Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine
et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la
combattre.
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine
et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la
combattre.
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Le Président du CLUSIS (Association suisse de la sécurité de l’information) présente les résultats d’une étude réalisée par l’Observatoire des Risques Opérationnels. Il redéfinit les termes de « cybercriminalité » et de « hacker », tout en donnant plus d’informations sur ces derniers (motivations, profils, méthodes de repérage…). L’étude donne également la parole aux entreprises, qui avouent ne pas assez investir dans la sécurité informatique. Conscientes de l’évolution du risque pour leurs données, elles attendent un accompagnement de l’Etat pour les guider.
La protection contre la fuite de données constitue un véritable enjeu pour les entreprise à l'heure du Cloud et de la Mobilité.
Cette présentation propose d’aborder le sujet sous un angle fonctionnel orienté sur la gestion du risque, puis de recenser les approches et les solutions techniques permettant de couvrir les besoins de protection.
La classification de l'information (donc des documents), le concept de la DLP intrusive ou analytique sont abordés dans le détail.
La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
Nouveaux risques cyber - 4 décembre 2019OPcyberland
Présentation des nouveaux risques cyber sous l'influence de l'apprentissage automatique. L'IA en défense. L'IA en attaque. L'UEBA, les architectures de données fictives immersives ADFI
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Qu'est-ce que la cybersécurité ?
Selon l’ANSSI (Agence nationale de sécurité des systèmes d’information), la cybersécurité est l'"état recherché pour un système d’information lui permettant de résister à des événements issus du cyber espace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyber défense."
Supporting the global efforts in strengthening the safety, security and resilience of Cyberspace, the Commonwealth Cybersecurity Forum 2013, organised by the Commonwealth Telecommunications Organisation. The ceremonial opening examined how Cyberspace could be governed and utilised in a manner to foster freedom and entrepreneurship, while protecting individuals, property and the state, leading to socio-economic development. Speakers of this session, Mr Mario Maniewicz, Chief, Department of Infrastructure, Enabling Environment and E-Applications, ITU; Mr David Pollington, Director, International Security Relations, Microsoft; Mr Alexander Seger, Secretary, Cybercrime Convention Committee, Council of Europe; Mr Nigel Hickson, Vice President, Europe, ICANN and Mr Pierre Dandjinou, Vice President, Africa, ICANN, added their perspectives on various approaches to Cybergovernance, with general agreement on the role Cyberspace could play to facilitate development equitably and fairly across the world.
Hosted by the Ministry of Posts and Telecommunications of Cameroon together with the Telecommunications Regulatory Board of Cameroon and backed by partners and industry supporters including ICANN, Council of Europe, Microsoft, MTN Cameroon, AFRINIC and Internet Watch Foundation, the Commonwealth Cybersecurity Forum 2013 seeks to broaden stakeholder dialogue to facilitate practical action in Cybergovernance and Cybersecurity, some of which will be reflected in the CTO’s own work programmes under its Cybersecurity agenda.
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
Avec l'avènement de la nuagique, de la mobilité et des réseaux sociaux, sans compter le séisme mondial provoqué par les révélations Snowden, PRISM et NSA, la confidentialité de l'information ainsi que la vie privée est-elle toujours possible? Dans la deuxième partie de la formation, Me René Vergé nous entretiendra de l’aspect sécuritaire et privé de l’infonuagique (cloud computing).
Digital has engendered a fundamental shift in the way we behave, think and perform business. One of the most essential transformations for today’s organisations is to adapt to how the customer has changed. This obviously has a massive impact on the salesforce and its methods. The Customer Journey has changed dramatically, becoming far more digitized and needs consistent use of many tools, technologies and methods to effectively reach the target audience.
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Le Président du CLUSIS (Association suisse de la sécurité de l’information) présente les résultats d’une étude réalisée par l’Observatoire des Risques Opérationnels. Il redéfinit les termes de « cybercriminalité » et de « hacker », tout en donnant plus d’informations sur ces derniers (motivations, profils, méthodes de repérage…). L’étude donne également la parole aux entreprises, qui avouent ne pas assez investir dans la sécurité informatique. Conscientes de l’évolution du risque pour leurs données, elles attendent un accompagnement de l’Etat pour les guider.
La protection contre la fuite de données constitue un véritable enjeu pour les entreprise à l'heure du Cloud et de la Mobilité.
Cette présentation propose d’aborder le sujet sous un angle fonctionnel orienté sur la gestion du risque, puis de recenser les approches et les solutions techniques permettant de couvrir les besoins de protection.
