SlideShare une entreprise Scribd logo
1  sur  33
Comment identifier et protéger vos
données sensibles
Présenté par : Patricia Bohbot – CCI MARSEILLE PROVENCE
RENDEZ-VOUS CCIMP des TIC
Affichage des logos des partenaires
2
Le rendez vous des TIC est une des prestations proposées
par la CCIMP pour faciliter l’appropriation des usages des TIC
• Prediagnostic etransformation
• Ateliers
• …
• Rendez vous des TIC
• Salon TOP TIC
• Démonstrateurs (ex : Ma bouTIC)
• « Portail des usages » :
www.lenumeriquepourmonentreprise.com
• …
• Actions collectives
• …
L’OFFRE « TIC » DE LA CCIMP se décline en TROIS
TYPES d’ACTION
Sensibiliser
Approfondir
Accompagner
3
La vision de la CCIMP sur la sécurité des données
 Les usages du numérique s’accélèrent et avec eux en parallèle de nouveaux
risques apparaissent.
 Les entreprises sont les premières cibles des cyberattaques qui visent son
patrimoine informationnel, son savoir faire, ses données clients, ses projets en
cours…et les conséquences sont lourdes : pertes de données, perte de
confiance, atteinte à l’image et à la réputation.
 Face à ces nouveaux risques, qui peuvent aller jusqu’à l’arrêt total de l’activité,
des mesures de précaution, des règles d’hygiène informatique sont à mettre en
place pour réduire le risque et mieux gérer les situations de crises.
4
Le thème abordé aujourd’hui porte sur la famille d’usage
Sécurité
DEVELOPPER
L’ACTIVITE
COMMERCIALE
GERER LES
ACHATS
PILOTER
L’ENTREPRISE
OPTIMISER
L’ACTIVITE
Sommaire
Identifier et protéger vos données sensibles
1. Information c'est quoi ? 10mn
2. Vous avez dit « sensible » ? 10mn
3. Comment la protéger ?
Levier 1 : capital humain 10mn
Levier 2 : outils/ méthodes TIC 10mn
Levier 3 : système de management 10mn
Questions-Réponses 30mn
Les intervenants
 Vincent IACOLARE
 09 79 36 87 24
 vincent.iacolare@synertal.fr
 www.synertal.com
www.talentrepreneur.fr
Nous nous engageons avec eux
pour la sécurité de l'information :
Dirigeant
Ingénieur conseil
Écrivain militant
Manager de projet certifié Afitep
Auditeur certifié ICA - MASE - ADSN
Concepteur, formateur et animateur
qualifié Afnor Compétences & FCT
Solutions
Partie 1: L'Information c'est quoi ?
L'information est partout
 Qu'est-ce qu'une information ?
L'information prend différentes formes :
Définition : une indication, un renseignement, un événement, un fait, un
jugement , une nouvelle communiquée, un élément de connaissance, …
(d'après Larousse)
numérique (fichier,
base de données)
savoir
document
(écrit)mot
(oral)
L'information se dématérialise de plus en plus
L'information est partout (et plus elle se dématérialise et plus elle se répand)
/!
Sont à identifier et à estimer (valeur i.e. criticité) sur la base de critères
déterminés comme par exemple :
La violation de la réglementation et de la législation,
Manque à gagner pour l’entreprise, perte financière....,
Impact sur la notoriété,
Interruption de l’activité de l’entreprise,
Brèches aux promesses de confidentialité avec les parties prenantes
(clients, fournisseurs, partenaires, ...),
Endommagement de l’infrastructure,
Etc.
Identification des actifs = Processus permanent et itératif
Valorisation des actifs selon critères (par nature d'impact direct ou
indirect i.e perte de, atteinte à, crise...)
Information = ACTIFS /BIENS
Les identifier
A quoi bon sécuriser l'information ?
Information = pétrole du XXIe siècle
La détenir
Force = Information utile à
l'entreprise pour se développer
(pouvoir, anticipation, …)
Risque = Information
sensible
(vol, IE, piratage...)
La sécuriser
Risque (tuer la performance, nuire au
développement , alourdir le
fonctionnement)
Indispensable (survie)
Maturité
démarche de sécurité de l'information intégrée
Force = Influence
(information à
communiquer sur
l’entreprise)
Partie 2 : Vous avez dit « sensible » ?
Valeur de
l'actif/
Criticité du bien
(fort, moyen,
faible)
Menace /
vulnérabilité
→ Risques
Niveau de
risque brut
(fort, moyen,
faible)
Mesure de
protection
existant, Moyen de
Sauvegarde / Secours,
de Reprise/
Restauration /
Niveau
de risque
résiduel
(fort, moyen,
faible)
Si fort, Action
- d'évitement
- de réduction
- de partage ou
transfert
- d'élimination
- d'acceptation
Le plus
SIGNIFICATIF
forts
Sensible = Risques : Niveau de risque & actions de
réduction, juste nécessaire
Bien (actifs)
internes
Politique de sécurité
Objectifs de sécurité
Mesures de sécurité
Valeur du bien
Criticité du bien
(selon son impact sur
l'organisme) Vulnérabilités
(exposent le bien)
Système de management
Menaces
(exploitent la vulnérabilité)
externes
organisme
Sensible = risques
= menaces + vulnérabilités (1/2)
Bien
(actifs)
Menaces
(augmentent le niveau de risque)
Diminue la
valeur du bien
Mesures de protection
(réduisent le niveau de risque)
Risques résiduels
Risques
(niveau de risque)
l'essentiel = connaître les menaces (causes potentielles d'incident) et les
vulnérabilités (faiblesse d'un bien pouvant être exploité par une menace)
Criticité
du bien
Vulnérabilités
(augmentent le niveau de risque)
Source de risque
Danger
Facteur de risque
Risque
Conséquence
Impact
Sensible = risques
= menaces + vulnérabilités (2/2)
Menaces
 A)ccidentelle, D)élibérée ou E)nvironnementale
 D'origine interne ou externe
On distingue généralement :
 Menace passive : elles ne modifient pas le contenu de l'information et
portent essentiellement sur la confidentialité (branchement sur une ligne
de transmission, capture de signaux hertziens...).
 Menace active : elles modifient le contenu de l'information ou le
comportement des systèmes de traitement (brouillage des
communications, modification des données transmises ou résidentes,
pénétration du système, destruction physique ou logique).
Vulnérabilités
Techniques (matériel, logiciel, réseaux...)
 Faiblesses de conception (architecture, logiciel, etc.)
 Programmes peu robustes
Organisationnelles (site, organisation, ...)
 Architectures permissives
 Emploi de versions non corrigées des erreurs
 Administration non sécurisée de l’exploitation
Humaines
 Méconnaissance de la menace
 Insouciance des utilisateurs … et/ou de la Direction
 Connexions internet sans sécurité suffisante
Extérieures
