Ne mettez pas votre entreprise en péril : sécurisez votre informatique.
Panne, indisponibilité technique, Anticipez les problèmes liés à l'arrêt de votre informatique.
Quels sont les types de risques dont il faut se prémunir ?
Comment définir un plan de reprise d'activité (PRA) qui permette d'assurer un fonctionnement sans informatique ?
3. La totalité des entités récoltent, utilisent et stockent des
données :
- Clients
- Employés,
- Produits
- Activité
- Autres…
Elles doivent mettre en œuvre toutes les dispositions
nécessaires pour les protéger contre la perte, le vol, les
accès non autorisés…
Quelles sont les données en danger ?
4. Perte et vol d‘information
Atteintes à l’image et la réputation
Perte de clients
Coûts internes de gestion des problèmes
Pertes de revenus associés à la propriété intellectuelle
5. 4 entreprises sur 5 ont perdu des informations sensibles lors du
vol de notebooks Ponemon Institute LLC and Symantec end-user survey, August 2009
10% des notebooks sont perdus ou volés par an
Web & Collaboration Strategies 2009
1 disque USB sur 2 contient des informations sensibles
Forrester Research, Inc. and Symantec Corp. survey, February 2008.
70% des données des entreprises sont dupliquées hors des
serveurs (notebooks, clé USB …)
Ponemon Institute, U.S. Survey: Confidential Data at Risk, August 2008
Fuite d’informations: Augmentation de 47% entre 2007 – 2009
Breach List and Statistics - Identity Theft Resource Center (ITCP) Date: 01/12/2010
Principales raisons de la fuite d’information :
Perte de portables ou de device – 35%
Ponemon Institute, 2009, Annual Study: Costs of Security Breaches
Des données mobiles de plus en plus exposées
6. Sécurité du Cloud
L’externalisation… quels sont les risques
?
- Perte de maîtrise
- Déficience des interfaces
- Maintien de la conformité
- Localisation des données
- Perte des données
- Usurpation
8. Définitions
PRA = Plan de Reprise d’Activité
Le Plan de Secours Informatique (PSI)
ET
L’organisation et les processus associés
9. Définitions
RTO = Recovery Time Objective
Durée maximale d’interruption que l’entreprise peut tolérer
(délai de reprise de l’outil informatique).
Le RTO dépend de la ressource informatique considérée :
Une application qui conditionne la production aura un RTO
faible
On pourra (peut-être) tolérer un RTO plus long pour une
application de messagerie
10. Définitions
RPO = Recovery Point Objective
Durée maximale d’enregistrement des données que l’entreprise
peut tolérer.
Le RPO dépend du type de donnée considérée :
RPO = 0 pour des transactions bancaires
On pourra tolérer un RPO plus long pour des données que
l’on peut ressaisir
11. Définitions
Quel impact des valeurs de RTO et RPO ?
Plus les objectifs pour les RTO et RPO seront ambitieux :
Plus les investissements informatiques seront élevés
Plus l’organisation et les processus seront importants pour le
bon déroulé du PRA
On parle plutôt de PCA = Plan de Continuité d’Activité dans le
cas d’un RTO minimal et RPO = 0
Cela nécessite une infrastructure à haute disponibilité
12. Illustration
Contexte
Contrat de maintenance avec GTI à J+1
(Garantie de Temps d’Intervention au jour ouvré suivant)
Sauvegarde des données en fin de journée
Déroulé du PRA
Panne du serveur informatique le mardi en fin d’après-midi
Intervention du mainteneur informatique le mercredi matin
Le mercredi soir, remise en service et restauration des
données
Le jeudi est consacré à ressaisir les données du mardi qui
ont été perdues
L’entreprise n’est vraiment à nouveau opérationnelle que le
vendredi matin
Soit 3 jours de perte de production
13. Mise en place d’un PRA
Analyse préalable des risques
Réaliser un audit organisationnel
Identifier et hiérarchiser les processus de l’entreprise
Bien identifier les enjeux, le périmètre, les objectifs…
Réaliser un audit technique
Recenser les vulnérabilités du système informatique
Identifier les solutions à mettre en place
Etablir un plan d’actions
Arbitrer un plan d’actions en cohérence entre les risques
identifiés et les objectifs de l’entreprise
14. Les risques informatiques
Les risques d’origine physique
Risques électriques (surtension, foudre…)
Sinistres (incendie, dégât des eaux…)
Vols de matériel (ordinateurs et, de plus en plus,
smartphones ou tablettes)
Pannes matérielles (crash disque…)
Les risques d’origine humaine
Mauvaise manipulation, malveillance interne…
Cybercriminalité
15. Les risques informatiques
Risques électriques
Protéger les équipements hébergés dans le local technique :
Contre les dégâts électriques
Installation électrique aux normes (disjoncteurs
thermiques et différentiels, qualité de mise à la terre…)
Parafoudre, parasurtenseur…
Circuit électrique dédié au local technique
Contre les coupures d’énergie
Onduleur
Groupe électrogène
16. Les risques informatiques
Sinistres (incendie, dégât des eaux…)
Protéger le local technique contre les sources de dommages
matériels :
Système de détection incendie, voire d’extinction
automatique
Système de détection d’humidité et de fuite d’eau
Climatisation (a minima une ventilation efficace)
Tester les systèmes régulièrement !