La classification de l'information (donc des documents), le concept de la DLP intrusive ou analytique sont abordés dans le détail.
La sécurité informatique c'est avant tout un problème technique. La grande majorité des faiblesses du TI dont se servent les pirates, sont fondées sur l’inconscience des entreprises, utilisateurs, développeurs, cadres, qui pensent que cela n’arrive qu’aux autres… Ce webinaire passe en revue les règles à appliquer pour tenter de se protéger : charte de sécurité imposée, éducation sur les risques encourus, sanctions contre les fautifs, mise en place d’un véritable SSO et fédération d’identités, interdiction du BYOD et BYOA, recours à de véritables spécialistes sécurité dont nous donnerons le profil, recours au Cloud pour les données stratégiques et confidentielles, etc.
Vous souhaitez en apprendre plus sur la cybersécurité? Découvrez notre séminaire ainsi que les cours de préparation à la certification (en anglais uniquement) offerts chez Technologia :
Les tendances des nouvelles technologies de l’information,
Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CISSP Certification.
Nouveaux risques cyber - 4 décembre 2019OPcyberland
Présentation des nouveaux risques cyber sous l'influence de l'apprentissage automatique. L'IA en défense. L'IA en attaque. L'UEBA, les architectures de données fictives immersives ADFI
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Qu'est-ce que la cybersécurité ?
Selon l’ANSSI (Agence nationale de sécurité des systèmes d’information), la cybersécurité est l'"état recherché pour un système d’information lui permettant de résister à des événements issus du cyber espace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyber défense."
Supporting the global efforts in strengthening the safety, security and resilience of Cyberspace, the Commonwealth Cybersecurity Forum 2013, organised by the Commonwealth Telecommunications Organisation. The ceremonial opening examined how Cyberspace could be governed and utilised in a manner to foster freedom and entrepreneurship, while protecting individuals, property and the state, leading to socio-economic development. Speakers of this session, Mr Mario Maniewicz, Chief, Department of Infrastructure, Enabling Environment and E-Applications, ITU; Mr David Pollington, Director, International Security Relations, Microsoft; Mr Alexander Seger, Secretary, Cybercrime Convention Committee, Council of Europe; Mr Nigel Hickson, Vice President, Europe, ICANN and Mr Pierre Dandjinou, Vice President, Africa, ICANN, added their perspectives on various approaches to Cybergovernance, with general agreement on the role Cyberspace could play to facilitate development equitably and fairly across the world.
Hosted by the Ministry of Posts and Telecommunications of Cameroon together with the Telecommunications Regulatory Board of Cameroon and backed by partners and industry supporters including ICANN, Council of Europe, Microsoft, MTN Cameroon, AFRINIC and Internet Watch Foundation, the Commonwealth Cybersecurity Forum 2013 seeks to broaden stakeholder dialogue to facilitate practical action in Cybergovernance and Cybersecurity, some of which will be reflected in the CTO’s own work programmes under its Cybersecurity agenda.
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
Avec l'avènement de la nuagique, de la mobilité et des réseaux sociaux, sans compter le séisme mondial provoqué par les révélations Snowden, PRISM et NSA, la confidentialité de l'information ainsi que la vie privée est-elle toujours possible? Dans la deuxième partie de la formation, Me René Vergé nous entretiendra de l’aspect sécuritaire et privé de l’infonuagique (cloud computing).
Digital has engendered a fundamental shift in the way we behave, think and perform business. One of the most essential transformations for today’s organisations is to adapt to how the customer has changed. This obviously has a massive impact on the salesforce and its methods. The Customer Journey has changed dramatically, becoming far more digitized and needs consistent use of many tools, technologies and methods to effectively reach the target audience.
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
Le GDPR sera appliqué dans moins d'un an : il est temps de passer à l'action !
Aperçu du règlement et des implications qu'il pourrait avoir sur l'entreprise ...
Conduite du changement #collaboratif #InnovationEric Herschkorn
Approche de la conduite du changement pour implémentation de solutions collaboratives.
Une démarche indispensable pour une adhésion et la réussite du projet de transformation digitale de l'entreprise.
Innovations sur le fond et sur la forme orientée "expérience utilisateurs" #UX
Présentation du Petit-déjeuner GDPR du 30 mars 2017 par Mick Lévy, Directeur de l'Innovation Business chez Business & Decision.
http://blog.businessdecision.com
http://www.businessdecision.com
Business & Decision - Atteignez le ROI2 sur vos projets Data - Congrès Big Da...Business & Decision
Business & Decision - Présentation de l'atelier "Atteignez le ROI2 sur vos projets Data" présenté au Congrès Big Data Paris 2017. L'atelier a été animé par Mick Lévy, Directeur de l'Innovation Business chez Business & Decision;
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
La sécurité de votre système d'information : un sujet toujours d'actualité
- Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
- Comment assurer une protection efficace ?
- Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques
Présentation de Jérôme Bondu, directeur de la société de conseil en veille, intelligence économique et e-reputation INTER-LIGERE.
Présentation réalisée lors du colloque TELMI 2011, le 29 mars 2011 à Lille.
La cybercriminalité est multiforme (fraude informatique, violation de données personnelles, atteinte à la e réputation…) et touchent les entreprises de toutes tailles et de tout secteurs d’activités. Ces attaques ont des répercussions financières qui mettent l’entreprise en danger. La prise de conscience de ces risques permet à l’entreprise de mettre en place des actions préventives.
Présentation de Michel Frenkiel président de Mobilegov
Augmentation de capital réservée aux investisseurs qualifiés janvier février 2009
www.financial-video.com
Aujourd’hui, le secteur financier et tout les autres secteurs font face à un grand défi. Ils ont besoin de montrer à leurs clients qu'ils ont opté pour une stratégie en cybersécurité optimale car chaque attaque peut avoir un impact non seulement sur les opérations, mais aussi sur l’image de marque. La balance s’incline maintenant vers les outils innovants, basés sur l'analytique Big Data et sur des modèles de comportement. En identifiant la cybercriminalité comme un problème répandu et agressif, ITrust a développé Reveelium, une solution capable d'extraire des perspectives concrètes à partir de données du système, pour accompagner les experts dans leur gestion de risques informatiques.
Les entreprises du secteur financier sont confrontées à un paysage de menaces particulièrement hostile car elles sont extrêmement attrayantes pour les cybercriminels.
Afin de défendre efficacement leurs réseaux, leur infrastructure et les données de leurs clients, les équipes de sécurité des institutions financières doivent s'armer des derniers outils antifraude et tirer parti des informations les plus récentes sur les techniques et les attaques courantes. Il est également crucial de comprendre comment les attaques sont menées et qui en est responsable.
Cette brochure a été créée pour fournir au secteur financier des informations détaillées et aider les entreprises à garder une longueur d'avance sur les acteurs de la menace.
Bonne lecture!!
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
Quelles sont les obligations à charge du gestionnaire d’un système informatique ?
Qu’est-ce que le pentesting ?
Qu’est-ce que le piratage éthique ?
Quelles réactions en cas d’attaque ?
par Alexandre CASSART et Pauline LIMBREE (Lexing) et Mélanie GAGNON (MGSI)
Similaire à Competitic securite données - numerique en entreprise (20)
Competitic - Choisir sa solution e-commerce - numerique entrepriseCOMPETITIC
Magento, Prestashop, Wix... quelles sont les solutions adaptées pour développer votre site de e-commerce ?
Comment choisir la solution permettant de développer son site internet en phase avec ses ambitions et ses moyens
Comment faire un choix parmi les différentes solutions possibles ?
Quelles sont les forces et les faiblesses des solutions "gratuites" ?
Quelles sont les compétences nécessaires pour réussir la mise en oeuvre d'une solution ?
L’entreprise peut agir sur son image, la perception de ses offres en identifiant les influenceurs dans son secteur d’activité et en suivant leurs avis !
Les influenceurs diffusent des contenus qui peuvent avoir un impact positif ou négatif sur l’image d’une entreprise, d’une offre … Ils utilisent pour cela différents outils, comme les blogs, les forums, les réseaux sociaux … les suivre peut permettre également d’anticiper de nouvelles tendances
Competitic Emailing toujours performant - numerique en entrepriseCOMPETITIC
L'emailing est toujours un outil de marketing direct performant et riche d'enseignements.
Quels sont les éléments d'une campagne emailing efficace ?
Quelles sont les informations à exploiter ?
Des exemples de campagnes "efficaces" ?
Competitic Referencement mobile friendly - numerique en entrepriseCOMPETITIC
Comment améliorer le référencement de son site internet en le rendant compatible à la mobilité ? Comment savoir si son site est compatible avec les moteurs de recherche ? Quelles sont les techniques pour devenir "mobile friendly" ? Quelles sont les erreurs à ne pas commettre ?
Ccimp rdv tic protegez votre marque sur internet v3COMPETITIC
La Marque est l’identité de l'entreprise, elle différencie les services et les produits de ceux des concurrents.