 Image et notoriété
 Diffamation, dénigrement, décrédibilisation
Partie 3 : Comment la protéger ?
Levier 1 : Capital humain
Identification du maillon faible de l’entreprise
Détenteur informations et de compétences
Diffuseur (in)volontaire d’informations
Acteur interne ou externe de l’entreprise
 Existe t-il des mesures de protections ?
L’HUMAIN
Capital humain & mesures de protection
Identification des utilisateurs
(authentification, habilitations)
Les protections dans le cadre des relations collectives (guide, règlement, charte
..) / individuelles (contrat, convention, ...)
Les clauses de protection du savoir faire (confidentialité, non concurrence,
propriété intellectuelle...)
Les clauses relatives à l'usage des TIC (téléchargement, cloud, réseaux sociaux
messagerie, espaces stockage...)
Les mesures de protection
Identification des protagonistes (matrice RACI)
La formation/sensibilisation
La charte informatique
Capital humain & mesures de protection
Partie 3 : Comment la protéger ?
Levier 2 : Outils & méthodes TIC
Méthodes, outils et bonnes pratiques
Recommandations
Difficile de donner des méthodes et outils
Dangereux
Agir de façon adapté et proportionné aux risques
Respecter le droit à en connaître
Faire appel à des "professionnels" voire aux autorités (ANSSI, ….)
 Ne pas se laisser séduire par le chant des chimères
Privilégier une protection « conjuguée »
A noter :
Nous ne sommes prescripteur d'aucun produit
Nous ne cherchons pas ici à être précis et exhaustif
Méthodes, outils et bonnes pratiques
Mode d'emploi
 filtrage / journalisation des connexions réseau
 détection / prévention d'intrusion (scanner de vulnérabilité, log, ...)
 filtre Anti-DoS (Deni de service)
 connexion sécurisée (VPN, SSL/ TLS…)
 chiffrement du stockage
 supervision & monitoring
 sécuriser les "applications" & développements
 ….
1) sécuriser le physique / matériel (accès aux serveurs-machines, cablage, réseau
sans fils)
2) sécuriser au mieux le système d'exploitation (OS) (serveur et poste client)
3) ajouter des couches de protection "sécurité" :
Méthodes, outils et bonnes pratiques
Exemples (non exhaustif, non prescriptif)
Poste client
Applications
Infrastructure
d'application
Infrastructure
physique
matériel
réseaux
Système d'exploitation
Serveurs SGBD
horizontales
(CRM, GRH, ...)
Applications
...
...
Applications dédiées au net
verticales
Applications
(métiers)
Linux ;Pack office libre
Antivirus
Chiffrement du stockage type « truecrypt »
Extinction automatique serveur inactif
Cryptage automatique de disque inactif
Proxy/ reverse proxy ; Coupe-feu à jour
Bien configurer les "VLAN" ; sécuriser le "DNS"
VPN / IPSec/SSL/TLS (OpenVPN avec certif)
Stockage des données applicatives maîtrisé
Supervision, scanner de vulnérabilité
Sécuriser les "application", dans l'ordre :
annuaire (type LDAP ou MS AD),
sauvegarde, messagerie (anti-virus / anti-
spam / chiffrement transfert, …)
Sécuriser les "développements spécifiques"
Partie 3: Comment la protéger ?
Levier 3 : Système de management
Mise en œuvre d'un système de management
→ Les thèmes traités (les maillons faibles les plus courants)
1. État
des lieux
2. Définition politique
3. Mise en œuvre &
contrôles
4. Amélioration
continue
Contraintes,
exigences
stratégie, ...
Pilotage de la sécurité de
l'information
Cartographie des biens
et des risques
Se protéger contre les
erreurs humaines &
techniques
Orientations, sens,
objectifs cibles
Politiques
(sécurité….)
mission-valeur-vision
Système de
management
Analyse
d'énergie
(accélérateur, frein)
Mise en œuvre d'un système de management
→ les éléments structurants essentiels
Produit/
service
merci
help
« client »
« client »
périmètre
maîtrise
Approche top
down
Approche
bottom-up
Opérationnel
Direction
Intégrer
→ SM
entreprise
(y/c SSI)
Politique, objectifs,
planification, R&A, ….
Biens, risques, menaces,
vulnérabilités, mesures,
contrôles, ….
Iso 27001....
mais pas que (9001, 14001, 20000-1, 18001, 21500, 26000, ...)
Système de management, Clés du succès :
croiser 2 approches + intégrer
28
Les points clés à retenir
Les points clés à retenir
• La sécurité doit être adaptée aux moyens
• La sécurité doit être adaptée aux risques
• La sécurité doit être adaptée au comportement humain
• La sécurité doit minimiser l'impact sur la productivité
• Le point sensible de la sécurité reste l'humain
• La sécurité c'est l'affaire de tous, tout le temps (sans fin)
• Le risque 0 n'existe pas (connaître et maîtriser ses risques)
• La sécurité est une affaire de moyens mais pas que...
• Un SMSI certifié ne signifie pas un système inviolable
• La sécurité n'empêche pas les intrusions (elle les retarde)
• Un SMSI est compatible avec des sociétés de toutes tailles
30
Les intervenants
Vos questions / nos réponses !
 Vincent IACOLARE
 09 79 36 87 24
 vincent.iacolare@synertal.fr
 www.synertal.com
 www.talentrepreneur.fr
N'attendez plus, engagez-vous !!!
31
Comment rendre votre site
Internet visible sur Google?
Jeudi 21 mai 2015
Aix en Provence
WWW.CCIMP.COM pour
consulter l’AGENDA des RDV
et vous INSCRIRE
Evènement accessible de
chez vous ou de votre
bureau avec un ordinateur
et une connexion internet
Liste des logos des partenaires
Restons en contact
Rejoignez-nous sur le portail
des usages et retrouvez :
 Les supports des présentations
 La présentation des usages du
numérique
 Les actualités
 L’annuaire des entreprises
Suivez-nous sur les réseaux
sociaux :
@competitic
Projet régional CompetiTIC
32
NOUVEAU : Cette vidéo sera disponible sur la
playlist CCIMP REPLAY de la chaine Youtube de
la CCIMP
33
Découvrez toutes les missions de la CCI Marseille Provence
• Faciliter votre quotidien, simplifier vos formalités
• Vous accompagner pour développer votre entreprise : des méthodes,
des outils, des rencontres business, des réseaux
• Défendre vos intérêts et ceux du territoire
• Favoriser les conditions du développement économique et des grands
projets
Rendez-vous sur ccimp.com &
– des actus
– des infos pratiques & solutions business
– l’agenda de nos réunions
– des e-services : annuaire des réseaux, boîtes à outils du dirigeant, aides
financières, fichiers de prospection, échéancier social…

