SlideShare une entreprise Scribd logo

Atelier louv expo-david-blampain-v01

D
David Blampain

Slide de présentation sur l'analyse de risques, le relevé des actifs, les calculs des risques ultra basique pour PME

Business
1  sur  21
David Blampain : Conseiller en Sécurité de l’Information et GRC 17 ans : Expériences eBusiness /Web / ICT / Sécurité  6 ans en Sécurité de l’information Certified ISO/IEC 27005 : Risk Manager Certified ISO/IEC 27001 : Lead Implementer Certified ISO/IEC 27032 : Lead Cyber Security Manager Certified DPO : Data Protection Officer : GDPR / number in demand Warocqué-UMons : Licence/Master en Gestion d’Entreprise Solvay-Bruxelles ULB : Ex. Master en Marketing & Advertising HEC-Liège ULG : Ex. Master en Intelligence Stratégique (Sécurité ;Veille ; Influence) Et des milliers d’heures de recherche,d’analyse, de lecture,de surf et de partage. Merci aux instituteurs,formateurs et professeurs du monde entier ! 24/04/2018 : FOCUS E-SECURITY Sensibilisation à usage des entreprises https://be.linkedin.com/in/davidblampainClic ! Dans le cadre du RGPD : "Réfléchir avant d'agir : L'analyse de risque sécurité " LouvExpo
▪ Je suis une TPE/PME active en Wallonie (Hainaut par exemple) ▪ J’ai pas “sous”… OU pas pour ca généralement… Parce que la sécurité, bof, c’est pour les autres. ▪ Le but de l’atelier, faire simple sans sortir la grosse artillerie d’analyse de risque. Donc les puristes, champions du risque, c’est pour un autre atelier de minimum 3 à 5 jours. ▪ Expérience d’analyse de risques, d’audit de sécurité et RGPD souhaité de 200 à 300 heures pour commencer à connaître…
ZUT ON A QUE 30’ – 3’ … 27 MINUTES
Actifs Vulnérabilités Menaces Disponibilité Intégrité Confidentialité Physique Organisationnel Virtuel Cloud Robotique … Mobile Internet des objets New Techno Risques + Valeur du risque Modèle CIA © www.david-blampain.com (Modèle personnel) + Authenticité ; Imputabilité ; non répudiation ; Fiabilité ; AuditabilitéIMPACT
RAPPEL © www.david-blampain.com RAPPEL : Système de Management de la Sécurité de l’Information est un des moyens de protéger vos données. Données (Actif info) Processus métier Actif Primaire Actif Secondaire Texte Mémo Numérique Date/heure Monétaire … Biométrie Génétique … DONNEES Prénom Nom Date et lieu de naissance Numéro de ID Plaque immatriculation Photo / Vidéo Info pro IBAN Vie perso (Du cookie à… l’IP) 1. Donnée d’identité (DACP) 2. Donnée « sensibles » : (DACPS) Races, religions, vie, philo, politique, syndical, sexuel, médicale, génétique, infractions, mineurs,… Clients, donateurs, membres, prospects… Fichiers clients, fournisseurs et votre annuaire de contacts (Virtuel/Physique) Applications ; Programmes ; Outils Métier ; GED ; Archivages ; … Matériel Logiciel Réseau Personne Site Organisation
RISQUE (1) Actif qui a de la valeur (3) Menace (2) Vulnérabilité sur un actif Actifs (P et S) (Valeur) Vulnérabilité Menace (s) Exploite Dispose Target automatique, ciblé ou pas de bol ! © www.david-blampain.com (Modèle personnel)
A : Accident D : Délibéré E : Environnement © Source : Annexe D : ISO 27005 1. Dommage Physique 2. Désastre Naturel 3. Perte de service essentiel 4. Perturbation (Radiation) 5. Information compromise 6. Panne Technique 7. Action non autorisée
▪ Logiciel Absence d’audit Abus de droits non détecté  ? ▪ Réseau Mots de passe en clair Hacker ou Robot  ? ▪ Personnel  pas assez de formation Erreur « humaine »  ? ▪ Site  dans un complexe industriel  bloquage d’accès Police/ P.Civil  ? ▪ Organisation  pas de processus de GED  ? • Matériel 1 Société non surveillée (Vulnérabilité) 2 Vol d’équipement (Menace) 3 Impact (€ - Clients) © www.david-blampain.com
▪ Pertes financières ▪ Perte d’actifs ou de valeurs ▪ Perte de clientèles, perte de fournisseurs ▪ Poursuite judicaire, infraction, contrats revus ▪ Perte avantage concurrentiel ▪ Perte d’avance technologique ▪ Perte d’efficacité et/ou d’efficience ▪ Atteinte à la privacy ▪ Arrêt des services ▪ Incapacité de produire ou de réaliser le service ▪ Image de marque ou notoriété altérée ▪ Perturbation des services, opérations, projets ▪ Perturbation externe ▪ Atteinte à l’intégrité des personnes © www.david-blampain.com (Modèle personnel)
