SlideShare une entreprise Scribd logo
RÉUNION MENSUELLE
Mardi 17 novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Cybercriminalité:
menaces et parades
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°2
Présentation des intervenants
• Christophe LEMILLE,
Chef de mission Audit IT, MACIF
• Fabrice NAFTALSKI,
Avocat associé, EY Société d’avocats
• Philippe HERVIAS,
Directeur, IS Audit, SANOFI
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°3
Déroulé
• Définition des termes et notions, état de la
menace
• Les aspects juridiques et réglementaires
• Les lignes de défense et l’Audit
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°4
RÉUNION MENSUELLE
Mardi 17 Novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Christophe LEMILLE,
Chef de mission Audit IT,
MACIF
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°5
Définition
• Définition de la cybercriminalité (1) :
« Toutes infractions pénales tentées ou commises à
l’encontre ou au moyen d’un système d’information et
de communication, principalement Internet. »
• Spécificités d’une cyber attaque (2):
– Invisible, ou difficile à identifier
– Étendue difficile à évaluer
– Expertises et compétences techniques multiples
Sources : (1) Rapport interministériel sur la cyber criminalité (juin 2014)
(2) Rapport CIGREF-INHESJ - Cellule de crise – 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°6
Exemples de cyber
menaces
• Porte dérobée (backdoor)
• Attaque par force brute (brute force)
• Dépassement de mémoire tampon (buffer overflow)
• Injection de codes indirecte (XSS) et injection SQL
• Déni de service (DoS)
• Attaque de l’homme du milieu (MiTM)
• Hameçonnage et harponnage (phishing)
• Usurpation (spoofing)
• Attaque jour zéro (zero day exploit)
• Menaces avancées persistantes (APT)
Source : ISACA, Cybersecurity fundamentals study guide - 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°7
Les acteurs de cyber
menaces
• Cyber criminels de droit commun:
ØDélinquants sexuels
ØCyber violents
ØCyber escrocs
• Cyber criminels visant les entités étatiques et les
opérateurs d’importance vitale (OIV)
ØCyber mercenaires
ØCyber espions
ØCyber terroristes
Source : Rapport interministériel sur la cyber criminalité (M. Robert Juin 2014)
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°8
Les acteurs de cyber menaces
Agent de Menace Motivation Compétence Technologie Expertise
Utilisation
d'outils
Script Kiddies
Intérêt
personnel
Faible Faible Faible Sans
Hackers
Intérêt
personnel
Faible Faible Faible Sans
Employés
Intérêt
personnel
Faible Faible Faible Sans
Cyber espions
d'états
Avantage
concurrentiel
Forte Forte Forte Avec
Cyber espions
d'entreprises
Avantage
concurrentiel
Forte Forte Forte Avec
Hacktivistes Sociale Forte Forte Forte Avec
Cyber terroristes Idéologique Forte Forte Forte Avec
Cyber criminels Profit Forte Forte Forte Avec
Cyber guerriers Identitaire Forte Forte Forte Avec
Source : ISACA : Cybersecurity Fundamentals Study Guide 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°9
Evolutions des cyber
menaces
• Augmentation mondiale 2014 / 2013 (1) :
– En nombre : + 120%
– En coût pour les entreprises : + 10%
• Evénements marquants de 2014 (2)
– Des attaques plus fréquentes
– Des attaques plus sophistiquées
– Des attaques visant la cryptographie
– Cyber espionnage
– Des escroqueries plus nombreuses
• Un risque de cyber intrusions en hausse
– Deep Web et Darknets
Sources : (1) Rapport CIGREF-INHESJ - Cellule de crise - 2015
(2) CERT-IST Bilan 2014 des failles et attaques – mars 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°10
Evolutions des cyber
menaces
Source : ISACA, Cybersecurity fundamentals study guide - 2015
Risque
Ressources / sophistication
Script
KiddiesHackersHackersCybercriminels
Attaques
d’Etats
Attaques
d’entreprises
Attaques
sophistiquées
Attaques
simples
Argent
Intérêt
personnel
Espionnage
Cyber guerre
Amusement
Nuisance
1980/1990 2012
Menaces avancées persistantes (APT)
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°11
RÉUNION MENSUELLE
Mardi 17 Novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Fabrice NAFTALSKI,
Avocat associé,
EY Société d’avocats
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°12
I – Cadre légal de la cybercriminalité
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°13
Cadre légal de la
cybercriminalité
• Un cadre légal relativement riche en termes d’infractions de cybercriminalité
• Les principaux textes* sont :
– Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « Loi Informatique et
Libertés » : première loi prévoyant des sanctions pénales du fait de comportements en violation de la loi
protégeant les données à caractère personnel (cf. partie 3)
– Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique dite « Loi Godfrain »: première loi
sanctionnant les actes de cybercriminalité qui intéressent directement les systèmes de traitement
automatisé de données (STAD), comme le piratage. Cette loi a été modifiée récemment par la loi n° 2015-
912 du 24 juillet 2015 relative au renseignement qui apporte des précisions quant à la définition des
infractions et qui aggrave les peines d’amende
– Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019
et portant diverses dispositions concernant la défense et la sécurité nationale dite « Loi de programmation
militaire » :
• Au niveau international : Convention du Conseil de l’Europe du 23 novembre 2001
sur la cybercriminalité ou « Convention de Budapest » et ratifiée par la France par
une loi du 19 mai 2005.
– 3 objectifs :
• Harmonisation des législations nationales quant aux incriminations (accès illégal, fraude informatique,
atteinte à l’intégrité du système…)
• Adaptation des législations nationales au niveau de la procédure pénale appliquée à la
cybercriminalité
• Amélioration de la coopération pénale en matière d’extradition et d’entraide judiciaire
• * liste non exhaustive, s’appliquent également les délits de droit commun (vol, escroquerie …), le délit de contrefaçon, le
dispositif pénal de la loi sur les DADSI, des loi HADOPI, de la loi sur la confiance dans l’économie numérique …
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°14
II – Les obligations applicables à
toutes les entreprises
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°15
La protection du
savoir-faire
• Protection du savoir faire
– Définition du savoir-faire:
► Savoir-faire: «un ensemble d’informations pratiques, résultant de l’expérience et testées, qui est :
► secret, c’est-à-dire qu’il n’est pas généralement connu ou facilement accessible
► substantiel, c’est-à-dire important et utile pour la production des produits contractuels, et
► identifié, c’est-à-dire décrit d’une façon suffisamment complète pour permettre de vérifier qu’il
remplit les conditions de secret et de substantialité. »
Règlement Européen no 316/2014 du 21 mars 2014
– Le savoir faire est protégé par l’action en concurrence déloyale, les bonnes pratiques