Contenu connexe

Tendances

Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiquee-Xpert Solutions SA
 
Contrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéeContrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéePatrice Pena
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrFredericPaumier
 
Dictao Plaquette Institutionnelle
Dictao Plaquette InstitutionnelleDictao Plaquette Institutionnelle
Dictao Plaquette InstitutionnelleDictao
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Denis VIROLE
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritée-Xpert Solutions SA
 
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Denis VIROLE
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Politiques de protection de la vie privee et sécurité système d'information
Politiques de protection de la  vie privee et sécurité système d'informationPolitiques de protection de la  vie privee et sécurité système d'information
Politiques de protection de la vie privee et sécurité système d'informationDenis VIROLE
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des donnéesStephane Droxler
 

Tendances (19)

Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Le DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatiqueLe DLP vu sous un angle pragmatique
Le DLP vu sous un angle pragmatique
 
Contrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéeContrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privée
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
Ssi
SsiSsi
Ssi
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
 
Dictao Plaquette Institutionnelle
Dictao Plaquette InstitutionnelleDictao Plaquette Institutionnelle
Dictao Plaquette Institutionnelle
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
 
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Politiques de protection de la vie privee et sécurité système d'information
Politiques de protection de la  vie privee et sécurité système d'informationPolitiques de protection de la  vie privee et sécurité système d'information
Politiques de protection de la vie privee et sécurité système d'information
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 

En vedette

Album de fotos power point
Album de fotos power pointAlbum de fotos power point
Album de fotos power pointlmedinafernandez
 
Aprender y enseñar en colaboración. Manrique Xool
Aprender y enseñar en colaboración. Manrique XoolAprender y enseñar en colaboración. Manrique Xool
Aprender y enseñar en colaboración. Manrique Xoolmanriquexool
 