TOP 3 © www.david-blampain.com Privacy By Design• Responsabilité • Co-Responsabilité • Obligations de rendre des comptes Induit le Security by Design Accountability Documentation RISQUES
11 Pages 26 Pages 111 Pages © www.david-blampain.com
Sources : Merci à la www.CNIL.fr : C’est Clair
Sources : Merci à la www.CNIL.fr : C’est Clair
DOMAINE 4 © Sources CNIL + G9 «analyse d’impact sur la vie privée» Une AIPD/DPIA est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. une AIPD/DPIA est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve. « non négociables »
Ma femme me disait toujours : c’est risqué le PIA C’est pas NOUVEAU !!! : C’est une Analyse de risques Sources : http://copes.fr/Presentation/Blog/1038 Sources : https://www.cnil.fr/ Privacy Impact Assessment : DPIA
RISQUE (1) Actif qui a de la valeur (2) Menace (4) Impact (3) Vulnérabilité (5) Probabilité (6) Risques C I A 1 à 101 à 5 © www.david-blampain.com (Modèle personnel)
BONUS : © www.david-blampain.com Num Actifs Classification Valeur € J Libellés Type de données Localisation 1 DB Primaire 500.000,00 € 1 La base de données clients Prénom ; Nom ; Mail ; Gsm ; NIS Name Server XPT21Z /1er Etage 2 Processus Primaire 1.000.000,00 € 0 Les processus de fabrication Techniques rez de chaussée / serveur XPT21Z 3 Matériel Secondaire 27.000,00 € 5 Les 18 ordinateurs (PC) Privé / Entreprises Entreprise/privé 4 Logiciel Secondaire 10.000,00 € 3 Application Comptable Salle serveur / Cloud serveur XPT32P 5 Réseau Secondaire 776,00 € 7 Filaire 4 Routeurs Wifi 6 Personne Secondaire 200.000,00 € 1 CEO Ent/Privé 7 Site Secondaire 880.000,00 € 15 Bâtiment avec 2 étages 19, rue du blé à 7000 Mons 8 Organisation Secondaire 66.000,00 € 7 Gestion informatique externe 22, boulevard saint martin , 7000 Mons 9 … …40 Format Backup Responsable Menaces SQL Server 2012 SP1 (x64 bit) sur un serveur Windows Server 2012 R2 Cloud AES256 Mme Yang 1.(Incendie/Destruction de matériel) 3.(Perte Electricité/Panne matériel) 5.(Espionnage/Vol/Récupération) Armoire anti feu avec clès Coffre banque Mr Leblanc 5.(Vol) marque / model / OS / … CD de réinstal Chaque employé (cfr PSSI) ComptaSimpel Apps 2.2 Fournisseur Mr Picsou Netgear Nightawk X60 R8000 Non Mme Yang Ingé Solvay Non Mr Bancal Construction 2010 Non Mr Bancal non Non Mr Courrier Num 1 2 3 4 5 6 7 8 9 …40 LISTING ACTIF
Num Actifs Menace Vulnérabilité CONF DISP INTE P R Mitigations R. Résiduel 1 DB 1.1 Fichier Vol Portabilité (USB) 5 5 1 1 4 GDA+Désactivation USB Disque Dur 1.2 Fichier Cryptolocker (Virus) AntiMalware Gratuit 0 5 3 4 11 BitDefender +Console Evolution technologique 1.3 Fichier Bad employé Pas de gestion de droits 5 5 5 1 5 GDA + Politique de Confidentialité Humain 2 Processus 3 Matériel 2.1 Pc Casper Vol de matériel Salon 1 1 0 3 2 Moins de données possibles 2.2 Pc Commercial Vol de matériel Salon 5 2 1 3 8 Pc Casper 2.3 Serveur Panne de matériel Windows 2003 1 5 5 4 15 4 Logiciel 4 2 4 5 Réseau Internet Défaillance technique (Virus) FireWall Mal Configuré Wifi Compromision d'info (Hacking) Clès d'encryption Wifi …40 Top Max 5 5 5 7 35 Action Modifier Maintenir Partager Eviter R Résiduel Modification Correction Elimination Prévention Réduction d'impact Dissuasion Détection Récupération Surveillance Sensibilisation RISQUE
BONUS : 1. Bien identifier vos ACTIFS, les données (et leurs chemins) et les segmenter ; 2. Bien identifier et faire participer les bonnes personnes (in/out) ; 3. Eviter les listes de 200 actifs avec 150 risques : identifier les 10/20 plus critiques FIRST ; 4. Avoir une documentation, un plan, des dates, des responsables et des propriétaires ; 5. Faire des fiches A4 (exemple) pour les risques les plus critiques et/ou importants ; 6. Monitorer : revue trimestrielle/semestrielle par exemple ; 7. Impliquer les fournisseurs (et consulter les clients de manière intelligente) ; 8. Avoir une liste des risques lié à des actifs ; 9. Former et sensibiliser votre personnel à la sécurité (et à la gestion des risques) ; 10. Acheter un bon jeux de cartes de Poker ☺ ;
ACTE FINAL Source : http://camthao.us/News/332/what-will-the-warrior-guardian-of-the-future-look-like https://be.linkedin.com/in/davidblampain
UNIQUEMENT SUR INVITATION David Blampain et Jean Michel Trigalet