Protéger la réputation de sa marque fait partie de la stratégie d'entreprise dans son volet sécurité économique. Plus on est visible sur Internet et les RS plus on est susceptible d'attaques et les attaques étant de plus en plus sophistiquées une surveillance et une vigilance s'impose pour sécuriser ses biens immatériels.
Competitic Applications mobiles 2015 - numerique en entrepriseCOMPETITIC
Une présentation pour connaître : les points à étudier pour développer un service sur application mobile et les bonnes questions à se poser pour faire un choix, l'essentiel d'un cahier des charges, comment faire connaitre son application une fois développée, les modèles économiques possibles
Démarches fiscales, sociales, accès aux marché publics : l’administration française généralise l’usage du numérique pour simplifier la lourdeur administrative, comme par exemple utiliser le numéro SIRET comme carte d’identité numérique de l’entreprise pour toutes les démarches ?
A l’issue du rendez-vous les dirigeants sauront que la carte d’identité numérique existe déjà et qu’ils peuvent l’utiliser sur de nombreuses démarches.
Quels sont les nouveautés concernant la dématérialisation des démarches administratives ?
Comment faire évoluer son fonctionnement, quelle opportunité pour l’entreprise ?
Competitic web to store numerique [mode de compatibilité]COMPETITIC
La complémentarité entre Internet et l'espace de vente physique (Web to Store) est aujourd'hui une attente forte des consommateurs internautes. Etre visible sur Internet est indispensable. Pour autant, pour beaucoup de clients, de nombreuses études le confirment, Internet ne remplace pas une expérience client dans un lieu physique. Utiliser Internet et de façon générale, le numérique pour faire venir ses prospects dans sa boutique est devenu une tendance forte : Géolocalisation, Store Locator, Stock Locator, réservation en ligne, Couponing... sont les mots clefs de cette tendance.
Competitic - Hebergement - numerique en entreprise 2015COMPETITIC
Choisir son hébergeur de site internet, connaître les critères importants pour choisir l'offre la plus adaptée, bien border les contrats pour avoir les meilleures garanties.
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
Les cyberattaques touchent de plus en plus d'entreprises et sont toujours plus sophistiquées. Comment gérer ces risques? Comment développer une culture du secret informationnel dans mon entreprise.
Competitic - Solution de site web - numerique en entrepriseCOMPETITIC
Comment définir précisément vos besoins prioritaires pour être en mesure de faire le meilleur choix de votre solution de site web ?
Quelles sont les solutions disponibles pour réaliser votre site ?
Quels sont les critères à retenir pour sélectionner la solution la plus adaptée
Ccimp rdv tic e reputation 16 avril 2015COMPETITIC
Surveillance de son image et celle de ses concurrents sur le net.
Les réactions à adopter en cas de dénigrements, d'avis défavorables, d'informations erronées
Avec l'explosion des technologies et des informations disponibles, le consommateur devient paradoxalement, plus difficile à "toucher", conquérir et fidéliser....Le client s'informe, compare sur Internet, utilise plusieurs terminaux pour se connecter, de n'importe où, n'importe quand (Atawad). Il reste toutefois très attaché au contact humain. L'entreprise doit répondre à ces attentes en exploitant de nouveaux canaux de communication et de vente.
- Quel est le comportement d'achat du client en 2015 ?
- Quels sont les terminaux, les outils qu'il faut privilégier pour le conquérir, le fidéliser ?
- Comment personnaliser la relation avec le client ?
Comment promouvoir l'activité de son entreprise en utilisant la publicité sur...COMPETITIC
Avec plus d'un milliard d'utilisateurs réguliers dont plus de 25 millions en France, Facebook est le plus grand réseau social au monde.
Les entreprises y trouvent souvent un moyen de promouvoir leur activité, mais leurs messages se trouvent souvent noyés parmi la multitude de publications susceptibles d'arriver jusqu'à l'internaute.
Pour gagner en visibilité, Facebook permet de mettre en œuvre des publicités payantes (Facebook Ads) sur son réseau qui peuvent permettre d'atteindre des cibles très précises (genre, âge, localisation géographique, secteurs d'activité professionnels, centres d'intérêts ....).
Comment mettre en oeuvre ces publicités, quel en est le coût et quels retours en attendre ? Comparaison du référencement naturel SEO ou d'une campagne Google Adwords.