contractuelles, techniques et organisationnelles
– Savoir-faire et droit de la concurrence :
• Une plate-forme d’échange entre des concurrents est conforme au droit de la concurrence si (notamment) « l’échange des
informations commerciales sensibles entre compagnies participantes est rendu techniquement impossible (obligations
réciproques de confidentialité, murs coupe-feu, sauvegardes, codages, cryptages…) » (Source: décision de la Commission
européenne COMP/M.2830 du 25 octobre 2002 GF-X)
– Secret de fabrique
• L’article L621-1 du Code de la propriété intellectuelle renvoyant à l’article L1227-7 (anc. L152-7) du Code du
travail énonce des peines de deux ans d’emprisonnement et 30.000 euros d’amende pour la révélation d’un
secret de fabrique.
• La notion de secret de fabrique est entendue de manière très restrictive par la jurisprudence. Ainsi, cette protection pénale
n’est accordée selon une jurisprudence constante qu’aux secrets relatifs à des « procédés techniques à caractère
industriel » et non aux secrets à caractère commercial. De la même façon, le régime de la violation du secret de fabrique
demeure restrictif dans la mesure où l’auteur de l’infraction ne peut être qu’un « directeur ou un salarié » de l’entreprise
titulaire du secret. Seules les personnes liées à l’entreprise par un lien de subordination peuvent donc être considérées
comme les auteurs potentiels de l’infraction. Cette limitation semble également avoir pour conséquence que seule une
personne physique puisse être poursuivie au titre de l’article L. 621-1 du Code de la propriété intellectuelle
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°16
Sécurité des traitements &
Notification des failles de sécurité
• Protection des données personnelles et Loi Informatique
et Libertés :
– Obligation légale pénalement sanctionnée par la loi
Informatique et Libertés s’agissant des données
personnelles, le niveau de sécurité requis étant
proportionnellement plus exigeant en fonction de la
sensibilité du traitement (entendu comme atteinte à la
vie privée) ou de règles sectorielles (secret médical,
secret bancaire)
– Cette obligation va être renforcée par le futur règlement
sur la protection des données (infra)
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°17
Sécurité des traitements &
Notification des failles de sécurité
Cadre légal actuel Projet de règlement
► Obligation de sécurité incombant au responsable de
traitement:
► Mettre en place des mesures appropriées de
sécurité et de confidentialité contre:
► L’accès et la communication non autorisés
► La destructionet la perte accidentellesou
illicites
► L’altération des données
► Toute autre forme de traitement irrégulier
► Mettre en place des mesures de sécurité
physique et logique par exemple:
► Accès réservés aux personnes ayant vocation
à y avoir accès au regard des missions
confiées
► Accès aux données via login/mot de passe
► Mesures de cryptage
► Accord de confidentialité
► Etc.
► Obligation de sécurité incombant à la fois au
responsable de traitement et au sous-traitant:
► Le responsable de traitement et le sous
traitant doivent prendre de mesures
techniques et organisationnelles appropriées:
► A la suite d’une évaluation des risques
► En fonction des techniquesles plus récentes
► En fonction des coûts liés à leur mise en œuvre;
► Au regard des risques présentéspar le traitement
► En fonction de la nature des données à protéger
► Obligation de sécurité renforcée en cas traitement de
données sensibles
► Possibilité pour l’autorité locale de contrôler si un sous
traitant respecte bien les obligations de sécurité qui lui
incombent
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°18
Sécurité des traitements &
Notification des failles de sécurité
Cadre légal actuel Projet de règlement
► Obligation de notifier les failles de sécurité à la
CNIL limitée aux fournisseurs d’accès responsable
de traitement;
Le fournisseur d’accès responsable de traitement est
dispensée de cette obligation si il prouve qu’il a mis en œuvre
des mesures appropriées pour rendre inintelligibleles
données personnelles concernées par la faille.
Ø Obligations de notification des failles de sécurité *des données
exposant les personnes concernées à un risque élevé au regard
de leur droits et libertés, étendue à tous les responsables de
traitement; la notification contiendra:
► Les catégories de données concernées
► Les conséquences de la violationde données
► Les mesures prises pour y remédier
► Obligation pour les sous-traitants d’alerter et d’informer le
responsable de traitement de l’existence d’une faille de
sécurité;
► Obligation pour le responsable de traitement d’alerter la
personne concernée de l’existence d’une faille de sécurité, si
cette faille porte atteinte :
► A La protection des données à caractère personnel;
► A La vie privée;
► Aux droits et aux intérêts légitimes de la personne concernée.
Cette communication n’est pas obligatoire:Si le responsable de
traitement prouve qu’il a bien mis en œuvre des mesures de
protection appropriées alors *Si elle risque d’entrainer des
mesures disproportionnéesSi elle risque de porter atteinte à un
intérêt public important»
*Modifications
du Conseil de
l’union
européenne
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°19
III – Les obligations des OIV
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°20
Notion d’OIV
• Introduite par la Loi de programmation militaire de 2013, aux articles L1332-1 et
suivants du Code de la défense
• Notion d’Opérateurs d’Importance Vitale (OIV) :
– Opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont
l’indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique, la sécurité
ou la capacité de survie de la nation (Article L. 1332-1 Code de la défense)
– Etablissements mentionnés à l’article L. 511-1 du Code de l’environnement ou comprenant une installation
nucléaire de base visée à l’article L. 593-1 du Code de l’environnement quand la destruction ou l’avarie de
certaines installations de ces établissements peut présenter un danger grave pour la population (Article L.
1332-2 Code de la défense)
• Les OIV sont désignés par le ministre coordonnateur (article R1332-3 du Code de la
défense)
• Un OIV gère une activité dans un secteur d’importance vitale, c’est-à-dire qui
– Ont trait à la production et la distribution de biens ou de services indispensables à la satisfaction des
besoins essentiels pour la vie des populations, à l'exercice de l'autorité de l'État, au fonctionnement de
l'économie, au maintien du potentiel de défense, ou à la sécurité de la Nation, dès lors que ces activités sont
difficilement substituables ou remplaçables;
– Ou peuvent présenter un danger grave pour la population.
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°21
Obligations des OIV (articles R 1332-1 et
suivants du Code de la défense)