Recommandé

Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Ressources humaines et nouvelles technologies
Ressources humaines et nouvelles technologiesRessources humaines et nouvelles technologies
Ressources humaines et nouvelles technologiesProf. Jacques Folon (Ph.D)
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdprProf. Jacques Folon (Ph.D)
 
GDPR DAY ONE Ichec
GDPR DAY ONE Ichec GDPR DAY ONE Ichec
GDPR DAY ONE Ichec Prof. Jacques Folon (Ph.D)
 
RÔLE DU DPO
RÔLE DU DPORÔLE DU DPO
RÔLE DU DPOProf. Jacques Folon (Ph.D)
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Prof. Jacques Folon (Ph.D)
 
Gdpr
Gdpr Gdpr
Gdpr Prof. Jacques Folon (Ph.D)
 
Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Prof. Jacques Folon (Ph.D)
 

Recommandé

Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018David Blampain
 
Ressources humaines et nouvelles technologies
Ressources humaines et nouvelles technologiesRessources humaines et nouvelles technologies
Ressources humaines et nouvelles technologiesProf. Jacques Folon (Ph.D)
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdprProf. Jacques Folon (Ph.D)
 
GDPR DAY ONE Ichec
GDPR DAY ONE Ichec GDPR DAY ONE Ichec
GDPR DAY ONE Ichec Prof. Jacques Folon (Ph.D)
 
RÔLE DU DPO
RÔLE DU DPORÔLE DU DPO
RÔLE DU DPOProf. Jacques Folon (Ph.D)
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Prof. Jacques Folon (Ph.D)
 
Gdpr
Gdpr Gdpr
Gdpr Prof. Jacques Folon (Ph.D)
 
Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Ifc gdpr 4 jour (jour 1)
Ifc gdpr 4 jour (jour 1)Prof. Jacques Folon (Ph.D)
 
Ifc jour 1 dpo
Ifc jour 1 dpoIfc jour 1 dpo
Ifc jour 1 dpoProf. Jacques Folon (Ph.D)
 
RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPDProf. Jacques Folon (Ph.D)
 
GDPR et RH
GDPR et RHGDPR et RH
GDPR et RHProf. Jacques Folon (Ph.D)
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Prof. Jacques Folon (Ph.D)
 
RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitaleProf. Jacques Folon (Ph.D)
 
Le dossier RGPD
Le dossier RGPDLe dossier RGPD
Le dossier RGPDProf. Jacques Folon (Ph.D)
 
GDPR POUR START UPS
GDPR POUR START UPSGDPR POUR START UPS
GDPR POUR START UPSProf. Jacques Folon (Ph.D)
 
Dossier GDPR
Dossier GDPRDossier GDPR
Dossier GDPRProf. Jacques Folon (Ph.D)
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
Le GD¨R en pratique
Le GD¨R en pratiqueLe GD¨R en pratique
Le GD¨R en pratiqueProf. Jacques Folon (Ph.D)
 
Marketing et gdpr avril 2018
Marketing et gdpr avril 2018Marketing et gdpr avril 2018
Marketing et gdpr avril 2018Prof. Jacques Folon (Ph.D)
 
Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée Prof. Jacques Folon (Ph.D)
 
Protection des données personnelles
Protection des données personnelles Protection des données personnelles
Protection des données personnelles Prof. Jacques Folon (Ph.D)
 
Implémentation pratique du gdpr
Implémentation pratique du gdprImplémentation pratique du gdpr
Implémentation pratique du gdprProf. Jacques Folon (Ph.D)
 
Le dossier GDPR
Le dossier GDPRLe dossier GDPR
Le dossier GDPRProf. Jacques Folon (Ph.D)
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?OlivierDEKETER
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestionProf. Jacques Folon (Ph.D)
 

Contenu connexe

Tendances

earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?OlivierDEKETER
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 

Tendances (20)

Ifc jour 1 dpo
Ifc jour 1 dpoIfc jour 1 dpo
Ifc jour 1 dpo
 
RH ET RGPD
RH ET RGPDRH ET RGPD
RH ET RGPD
 
GDPR et RH
GDPR et RHGDPR et RH
GDPR et RH
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
 
RGPD et stratégie digitale
RGPD et stratégie digitaleRGPD et stratégie digitale
RGPD et stratégie digitale
 
Le dossier RGPD
Le dossier RGPDLe dossier RGPD
Le dossier RGPD
 
GDPR POUR START UPS
GDPR POUR START UPSGDPR POUR START UPS
GDPR POUR START UPS
 
Dossier GDPR
Dossier GDPRDossier GDPR
Dossier GDPR
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
Le GD¨R en pratique
Le GD¨R en pratiqueLe GD¨R en pratique
Le GD¨R en pratique
 
Marketing et gdpr avril 2018
Marketing et gdpr avril 2018Marketing et gdpr avril 2018
Marketing et gdpr avril 2018
 
Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée
 
Protection des données personnelles
Protection des données personnelles Protection des données personnelles
Protection des données personnelles
 
Implémentation pratique du gdpr
Implémentation pratique du gdprImplémentation pratique du gdpr
Implémentation pratique du gdpr
 
Le dossier GDPR
Le dossier GDPRLe dossier GDPR
Le dossier GDPR
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?RGPD ! Etes vous en conformité ?
RGPD ! Etes vous en conformité ?
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 

Similaire à Atelier louv expo-david-blampain-v01

Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des donnéesStephane Droxler
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréNormandie Web Xperts
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftLa nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftBen Rothke
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnellesUNIVERSITE DE METZ
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Antoine Vigneron
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
 

Similaire à Atelier louv expo-david-blampain-v01 (20)

Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Big Data & contrôle des données
Big Data & contrôle des donnéesBig Data & contrôle des données
Big Data & contrôle des données
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
La nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswiftLa nécessité de la dlp aujourd’hui un livre blanc clearswift
La nécessité de la dlp aujourd’hui un livre blanc clearswift
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnelles
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesRapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menaces
 