Competitic Objets connectés - numerique en entrepriseCOMPETITIC
Comment rendre ses supports de communication intéractifs ? Des exemples d'utilisation du QR Code, du NFC, de Beacon afin de comprendre comment les utiliser dans son entreprise
Competitic - Choisir son nom de domaine - numerique en entrepriseCOMPETITIC
Choisir un nom de domaine pour son site internet est capital pour la communication d'une entreprise. Quelles sont les différentes stratégies de communication ? Quelles sont les retombées en matière de référencement ? Connaître les nouvelles extensions et les règles juridiques.
Competitic - Choisir son nom de domaine - numerique en entreprise
Competitic securite données - numerique en entreprise
1. Sécurisez vos données
pour protéger votre entreprise !
Mettez en place une “organisation sécurité” pour vos données informatiqu
Jeudi 20 décembre 2012
2. Le dispositif Performance PME TIC ?
Cette action s’insère dans le dispositif régional
Son objectif est de développer la compétitivité des
entreprises par un meilleur usage des Technologies
de l’information
et de la communication
www.lenumeriquepourmonentreprise.com
3. Découvrez les usages des
TIC, les actualités, l’agenda
des évènements et les
entreprises de la filière TIC
régionale sur le « portail
des usages »
Consultez le support de
cette présentation :
www.lenumeriquepourmonentreprise.com
4. Intervenant :
Claude LELOUSTRE
ingénieur conseil
en systèmes d’information et sécurité de l’information
expert près la Cour d’Appel d’Aix-en-Provence et la
Cour Administrative d’Appel de Marseille
président du CLUSIR PACA
5. Sécurité des systèmes d’information
(SSI)
Définition :
Ensemble des moyens techniques, organisationnels,
juridiques et humains pour conserver, rétablir et garantir :
la disponibilité,
l’intégrité,
la confidentialité
des informations de l’entreprise ou de l’organisme
6. Sécurité des systèmes d’information
Selon l’enquête « menaces
informatiques et pratiques de
sécurité 2012 » du CLUSIF :
80% des entreprises interrogées (350 entreprises de plus de 200
salariés) disent avoir un besoin fort de leur système
d’information
19% un besoin modéré
Soit, 99% pensent ne pas pouvoir se passer de leur système
informatique
Source : www.clusif.fr
7. Sécurité des systèmes d’information
Protéger son système d’information
est un véritable enjeu:
• Protection de l’accessibilité au système d’information
• Protection de l’intégrité de l’information
• Protection de la confidentialité de l’information
8. Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de
sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
9. Quels sont les risques informatiques
encourus par votre entreprise ?
Evolution des menaces
Nouvelles pratiques: réseaux sociaux
Nouvelles plates-formes: Windows 7/8, iPhone …
Confidentialité des données personnelles
10. Un environnement en pleine évolution
Essor de la génération Web 2.0 Vol d’information - pas des graffitis
Firewall Complex threats....
$
Corporate Mobile
data workers
Fast Web-
Targe
changi based,
ted
ng Invisible
...targeting commercial data
Contractors,
outsourcing
Partners,
customers Personally Intellectu Custo
identifiable al mer
Web 2.0
information property data
Contraintes réglementaires et atteintes à la réputation
SS GL
PCI-D B 95/4
CSB 1386
A 6/EC HIPAA
11. 50% des courriels sont du spam
(95% en 2009)
une nouvelle page Web
liée au spam toutes les 13 secondes
Près de 6 500 nouvelles pages par jour
Plus de 99% du spam est émis par des
systèmes compromis (zombies ou ”bots”)
Les réseaux de botnets sont entre les mains
des cybercriminels les plus sophistiqués
12. Essor des menaces sur le Web
1 nouvelle page Web infectée
toutes les 3,6 secondes (23 500 pages/jour)
83% appartiennent à des sites légitimes
1% des recherches retournent une page infectée
Tous les types de sites sont touchés
fans de séries télé
sport
hôtels
musées
etc …
13. Partnerkas russes et autres réseaux
d’affiliés
Fédèrent des cohortes de rabatteurs
Chargés de recruter des victimes
vers le site central du réseau
Touchent un pourcentage
sur l’argent extorqué à ces victimes
Grande variétés de techniques
Spam
Malwares
Infection de sites légitimes
BlackHat SEO
Attaques sur les réseaux sociaux
Animation du réseau
Toolkits
Outils de gestion
Incentives
14. Production de masse et
dissimulation
Production de masse
Les SophosLabs reçoivent plus de 50 000
échantillons suspects à analyser chaque jour
Le laboratoire indépendant AV-Test.org conserve
une collection de plus de 22,5 millions de malwares
Utilisation croissante de techniques
de dissimulation
polymorphisme (variation de la signature)
furtivité (rootkits)
chiffrement / compression (crypter/packer)
15. BlackHat SEO : les faux antivirus
Attaque en plusieurs étapes
1. Recherche une faille de sécurité pour installer un malware
2. Utilise l’ingénierie sociale pour aboutir au même résultat
3. Récupère les coordonnées bancaires, en bonus !
Distribués à travers des réseaux d’affiliés (Partnerkas ...)