• Le Premier ministre fixe les règles de sécurité nécessaires à la protection des
systèmes d’information de ces entités
• Coopération avec les institutions gouvernementales :
– Obligation d’élaborer et de communiquer au Premier Ministre un plan de sécurité définissant
la politique générale de protection des établissements, ouvrages ou installations, notamment
ceux organisés en réseau
– Obligation de conclure une convention avec le service de l’Etat ou le prestataire de service
chargé d’exploiter les systèmes de détection
– Obligation de communiquer à l’ANSSI (Agence Nationale de Sécurité des Systèmes
d’Information, qui dépend du Premier Ministre) les incidents détectés dès qu’ils en ont
connaissance, et de répondre aux demandes d’information de l’ANSSI
– Obligations de respecter les mesures de sécurité élaborées par le Premier Ministre et se
soumettre, sur demande de ce dernier, aux opérations de contrôle destinées à vérifier le
niveau de sécurité et le respect des règles de sécurité
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°22
La proposition de directive européenne et
les obligations des opérateurs
d’infrastructures essentielles
• Proposition de directive n° 2013/0027 du 7 février 2013 concernant les mesures destinées à
assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union,
amendée par la Résolution législative du Parlement européen du 13 mars 2014 : Exigence d’un
niveau de sécurité minimum
• Opérateurs concernés :
– Les opérateurs d’infrastructures essentielles au maintien de fonctions économiques et sociétales vitales
dans une liste de secteurs déterminés
– Initialement la proposition de directive incluait les administrations publiques et certains acteurs (réseaux
sociaux, plateformes de commerce électronique, moteurs de recherche…) mais le ces derniers ont été
supprimés de la version amendée
– Exclusion des micro entreprises (effectif inférieur à 10 personnes et chiffre d’affaires annuel inférieur à 2
millions d’euros) → définition plus restreinte que celle française
• Secteurs considérés comme « essentiels » :
– Energie,
– Transports,
– Services bancaires
– Infrastructures de marché financiers
– Soins de santé
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°23
La proposition de directive européenne et
les obligations des opérateurs
d’infrastructures essentielles
• Obligations similaires à la Loi de programmation militaire française :
– Obligation de fournir à l’autorité compétente les informations nécessaires à
l’évaluation de la mise en œuvre effective des politiques de sécurité, notamment
par un audit de sécurité
– Obligation de prendre les mesures techniques et organisationnelles nécessaires
et proportionnées pour détecter et gérer efficacement les risques qui menacent
la sécurité des réseaux et systèmes informatiques
– Obligation de notifier à l’autorité compétente les failles de sécurité qui ont un
« impact significatif » sur la sécurité des services essentiels. Possibilité
d’informer le public s’il est dans l’intérêt général de divulguer les informations
relatives à l’incident
• Actuellement, discussions en trilogue :
– Un accord entre le Parlement et le Conseil a été trouvé sur les principes
essentiels du projet de directive le 29 juin 2015, au cours de la quatrième
réunion du trilogue
– Les négociations continuent au second semestre 2015
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°24
Quelques mots de
conclusion
• Le droit comparé ?
• La cybersurveillance au regard des
libertés fondamentales ?
• Quelques mots sur la loi relative au
renseignement de Juillet 2015
RÉUNION MENSUELLE
Mardi 17 Novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors
Philippe HERVIAS,
Directeur, IS Audit
SANOFI
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°26
AGENDA
1. Un modèle de chaine de gestion des risques
a. Vue d’ensemble
b. Rôles et responsabilités des opérationnels SI
c. Les leviers d’action de l’Audit Interne
2. Les contrôles classiques de sécurité SI
3. Les contrôles spécifiques à la cyber sécurité
4. La couverture du cyber risque
5. Conclusion
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°27
Un modèle de chaine de gestion
des risques - vue d’ensemble
As defined by the European Confederation of Institutes of Internal Auditing
*
*
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°28
Un modèle de chaine de gestion
des risques – Opérationnels SI
• Première ligne de maîtrise
– Mise en œuvre et exploitation des dispositifs
techniques (de protection, de détection,
paramétrage systèmes, documentation…)
• Deuxième ligne de maîtrise
– Politiques d’usage et de mise en œuvre (prise
en compte des lois et réglementations,
référentiel de contrôle interne…)
– Suivi de la mise en œuvre et du maintien des
préconisations par les opérationnels
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°29
Un modèle de chaine de gestion
des risques – l’Audit Interne
• Analyse et hiérarchisation des risques
• Analyse de la pertinence et du niveau de
maturité des premières lignes
• Contrôle du design et de la mise en œuvre
des processus et des solutions
– Cadre de contrôle interne + référentiel Audit
– Tests substantifs de robustesse
• Evaluation des schémas organisationnels
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°30
Les contrôles classiques
de sécurité SI
• Fondamentaux TI
– durcissement, correctifs, journaux d’activité…
– antivirus, chiffrement…
• Gestion des accès au SI
– gestion des comptes, habilitation, droits
d’accès, authentification…
• Protection périmétrique et réseau
– firewalls
– IDS
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°31
Les contrôles spécifiques
à la cyber sécurité
• Moyens de détection (SIEM…)
– exploitation des journaux d’activité système
– exploitation des évènements révélés par les
équipements de protection (FW/ IDS)
– mise en corrélation des événements collectés
• Moyens de réaction
– organisation
– procédures
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°32
La couverture du cyber
risque
• Limites de ces contrôles
– ressources affectées aux moyens de protection
sous contrainte (limites budgetaires)
– capacité incertaine de contention d’une cyber
attaque ciblée et déterminée menée par des
acteurs puissants (organisations terroriste ou d’état)
• Moyens complémentaires
– souscrire une assurance en couverture du
risque financier de perte potentielle d’actifs
matériels et immatériels
Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°33
Pour conclure
• Niveau d’assurance limité pour les
directions générales
• Nécessité d’une première ligne
opérationnelle sécurité SI efficace
• Besoin d’une deuxième ligne pertinente et
robuste en sécurité des SI
• Une organisation Audit Interne adaptée et
plurielle (experts sécurité SI, généralistes,
spécialistes du SI ou de la Fraude)
Questions / Réponses
RÉUNION MENSUELLE
Mardi 17 Novembre 2015
L’IFACI est affilié à
The Institute of Internal Auditors