Atelier louv expo-david-blampain-v01

  • 1. David Blampain : Conseiller en Sécurité de l’Information et GRC 17 ans : Expériences eBusiness /Web / ICT / Sécurité  6 ans en Sécurité de l’information Certified ISO/IEC 27005 : Risk Manager Certified ISO/IEC 27001 : Lead Implementer Certified ISO/IEC 27032 : Lead Cyber Security Manager Certified DPO : Data Protection Officer : GDPR / number in demand Warocqué-UMons : Licence/Master en Gestion d’Entreprise Solvay-Bruxelles ULB : Ex. Master en Marketing & Advertising HEC-Liège ULG : Ex. Master en Intelligence Stratégique (Sécurité ;Veille ; Influence) Et des milliers d’heures de recherche,d’analyse, de lecture,de surf et de partage. Merci aux instituteurs,formateurs et professeurs du monde entier ! 24/04/2018 : FOCUS E-SECURITY Sensibilisation à usage des entreprises https://be.linkedin.com/in/davidblampainClic ! Dans le cadre du RGPD : "Réfléchir avant d'agir : L'analyse de risque sécurité " LouvExpo
  • 2. ▪ Je suis une TPE/PME active en Wallonie (Hainaut par exemple) ▪ J’ai pas “sous”… OU pas pour ca généralement… Parce que la sécurité, bof, c’est pour les autres. ▪ Le but de l’atelier, faire simple sans sortir la grosse artillerie d’analyse de risque. Donc les puristes, champions du risque, c’est pour un autre atelier de minimum 3 à 5 jours. ▪ Expérience d’analyse de risques, d’audit de sécurité et RGPD souhaité de 200 à 300 heures pour commencer à connaître…
  • 3. ZUT ON A QUE 30’ – 3’ … 27 MINUTES
  • 4. Actifs Vulnérabilités Menaces Disponibilité Intégrité Confidentialité Physique Organisationnel Virtuel Cloud Robotique … Mobile Internet des objets New Techno Risques + Valeur du risque Modèle CIA © www.david-blampain.com (Modèle personnel) + Authenticité ; Imputabilité ; non répudiation ; Fiabilité ; AuditabilitéIMPACT
  • 5. RAPPEL © www.david-blampain.com RAPPEL : Système de Management de la Sécurité de l’Information est un des moyens de protéger vos données. Données (Actif info) Processus métier Actif Primaire Actif Secondaire Texte Mémo Numérique Date/heure Monétaire … Biométrie Génétique … DONNEES Prénom Nom Date et lieu de naissance Numéro de ID Plaque immatriculation Photo / Vidéo Info pro IBAN Vie perso (Du cookie à… l’IP) 1. Donnée d’identité (DACP) 2. Donnée « sensibles » : (DACPS) Races, religions, vie, philo, politique, syndical, sexuel, médicale, génétique, infractions, mineurs,… Clients, donateurs, membres, prospects… Fichiers clients, fournisseurs et votre annuaire de contacts (Virtuel/Physique) Applications ; Programmes ; Outils Métier ; GED ; Archivages ; … Matériel Logiciel Réseau Personne Site Organisation
  • 6. RISQUE (1) Actif qui a de la valeur (3) Menace (2) Vulnérabilité sur un actif Actifs (P et S) (Valeur) Vulnérabilité Menace (s) Exploite Dispose Target automatique, ciblé ou pas de bol ! © www.david-blampain.com (Modèle personnel)
  • 7. A : Accident D : Délibéré E : Environnement © Source : Annexe D : ISO 27005 1. Dommage Physique 2. Désastre Naturel 3. Perte de service essentiel 4. Perturbation (Radiation) 5. Information compromise 6. Panne Technique 7. Action non autorisée
  • 8. ▪ Logiciel Absence d’audit Abus de droits non détecté  ? ▪ Réseau Mots de passe en clair Hacker ou Robot  ? ▪ Personnel  pas assez de formation Erreur « humaine »  ? ▪ Site  dans un complexe industriel  bloquage d’accès Police/ P.Civil  ? ▪ Organisation  pas de processus de GED  ? • Matériel 1 Société non surveillée (Vulnérabilité) 2 Vol d’équipement (Menace) 3 Impact (€ - Clients) © www.david-blampain.com
  • 9. ▪ Pertes financières ▪ Perte d’actifs ou de valeurs ▪ Perte de clientèles, perte de fournisseurs ▪ Poursuite judicaire, infraction, contrats revus ▪ Perte avantage concurrentiel ▪ Perte d’avance technologique ▪ Perte d’efficacité et/ou d’efficience ▪ Atteinte à la privacy ▪ Arrêt des services ▪ Incapacité de produire ou de réaliser le service ▪ Image de marque ou notoriété altérée ▪ Perturbation des services, opérations, projets ▪ Perturbation externe ▪ Atteinte à l’intégrité des personnes © www.david-blampain.com (Modèle personnel)
  • 10. TOP 3 © www.david-blampain.com Privacy By Design• Responsabilité • Co-Responsabilité • Obligations de rendre des comptes Induit le Security by Design Accountability Documentation RISQUES
