivent être automatiquement mis à jour pour parer toute nouvelle vulnérabilité. !Ces outils ainsi que leurs sessions doivent être verrouillés par un mot de passe et disposer d’une mise en veille automatique sécurisée. Les sessions administrateur doivent être restreintes au strict minimum (pas de compte admin pour le chef d’entreprise et ses proches collaborateurs). !Les périphériques recélant des données sensibles doivent être cryptées et disposer de logiciels permettant la transmission sécurisée de données ( virtual private network - vpn). Pensez à la mise au rebut du matériel obsolète en détruisant celui-ci. !Pensez à installer des logiciels qui tracent les périphériques volés et effacent les données à distance. ! V - Effectuer des sensibilisations !V o s e x i g e n c e s c o n c e r n a n t l a S S I s o n t subordonnées à la rigueur de sa mise en oeuvre par vos employés. le facteur humain reste le maillon faible mais peut devenir le maillon fort. !V o s c o l l a b o r a t e u r s d o i v e n t ê t r e régulièrement informés des risques liés à l’utilisation des données de l’entreprise, du SI et d e s n o u v e a u x d a n g e r s . L e s c a m p a g n e s d e sensibilisation peuvent se faire par emails, conférence, présentiel, jeux, … !Vous devez leur donner des règles de base et leur faire signer une charte informatique (droits et devoirs quant à l’utilisation du SI). !V e i l l e z à l i m i t e r l ’ u t i l i s a t i o n d ’ o u t i l s informatiques personnels (cf. BYOD). !Sensibilisez votre personnel sur les dangers de divulgation de données professionnelles (attaques social engineering ou appels téléphoniques avec usurpation d’identité, réseaux sociaux personnels, …) !Informez votre personnel des dangers liés aux emails. il convient de ne pas répondre à ces courriers électroniques dès lors que l’expéditeur n’est pas connu et de ne pas cliquer sur les liens proposés et pièces jointes douteuses. !V e i l l e z à c e q u e c h a q u e t e n t a t i v e d e compromission ou action malveillante soit immédiatement signalée à la personne désignée et chargée de votre SI. Groupement de Gendarmerie Départementale de la Gironde