emn
École de Management
      Numérique




                                                                       Système d'Information
                                                                     Sécurité & Piratage 2012



                                                                                Mieux identifier les risques
                                                                   C'est déjà commencer à mieux les gérer




                      SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané
                                 Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20
                                Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z
emn
École de Management
      Numérique




                                                État des lieux



       Ce document est une actualisation d'une synthèse que nous avions faite en 2011.

       Il prend en compte les derniers rapports, dont celui du Clusif 2012.




                         SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané
                                    Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20
                                   Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z
0650856622


Des risques ? Quels risques ?

  Pour l'entreprise, le 1er risque est de mal l'évaluer. Entre fantasmes,
  risque banal, mauvaise pratique ou ignorance, difficile d'avoir une vision
  claire.




   Réalité ? Fantasme ?
0650856622


C'est grave docteur ?




                Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
                (entreprises de plus de 200 salariés)
C'est grave docteur ?
  ●   1 ordinateur sur 5 connait une panne de disque dur pendant son exploitation

  ● 95% des salariés d'entreprises déclarent avoir déjà perdu des fichiers
  informatiques, représentant 1 heure à plusieurs jours de travail.

  ●   20% des ordinateurs portables sont volés ou avariés chaque année.

  ●   70% des PME ne protègent pas leurs sauvegardes.

  ●50% des entreprises perdant totalement leurs données ferment
  définitivement.

  ●   90 % des entreprises restantes mettent deux années à y faire face.

  ●60% des PME ayant vécu un sinistre informatique disparaissent dans les 5
  ans.
                     Source : enquête de la société Ontrack Data spécialisé dans la récupération des données.
C'est grave docteur ?




          Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
C'est grave docteur ?




     Les sociétés identifient très mal leur patrimoine informationnel.
     Le mouvement vers le cloud ne va pas améliorer les choses.
     Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
C'est grave docteur ?




     Des progrès ont été fait en matière de sensibilisation au risque et de
     charte informatique.
     Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
C'est grave docteur ?




                        Les nouveautés technologiques
                        ouvrent de nouvelles brèches.
                        Sources : « Menaces informatiques & pratique
                        de sécurité en France », Clusif 2012
C'est grave docteur ?




     Le recours à la sécurité offerte par une informatique en infogérance
     progresse faiblement.
     Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
C'est grave docteur ?




     Les PRA/PCA sont encore peu nombreux et couvrent
     principalement des aspects techniques ou d'infrastructure.
     Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
C'est grave docteur ?




                        La situation s'améliore,
                        mais il y a encore pas
                        mal de dégâts !
                        Sources : « Menaces
                        informatiques & pratique de
                        sécurité en France », Clusif 2012
Quelques exemples



Vol et usurpation d'identité sont toujours des problèmes classiques.
Mais 2011 a apporté son lot de nouveautés.




                  SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané
                             Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20
                            Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z
A quoi cela ressemble en 2012 ?
  Des types « originaux » d'attaques :

  ● Saturation des bandes passantes (déni de service LOIC – Low Orbit Ion
  Cannon) sur mobile,
  ● Écoute des conversations, SMS piratés, SMS surtaxés, usurpation

  d'identité.
  ● Des programmes malveillants sur les mobiles (tout OS)

  ● L'usage des sites de backup en ligne se répand : quel impact pour le

  patrimoine de l'entreprise ?




  ● Les médias sociaux (twitter, Facebook, …) facilitent la diffusion de fausses
  informations, voire simplement d'informations
   personnelles (doxing).
A quoi cela ressemble en 2012 ?



  Fuites d'informations




  Une nouvelle tendance : attaquer les sociétés qui fournissent des solutions de
  sécurité pour se procurer les codes de protection.

                          Sources : « Panorama de la cybercriminalité 2011 », Clusif
A quoi cela ressemble en 2012 ?
  Des accidents :
  12 mai 2011 à Vélizy, un coup de pelleteuse détruit une fibre optique → 250 000€
  de préjudice pour le groupe Matelsom (sites e-commerce).




  Du 10 au 13 octobre 2011, RIM le fabriquant du BlackBerry subit une panne
  majeure sur son réseau (incident dans un datacenter, mauvais PRA). Son image
  de constructeur « sûr » est impacté. En 2012 RIM n'est plus que l'ombre de lui-
  même.




                          Sources : « Panorama de la cybercriminalité 2011 », Clusif
A quoi cela ressemble en 2012 ?
  Des réseaux d'activistes (la « grosse nouveauté ») :




                         Sources : « Panorama de la cybercriminalité 2011 », Clusif
A quoi cela ressemble en 2012 ?
  Fishing au goût d'ADOPI




  Drones, satellites (2007, 2008 rapport du sénat américain), rien ne résiste !