Vous positionner en 2012-13
Vous positionner en 2012-13Vous positionner en 2012-13
Vous positionner en 2012-13ADN Marketing
 
presentacion de proyecto la arenosa
presentacion de proyecto la arenosa presentacion de proyecto la arenosa
presentacion de proyecto la arenosa 24476cindryn
 
Le Service Lab développé pour la Lyonnaise des Eaux Orléans
Le Service Lab développé pour la Lyonnaise des Eaux OrléansLe Service Lab développé pour la Lyonnaise des Eaux Orléans
Le Service Lab développé pour la Lyonnaise des Eaux OrléansUser Studio
 
Presentation Francais de NB Solution
Presentation Francais de NB SolutionPresentation Francais de NB Solution
Presentation Francais de NB Solutionsimon_lalumiere
 
Controladores de la TM
Controladores de la TMControladores de la TM
Controladores de la TMosbaldo1998
 
Alineando los incentivos en las cadenas de suministros 18 de mayo
Alineando los incentivos en las cadenas de suministros 18 de mayoAlineando los incentivos en las cadenas de suministros 18 de mayo
Alineando los incentivos en las cadenas de suministros 18 de mayomarielitasssss
 
10 astuces pour utiliser facebook /4 
10 astuces pour utiliser facebook /4 10 astuces pour utiliser facebook /4 
10 astuces pour utiliser facebook /4 Valérie Thuillier
 
Arquitectura griega
Arquitectura griegaArquitectura griega
Arquitectura griegaMikomikona76
 
5 t.fertilizantes _10725__
5 t.fertilizantes _10725__5 t.fertilizantes _10725__
5 t.fertilizantes _10725__valensmabe
 

En vedette (20)

Album de fotos power point
Album de fotos power pointAlbum de fotos power point
Album de fotos power point
 
Ayn rand de boisset martinetto
Ayn rand de boisset martinettoAyn rand de boisset martinetto
Ayn rand de boisset martinetto
 
Aprender y enseñar en colaboración. Manrique Xool
Aprender y enseñar en colaboración. Manrique XoolAprender y enseñar en colaboración. Manrique Xool
Aprender y enseñar en colaboración. Manrique Xool
 
Vous positionner en 2012-13
Vous positionner en 2012-13Vous positionner en 2012-13
Vous positionner en 2012-13
 
presentacion de proyecto la arenosa
presentacion de proyecto la arenosa presentacion de proyecto la arenosa
presentacion de proyecto la arenosa
 
Le Service Lab développé pour la Lyonnaise des Eaux Orléans
Le Service Lab développé pour la Lyonnaise des Eaux OrléansLe Service Lab développé pour la Lyonnaise des Eaux Orléans
Le Service Lab développé pour la Lyonnaise des Eaux Orléans
 
Presentation Francais de NB Solution
Presentation Francais de NB SolutionPresentation Francais de NB Solution
Presentation Francais de NB Solution
 
Librito
LibritoLibrito
Librito
 
Controladores de la TM
Controladores de la TMControladores de la TM
Controladores de la TM
 
Alineando los incentivos en las cadenas de suministros 18 de mayo
Alineando los incentivos en las cadenas de suministros 18 de mayoAlineando los incentivos en las cadenas de suministros 18 de mayo
Alineando los incentivos en las cadenas de suministros 18 de mayo
 
webquest ciencia y materia
webquest ciencia y materiawebquest ciencia y materia
webquest ciencia y materia
 
10 astuces pour utiliser facebook /4 
10 astuces pour utiliser facebook /4 10 astuces pour utiliser facebook /4 
10 astuces pour utiliser facebook /4 
 
grupo 1
grupo 1grupo 1
grupo 1
 
el internet
el internetel internet
el internet
 
Ejemplo 1
Ejemplo 1Ejemplo 1
Ejemplo 1
 
Arquitectura griega
Arquitectura griegaArquitectura griega
Arquitectura griega
 
5 t.fertilizantes _10725__
5 t.fertilizantes _10725__5 t.fertilizantes _10725__
5 t.fertilizantes _10725__
 
Particion
ParticionParticion
Particion
 
Juego
JuegoJuego
Juego
 
Leidy ontologia
Leidy ontologiaLeidy ontologia
Leidy ontologia
 

Similaire à Competitic - Identifier et Protéger vos données sensibles

Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01David Blampain
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competitic2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competiticCOMPETITIC
 
Data Security - Français
Data Security - FrançaisData Security - Français
Data Security - FrançaisData Security
 

Similaire à Competitic - Identifier et Protéger vos données sensibles (20)

siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competitic2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competitic
 
Data Security - Français
Data Security - FrançaisData Security - Français
Data Security - Français
 

Plus de COMPETITIC

Competitic - Choisir sa solution e-commerce - numerique entreprise
Competitic - Choisir sa solution e-commerce - numerique entrepriseCompetitic - Choisir sa solution e-commerce - numerique entreprise
Competitic - Choisir sa solution e-commerce - numerique entrepriseCOMPETITIC
 
