Journée stratégique CLUSIS
23.01.2015 © UDITIS SA @SDroxler
Atelier Big Data - Contrôle des données
Cybercriminalité
Pouvoir Idéalisme Argent
34.40%
28.50%
27.30%
5.90%
2.40%
1.60%
Hackers
Publication accidentelle
Perte de laptop / DD
Fraude interne
Inconnu
Fraude...
CEO  CISO
Sommes-nous protégés ?
Que font nos concurrents ?
Challenges
RISQUE
ET SECURITE
CONFIDENTIAL
Challenges
Business just
wants to do
business
Enjeux
Réputation
Clients
Enjeux
49%
47%
45%
40%
39%
25%
35%
38%
37%
44%
36%
20%
Achats en ligne
Participer à un concours /
sondage en ligne
S'ideni...
Enjeux
Réputation
Clients
IP
Enjeux
Réputation
Clients
IP
Une approche en trois étapes
27.01.2015 © UDITIS SA @SDroxler
IDENTIFIER
DISSEQUER
DEFENDRE
Enjeux
3’
Données sensibles traitées
au sein de votre entreprise ?
Démarche
3P + IP = TD
PCI
PHI
PII
Intellectual
property
Toxic Data
Source: Forrester Research Inc, « Strategy Deep Dive: D...
Démarche
IDENTIFIER
Découverte Classification
Data ID
Source: Forrester Research Inc, « Strategy Deep Dive: Define your Da...
Schéma typique de classification
Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
# Level Descript...
Radioactive
Toxic
Unclassified
Classification à trois niveaux
Source: Forrester Research Inc, « Strategy Deep Dive: Define...
Rôles
Créateur Propriétaire Utilisateur Auditeur
Comment ça marche?
Intéressé à en savoir plus. Les cinq slides suivants s...
Démarche
IDENTIFIER
DISSEQUER
Découverte Classification
Data ID
Analyse
Principes audit
Renseignement
Implications
Manager...
Créateur / propriétaire Entreprise - Partenaires
- Clients
Relation à la donnée Propriété Gardien
Risque Perte engendrerai...
Démarche
IDENTIFIER
DISSEQUER
DEFENDRE
Découverte Classification
Data ID
Analyse
Protection & contrôle données
Principes a...
DEFENDRE
Accès Usage Archivage ‘Kill’
PCI DSS Reqs 7,8,9
ISO 27002 § 11
PCI DSS Req 10
ISO 27002 § 10.10
PCI DSS Req 3
ISO...
CEO  CISO
Sommes-nous protégés ?
IDENTIFIER
DISSEQUER
DEFENDRE
Découverte Classification
Data ID
Analyse
Protection & contrôle données
Principes audit
Anal...
CEO  CISO
Que font nos concurrents ?
Grille de maturité InfoSec
DiU
DiM
DaR
DISCOVER CLASSIFY CONSOLIDATE DESIGN ENFORCE
Non adressé
Ponctuel, non
consistent
R...
Stéphane Droxler
Associé UDITIS SA
Executive Master in Economic Crime Investigation
Economiste d’entreprise ESCEA
Tél. +41...
Big Data & contrôle des données
Big Data & contrôle des données
Big Data & contrôle des données
Big Data & contrôle des données
Big Data & contrôle des données
Big Data & contrôle des données
Big Data & contrôle des données
Prochain SlideShare
Chargement dans…5
×

Big Data & contrôle des données

1 916 vues

Publié le

Retrouvez mon atelier de la journée stratégique du CLUSIS sur le contrôle des données à l'heure du Big Data.

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Big Data & contrôle des données