                         Sources : « Panorama de la cybercriminalité 2011 », Clusif
A quoi cela ressemble en 2012 ?
  Infrastructures, appareils :

    ●   Hôpitaux (Atlanta) et appareils médicaux télé-gérés (pace-maker,
        pompe à insuline, ...)
    ●   Traitement de l'eau (Houston)
    ●   Voie ferrées (aiguillages SNCF)
    ●   Serrures sur IP




                          Sources : « Panorama de la cybercriminalité 2011 », Clusif
0650856622


Remettons les choses à plat
   Un système d'information est un ensemble d'éléments :
    ●
        Technologie
    ●
        Organisation
    ●
        Processus


                                Processus




                       Technologie   Organisation
0650856622


Menaces sur la technologie
0650856622


Menaces sur l'organisation
0650856622


Menaces liées aux processus
0650856622


Démarche de gestion du risque
Le CLUSIF (Club de la Sécurité de l'Information Français)
préconise une approche qui s'appuie sur des scénarios.

Le risque étant alors vu comme la probabilité de réalisation

          { menace + scénario + vulnérabilité }

 ●
     La menace est-elle plausible ? Probable ?
          Urgence = haute probabilité * haut impact

 ●
     Quel(s) scénario(s) découle(nt) de cette menace ?

 ●
     Sommes-nous vulnérable dans ce scénario ?
Démarche de gestion du risque

                            Identification
                    Menace + Scénario + Vulnérabilité


                                 Mesures
                  Palliatives + Correctives + Préventives


    Technique
                                                    Sensibilisation
          Organisation

                   Processus                          Formation



                               Évaluation
Recommandations

           Technologie
           ● DMZ (filtre, répartiteur de charge, sonde, ...)

           ● FireWall

           ● Antivirus + Antimalware

           ● Système d'exploitation et logiciels à jour

           ● Stratégie de sauvegarde / restauration

           ● Cryptage (TrueCrypt)

           ● Devices mobiles sécurisés




           Organisation
           ● Sensibilisation / responsabilisation

           ● Charte informatique




           Processus
           ● PRA / PCA

           ● Patrimoine numérique
emn
École de Management
      Numérique




                                                                       Système d'Information
                                                                     Sécurité & Piratage 2012



                                                                                Mieux identifier les risques
                                                                   C'est déjà commencer à mieux les gérer




                      SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané
                                 Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20
                                Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z
Auris Solutions

Tel : 02 90 820 888

●   Le portail général : http://auris-solutions.fr
●   Le site du conseil NTIC : http://ntic.auris-solutions.com
●   Le site produit informatique du pays de Brest : http://informatique-brest.com
●   Le site de l’école de management numérique :
http://ecole-managemement-numerique.com
●   Le blog http://blog.auris-solutions.fr et la page google+
●   Notre compte twitter : https://twitter.com/AurisSolutions
●   La page FaceBook Auris Solutions https://www.facebook.com/ et la page google+

