1.
Comment identifier et protéger vos
données sensibles
Présenté par : Patricia Bohbot – CCI MARSEILLE PROVENCE
RENDEZ-VOUS CCIMP des TIC
Affichage des logos des partenaires

2.
2
Le rendez vous des TIC est une des prestations proposées
par la CCIMP pour faciliter l’appropriation des usages des TIC
• Prediagnostic etransformation
• Ateliers
• …
• Rendez vous des TIC
• Salon TOP TIC
• Démonstrateurs (ex : Ma bouTIC)
• « Portail des usages » :
www.lenumeriquepourmonentreprise.com
• …
• Actions collectives
• …
L’OFFRE « TIC » DE LA CCIMP se décline en TROIS
TYPES d’ACTION
Sensibiliser
Approfondir
Accompagner

3.
3
La vision de la CCIMP sur la sécurité des données
 Les usages du numérique s’accélèrent et avec eux en parallèle de nouveaux
risques apparaissent.
 Les entreprises sont les premières cibles des cyberattaques qui visent son
patrimoine informationnel, son savoir faire, ses données clients, ses projets en
cours…et les conséquences sont lourdes : pertes de données, perte de
confiance, atteinte à l’image et à la réputation.
 Face à ces nouveaux risques, qui peuvent aller jusqu’à l’arrêt total de l’activité,
des mesures de précaution, des règles d’hygiène informatique sont à mettre en
place pour réduire le risque et mieux gérer les situations de crises.

4.
4
Le thème abordé aujourd’hui porte sur la famille d’usage
Sécurité
DEVELOPPER
L’ACTIVITE
COMMERCIALE
GERER LES
ACHATS
PILOTER
L’ENTREPRISE
OPTIMISER
L’ACTIVITE

5.
Sommaire
Identifier et protéger vos données sensibles
1. Information c'est quoi ? 10mn
2. Vous avez dit « sensible » ? 10mn
3. Comment la protéger ?
Levier 1 : capital humain 10mn
Levier 2 : outils/ méthodes TIC 10mn
Levier 3 : système de management 10mn
Questions-Réponses 30mn

6.
Les intervenants
 Vincent IACOLARE
 09 79 36 87 24
 vincent.iacolare@synertal.fr
 www.synertal.com
www.talentrepreneur.fr
Nous nous engageons avec eux
pour la sécurité de l'information :
Dirigeant
Ingénieur conseil
Écrivain militant
Manager de projet certifié Afitep
Auditeur certifié ICA - MASE - ADSN
Concepteur, formateur et animateur
qualifié Afnor Compétences & FCT
Solutions

7.
Partie 1: L'Information c'est quoi ?

8.
L'information est partout
 Qu'est-ce qu'une information ?
L'information prend différentes formes :
Définition : une indication, un renseignement, un événement, un fait, un
jugement , une nouvelle communiquée, un élément de connaissance, …
(d'après Larousse)
numérique (fichier,
base de données)
savoir
document
(écrit)mot
(oral)
L'information se dématérialise de plus en plus
L'information est partout (et plus elle se dématérialise et plus elle se répand)
/!

9.
Sont à identifier et à estimer (valeur i.e. criticité) sur la base de critères
déterminés comme par exemple :
La violation de la réglementation et de la législation,
Manque à gagner pour l’entreprise, perte financière....,
Impact sur la notoriété,
Interruption de l’activité de l’entreprise,
Brèches aux promesses de confidentialité avec les parties prenantes
(clients, fournisseurs, partenaires, ...),
Endommagement de l’infrastructure,
Etc.
Identification des actifs = Processus permanent et itératif
Valorisation des actifs selon critères (par nature d'impact direct ou
indirect i.e perte de, atteinte à, crise...)
Information = ACTIFS /BIENS
Les identifier

10.
A quoi bon sécuriser l'information ?
Information = pétrole du XXIe siècle
La détenir
Force = Information utile à
l'entreprise pour se développer
(pouvoir, anticipation, …)
Risque = Information
sensible
(vol, IE, piratage...)
La sécuriser
Risque (tuer la performance, nuire au
développement , alourdir le
fonctionnement)
Indispensable (survie)
Maturité
démarche de sécurité de l'information intégrée
Force = Influence
(information à
communiquer sur
l’entreprise)

11.
Partie 2 : Vous avez dit « sensible » ?

12.
Valeur de
l'actif/
Criticité du bien
(fort, moyen,
faible)
Menace /
vulnérabilité
→ Risques
Niveau de
risque brut
(fort, moyen,
faible)
Mesure de
protection
existant, Moyen de
Sauvegarde / Secours,
de Reprise/
Restauration /
Niveau
de risque
résiduel
(fort, moyen,
faible)
Si fort, Action
- d'évitement
- de réduction
- de partage ou
transfert
- d'élimination
- d'acceptation
Le plus
SIGNIFICATIF
forts
Sensible = Risques : Niveau de risque & actions de
réduction, juste nécessaire