Contenu connexe

Tendances

Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
Radouane Mrabet
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécurité
ColloqueRISQ
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Francois-Xavier DJIMGOU
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
Antoine Vigneron
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
EuraTechnologies
 
La cybercriminalité: Enjeux et Pespectives
 La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives
wallace04
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
ssuser0da89f
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
Antoine Vigneron
 
User centric security
User centric securityUser centric security
User centric security
Alain EJZYN
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
ncaproni
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
René Vergé
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
Antoine Vigneron
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
Personal Interactor
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Christian Charreyre
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange Group
Rennes Atalante
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
Marc Guichard
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
Jean-Michel Tyszka
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprise
mariejura
 

Tendances (20)

Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécurité
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
 
La cybercriminalité: Enjeux et Pespectives
 La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
User centric security
User centric securityUser centric security
User centric security
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
Cybersécurité et rgpd
Cybersécurité et rgpdCybersécurité et rgpd
Cybersécurité et rgpd
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange Group
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprise
 

En vedette

Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMC
M-Paloma
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude   Aix-en-ProvenceL'informatique et la fraude   Aix-en-Provence
L'informatique et la fraude Aix-en-Provence
Antoine Vigneron
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
Antoine Vigneron
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
Antoine Vigneron
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simplicite
Antoine Vigneron
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simplicite
Antoine Vigneron
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en Europe
Antoine Vigneron
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numérique
Antoine Vigneron
 
Gouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSAGouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSA
Antoine Vigneron
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
Antoine Vigneron
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
GOTIC CI
 
Cybercrime.ppt
Cybercrime.pptCybercrime.ppt
Cybercrime.ppt
Aeman Khan
 
CAMERA
CAMERACAMERA
CAMERA
Ayat Aljafar
 
COLLOQUE GREC-O Systémique, Complexité,
COLLOQUE GREC-O  Systémique, Complexité,COLLOQUE GREC-O  Systémique, Complexité,
COLLOQUE GREC-O Systémique, Complexité,
OPcyberland
 
New Poster
New PosterNew Poster
New Poster
guestfcaa6af
 
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai  2015IFACI, Gestion de crise et continuité d'activité - 21 mai  2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
Antoine Vigneron
 
Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Propriété intellectuelle et biens communs de la connaissance dans l'environne...Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Calimaq S.I.Lex
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2Cédric Lefebvre
 

En vedette (20)

Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMC
 
L'informatique et la fraude Aix-en-Provence
L'informatique et la fraude   Aix-en-ProvenceL'informatique et la fraude   Aix-en-Provence
L'informatique et la fraude Aix-en-Provence
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simplicite
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simplicite
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en Europe
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numérique
 
Gouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSAGouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSA
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Cybercrime.ppt
Cybercrime.pptCybercrime.ppt
Cybercrime.ppt
 