17. Les risques informatiques
Vol de matériel
Protéger le local technique contre les intrusions :
Sécurisation de l’accès (serrure, lecteur de badge…)
Détection d’ouverture du local
Prévoir un câble antivol pour chaque ordinateur
Installer une vidéo-protection des locaux
Pour les équipements portables, protéger
l’accès aux données confidentielles (mot de
passe, chiffrement…)
18. Les risques informatiques
Pannes matérielles
Privilégier les gammes professionnelles des constructeurs :
Fiabilité (qualité des composants)
Robustesse (portables)
Support garanti 3 voire 5 ans…
Pour les serveurs en particulier :
Alimentation électrique doublée
Disques en tolérance de panne (RAID)
Protection électrique obligatoire (onduleur)
Les contrats de garantie et de services avec les constructeurs
doivent être en cohérence avec le RTO !
19. Les risques informatiques
La sauvegarde des données
Les causes possibles pour perdre des données sont tellement
multiples que la sauvegarde est une exigence incontournable !
C’est la valeur du RPO qui va déterminer la technologie de
sauvegarde et leur fréquence /durée de rétention
Les données de sauvegarde doivent être externalisées
Supports magnétiques stockés hors de l’entreprise
Sauvegarde externalisée dans un data center
Les tests de restauration doivent être réguliers !
20. Les risques informatiques
La protection anti-virus
Il y a une croissance exponentielle des codes malveillants
L’enquête 2010 du CLUSIF (*)
rapporte que 40% des entreprises
ont subi un incident de sécurité dû à une infections virale
(*)
Club de la Sécurité de l’Information Français – www.clusif.asso.fr
Les sources d’infection sont multiples : messagerie, clé USB,
téléchargements…
La politique de sécurité doit prévoir les mises à jour logicielles :
En « temps réel » pour le logiciel anti-virus (base de
signatures)
Aussi fréquente que possible pour les systèmes
d’exploitation (correction des failles de sécurité)
21. Les risques informatiques
Sécurité logique (empêcher les intrusions et les attaques)
Protection en amont du réseau
Protection des accès Wifi pour éviter l’écoute, le
détournement de connexion…
Les accès distants via l’Internet public doivent être sécurisés
(VPN)
Sécurité du réseau local
Sécurité physique (limiter les pannes réseau)
Architecture adaptée aux besoins (bande passante, nombre
de prises…)
Pas de câblage « volant »
22. Les risques informatiques
Les risques juridiques (1/2)
LCEN (Loi pour la Confiance dans l’Economie Numérique)
Hadopi (loi Création et Internet)
LOPPSI (Loi d'Orientation et de Programmation pour la Performance
de la Sécurité Intérieure)
Conservation des données de trafic dans le but de permettre la
recherche et la poursuite des infractions pénales
Obligations liées à la CNIL (Commission Nationale de l’Informatique et
des Libertés) en ce qui concerne l’enregistrement de données
personnelles : ces informations doivent être effacées ou rendues
anonymes
Au final, la CNIL considère que les entreprises fournissant un accès
Internet à leurs employés ne sont pas concernées par cette obligation
de conservation
23. Les risques informatiques
Les risques juridiques
(2/2)
La loi Hadopi introduit l'obligation
de sécuriser son accès
La responsabilité de l'employeur est
engagée dans le cas d'une
infraction constatée au sein de
l'entrepriseUne solution de filtrage pour
empêcher le téléchargement illégal
est fortement recommandée
24. La définition du PRA
Nécessité d’un contexte stable
Au niveau organisationnel
Les acteurs concernés par le PRA doivent tous être
impliqués
Au niveau technique
Tous les points critiques mis en évidence par l’audit
technique doivent être corrigés avant de formaliser le PRA
Les objectifs doivent être fixés et partagés
Il faut arbitrer entre :
les risques dont on veut se prémunir
les objectifs (RTO/RPO, mode dégradé…)
les coûts pour répondre aux exigences de reprise
25. L’organisation du PRA
Formalisation des procédures
Les modalités d’activation et de conduite du PRA doivent être
formalisées :
Au niveau organisationnel
Identification des acteurs et leur rôle pendant :
le déclenchement
la période de secours
le retour à la normale
Au niveau technique
Procédures techniques pour dérouler le plan de secours
informatique
26. L’organisation du PRA
Le test du PRA est fondamental
Tant qu’un PRA n’a pas été testé, il n’a pas fait preuve de son
efficacité
Il vaut mieux découvrir les problèmes pendant les tests que
pendant la crise
Le retour d’expérience (analyse post mortem) permet de