13.
Bien (actifs)
internes
Politique de sécurité
Objectifs de sécurité
Mesures de sécurité
Valeur du bien
Criticité du bien
(selon son impact sur
l'organisme) Vulnérabilités
(exposent le bien)
Système de management
Menaces
(exploitent la vulnérabilité)
externes
organisme
Sensible = risques
= menaces + vulnérabilités (1/2)

14.
Bien
(actifs)
Menaces
(augmentent le niveau de risque)
Diminue la
valeur du bien
Mesures de protection
(réduisent le niveau de risque)
Risques résiduels
Risques
(niveau de risque)
l'essentiel = connaître les menaces (causes potentielles d'incident) et les
vulnérabilités (faiblesse d'un bien pouvant être exploité par une menace)
Criticité
du bien
Vulnérabilités
(augmentent le niveau de risque)
Source de risque
Danger
Facteur de risque
Risque
Conséquence
Impact
Sensible = risques
= menaces + vulnérabilités (2/2)

15.
Menaces
 A)ccidentelle, D)élibérée ou E)nvironnementale
 D'origine interne ou externe
On distingue généralement :
 Menace passive : elles ne modifient pas le contenu de l'information et
portent essentiellement sur la confidentialité (branchement sur une ligne
de transmission, capture de signaux hertziens...).
 Menace active : elles modifient le contenu de l'information ou le
comportement des systèmes de traitement (brouillage des
communications, modification des données transmises ou résidentes,
pénétration du système, destruction physique ou logique).

16.
Vulnérabilités
Techniques (matériel, logiciel, réseaux...)
 Faiblesses de conception (architecture, logiciel, etc.)
 Programmes peu robustes
Organisationnelles (site, organisation, ...)
 Architectures permissives
 Emploi de versions non corrigées des erreurs
 Administration non sécurisée de l’exploitation
Humaines
 Méconnaissance de la menace
 Insouciance des utilisateurs … et/ou de la Direction
 Connexions internet sans sécurité suffisante
Extérieures
 Image et notoriété
 Diffamation, dénigrement, décrédibilisation

17.
Partie 3 : Comment la protéger ?
Levier 1 : Capital humain

18.
Identification du maillon faible de l’entreprise
Détenteur informations et de compétences
Diffuseur (in)volontaire d’informations
Acteur interne ou externe de l’entreprise
 Existe t-il des mesures de protections ?
L’HUMAIN
Capital humain & mesures de protection

19.
Identification des utilisateurs
(authentification, habilitations)
Les protections dans le cadre des relations collectives (guide, règlement, charte
..) / individuelles (contrat, convention, ...)
Les clauses de protection du savoir faire (confidentialité, non concurrence,
propriété intellectuelle...)
Les clauses relatives à l'usage des TIC (téléchargement, cloud, réseaux sociaux
messagerie, espaces stockage...)
Les mesures de protection
Identification des protagonistes (matrice RACI)
La formation/sensibilisation
La charte informatique
Capital humain & mesures de protection

20.
Partie 3 : Comment la protéger ?
Levier 2 : Outils & méthodes TIC

21.
Méthodes, outils et bonnes pratiques
Recommandations
Difficile de donner des méthodes et outils
Dangereux
Agir de façon adapté et proportionné aux risques
Respecter le droit à en connaître
Faire appel à des "professionnels" voire aux autorités (ANSSI, ….)
 Ne pas se laisser séduire par le chant des chimères
Privilégier une protection « conjuguée »
A noter :
Nous ne sommes prescripteur d'aucun produit
Nous ne cherchons pas ici à être précis et exhaustif

22.
Méthodes, outils et bonnes pratiques
Mode d'emploi
 filtrage / journalisation des connexions réseau
 détection / prévention d'intrusion (scanner de vulnérabilité, log, ...)
 filtre Anti-DoS (Deni de service)
 connexion sécurisée (VPN, SSL/ TLS…)
 chiffrement du stockage
 supervision & monitoring
 sécuriser les "applications" & développements
 ….
1) sécuriser le physique / matériel (accès aux serveurs-machines, cablage, réseau
sans fils)
2) sécuriser au mieux le système d'exploitation (OS) (serveur et poste client)
3) ajouter des couches de protection "sécurité" :