CAMERA
CAMERACAMERA
CAMERA
 
COLLOQUE GREC-O Systémique, Complexité,
COLLOQUE GREC-O  Systémique, Complexité,COLLOQUE GREC-O  Systémique, Complexité,
COLLOQUE GREC-O Systémique, Complexité,
 
New Poster
New PosterNew Poster
New Poster
 
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai  2015IFACI, Gestion de crise et continuité d'activité - 21 mai  2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
 
Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Propriété intellectuelle et biens communs de la connaissance dans l'environne...Propriété intellectuelle et biens communs de la connaissance dans l'environne...
Propriété intellectuelle et biens communs de la connaissance dans l'environne...
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
 

Similaire à Cybercriminalité: menaces et parades

CYBER SECURITY & FINTECH
CYBER SECURITY & FINTECHCYBER SECURITY & FINTECH
CYBER SECURITY & FINTECH
Djallal BOUABDALLAH
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
Stéphanie Roger
 
Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevenslecointe666
 
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdfCopy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
aitomarnazha
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Web-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESWeb-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUES
mcperthuis
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
Lexing - Belgium
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
Net4All
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
molastik
 
Ch3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_introCh3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_intro
Radouane Mrabet
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
COMPETITIC
 
Point d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberPoint d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyber
Comsoce
 
La RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain PothinLa RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain Pothin
aOS Community
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
PRONETIS
 
L'ordre institutionnel national et international de les luttes contre la crim...
L'ordre institutionnel national et international de les luttes contre la crim...L'ordre institutionnel national et international de les luttes contre la crim...
L'ordre institutionnel national et international de les luttes contre la crim...
Lounesbendaoud
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
Market iT
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
SecludIT
 

Similaire à Cybercriminalité: menaces et parades (20)

CYBER SECURITY & FINTECH
CYBER SECURITY & FINTECHCYBER SECURITY & FINTECH
CYBER SECURITY & FINTECH
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNIL
 
Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevens
 
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdfCopy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
Copy of REGLEMENTATION DE L’INTERET AU MAROC .pdf
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Web-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUESWeb-conférence CYBER-RISQUES
Web-conférence CYBER-RISQUES
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
Ch3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_introCh3 1 cybercriminalite_intro
Ch3 1 cybercriminalite_intro
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Point d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberPoint d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyber
 
La RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain PothinLa RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain Pothin
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
L'ordre institutionnel national et international de les luttes contre la crim...
L'ordre institutionnel national et international de les luttes contre la crim...L'ordre institutionnel national et international de les luttes contre la crim...
L'ordre institutionnel national et international de les luttes contre la crim...
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
Scanner de vulnérabilités : recommandés / obligatoires on vous dit tout !
 
Apercu
ApercuApercu
Apercu
 

Plus de Antoine Vigneron

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
Antoine Vigneron
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
Antoine Vigneron
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDAS
Antoine Vigneron
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notaires
Antoine Vigneron
 
Bitcoin et le bitcoin
Bitcoin et le bitcoinBitcoin et le bitcoin
Bitcoin et le bitcoin
Antoine Vigneron
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?
Antoine Vigneron
 
CIO advisory English
CIO advisory English CIO advisory English
CIO advisory English
Antoine Vigneron
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@Post
Antoine Vigneron
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendre
Antoine Vigneron
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
Antoine Vigneron
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...
Antoine Vigneron
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussie
Antoine Vigneron
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
Antoine Vigneron
 
Cloud and compliance REX
Cloud and compliance REXCloud and compliance REX
Cloud and compliance REX
Antoine Vigneron
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital era
Antoine Vigneron
 
Meeting the challenges of big data
Meeting the challenges of big dataMeeting the challenges of big data
Meeting the challenges of big data
Antoine Vigneron
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
Antoine Vigneron
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 

Plus de Antoine Vigneron (18)

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDAS
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notaires
 
Bitcoin et le bitcoin
Bitcoin et le bitcoinBitcoin et le bitcoin
Bitcoin et le bitcoin
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?
 
CIO advisory English
CIO advisory English CIO advisory English
CIO advisory English
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@Post
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendre
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussie
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
Cloud and compliance REX
Cloud and compliance REXCloud and compliance REX
Cloud and compliance REX
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital era
 
Meeting the challenges of big data
Meeting the challenges of big dataMeeting the challenges of big data
Meeting the challenges of big data
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 