16. Les réseaux sociaux: la
nouvelle frontière
Un nouveau talon d’Achille
Collecte d’informations utilisable pour mener des attaques d’ingénierie sociale
Collecte d’informations sur l’organisation des entreprises
Les comptes utilisateurs sous le feu des attaques
Forte croissance des cas d’attaque
SPAM: + 70% en un an
PHISHING: + 42% en un an
MALWARES: + 69% en un an
Les utilisateurs doivent être conscients
des risques et activer les options de sécurité
17. Ingénierie sociale et force
brute
• En mars 2010, un jeune auvergnat utilisant le pseudo Hacker Croll sur
Twitter est arrêté pour avoir fait acte de plusieurs opérations de piratage,
dont une concernant le compte du président américain Barack Obama
• Son mode opératoire:
• Identifier le compte email Yahoo! d’un des administrateurs de Twitter
• Comment ? ... une petite recherche dans les pages “About US” de Twitter
• Trouver les réponses aux questions pour récupérer le mot de passe “oublié”
• Date de naissance + code postal + pays
• Ville de naissance
• Où a-t-il trouvé ces informations ?
• Blog de 2002 + article de 2004 + whois
22. 7 recommandations pour
1. Bloquez les menaces
Activer ASLR et DEP + installez un antimalware avec technologie HIPS
2. Protégez la navigation sur le Web
Utilisez Explorer 8 et SmartScreen + utilisez un antimalware avec HBO
3. Déployez les correctifs de sécurité
Utilisez Action Center + vérifiez la conformité de vos systèmes (NAC …)
4. Prévenez la fuite des informations
Chiffrez les disques + chiffrez les média USB + contrôlez les applications +
contrôlez les données échangées … avec une gestion centralisée
5. Gérez les privilèges des utilisateurs
Utilisez UAC pour éviter de donner les droits administrateurs aux utilisateurs
6. Vérifiez la conformité des systèmes qui accèdent au réseau
Pour vérifier que les protections sont en places et à jour et qu’il n’y a pas
d’applications indésirables
7. Eduquez les utilisateurs sur les bonnes pratiques en matière de sécurité
Informez-les sur votre charte de sécurité et diffusez les bonnes pratiques
23. Apple: une nouvelle cible ?
Quelques dizaines de malwares sur Mac OSX
Apparus depuis fin 2007
OSX/RSPlug (nov 2007 - mars 2009)
Mêmes créateurs que Zlob (Windows)
Installe Adwares et ‘Scareware’
OSX/iWorkS (janvier 2009)
Infection largement répandue
Crée un réseau de Botnet sur Mac OSX
OSX/Jahlav-C (juin 2009)
Cheval de Troie qui télécharge des malwares
Diffusé à partir d’un blog sur Twitter
OSX/Pinhead-B alias HellRTS (avril 2010)
Cheval de Troie
Apple vient de mettre à jour OS X pour s’en protéger
24. Linux: infections à faible bruit
Peu de programmes malveillants
Quelques centaines à peine
Moins de la moitié circulent réellement
Mais attention aussi aux vieux virus
Exemple: Linux/RST-B
Existe depuis 6 ans
Infecte les exécutables ELF
Ouvre une porte dérobée
Au moins 0,24% des systèmes
dans le monde sont infectés
… et aux excès de confiance ou de suffisance
Exemple: Troj/UnlRC-A
Cheval de Troie présent dans le code source de UnreallRCD.com
depuis novembre 2009, mais découvert seulement en juin 2010
28. Perte et vol d'information
Atteintes à l’image et la réputation
Perte de clients
Coûts internes de gestion des problèmes
Pertes de revenus associés à la propriété intellectuelle
29. Des données mobiles de plus en plus exposées
4 entreprises sur 5 ont perdu des informations sensibles lors du
vol de notebooks Ponemon Institute LLC and Symantec end-user survey, August 2009
10% des notebooks sont perdus ou volés par an
Web & Collaboration Strategies 2009
1 disque USB sur 2 contient des informations sensibles
Forrester Research, Inc. and Symantec Corp. survey, February 2008.