  • 11. 11 Pages 26 Pages 111 Pages © www.david-blampain.com
  • 12. Sources : Merci à la www.CNIL.fr : C’est Clair
  • 13. Sources : Merci à la www.CNIL.fr : C’est Clair
  • 14. DOMAINE 4 © Sources CNIL + G9 «analyse d’impact sur la vie privée» Une AIPD/DPIA est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. une AIPD/DPIA est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve. « non négociables »
  • 15. Ma femme me disait toujours : c’est risqué le PIA C’est pas NOUVEAU !!! : C’est une Analyse de risques Sources : http://copes.fr/Presentation/Blog/1038 Sources : https://www.cnil.fr/ Privacy Impact Assessment : DPIA
  • 16. RISQUE (1) Actif qui a de la valeur (2) Menace (4) Impact (3) Vulnérabilité (5) Probabilité (6) Risques C I A 1 à 101 à 5 © www.david-blampain.com (Modèle personnel)
  • 17. BONUS : © www.david-blampain.com Num Actifs Classification Valeur € J Libellés Type de données Localisation 1 DB Primaire 500.000,00 € 1 La base de données clients Prénom ; Nom ; Mail ; Gsm ; NIS Name Server XPT21Z /1er Etage 2 Processus Primaire 1.000.000,00 € 0 Les processus de fabrication Techniques rez de chaussée / serveur XPT21Z 3 Matériel Secondaire 27.000,00 € 5 Les 18 ordinateurs (PC) Privé / Entreprises Entreprise/privé 4 Logiciel Secondaire 10.000,00 € 3 Application Comptable Salle serveur / Cloud serveur XPT32P 5 Réseau Secondaire 776,00 € 7 Filaire 4 Routeurs Wifi 6 Personne Secondaire 200.000,00 € 1 CEO Ent/Privé 7 Site Secondaire 880.000,00 € 15 Bâtiment avec 2 étages 19, rue du blé à 7000 Mons 8 Organisation Secondaire 66.000,00 € 7 Gestion informatique externe 22, boulevard saint martin , 7000 Mons 9 … …40 Format Backup Responsable Menaces SQL Server 2012 SP1 (x64 bit) sur un serveur Windows Server 2012 R2 Cloud AES256 Mme Yang 1.(Incendie/Destruction de matériel) 3.(Perte Electricité/Panne matériel) 5.(Espionnage/Vol/Récupération) Armoire anti feu avec clès Coffre banque Mr Leblanc 5.(Vol) marque / model / OS / … CD de réinstal Chaque employé (cfr PSSI) ComptaSimpel Apps 2.2 Fournisseur Mr Picsou Netgear Nightawk X60 R8000 Non Mme Yang Ingé Solvay Non Mr Bancal Construction 2010 Non Mr Bancal non Non Mr Courrier Num 1 2 3 4 5 6 7 8 9 …40 LISTING ACTIF
  • 18. Num Actifs Menace Vulnérabilité CONF DISP INTE P R Mitigations R. Résiduel 1 DB 1.1 Fichier Vol Portabilité (USB) 5 5 1 1 4 GDA+Désactivation USB Disque Dur 1.2 Fichier Cryptolocker (Virus) AntiMalware Gratuit 0 5 3 4 11 BitDefender +Console Evolution technologique 1.3 Fichier Bad employé Pas de gestion de droits 5 5 5 1 5 GDA + Politique de Confidentialité Humain 2 Processus 3 Matériel 2.1 Pc Casper Vol de matériel Salon 1 1 0 3 2 Moins de données possibles 2.2 Pc Commercial Vol de matériel Salon 5 2 1 3 8 Pc Casper 2.3 Serveur Panne de matériel Windows 2003 1 5 5 4 15 4 Logiciel 4 2 4 5 Réseau Internet Défaillance technique (Virus) FireWall Mal Configuré Wifi Compromision d'info (Hacking) Clès d'encryption Wifi …40 Top Max 5 5 5 7 35 Action Modifier Maintenir Partager Eviter R Résiduel Modification Correction Elimination Prévention Réduction d'impact Dissuasion Détection Récupération Surveillance Sensibilisation RISQUE
  • 19. BONUS : 1. Bien identifier vos ACTIFS, les données (et leurs chemins) et les segmenter ; 2. Bien identifier et faire participer les bonnes personnes (in/out) ; 3. Eviter les listes de 200 actifs avec 150 risques : identifier les 10/20 plus critiques FIRST ; 4. Avoir une documentation, un plan, des dates, des responsables et des propriétaires ; 5. Faire des fiches A4 (exemple) pour les risques les plus critiques et/ou importants ; 6. Monitorer : revue trimestrielle/semestrielle par exemple ; 7. Impliquer les fournisseurs (et consulter les clients de manière intelligente) ; 8. Avoir une liste des risques lié à des actifs ; 9. Former et sensibiliser votre personnel à la sécurité (et à la gestion des risques) ; 10. Acheter un bon jeux de cartes de Poker ☺ ;
  • 20. ACTE FINAL Source : http://camthao.us/News/332/what-will-the-warrior-guardian-of-the-future-look-like https://be.linkedin.com/in/davidblampain
  • 21. UNIQUEMENT SUR INVITATION David Blampain et Jean Michel Trigalet