Cybercriminalité: menaces et parades

  • 1. RÉUNION MENSUELLE Mardi 17 novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Cybercriminalité: menaces et parades
  • 2. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°2 Présentation des intervenants • Christophe LEMILLE, Chef de mission Audit IT, MACIF • Fabrice NAFTALSKI, Avocat associé, EY Société d’avocats • Philippe HERVIAS, Directeur, IS Audit, SANOFI
  • 3. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°3 Déroulé • Définition des termes et notions, état de la menace • Les aspects juridiques et réglementaires • Les lignes de défense et l’Audit
  • 4. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°4 RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Christophe LEMILLE, Chef de mission Audit IT, MACIF
  • 5. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°5 Définition • Définition de la cybercriminalité (1) : « Toutes infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement Internet. » • Spécificités d’une cyber attaque (2): – Invisible, ou difficile à identifier – Étendue difficile à évaluer – Expertises et compétences techniques multiples Sources : (1) Rapport interministériel sur la cyber criminalité (juin 2014) (2) Rapport CIGREF-INHESJ - Cellule de crise – 2015
  • 6. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°6 Exemples de cyber menaces • Porte dérobée (backdoor) • Attaque par force brute (brute force) • Dépassement de mémoire tampon (buffer overflow) • Injection de codes indirecte (XSS) et injection SQL • Déni de service (DoS) • Attaque de l’homme du milieu (MiTM) • Hameçonnage et harponnage (phishing) • Usurpation (spoofing) • Attaque jour zéro (zero day exploit) • Menaces avancées persistantes (APT) Source : ISACA, Cybersecurity fundamentals study guide - 2015
  • 7. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°7 Les acteurs de cyber menaces • Cyber criminels de droit commun: ØDélinquants sexuels ØCyber violents ØCyber escrocs • Cyber criminels visant les entités étatiques et les opérateurs d’importance vitale (OIV) ØCyber mercenaires ØCyber espions ØCyber terroristes Source : Rapport interministériel sur la cyber criminalité (M. Robert Juin 2014)
  • 8. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°8 Les acteurs de cyber menaces Agent de Menace Motivation Compétence Technologie Expertise Utilisation d'outils Script Kiddies Intérêt personnel Faible Faible Faible Sans Hackers Intérêt personnel Faible Faible Faible Sans Employés Intérêt personnel Faible Faible Faible Sans Cyber espions d'états Avantage concurrentiel Forte Forte Forte Avec Cyber espions d'entreprises Avantage concurrentiel Forte Forte Forte Avec Hacktivistes Sociale Forte Forte Forte Avec Cyber terroristes Idéologique Forte Forte Forte Avec Cyber criminels Profit Forte Forte Forte Avec Cyber guerriers Identitaire Forte Forte Forte Avec Source : ISACA : Cybersecurity Fundamentals Study Guide 2015
  • 9. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°9 Evolutions des cyber menaces • Augmentation mondiale 2014 / 2013 (1) : – En nombre : + 120% – En coût pour les entreprises : + 10% • Evénements marquants de 2014 (2) – Des attaques plus fréquentes – Des attaques plus sophistiquées – Des attaques visant la cryptographie – Cyber espionnage – Des escroqueries plus nombreuses • Un risque de cyber intrusions en hausse – Deep Web et Darknets Sources : (1) Rapport CIGREF-INHESJ - Cellule de crise - 2015 (2) CERT-IST Bilan 2014 des failles et attaques – mars 2015
  • 10. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°10 Evolutions des cyber menaces Source : ISACA, Cybersecurity fundamentals study guide - 2015 Risque Ressources / sophistication Script KiddiesHackersHackersCybercriminels Attaques d’Etats Attaques d’entreprises Attaques sophistiquées Attaques simples Argent Intérêt personnel Espionnage Cyber guerre Amusement Nuisance 1980/1990 2012 Menaces avancées persistantes (APT)
  • 11. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°11 RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Fabrice NAFTALSKI, Avocat associé, EY Société d’avocats
  • 12. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°12 I – Cadre légal de la cybercriminalité
  • 13. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°13 Cadre légal de la cybercriminalité • Un cadre légal relativement riche en termes d’infractions de cybercriminalité • Les principaux textes* sont : – Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « Loi Informatique et Libertés » : première loi prévoyant des sanctions pénales du fait de comportements en violation de la loi protégeant les données à caractère personnel (cf. partie 3) – Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique dite « Loi Godfrain »: première loi sanctionnant les actes de cybercriminalité qui intéressent directement les systèmes de traitement automatisé de données (STAD), comme le piratage. Cette loi a été modifiée récemment par la loi n° 2015- 912 du 24 juillet 2015 relative au renseignement qui apporte des précisions quant à la définition des infractions et qui aggrave les peines d’amende – Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale dite « Loi de programmation militaire » : • Au niveau international : Convention du Conseil de l’Europe du 23 novembre 2001 sur la cybercriminalité ou « Convention de Budapest » et ratifiée par la France par une loi du 19 mai 2005. – 3 objectifs : • Harmonisation des législations nationales quant aux incriminations (accès illégal, fraude informatique, atteinte à l’intégrité du système…) • Adaptation des législations nationales au niveau de la procédure pénale appliquée à la cybercriminalité • Amélioration de la coopération pénale en matière d’extradition et d’entraide judiciaire • * liste non exhaustive, s’appliquent également les délits de droit commun (vol, escroquerie …), le délit de contrefaçon, le dispositif pénal de la loi sur les DADSI, des loi HADOPI, de la loi sur la confiance dans l’économie numérique …
  • 14. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°14 II – Les obligations applicables à toutes les entreprises
