Principes de bon sens pour une gouvernance cyber
sécurité efficiente
Stéphane Adamiste, Information Security Consultant
Fr...
ETUDE DE CAS
Critères de sélection
■ Financement
 capex vs opex
■ Ressources IT
 Développement / intégration /
exploitat...
FACTEURS LIMITANT L’ADOPTION DU CLOUD EN 2014 – UE28
06.09.2016 | 3Événement cybersécurité |
Risques au niveau de
la sécur...
POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT?
Symptômes
■ Difficulté à atteindre un
consensus - blocage
■ Décision ar...
■ «La sécurité, c’est la protection contre les attaques informatiques»
Architecte d’entreprise
■ «Cette application n’a pa...
CONSEIL #1: DÉFINIR «SÉCURITÉ»
■ A, I, C
■ Bonus: Conformité, traçabilité,
non-répudiation, authenticité
■ Management de l...
CONSEIL #1BIS: DÉFINIR LE RÔLE DE LA FONCTION SÉCURITÉ
■ La fonction sécurité évalue les
risques
■ Elle propose des mesure...
POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT?
Symptômes
■ Difficulté à atteindre un
consensus - blocage
■ Décision ar...
06.09.2016 | 9Événement cybersécurité |
PROTECTION DES DONNÉES PERSONNELLES EN SUISSE: ENTRE MYTHES ET
RÉALITÉS
[…]
[…]
CONSEIL #2: EXPLICITER LES CONCEPTS LIÉS À LA PROTECTION DES DONNÉES
PERSONNELLES
06.09.2016 | 10Événement cybersécurité |...
Avant
LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP
MANAGEMENT
Symptômes
■ Sécurité = FUD
■ Risques acceptés
■ Séc...
Changement de paradigme en cours
LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP
MANAGEMENT
06.09.2016 | 12Événement...
CONSEIL #3: COMMENT ÉTABLIR UN CANAL DE COMMUNICATION AVEC
LE TOP MANAGEMENT
06.09.2016 | 13Événement cybersécurité |
■ La...
CONSEIL #4 : FAIRE PRONONCER AU TOP MANAGEMENT LA PHRASE «LA
SÉCURITÉ, C’EST IMPORTANT POUR NOTRE BUSINESS»
06.09.2016 | 1...
RÉSUMÉ
Pour une gouvernance sécurité efficiente:
reconcentrez-vous sur les fondamentaux
06.09.2016 | 15Événement cybersécu...
ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11
ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 ...
Prochain SlideShare
Chargement dans…5
×

Principes de bon sens pour une gouvernance cyber sécurité efficiente

285 vues

Publié le

Le terme «cyber sécurité» est dans toutes les bouches, avec pour conséquence un effet de galvaudage qui s’avère in fine préjudiciable aux organisations qui s’escriment à protéger leurs biens de valeur. Cette présentation vise à prodiguer quelques conseils pragmatiques en termes de gouvernance cyber sécurité, élaborés sur base du retour d’expérience terrain d’ELCA. Elle ne vise pas à introduire quelque concept hyper novateur et miraculeux mais invite au contraire à se reconcentrer sur des principes de bon sens de base curieusement négligés aujourd’hui.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
285
Sur SlideShare
0
Issues des intégrations
0
Intégrations
126
Actions
Partages
0
Téléchargements
19
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Le cloud présente-t-il plus de risques de sécurité ou s’agit-il d’un autre problème
  • Principes de bon sens pour une gouvernance cyber sécurité efficiente