  1. 1. Journée stratégique CLUSIS 23.01.2015 © UDITIS SA @SDroxler Atelier Big Data - Contrôle des données
  2. 2. Cybercriminalité Pouvoir Idéalisme Argent
  3. 3. 34.40% 28.50% 27.30% 5.90% 2.40% 1.60% Hackers Publication accidentelle Perte de laptop / DD Fraude interne Inconnu Fraude externe Principales causes de pertes de données (nombre d’incidents) Source: Internet Security Threat Report 2014, Symantec 61.7%
  4. 4. CEO  CISO Sommes-nous protégés ? Que font nos concurrents ?
  5. 5. Challenges RISQUE ET SECURITE CONFIDENTIAL
  6. 6. Challenges Business just wants to do business
  7. 7. Enjeux Réputation Clients
  8. 8. Enjeux 49% 47% 45% 40% 39% 25% 35% 38% 37% 44% 36% 20% Achats en ligne Participer à un concours / sondage en ligne S'idenitifer sur un site web Partager infos pour accéder à du contenu en ligne (ex NYTimes.com) Ouvrir une pub email Télécharger une application A quel point êtes-vous sensible à vos données personnelles, leur sécurité et protection lorsque vous faîtes l’une des actions suivantes: (participants ayant répondu 4 ou 5 sur une échelle de 1 [pas du tout préoccupé] à 5 [très concerné] US EU-7 Source: North American Technographics Online Benchmark Survey Q3-12 & European Technographics Consumer Technology Online Survey Q4-12
  9. 9. Enjeux Réputation Clients IP
  10. 10. Enjeux Réputation Clients IP
  11. 11. Une approche en trois étapes 27.01.2015 © UDITIS SA @SDroxler
  12. 12. IDENTIFIER DISSEQUER DEFENDRE
  13. 13. Enjeux 3’ Données sensibles traitées au sein de votre entreprise ?
  14. 14. Démarche 3P + IP = TD PCI PHI PII Intellectual property Toxic Data Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
  15. 15. Démarche IDENTIFIER Découverte Classification Data ID Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
  16. 16. Schéma typique de classification Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data » # Level Description 1 Public Anything not company-internal 2 Internal Internal but not for public release 3 Confidential Not for distribution (memos, plans, strategy, …) … Additional classifcation levels as appropriate X Restricted Highly compartimentalized (salaries, regulatory information, …)
  17. 17. Radioactive Toxic Unclassified Classification à trois niveaux Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
  18. 18. Rôles Créateur Propriétaire Utilisateur Auditeur Comment ça marche? Intéressé à en savoir plus. Les cinq slides suivants sont disponibles sur simple demande à: stephane.droxler@uditis.ch ou @SDroxler
  19. 19. Démarche IDENTIFIER DISSEQUER Découverte Classification Data ID Analyse Principes audit Renseignement Implications Managers Aligner priorités et investissements Technologies disponibles (eDiscovery, DLP, NAV, encryption, classification, …)
  20. 20. Créateur / propriétaire Entreprise - Partenaires - Clients Relation à la donnée Propriété Gardien Risque Perte engendrerait un dégât stratégique Contractuel, légal Conséquence Perte de revenus Coûts supplémentaires Question clé Qui doit savoir ? Pourquoi la donnée circule t’elle ? Priorité - Maîtriser la circulation - Réduire les abus - Bloquer la circulation - Réduire l’usage Protection Chiffrement Data Loss Prevention Adapted fromby: Forrester Research Inc, « Strategy Deep Dive: Define your Data » Principe d’audit
  21. 21. Démarche IDENTIFIER DISSEQUER DEFENDRE Découverte Classification Data ID Analyse Protection & contrôle données Principes audit Analyse Implications Accès Usage Archivage ‘Kill’
  22. 22. DEFENDRE Accès Usage Archivage ‘Kill’ PCI DSS Reqs 7,8,9 ISO 27002 § 11 PCI DSS Req 10 ISO 27002 § 10.10 PCI DSS Req 3 ISO 27002 § 9.2.6 § 10.7.2 § 15.1.3 PCI DSS Reqs 3,4 ISO 27002 § 12.3 § 10.5.1 § 15.1.6
  23. 23. CEO  CISO Sommes-nous protégés ?
  24. 24. IDENTIFIER DISSEQUER DEFENDRE Découverte Classification Data ID Analyse Protection & contrôle données Principes audit Analyse Implications Accès Usage Archivage ‘Kill’ On sait… What we have Why + Where we have it & Who is using it How to protect it
  25. 25. CEO  CISO Que font nos concurrents ?
  26. 26. Grille de maturité InfoSec DiU DiM DaR DISCOVER CLASSIFY CONSOLIDATE DESIGN ENFORCE Non adressé Ponctuel, non consistent Répétable, non documenté, occasionnel Défini, documenté, prévisible Mesuré, formalisé, automatisé Optimisé, proactif
  27. 27. Stéphane Droxler Associé UDITIS SA Executive Master in Economic Crime Investigation Economiste d’entreprise ESCEA Tél. +41 32 557 55 01 / Mobile +41 79 458 43 69 stephane.droxler@uditis.ch http://www.uditis-forensic.blogspot.ch http://ch.linkedin.com/in/stephanedroxler/

×