23.
Méthodes, outils et bonnes pratiques
Exemples (non exhaustif, non prescriptif)
Poste client
Applications
Infrastructure
d'application
Infrastructure
physique
matériel
réseaux
Système d'exploitation
Serveurs SGBD
horizontales
(CRM, GRH, ...)
Applications
...
...
Applications dédiées au net
verticales
Applications
(métiers)
Linux ;Pack office libre
Antivirus
Chiffrement du stockage type « truecrypt »
Extinction automatique serveur inactif
Cryptage automatique de disque inactif
Proxy/ reverse proxy ; Coupe-feu à jour
Bien configurer les "VLAN" ; sécuriser le "DNS"
VPN / IPSec/SSL/TLS (OpenVPN avec certif)
Stockage des données applicatives maîtrisé
Supervision, scanner de vulnérabilité
Sécuriser les "application", dans l'ordre :
annuaire (type LDAP ou MS AD),
sauvegarde, messagerie (anti-virus / anti-
spam / chiffrement transfert, …)
Sécuriser les "développements spécifiques"

24.
Partie 3: Comment la protéger ?
Levier 3 : Système de management

25.
Mise en œuvre d'un système de management
→ Les thèmes traités (les maillons faibles les plus courants)
1. État
des lieux
2. Définition politique
3. Mise en œuvre &
contrôles
4. Amélioration
continue
Contraintes,
exigences
stratégie, ...
Pilotage de la sécurité de
l'information
Cartographie des biens
et des risques
Se protéger contre les
erreurs humaines &
techniques
Orientations, sens,
objectifs cibles

26.
Politiques
(sécurité….)
mission-valeur-vision
Système de
management
Analyse
d'énergie
(accélérateur, frein)
Mise en œuvre d'un système de management
→ les éléments structurants essentiels
Produit/
service
merci
help
« client »
« client »
périmètre
maîtrise

27.
Approche top
down
Approche
bottom-up
Opérationnel
Direction
Intégrer
→ SM
entreprise
(y/c SSI)
Politique, objectifs,
planification, R&A, ….
Biens, risques, menaces,
vulnérabilités, mesures,
contrôles, ….
Iso 27001....
mais pas que (9001, 14001, 20000-1, 18001, 21500, 26000, ...)
Système de management, Clés du succès :
croiser 2 approches + intégrer

28.
28
Les points clés à retenir

29.
Les points clés à retenir
• La sécurité doit être adaptée aux moyens
• La sécurité doit être adaptée aux risques
• La sécurité doit être adaptée au comportement humain
• La sécurité doit minimiser l'impact sur la productivité
• Le point sensible de la sécurité reste l'humain
• La sécurité c'est l'affaire de tous, tout le temps (sans fin)
• Le risque 0 n'existe pas (connaître et maîtriser ses risques)
• La sécurité est une affaire de moyens mais pas que...
• Un SMSI certifié ne signifie pas un système inviolable
• La sécurité n'empêche pas les intrusions (elle les retarde)
• Un SMSI est compatible avec des sociétés de toutes tailles

30.
30
Les intervenants
Vos questions / nos réponses !
 Vincent IACOLARE
 09 79 36 87 24
 vincent.iacolare@synertal.fr
 www.synertal.com
 www.talentrepreneur.fr
N'attendez plus, engagez-vous !!!

31.
31
Comment rendre votre site
Internet visible sur Google?
Jeudi 21 mai 2015
Aix en Provence
WWW.CCIMP.COM pour
consulter l’AGENDA des RDV
et vous INSCRIRE
Evènement accessible de
chez vous ou de votre
bureau avec un ordinateur
et une connexion internet
Liste des logos des partenaires
Restons en contact
Rejoignez-nous sur le portail
des usages et retrouvez :
 Les supports des présentations
 La présentation des usages du
numérique
 Les actualités
 L’annuaire des entreprises
Suivez-nous sur les réseaux
sociaux :
@competitic
Projet régional CompetiTIC

32.
32
NOUVEAU : Cette vidéo sera disponible sur la
playlist CCIMP REPLAY de la chaine Youtube de
la CCIMP

33.
33
Découvrez toutes les missions de la CCI Marseille Provence
• Faciliter votre quotidien, simplifier vos formalités
• Vous accompagner pour développer votre entreprise : des méthodes,
des outils, des rencontres business, des réseaux
• Défendre vos intérêts et ceux du territoire
• Favoriser les conditions du développement économique et des grands
projets
Rendez-vous sur ccimp.com &
– des actus
– des infos pratiques & solutions business
– l’agenda de nos réunions
– des e-services : annuaire des réseaux, boîtes à outils du dirigeant, aides
financières, fichiers de prospection, échéancier social…