Ccimp rdv tic influenceurs 10 12 15
Ccimp rdv tic influenceurs 10 12 15Ccimp rdv tic influenceurs 10 12 15
Ccimp rdv tic influenceurs 10 12 15COMPETITIC
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Competitic Emailing toujours performant - numerique en entreprise
Competitic Emailing toujours performant - numerique en entrepriseCompetitic Emailing toujours performant - numerique en entreprise
Competitic Emailing toujours performant - numerique en entrepriseCOMPETITIC
 
Competitic Referencement mobile friendly - numerique en entreprise
Competitic Referencement mobile friendly - numerique en entrepriseCompetitic Referencement mobile friendly - numerique en entreprise
Competitic Referencement mobile friendly - numerique en entrepriseCOMPETITIC
 
Ccimp rdv tic protegez votre marque sur internet v3
Ccimp rdv tic protegez votre marque sur internet v3Ccimp rdv tic protegez votre marque sur internet v3
Ccimp rdv tic protegez votre marque sur internet v3COMPETITIC
 
Competitic Applications mobiles 2015 - numerique en entreprise
Competitic  Applications mobiles 2015 - numerique en entrepriseCompetitic  Applications mobiles 2015 - numerique en entreprise
Competitic Applications mobiles 2015 - numerique en entrepriseCOMPETITIC
 
CCIMP RDV TIC simplification administrative
CCIMP RDV TIC simplification administrativeCCIMP RDV TIC simplification administrative
CCIMP RDV TIC simplification administrativeCOMPETITIC
 
Competitic web to store numerique [mode de compatibilité]
Competitic web to store numerique [mode de compatibilité]Competitic web to store numerique [mode de compatibilité]
Competitic web to store numerique [mode de compatibilité]COMPETITIC
 
Competitic - Hebergement - numerique en entreprise 2015
Competitic - Hebergement - numerique en entreprise 2015Competitic - Hebergement - numerique en entreprise 2015
Competitic - Hebergement - numerique en entreprise 2015COMPETITIC
 
Competitic - Solution de site web - numerique en entreprise
Competitic - Solution de site web - numerique en entrepriseCompetitic - Solution de site web - numerique en entreprise
Competitic - Solution de site web - numerique en entrepriseCOMPETITIC
 
Creer sa page facebook pro
Creer sa page facebook proCreer sa page facebook pro
Creer sa page facebook proCOMPETITIC
 
Ccimp rdv tic e reputation 16 avril 2015
Ccimp rdv tic  e reputation 16 avril 2015Ccimp rdv tic  e reputation 16 avril 2015
Ccimp rdv tic e reputation 16 avril 2015COMPETITIC
 
GERER VOTRE E REPUTATION SUR INTERNET
GERER VOTRE E REPUTATION SUR INTERNETGERER VOTRE E REPUTATION SUR INTERNET
GERER VOTRE E REPUTATION SUR INTERNETCOMPETITIC
 
Competitic Client 2.0 numerique
Competitic Client 2.0 numeriqueCompetitic Client 2.0 numerique
Competitic Client 2.0 numeriqueCOMPETITIC
 
Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...
Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...
Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...COMPETITIC
 
Competitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entrepriseCompetitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entrepriseCOMPETITIC
 
Competitic-Propriété Site Web, Application Mobile
Competitic-Propriété Site Web, Application MobileCompetitic-Propriété Site Web, Application Mobile
Competitic-Propriété Site Web, Application MobileCOMPETITIC
 
CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015COMPETITIC
 
Competitic - Choisir son nom de domaine - numerique en entreprise
Competitic - Choisir son nom de domaine - numerique en entrepriseCompetitic - Choisir son nom de domaine - numerique en entreprise
Competitic - Choisir son nom de domaine - numerique en entrepriseCOMPETITIC
 

Plus de COMPETITIC (20)

Competitic - Choisir sa solution e-commerce - numerique entreprise
Competitic - Choisir sa solution e-commerce - numerique entrepriseCompetitic - Choisir sa solution e-commerce - numerique entreprise
Competitic - Choisir sa solution e-commerce - numerique entreprise
 
Ccimp rdv tic influenceurs 10 12 15
Ccimp rdv tic influenceurs 10 12 15Ccimp rdv tic influenceurs 10 12 15
Ccimp rdv tic influenceurs 10 12 15
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Competitic Emailing toujours performant - numerique en entreprise
Competitic Emailing toujours performant - numerique en entrepriseCompetitic Emailing toujours performant - numerique en entreprise
Competitic Emailing toujours performant - numerique en entreprise
 
Competitic Referencement mobile friendly - numerique en entreprise
Competitic Referencement mobile friendly - numerique en entrepriseCompetitic Referencement mobile friendly - numerique en entreprise
Competitic Referencement mobile friendly - numerique en entreprise
 
Ccimp rdv tic protegez votre marque sur internet v3
Ccimp rdv tic protegez votre marque sur internet v3Ccimp rdv tic protegez votre marque sur internet v3
Ccimp rdv tic protegez votre marque sur internet v3
 
Competitic Applications mobiles 2015 - numerique en entreprise
Competitic  Applications mobiles 2015 - numerique en entrepriseCompetitic  Applications mobiles 2015 - numerique en entreprise
Competitic Applications mobiles 2015 - numerique en entreprise
 