70% des données des entreprises sont dupliquées hors des
serveurs (notebooks, clé USB …)
Ponemon Institute, U.S. Survey: Confidential Data at Risk, August 2008
Fuite d’informations: Augmentation de 47% entre 2007 – 2009
Breach List and Statistics - Identity Theft Resource Center (ITCP) Date: 01/12/2010
Principales raisons de la fuite d’information :
Perte de portables ou de device – 35%
Ponemon Institute, 2009, Annual Study: Costs of Security Breaches
30. Des données mobiles de plus en plus exposées
700 portables perdus / volés à Roissy chaque semaine
12 000 portables perdus / volés dans les Aéroports US*
7 millions de laptops
volés/perdus dans
le monde en 2009
Computer Security Institute,2009
*July 2009, www.vnunet.com/vnunet/news/2223012/eu-travellers-losing-laptops-airports
31. Des coûts d’incidents de plus en plus élevés
Exemple: Nationwide Building Society
Amende de £980,000 par la FSA (Financial Services Authority) à la suite de la
perte d’un portable contenant les détails de 11 millions de clients
Total des coûts directs identifiables
Impression de 11 millions de lettres ……………… £150,000
11 millions de copies de 2 brochures ………… £300,000
Envoi à 11 millions de clients …………………. £1.6 millions
Amende par la FSA ………………………….. £980,000
Autres coûts?
Coût de gestion de l’incident
Atteinte à la bonne réputation
Source: Prsonal Computer World
www.vnunet.com/vnunet/news/2183332/nationwide-fined-980-exposing
32. Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de
sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
33. Les questions à se poser
En quoi les TIC seraient-elles de nature différente des
outils déjà en place dans les entreprises ?
Quelle part de vie privée et de libertés individuelles
garantir aux salariés liés à leur employeur par un contrat
de travail ( = un lien de subordination) ?
Que peut-on admettre comme usage privé d’outils mis
à disposition des salariés par leur employeur ?
Y a-t-il des limites au contrôle et à la surveillance que
les employeurs peuvent exercer sur les salariés ?
34. OBLIGATION LEGALE :
Sécuriser son système d’information
Patrimoine de l’entreprise : matériel, humain, informationnel
Protéger le patrimoine informationnel de l’entreprise
L ’article 42 de la Loi du 6 Janvier 1978 impose au maître du fichier
« …de prendre toutes les précautions utiles afin de préserver la sécurité … » des
informations automatisées
• C ’est l’article 226 -17 du nouveau Code Pénal qui érige en infraction spécifique le
fait de manquer à la sécurité
« ..le fait de procéder ou de faire procéder à un traitement automatisé d’informations
nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de
ces informations et notamment empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés est puni de cinq ans
d’emprisonnement et de plus de 300 000 € d’amende » ….
35. Responsabilité du chef d’entreprise
L'article 1384 - alinéa 1 du Code Civil stipule :
"On est responsable non seulement du dommage que l'on cause par
son propre fait, mais encore de celui qui est causé par des
personnes dont on doit répondre ou des choses que l'on a sous sa
garde."
Cet article a établi une présomption de responsabilité du gardien.
L'entreprise sera présumée responsable :
des personnes qui sont sous sa dépendance
des biens dont elle a la garde
Pour s'exonérer, il faut prouver que la cause est exogène.
36. Délit informatique
• Notion de Délit informatique sur le SI = Infraction
pénale
Loi Godfrain (1988) Code Pénal (1994)
• Atteinte à la Disponibilité,
• intrusion, usurpation, ..
• Confidentialité,
• Enregistrement, divulgation
• et à son Intégrité , Authenticité.
• inoculation de virus, suppression, modification
NOTA : La loi GODFRAIN a été abrogée par la loi 92-1336 du 16 déc 1992 (nouveau Code Pénal) et n’est plus en vigueur
depuis le 1er mars 1994, mais on parle toujours de loi Godfrain pour désigner les articles transposés dans le Code Pénal.
37. Surveillance des salariés
La loi du 31 décembre 1992 a posé les jalons d ’un droit « informatique
et libertés » dans l’entreprise :
Principe de proportionnalité
« Nul ne peut apporter aux droits des personnes et aux libertés
individuelles et collectives de restrictions qui ne seraient pas
proportionnées au but recherché » - art L 120-2 du code du travail
Consultation du comité d ’entreprise lors de l’introduction de nouvelles
technologies (art L 432-2)
Information préalable des salariés (art L 121-8)
Ces principes et droits font écho à la loi du 6 janvier 1978 qui impose
que tout traitement de données personnelles soit déclaré à la CNIL, que les
salariés soient informés de son existence et de ses caractéristiques et
qu’ils aient accès aux informations les concernant.