  • 15. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°15 La protection du savoir-faire • Protection du savoir faire – Définition du savoir-faire: ► Savoir-faire: «un ensemble d’informations pratiques, résultant de l’expérience et testées, qui est : ► secret, c’est-à-dire qu’il n’est pas généralement connu ou facilement accessible ► substantiel, c’est-à-dire important et utile pour la production des produits contractuels, et ► identifié, c’est-à-dire décrit d’une façon suffisamment complète pour permettre de vérifier qu’il remplit les conditions de secret et de substantialité. » Règlement Européen no 316/2014 du 21 mars 2014 – Le savoir faire est protégé par l’action en concurrence déloyale, les bonnes pratiques contractuelles, techniques et organisationnelles – Savoir-faire et droit de la concurrence : • Une plate-forme d’échange entre des concurrents est conforme au droit de la concurrence si (notamment) « l’échange des informations commerciales sensibles entre compagnies participantes est rendu techniquement impossible (obligations réciproques de confidentialité, murs coupe-feu, sauvegardes, codages, cryptages…) » (Source: décision de la Commission européenne COMP/M.2830 du 25 octobre 2002 GF-X) – Secret de fabrique • L’article L621-1 du Code de la propriété intellectuelle renvoyant à l’article L1227-7 (anc. L152-7) du Code du travail énonce des peines de deux ans d’emprisonnement et 30.000 euros d’amende pour la révélation d’un secret de fabrique. • La notion de secret de fabrique est entendue de manière très restrictive par la jurisprudence. Ainsi, cette protection pénale n’est accordée selon une jurisprudence constante qu’aux secrets relatifs à des « procédés techniques à caractère industriel » et non aux secrets à caractère commercial. De la même façon, le régime de la violation du secret de fabrique demeure restrictif dans la mesure où l’auteur de l’infraction ne peut être qu’un « directeur ou un salarié » de l’entreprise titulaire du secret. Seules les personnes liées à l’entreprise par un lien de subordination peuvent donc être considérées comme les auteurs potentiels de l’infraction. Cette limitation semble également avoir pour conséquence que seule une personne physique puisse être poursuivie au titre de l’article L. 621-1 du Code de la propriété intellectuelle
  • 16. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°16 Sécurité des traitements & Notification des failles de sécurité • Protection des données personnelles et Loi Informatique et Libertés : – Obligation légale pénalement sanctionnée par la loi Informatique et Libertés s’agissant des données personnelles, le niveau de sécurité requis étant proportionnellement plus exigeant en fonction de la sensibilité du traitement (entendu comme atteinte à la vie privée) ou de règles sectorielles (secret médical, secret bancaire) – Cette obligation va être renforcée par le futur règlement sur la protection des données (infra)
  • 17. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°17 Sécurité des traitements & Notification des failles de sécurité Cadre légal actuel Projet de règlement ► Obligation de sécurité incombant au responsable de traitement: ► Mettre en place des mesures appropriées de sécurité et de confidentialité contre: ► L’accès et la communication non autorisés ► La destructionet la perte accidentellesou illicites ► L’altération des données ► Toute autre forme de traitement irrégulier ► Mettre en place des mesures de sécurité physique et logique par exemple: ► Accès réservés aux personnes ayant vocation à y avoir accès au regard des missions confiées ► Accès aux données via login/mot de passe ► Mesures de cryptage ► Accord de confidentialité ► Etc. ► Obligation de sécurité incombant à la fois au responsable de traitement et au sous-traitant: ► Le responsable de traitement et le sous traitant doivent prendre de mesures techniques et organisationnelles appropriées: ► A la suite d’une évaluation des risques ► En fonction des techniquesles plus récentes ► En fonction des coûts liés à leur mise en œuvre; ► Au regard des risques présentéspar le traitement ► En fonction de la nature des données à protéger ► Obligation de sécurité renforcée en cas traitement de données sensibles ► Possibilité pour l’autorité locale de contrôler si un sous traitant respecte bien les obligations de sécurité qui lui incombent
  • 18. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°18 Sécurité des traitements & Notification des failles de sécurité Cadre légal actuel Projet de règlement ► Obligation de notifier les failles de sécurité à la CNIL limitée aux fournisseurs d’accès responsable de traitement; Le fournisseur d’accès responsable de traitement est dispensée de cette obligation si il prouve qu’il a mis en œuvre des mesures appropriées pour rendre inintelligibleles données personnelles concernées par la faille. Ø Obligations de notification des failles de sécurité *des données exposant les personnes concernées à un risque élevé au regard de leur droits et libertés, étendue à tous les responsables de traitement; la notification contiendra: ► Les catégories de données concernées ► Les conséquences de la violationde données ► Les mesures prises pour y remédier ► Obligation pour les sous-traitants d’alerter et d’informer le responsable de traitement de l’existence d’une faille de sécurité; ► Obligation pour le responsable de traitement d’alerter la personne concernée de l’existence d’une faille de sécurité, si cette faille porte atteinte : ► A La protection des données à caractère personnel; ► A La vie privée; ► Aux droits et aux intérêts légitimes de la personne concernée. Cette communication n’est pas obligatoire:Si le responsable de traitement prouve qu’il a bien mis en œuvre des mesures de protection appropriées alors *Si elle risque d’entrainer des mesures disproportionnéesSi elle risque de porter atteinte à un intérêt public important» *Modifications du Conseil de l’union européenne
  • 19. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°19 III – Les obligations des OIV
  • 20. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°20 Notion d’OIV • Introduite par la Loi de programmation militaire de 2013, aux articles L1332-1 et suivants du Code de la défense • Notion d’Opérateurs d’Importance Vitale (OIV) : – Opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation (Article L. 1332-1 Code de la défense) – Etablissements mentionnés à l’article L. 511-1 du Code de l’environnement ou comprenant une installation nucléaire de base visée à l’article L. 593-1 du Code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population (Article L. 1332-2 Code de la défense) • Les OIV sont désignés par le ministre coordonnateur (article R1332-3 du Code de la défense) • Un OIV gère une activité dans un secteur d’importance vitale, c’est-à-dire qui – Ont trait à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations, à l'exercice de l'autorité de l'État, au fonctionnement de l'économie, au maintien du potentiel de défense, ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables; – Ou peuvent présenter un danger grave pour la population.