Auris solutions-risque-si-2012

  • 1.
    emn École de Management Numérique Système d'Information Sécurité & Piratage 2012 Mieux identifier les risques C'est déjà commencer à mieux les gérer SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20 Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z
  • 2.
    emn École de Management Numérique État des lieux Ce document est une actualisation d'une synthèse que nous avions faite en 2011. Il prend en compte les derniers rapports, dont celui du Clusif 2012. SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20 Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z
  • 3.
    0650856622 Des risques ? Quelsrisques ? Pour l'entreprise, le 1er risque est de mal l'évaluer. Entre fantasmes, risque banal, mauvaise pratique ou ignorance, difficile d'avoir une vision claire. Réalité ? Fantasme ?
  • 4.
    0650856622 C'est grave docteur ? Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012 (entreprises de plus de 200 salariés)
  • 5.
    C'est grave docteur ? ● 1 ordinateur sur 5 connait une panne de disque dur pendant son exploitation ● 95% des salariés d'entreprises déclarent avoir déjà perdu des fichiers informatiques, représentant 1 heure à plusieurs jours de travail. ● 20% des ordinateurs portables sont volés ou avariés chaque année. ● 70% des PME ne protègent pas leurs sauvegardes. ●50% des entreprises perdant totalement leurs données ferment définitivement. ● 90 % des entreprises restantes mettent deux années à y faire face. ●60% des PME ayant vécu un sinistre informatique disparaissent dans les 5 ans. Source : enquête de la société Ontrack Data spécialisé dans la récupération des données.
  • 6.
    C'est grave docteur ? Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
  • 7.
    C'est grave docteur ? Les sociétés identifient très mal leur patrimoine informationnel. Le mouvement vers le cloud ne va pas améliorer les choses. Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
  • 8.
    C'est grave docteur ? Des progrès ont été fait en matière de sensibilisation au risque et de charte informatique. Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
  • 9.
    C'est grave docteur ? Les nouveautés technologiques ouvrent de nouvelles brèches. Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
  • 10.
    C'est grave docteur ? Le recours à la sécurité offerte par une informatique en infogérance progresse faiblement. Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
  • 11.
    C'est grave docteur ? Les PRA/PCA sont encore peu nombreux et couvrent principalement des aspects techniques ou d'infrastructure. Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
  • 12.
    C'est grave docteur ? La situation s'améliore, mais il y a encore pas mal de dégâts ! Sources : « Menaces informatiques & pratique de sécurité en France », Clusif 2012
  • 13.
    Quelques exemples Vol etusurpation d'identité sont toujours des problèmes classiques. Mais 2011 a apporté son lot de nouveautés. SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20 Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z
  • 14.
    A quoi celaressemble en 2012 ? Des types « originaux » d'attaques : ● Saturation des bandes passantes (déni de service LOIC – Low Orbit Ion Cannon) sur mobile, ● Écoute des conversations, SMS piratés, SMS surtaxés, usurpation d'identité. ● Des programmes malveillants sur les mobiles (tout OS) ● L'usage des sites de backup en ligne se répand : quel impact pour le patrimoine de l'entreprise ? ● Les médias sociaux (twitter, Facebook, …) facilitent la diffusion de fausses informations, voire simplement d'informations personnelles (doxing).
  • 15.
    A quoi celaressemble en 2012 ? Fuites d'informations Une nouvelle tendance : attaquer les sociétés qui fournissent des solutions de sécurité pour se procurer les codes de protection. Sources : « Panorama de la cybercriminalité 2011 », Clusif
  • 16.
    A quoi celaressemble en 2012 ? Des accidents : 12 mai 2011 à Vélizy, un coup de pelleteuse détruit une fibre optique → 250 000€ de préjudice pour le groupe Matelsom (sites e-commerce). Du 10 au 13 octobre 2011, RIM le fabriquant du BlackBerry subit une panne majeure sur son réseau (incident dans un datacenter, mauvais PRA). Son image de constructeur « sûr » est impacté. En 2012 RIM n'est plus que l'ombre de lui- même. Sources : « Panorama de la cybercriminalité 2011 », Clusif
  • 17.
    A quoi celaressemble en 2012 ? Des réseaux d'activistes (la « grosse nouveauté ») : Sources : « Panorama de la cybercriminalité 2011 », Clusif
  • 18.
    A quoi celaressemble en 2012 ? Fishing au goût d'ADOPI Drones, satellites (2007, 2008 rapport du sénat américain), rien ne résiste ! Sources : « Panorama de la cybercriminalité 2011 », Clusif
  • 19.
    A quoi celaressemble en 2012 ? Infrastructures, appareils : ● Hôpitaux (Atlanta) et appareils médicaux télé-gérés (pace-maker, pompe à insuline, ...) ● Traitement de l'eau (Houston) ● Voie ferrées (aiguillages SNCF) ● Serrures sur IP Sources : « Panorama de la cybercriminalité 2011 », Clusif
  • 20.
    0650856622 Remettons les chosesà plat Un système d'information est un ensemble d'éléments : ● Technologie ● Organisation ● Processus Processus Technologie Organisation
  • 21.
  • 22.
  • 23.
  • 24.
    0650856622 Démarche de gestiondu risque Le CLUSIF (Club de la Sécurité de l'Information Français) préconise une approche qui s'appuie sur des scénarios. Le risque étant alors vu comme la probabilité de réalisation { menace + scénario + vulnérabilité } ● La menace est-elle plausible ? Probable ? Urgence = haute probabilité * haut impact ● Quel(s) scénario(s) découle(nt) de cette menace ? ● Sommes-nous vulnérable dans ce scénario ?
  • 25.
    Démarche de gestiondu risque Identification Menace + Scénario + Vulnérabilité Mesures Palliatives + Correctives + Préventives Technique Sensibilisation Organisation Processus Formation Évaluation
  • 26.
    Recommandations Technologie ● DMZ (filtre, répartiteur de charge, sonde, ...) ● FireWall ● Antivirus + Antimalware ● Système d'exploitation et logiciels à jour ● Stratégie de sauvegarde / restauration ● Cryptage (TrueCrypt) ● Devices mobiles sécurisés Organisation ● Sensibilisation / responsabilisation ● Charte informatique Processus ● PRA / PCA ● Patrimoine numérique
  • 27.
    emn École de Management Numérique Système d'Information Sécurité & Piratage 2012 Mieux identifier les risques C'est déjà commencer à mieux les gérer SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20 Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z
  • 28.
    Auris Solutions Tel : 0290 820 888 ● Le portail général : http://auris-solutions.fr ● Le site du conseil NTIC : http://ntic.auris-solutions.com ● Le site produit informatique du pays de Brest : http://informatique-brest.com ● Le site de l’école de management numérique : http://ecole-managemement-numerique.com ● Le blog http://blog.auris-solutions.fr et la page google+ ● Notre compte twitter : https://twitter.com/AurisSolutions ● La page FaceBook Auris Solutions https://www.facebook.com/ et la page google+