38. Dernières évolutions
LSQ ( loi sécurité quotidienne) 15/11/01
Conservation des données de connexion (6-12 mois)
Déchiffrement et accès aux données par les autorités
LCEN (loi pour la confiance en l’économie numérique)
21/06/04
Modifie la loi Informatique & Libertés de 1978
• Renforce les pouvoirs de la CNIL
• Contrôles a priori et a posteriori
• Pouvoir de sanction
Responsabilité des hébergeurs
Correspondance privée
Publicité électronique
et de nombreuses
Notion de commerçant électronique jurisprudences
39. Dernières évolutions
HADOPI ( création et internet) 12/06/09
Le conseil constitutionnel instaure comme fondamental le droit à l’internet
LOPPSI 2 (14 mars 2011)
• mouchards électroniques : sur autorisation juge des libertés
• usurpation d’identité en ligne : délit (prison 1 an + 15.000€)
• listes noires : les FAI doivent bloquer les sites désignés, filtrer des @ IP
• vidéo protection : délai de conservation des vidéos < 1mois
40. Ce qu’il faut retenir …
Le dirigeant est responsable des informations dont
il est le dépositaire.
Il doit pouvoir justifier de mesures concrètes
visant à protéger son système d’information.
La fraude informatique prouvée est réprimée
Matérialiser l’infraction est difficile
Principes de loyauté et de transparence
Importance de la CHARTE TIC
41. Le Sénat légifère sur la vie privée
En mars, le Sénat a adopté la proposition de loi n° 93 (2009-2010)
Vise à modifier sensiblement la loi Informatique et Libertés de 1978
Issue d’un an de travail d’un groupe dirigé
par les sénateurs Anne-Marie Escoffier et Yves Détraigne
Confirme le caractère obligatoire des correspondants « informatique et
libertés » (CIL) lorsqu’une autorité publique ou un organisme privé recourt à un
traitement de données à caractère personnel et que plus de 100 personnes y ont
directement accès ou sont chargées de sa mise en œuvre
Vise à renforcer le pouvoir et les sanctions de la CNIL
« En cas d'atteinte au traitement de données à caractère personnel, le
responsable du traitement avertit sans délai la CNIL (Commission nationale de
l'informatique et des libertés) qui peut, si cette atteinte est de nature à affecter les
données à caractère personnel d'une ou de plusieurs personnes physiques, exiger
du responsable du traitement qu'il avertisse également ces personnes. »
42. Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de
sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
44. Outils et coûts de la SSI
• infrastructures
• poste de travail
• projets
• formation des informaticiens
• éducation des utilisateurs
• organisation de la SSI
• politiques (autorisation, authentification,
sauvegarde, chiffrement, audit,…)
• charte utilisation TIC
45. Quels sont les risques encourus ?
Quelle est votre responsabilité en matière de
sécurité informatique ?
Quels sont les outils disponibles et leur coût ?
Quels sont les bons réflexes ?
46. Les « Dix Commandements » de
la CNIL
1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Sécuriser les postes de travail (verrouillage automatique + contrôle des ports USB)
4. Identifier qui peut avoir accès aux fichiers- limiter l’accès au données personnelles
5. Veiller à la confidentialité vis-à-vis des prestataires - chiffrer les données sensibles
6. Sécuriser le réseau local - routeurs filtrants (ACL), pare-feu, sonde anti intrusions …
7. Sécuriser l’accès physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données – conservez les données
d’entreprise sur des serveurs de stockage protégés et sécuriser les périphériques de
stockage mobiles par chiffrement
9. Anticiper et formaliser une politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux risques informatiques et à la loi « informatique et libertés »
47. Eduquez les utilisateurs
• Présentations
• Menaces à la sécurité des données
• Conséquences des fuites de données
• Recommandations sur
la protection des données
• Livre blanc
• Protection des informations
à caractère personnel
• Vidéos sur la sécurisation des mots de passe
• Vidéos sur la protection des données
• Exemples de politiques de sécurité des données
www.sophos.fr/lp/threatbeaters-dp
48. Eduquez les utilisateurs
• Recommandations
sur l’utilisation des réseaux sociaux
• Présentations
• Menaces sur les réseaux sociaux
• Impact sur les entreprises
• Statistiques et exemples
• Vidéos sur la sécurisation
des mots de passe
• Vidéos sur le phishing
• Dictionnaire des menaces
• Rapport 2010 sur les menaces à la sécurité
www.sophos.fr/lp/threatbeaters