CCIMP RDV TIC simplification administrative
CCIMP RDV TIC simplification administrativeCCIMP RDV TIC simplification administrative
CCIMP RDV TIC simplification administrative
 
Competitic web to store numerique [mode de compatibilité]
Competitic web to store numerique [mode de compatibilité]Competitic web to store numerique [mode de compatibilité]
Competitic web to store numerique [mode de compatibilité]
 
Competitic - Hebergement - numerique en entreprise 2015
Competitic - Hebergement - numerique en entreprise 2015Competitic - Hebergement - numerique en entreprise 2015
Competitic - Hebergement - numerique en entreprise 2015
 
Competitic - Solution de site web - numerique en entreprise
Competitic - Solution de site web - numerique en entrepriseCompetitic - Solution de site web - numerique en entreprise
Competitic - Solution de site web - numerique en entreprise
 
Creer sa page facebook pro
Creer sa page facebook proCreer sa page facebook pro
Creer sa page facebook pro
 
Ccimp rdv tic e reputation 16 avril 2015
Ccimp rdv tic  e reputation 16 avril 2015Ccimp rdv tic  e reputation 16 avril 2015
Ccimp rdv tic e reputation 16 avril 2015
 
GERER VOTRE E REPUTATION SUR INTERNET
GERER VOTRE E REPUTATION SUR INTERNETGERER VOTRE E REPUTATION SUR INTERNET
GERER VOTRE E REPUTATION SUR INTERNET
 
Competitic Client 2.0 numerique
Competitic Client 2.0 numeriqueCompetitic Client 2.0 numerique
Competitic Client 2.0 numerique
 
Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...
Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...
Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...
 
Competitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entrepriseCompetitic Objets connectés - numerique en entreprise
Competitic Objets connectés - numerique en entreprise
 
Competitic-Propriété Site Web, Application Mobile
Competitic-Propriété Site Web, Application MobileCompetitic-Propriété Site Web, Application Mobile
Competitic-Propriété Site Web, Application Mobile
 
CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015CCIMP Cloud pour les TPE PME 2015
CCIMP Cloud pour les TPE PME 2015
 
Competitic - Choisir son nom de domaine - numerique en entreprise
Competitic - Choisir son nom de domaine - numerique en entrepriseCompetitic - Choisir son nom de domaine - numerique en entreprise
Competitic - Choisir son nom de domaine - numerique en entreprise
 