  • 21. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°21 Obligations des OIV (articles R 1332-1 et suivants du Code de la défense) • Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information de ces entités • Coopération avec les institutions gouvernementales : – Obligation d’élaborer et de communiquer au Premier Ministre un plan de sécurité définissant la politique générale de protection des établissements, ouvrages ou installations, notamment ceux organisés en réseau – Obligation de conclure une convention avec le service de l’Etat ou le prestataire de service chargé d’exploiter les systèmes de détection – Obligation de communiquer à l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information, qui dépend du Premier Ministre) les incidents détectés dès qu’ils en ont connaissance, et de répondre aux demandes d’information de l’ANSSI – Obligations de respecter les mesures de sécurité élaborées par le Premier Ministre et se soumettre, sur demande de ce dernier, aux opérations de contrôle destinées à vérifier le niveau de sécurité et le respect des règles de sécurité
  • 22. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°22 La proposition de directive européenne et les obligations des opérateurs d’infrastructures essentielles • Proposition de directive n° 2013/0027 du 7 février 2013 concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union, amendée par la Résolution législative du Parlement européen du 13 mars 2014 : Exigence d’un niveau de sécurité minimum • Opérateurs concernés : – Les opérateurs d’infrastructures essentielles au maintien de fonctions économiques et sociétales vitales dans une liste de secteurs déterminés – Initialement la proposition de directive incluait les administrations publiques et certains acteurs (réseaux sociaux, plateformes de commerce électronique, moteurs de recherche…) mais le ces derniers ont été supprimés de la version amendée – Exclusion des micro entreprises (effectif inférieur à 10 personnes et chiffre d’affaires annuel inférieur à 2 millions d’euros) → définition plus restreinte que celle française • Secteurs considérés comme « essentiels » : – Energie, – Transports, – Services bancaires – Infrastructures de marché financiers – Soins de santé
  • 23. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°23 La proposition de directive européenne et les obligations des opérateurs d’infrastructures essentielles • Obligations similaires à la Loi de programmation militaire française : – Obligation de fournir à l’autorité compétente les informations nécessaires à l’évaluation de la mise en œuvre effective des politiques de sécurité, notamment par un audit de sécurité – Obligation de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour détecter et gérer efficacement les risques qui menacent la sécurité des réseaux et systèmes informatiques – Obligation de notifier à l’autorité compétente les failles de sécurité qui ont un « impact significatif » sur la sécurité des services essentiels. Possibilité d’informer le public s’il est dans l’intérêt général de divulguer les informations relatives à l’incident • Actuellement, discussions en trilogue : – Un accord entre le Parlement et le Conseil a été trouvé sur les principes essentiels du projet de directive le 29 juin 2015, au cours de la quatrième réunion du trilogue – Les négociations continuent au second semestre 2015
  • 24. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°24 Quelques mots de conclusion • Le droit comparé ? • La cybersurveillance au regard des libertés fondamentales ? • Quelques mots sur la loi relative au renseignement de Juillet 2015
  • 25. RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors Philippe HERVIAS, Directeur, IS Audit SANOFI
  • 26. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°26 AGENDA 1. Un modèle de chaine de gestion des risques a. Vue d’ensemble b. Rôles et responsabilités des opérationnels SI c. Les leviers d’action de l’Audit Interne 2. Les contrôles classiques de sécurité SI 3. Les contrôles spécifiques à la cyber sécurité 4. La couverture du cyber risque 5. Conclusion
  • 27. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°27 Un modèle de chaine de gestion des risques - vue d’ensemble As defined by the European Confederation of Institutes of Internal Auditing * *
  • 28. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°28 Un modèle de chaine de gestion des risques – Opérationnels SI • Première ligne de maîtrise – Mise en œuvre et exploitation des dispositifs techniques (de protection, de détection, paramétrage systèmes, documentation…) • Deuxième ligne de maîtrise – Politiques d’usage et de mise en œuvre (prise en compte des lois et réglementations, référentiel de contrôle interne…) – Suivi de la mise en œuvre et du maintien des préconisations par les opérationnels
  • 29. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°29 Un modèle de chaine de gestion des risques – l’Audit Interne • Analyse et hiérarchisation des risques • Analyse de la pertinence et du niveau de maturité des premières lignes • Contrôle du design et de la mise en œuvre des processus et des solutions – Cadre de contrôle interne + référentiel Audit – Tests substantifs de robustesse • Evaluation des schémas organisationnels
  • 30. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°30 Les contrôles classiques de sécurité SI • Fondamentaux TI – durcissement, correctifs, journaux d’activité… – antivirus, chiffrement… • Gestion des accès au SI – gestion des comptes, habilitation, droits d’accès, authentification… • Protection périmétrique et réseau – firewalls – IDS
  • 31. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°31 Les contrôles spécifiques à la cyber sécurité • Moyens de détection (SIEM…) – exploitation des journaux d’activité système – exploitation des évènements révélés par les équipements de protection (FW/ IDS) – mise en corrélation des événements collectés • Moyens de réaction – organisation – procédures
  • 32. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°32 La couverture du cyber risque • Limites de ces contrôles – ressources affectées aux moyens de protection sous contrainte (limites budgetaires) – capacité incertaine de contention d’une cyber attaque ciblée et déterminée menée par des acteurs puissants (organisations terroriste ou d’état) • Moyens complémentaires – souscrire une assurance en couverture du risque financier de perte potentielle d’actifs matériels et immatériels
  • 33. Cybercriminalité: menaces et paradesLe 17 novembre 2015 Page n°33 Pour conclure • Niveau d’assurance limité pour les directions générales • Nécessité d’une première ligne opérationnelle sécurité SI efficace • Besoin d’une deuxième ligne pertinente et robuste en sécurité des SI • Une organisation Audit Interne adaptée et plurielle (experts sécurité SI, généralistes, spécialistes du SI ou de la Fraude)
  • 34. Questions / Réponses RÉUNION MENSUELLE Mardi 17 Novembre 2015 L’IFACI est affilié à The Institute of Internal Auditors