    1. 1. Principes de bon sens pour une gouvernance cyber sécurité efficiente Stéphane Adamiste, Information Security Consultant Fribourg, 6 Septembre 2016
    2. 2. ETUDE DE CAS Critères de sélection ■ Financement  capex vs opex ■ Ressources IT  Développement / intégration / exploitation / maintenance vs configuration / contract management / service level management ■ Sécurité / Protection de la vie privée  Gérées en interne vs déléguées 06.09.2016 | 2Événement cybersécurité | Ce nouveau CRM, on le met chez nous ou dans le cloud? Designfreepik.com Facteur limitant n°1: Sécurité / Protection de la vie privée
    3. 3. FACTEURS LIMITANT L’ADOPTION DU CLOUD EN 2014 – UE28 06.09.2016 | 3Événement cybersécurité | Risques au niveau de la sécurité Incertitudes concernant les lois applicables, la juridiction, les mécanismes de résolution de litiges Incertitudes quant à la localisation des données Problèmes d’accès aux données ou aux logiciels Difficultés de se désabonner ou de changer de fournisseur de services Coûts importants liés à l’achat de services CC Connaissances insuffisantes sur le CC  Petites et moyennes  Grandes Source: Eurostat (code des données en ligne: isoc_cicce_obs 70 60 50 40 30 20 10 0
    4. 4. POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT? Symptômes ■ Difficulté à atteindre un consensus - blocage ■ Décision arbitraire ■ Frustration 06.09.2016 | 4Événement cybersécurité | Boss IT Finances Marketing Sécurité Lorsqu’elles parlent de sécurité, ces personnes parlent-elles de la même chose?
    5. 5. ■ «La sécurité, c’est la protection contre les attaques informatiques» Architecte d’entreprise ■ «Cette application n’a pas besoin de sécurité, les données sont publiques» Chef de projet senior ■ «Pour notre sécurité, nous n’avons pas besoin de nous protéger avec des murs de 20m. 5m, ça suffit. Nous ne sommes pas une banque» Chief Technical Officer, membre de la Direction (licencié depuis) a.k.a. Inventaire à la Prévert LA SÉCURITÉ, C’EST QUOI POUR VOUS? 06.09.2016 | 5Événement cybersécurité |
    6. 6. CONSEIL #1: DÉFINIR «SÉCURITÉ» ■ A, I, C ■ Bonus: Conformité, traçabilité, non-répudiation, authenticité ■ Management de la sécurité = gestion des risques qui pèsent sur le patrimoine informationnel 06.09.2016 | 6Événement cybersécurité |
    7. 7. CONSEIL #1BIS: DÉFINIR LE RÔLE DE LA FONCTION SÉCURITÉ ■ La fonction sécurité évalue les risques ■ Elle propose des mesures de traitement pour les risques identifiés ■ Elle évalue le risque résiduel 06.09.2016 | 7Événement cybersécurité | La fonction sécurité ne prend pas de décision.
    8. 8. POURQUOI LA SÉCURITÉ EST-ELLE UN FACTEUR LIMITANT? Symptômes ■ Difficulté à atteindre un consensus - blocage ■ Décision arbitraire ■ Frustration 06.09.2016 | 8Événement cybersécurité | Lorsqu’elles parlent de sécurité, ces personnes parlent-elles de la même chose? Protection des données personnelles NSA
    9. 9. 06.09.2016 | 9Événement cybersécurité | PROTECTION DES DONNÉES PERSONNELLES EN SUISSE: ENTRE MYTHES ET RÉALITÉS […] […]
    10. 10. CONSEIL #2: EXPLICITER LES CONCEPTS LIÉS À LA PROTECTION DES DONNÉES PERSONNELLES 06.09.2016 | 10Événement cybersécurité | Personnes concernées Agence nationale de protection des données Bénéficient d’un droit d’accès, de rectification, de suppression de leurs données personnelles Traite les données en respect de la directive EC95/46 (bientôt du règlement 2016/679) Tiers Responsable du traitement Contrôle l’application de la directive Transfert de données vers un pays assurant un «niveau de protection adéquat» Traite les données de façon licite, conformément au principe de la bonne foi et de proportionnalité, dans le but qui est indiqué lors de leur collecte.
    11. 11. Avant LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP MANAGEMENT Symptômes ■ Sécurité = FUD ■ Risques acceptés ■ Sécurité perçue comme trop technique pour le management ■ CSO = fusible ■ Faible culture sécurité dans les organisations 06.09.2016 | 11Événement cybersécurité |
    12. 12. Changement de paradigme en cours LA COMMUNICATION ENTRE LA FONCTION SÉCURITÉ ET LE TOP MANAGEMENT 06.09.2016 | 12Événement cybersécurité | Tendances ■ La responsabilité des CEO’s commence a être prise en compte ■ Les «cyberattaques» sont entrées dans les radars de type «Global risks lanscape» ■ La législation va bientôt obliger à annoncer les brèches de sécurité ■ Les organisations se font pirater
    13. 13. CONSEIL #3: COMMENT ÉTABLIR UN CANAL DE COMMUNICATION AVEC LE TOP MANAGEMENT 06.09.2016 | 13Événement cybersécurité | ■ La fonction risque rapporte au CEO / conseil d’administration ■ La fonction risque sera enchantée de compléter son radar ■ Adopter l’échelle de mesure du risque de la société ■ Agréger les risques pour leur donner plus de poids L’Enterprise risk management est votre ami
    14. 14. CONSEIL #4 : FAIRE PRONONCER AU TOP MANAGEMENT LA PHRASE «LA SÉCURITÉ, C’EST IMPORTANT POUR NOTRE BUSINESS» 06.09.2016 | 14Événement cybersécurité | ■ C’est la Direction qui définit la culture d’entreprise ■ Les employés ont une forte propension à vouloir plaire à leur management ■ Si la Direction montre l’exemple, c’est encore mieux
    15. 15. RÉSUMÉ Pour une gouvernance sécurité efficiente: reconcentrez-vous sur les fondamentaux 06.09.2016 | 15Événement cybersécurité |
    16. 16. ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11 ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 556 63 11 www.elca.ch Contact Thank you. | © ELCA Stéphane Adamiste 06.09.2016 | 16Événement cybersécurité | Information Security Consultant stephane.adamiste@elca.ch +41 78 918 96 29

    ×