Competitic - Identifier et Protéger vos données sensibles

  • 1. Comment identifier et protéger vos données sensibles Présenté par : Patricia Bohbot – CCI MARSEILLE PROVENCE RENDEZ-VOUS CCIMP des TIC Affichage des logos des partenaires
  • 2. 2 Le rendez vous des TIC est une des prestations proposées par la CCIMP pour faciliter l’appropriation des usages des TIC • Prediagnostic etransformation • Ateliers • … • Rendez vous des TIC • Salon TOP TIC • Démonstrateurs (ex : Ma bouTIC) • « Portail des usages » : www.lenumeriquepourmonentreprise.com • … • Actions collectives • … L’OFFRE « TIC » DE LA CCIMP se décline en TROIS TYPES d’ACTION Sensibiliser Approfondir Accompagner
  • 3. 3 La vision de la CCIMP sur la sécurité des données  Les usages du numérique s’accélèrent et avec eux en parallèle de nouveaux risques apparaissent.  Les entreprises sont les premières cibles des cyberattaques qui visent son patrimoine informationnel, son savoir faire, ses données clients, ses projets en cours…et les conséquences sont lourdes : pertes de données, perte de confiance, atteinte à l’image et à la réputation.  Face à ces nouveaux risques, qui peuvent aller jusqu’à l’arrêt total de l’activité, des mesures de précaution, des règles d’hygiène informatique sont à mettre en place pour réduire le risque et mieux gérer les situations de crises.
  • 4. 4 Le thème abordé aujourd’hui porte sur la famille d’usage Sécurité DEVELOPPER L’ACTIVITE COMMERCIALE GERER LES ACHATS PILOTER L’ENTREPRISE OPTIMISER L’ACTIVITE
  • 5. Sommaire Identifier et protéger vos données sensibles 1. Information c'est quoi ? 10mn 2. Vous avez dit « sensible » ? 10mn 3. Comment la protéger ? Levier 1 : capital humain 10mn Levier 2 : outils/ méthodes TIC 10mn Levier 3 : système de management 10mn Questions-Réponses 30mn
  • 6. Les intervenants  Vincent IACOLARE  09 79 36 87 24  vincent.iacolare@synertal.fr  www.synertal.com www.talentrepreneur.fr Nous nous engageons avec eux pour la sécurité de l'information : Dirigeant Ingénieur conseil Écrivain militant Manager de projet certifié Afitep Auditeur certifié ICA - MASE - ADSN Concepteur, formateur et animateur qualifié Afnor Compétences & FCT Solutions
  • 7. Partie 1: L'Information c'est quoi ?
  • 8. L'information est partout  Qu'est-ce qu'une information ? L'information prend différentes formes : Définition : une indication, un renseignement, un événement, un fait, un jugement , une nouvelle communiquée, un élément de connaissance, … (d'après Larousse) numérique (fichier, base de données) savoir document (écrit)mot (oral) L'information se dématérialise de plus en plus L'information est partout (et plus elle se dématérialise et plus elle se répand) /!
  • 9. Sont à identifier et à estimer (valeur i.e. criticité) sur la base de critères déterminés comme par exemple : La violation de la réglementation et de la législation, Manque à gagner pour l’entreprise, perte financière...., Impact sur la notoriété, Interruption de l’activité de l’entreprise, Brèches aux promesses de confidentialité avec les parties prenantes (clients, fournisseurs, partenaires, ...), Endommagement de l’infrastructure, Etc. Identification des actifs = Processus permanent et itératif Valorisation des actifs selon critères (par nature d'impact direct ou indirect i.e perte de, atteinte à, crise...) Information = ACTIFS /BIENS Les identifier
  • 10. A quoi bon sécuriser l'information ? Information = pétrole du XXIe siècle La détenir Force = Information utile à l'entreprise pour se développer (pouvoir, anticipation, …) Risque = Information sensible (vol, IE, piratage...) La sécuriser Risque (tuer la performance, nuire au développement , alourdir le fonctionnement) Indispensable (survie) Maturité démarche de sécurité de l'information intégrée Force = Influence (information à communiquer sur l’entreprise)
  • 11. Partie 2 : Vous avez dit « sensible » ?
  • 12. Valeur de l'actif/ Criticité du bien (fort, moyen, faible) Menace / vulnérabilité → Risques Niveau de risque brut (fort, moyen, faible) Mesure de protection existant, Moyen de Sauvegarde / Secours, de Reprise/ Restauration / Niveau de risque résiduel (fort, moyen, faible) Si fort, Action - d'évitement - de réduction - de partage ou transfert - d'élimination - d'acceptation Le plus SIGNIFICATIF forts Sensible = Risques : Niveau de risque & actions de réduction, juste nécessaire
  • 13. Bien (actifs) internes Politique de sécurité Objectifs de sécurité Mesures de sécurité Valeur du bien Criticité du bien (selon son impact sur l'organisme) Vulnérabilités (exposent le bien) Système de management Menaces (exploitent la vulnérabilité) externes organisme Sensible = risques = menaces + vulnérabilités (1/2)
  • 14. Bien (actifs) Menaces (augmentent le niveau de risque) Diminue la valeur du bien Mesures de protection (réduisent le niveau de risque) Risques résiduels Risques (niveau de risque) l'essentiel = connaître les menaces (causes potentielles d'incident) et les vulnérabilités (faiblesse d'un bien pouvant être exploité par une menace) Criticité du bien Vulnérabilités (augmentent le niveau de risque) Source de risque Danger Facteur de risque Risque Conséquence Impact Sensible = risques = menaces + vulnérabilités (2/2)
  • 15. Menaces  A)ccidentelle, D)élibérée ou E)nvironnementale  D'origine interne ou externe On distingue généralement :  Menace passive : elles ne modifient pas le contenu de l'information et portent essentiellement sur la confidentialité (branchement sur une ligne de transmission, capture de signaux hertziens...).  Menace active : elles modifient le contenu de l'information ou le comportement des systèmes de traitement (brouillage des communications, modification des données transmises ou résidentes, pénétration du système, destruction physique ou logique).
  • 16. Vulnérabilités Techniques (matériel, logiciel, réseaux...)  Faiblesses de conception (architecture, logiciel, etc.)  Programmes peu robustes Organisationnelles (site, organisation, ...)  Architectures permissives  Emploi de versions non corrigées des erreurs  Administration non sécurisée de l’exploitation Humaines  Méconnaissance de la menace  Insouciance des utilisateurs … et/ou de la Direction  Connexions internet sans sécurité suffisante Extérieures  Image et notoriété  Diffamation, dénigrement, décrédibilisation