corriger ce qui n’a pas bien fonctionné
Le maintien en conditions opérationnelles
(MCO)
Le PRA doit donc évoluer et être retesté régulièrement en
conséquence des modifications de l’environnement :
Evolution de l’organisation de l’entreprise
Turnover du personnel
Changements sur le système informatique…
27. Conclusion
• Mieux vaut anticiper les risques que de les subir
• Prévoir les choses ne les attire pas forcément
• Savoir réagir au plus vite pour se remettre à flot
29. La prochaine action
Réduisez vos déplacements avec les
solutions de communication à
distance
Le 15 décembre 2011
Marseille
Notes de l'éditeur
Cf Livre Blanc Sophos
Slide objective: Highlight the sharp end of data loss incidents and the moment Chief Security Officer’s fear. Draw attention to the fact that publicly disclosed incidents of data loss are of course only the tip of the iceberg. The bulk of the iceberg is made up of:
Large numbers of unannounced Personally Identifiable Information (PII)* losses which can still have significant reputational impact with customers and partners
IP losses which can be very expensive for individual businesses but are not of interest to the wider public
Undiscovered IP losses will be happening all the time and the greater the business exposure to these losses the higher the risk of public exposure
Financial compensation cost also need to be considered:
1. if in breach of regulatory compliance e.g. Nationwide (security breach cost $2 million in fines) *1
2. if sued by other parties who suffer financial loss due to data loss negligence (e.g. US veterans and Heartlands class actions for data loss) *2
Ponemon Institute - The average cost of a data breach in 2008 grew to $202 per record compromised, an increase of 2.5 percent since 2007 ($197 per record). The average total cost per reporting company was more than $6.6 million per breach and ranged from $613,000 to almost $32 million.
The cost of lost business continued to be the most costly effect of a breach, averaging $4.59 million, or $139 per record compromised, the study says. Lost business now accounts for 69 percent of data breach costs,
Some additional facts we can speak to as part of this slide:
In the UK, online banking fraud losses from January to June 2008 totaled £21.4m ($31.3m) – a 185 percent rise on the 2007 figures, and 20,000 fraudulent phishing websites were set up – an increase of 186 percent.
December 2008, for example, the accounts of 21 million German bank customers were being offered for sale on the black market for 12 million euros by a hacking gang.
New incidents can be looked up here:
http://datalossdb.org/ (global)
http://www.openrightsgroup.org/orgwiki/index.php/UK_Privacy_Debacles (UK)
-------------------------------------------
Personally Identifiable Information (PII)* is any piece of information which can potentially be used to uniquely identify, contact, or locate a single person or can be used with other sources to uniquely identify a single individual.
Whilst the acronym PII is commonly used, there is no common or agreed use of the words from which it is created. Common variants are personal identifiable information, personally identifiable information, personal identifying information, and personally identifying information. Nevertheless there should be a clear distinction between the identifying block (personally identifying information) and the identifiable data relating to an individual (personally identifiable information).
---------------------------------------------
*1 http://www.watchyourend.com/2007/02/14/security-breach-costs-nationwide-nearly-%C2%A31-million/
*2 http://www.securityfocus.com/brief/899 (Heartlands class action) & http://www.eweek.com/c/a/Security/Veterans-Sue-VA-over-Data-Loss/
Some statistics
4 out of 5 companies have lost confidential data when a laptop was lost
10% of all notebooks get stolen/lost annually
1 in 2 USB drives contains confidential information
70% of all company data are stored redundant on Endpoints (notebooks, USB sticks) not only on servers
Top - reason for data breaches in Enterprises: 35% based on lost/stolen notebooks
Cf Livre Blanc Sécurité Cloud Computing (Syntec)
Eviter les vols opportunistes
La majorité des vols seraient le fait du personnel lui-même
C’est différent si l’employeur met en œuvre un dispositif de surveillance de l’activité de ses salariés (contrôle de la messagerie, des sites Internet consultés...)
Il y a aussi des risques juridiques avec l’utlisation des logiciels piratés