  • 17. Partie 3 : Comment la protéger ? Levier 1 : Capital humain
  • 18. Identification du maillon faible de l’entreprise Détenteur informations et de compétences Diffuseur (in)volontaire d’informations Acteur interne ou externe de l’entreprise  Existe t-il des mesures de protections ? L’HUMAIN Capital humain & mesures de protection
  • 19. Identification des utilisateurs (authentification, habilitations) Les protections dans le cadre des relations collectives (guide, règlement, charte ..) / individuelles (contrat, convention, ...) Les clauses de protection du savoir faire (confidentialité, non concurrence, propriété intellectuelle...) Les clauses relatives à l'usage des TIC (téléchargement, cloud, réseaux sociaux messagerie, espaces stockage...) Les mesures de protection Identification des protagonistes (matrice RACI) La formation/sensibilisation La charte informatique Capital humain & mesures de protection
  • 20. Partie 3 : Comment la protéger ? Levier 2 : Outils & méthodes TIC
  • 21. Méthodes, outils et bonnes pratiques Recommandations Difficile de donner des méthodes et outils Dangereux Agir de façon adapté et proportionné aux risques Respecter le droit à en connaître Faire appel à des "professionnels" voire aux autorités (ANSSI, ….)  Ne pas se laisser séduire par le chant des chimères Privilégier une protection « conjuguée » A noter : Nous ne sommes prescripteur d'aucun produit Nous ne cherchons pas ici à être précis et exhaustif
  • 22. Méthodes, outils et bonnes pratiques Mode d'emploi  filtrage / journalisation des connexions réseau  détection / prévention d'intrusion (scanner de vulnérabilité, log, ...)  filtre Anti-DoS (Deni de service)  connexion sécurisée (VPN, SSL/ TLS…)  chiffrement du stockage  supervision & monitoring  sécuriser les "applications" & développements  …. 1) sécuriser le physique / matériel (accès aux serveurs-machines, cablage, réseau sans fils) 2) sécuriser au mieux le système d'exploitation (OS) (serveur et poste client) 3) ajouter des couches de protection "sécurité" :
  • 23. Méthodes, outils et bonnes pratiques Exemples (non exhaustif, non prescriptif) Poste client Applications Infrastructure d'application Infrastructure physique matériel réseaux Système d'exploitation Serveurs SGBD horizontales (CRM, GRH, ...) Applications ... ... Applications dédiées au net verticales Applications (métiers) Linux ;Pack office libre Antivirus Chiffrement du stockage type « truecrypt » Extinction automatique serveur inactif Cryptage automatique de disque inactif Proxy/ reverse proxy ; Coupe-feu à jour Bien configurer les "VLAN" ; sécuriser le "DNS" VPN / IPSec/SSL/TLS (OpenVPN avec certif) Stockage des données applicatives maîtrisé Supervision, scanner de vulnérabilité Sécuriser les "application", dans l'ordre : annuaire (type LDAP ou MS AD), sauvegarde, messagerie (anti-virus / anti- spam / chiffrement transfert, …) Sécuriser les "développements spécifiques"
  • 24. Partie 3: Comment la protéger ? Levier 3 : Système de management
  • 25. Mise en œuvre d'un système de management → Les thèmes traités (les maillons faibles les plus courants) 1. État des lieux 2. Définition politique 3. Mise en œuvre & contrôles 4. Amélioration continue Contraintes, exigences stratégie, ... Pilotage de la sécurité de l'information Cartographie des biens et des risques Se protéger contre les erreurs humaines & techniques Orientations, sens, objectifs cibles
  • 26. Politiques (sécurité….) mission-valeur-vision Système de management Analyse d'énergie (accélérateur, frein) Mise en œuvre d'un système de management → les éléments structurants essentiels Produit/ service merci help « client » « client » périmètre maîtrise
  • 27. Approche top down Approche bottom-up Opérationnel Direction Intégrer → SM entreprise (y/c SSI) Politique, objectifs, planification, R&A, …. Biens, risques, menaces, vulnérabilités, mesures, contrôles, …. Iso 27001.... mais pas que (9001, 14001, 20000-1, 18001, 21500, 26000, ...) Système de management, Clés du succès : croiser 2 approches + intégrer
  • 28. 28 Les points clés à retenir
  • 29. Les points clés à retenir • La sécurité doit être adaptée aux moyens • La sécurité doit être adaptée aux risques • La sécurité doit être adaptée au comportement humain • La sécurité doit minimiser l'impact sur la productivité • Le point sensible de la sécurité reste l'humain • La sécurité c'est l'affaire de tous, tout le temps (sans fin) • Le risque 0 n'existe pas (connaître et maîtriser ses risques) • La sécurité est une affaire de moyens mais pas que... • Un SMSI certifié ne signifie pas un système inviolable • La sécurité n'empêche pas les intrusions (elle les retarde) • Un SMSI est compatible avec des sociétés de toutes tailles
  • 30. 30 Les intervenants Vos questions / nos réponses !  Vincent IACOLARE  09 79 36 87 24  vincent.iacolare@synertal.fr  www.synertal.com  www.talentrepreneur.fr N'attendez plus, engagez-vous !!!
  • 31. 31 Comment rendre votre site Internet visible sur Google? Jeudi 21 mai 2015 Aix en Provence WWW.CCIMP.COM pour consulter l’AGENDA des RDV et vous INSCRIRE Evènement accessible de chez vous ou de votre bureau avec un ordinateur et une connexion internet Liste des logos des partenaires Restons en contact Rejoignez-nous sur le portail des usages et retrouvez :  Les supports des présentations  La présentation des usages du numérique  Les actualités  L’annuaire des entreprises Suivez-nous sur les réseaux sociaux : @competitic Projet régional CompetiTIC
  • 32. 32 NOUVEAU : Cette vidéo sera disponible sur la playlist CCIMP REPLAY de la chaine Youtube de la CCIMP
  • 33. 33 Découvrez toutes les missions de la CCI Marseille Provence • Faciliter votre quotidien, simplifier vos formalités • Vous accompagner pour développer votre entreprise : des méthodes, des outils, des rencontres business, des réseaux • Défendre vos intérêts et ceux du territoire • Favoriser les conditions du développement économique et des grands projets Rendez-vous sur ccimp.com & – des actus – des infos pratiques & solutions business – l’agenda de nos réunions – des e-services : annuaire des réseaux, boîtes à outils du dirigeant, aides financières, fichiers de prospection, échéancier social…