SlideShare une entreprise Scribd logo
INTERVENANT : PHILIPPE PRESTIGIACOMO
MODULE D’OUVERTURE
« INTRODUCTION À LA CYBER SÉCURITÉ »
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Philippe PRESTIGIACOMO
Dirigeant de la société PRONETIS
Consultant SSI – Lead Auditor 27001 / Risk Manager 27005
Membre de la Réserve de Cyber Défense Citoyenne
Professeur associé à Polytech Marseille
PRONETIS – www.pronetis.fr
Société indépendante spécialisée en SSI
Audit – Conseil – Formation – Lutte contre la fraude informatique
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OBJECTIF DE CETTE FORMATION
Objectif
L’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principaux
concepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnes
pratiques applicables à l’ensemble des étudiants quelle que soit sa filière dans
Polytech Marseille.
1. Comprendre les motivations et le besoin de sécurité des systèmes d’information
2. Connaitre les définitions de base et la typologie des menaces
3. Connaitre les grandes orientations de la gestion de la cyber sécurité sur les plans
techniques, organisationnels et juridiques
3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET N°1 – INTRODUCTION - MENACES
Quelques chiffres – statistiques
Cyber criminalité
Hackers – White Hat – Black Hat
Quelques exemples de Cyber attaques – focus Stuxnet
Menaces - illustrations
VOLET N°2 – GRANDS PRINCIPES
Evolution des systèmes d’information
Evolution de la cyber sécurité
Evolution du marché de la cyber sécurité
Principes fondamentaux de la Cyber Sécurité : Besoins, D.I.C.P., Risques
Difficultés de la sécurité - Relativité de la sécurité
VOICI LES DIFFÉRENTS THÈMES ABORDÉS LORS DE CETTE FORMATION
4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET N°3 – MESURES DE SÉCURITÉ
Budget Sécurité – Déclinaison des bonnes pratiques
Mécanismes de sécurité pour atteindre les besoins DICP
Vue d’ensemble des mesures de sécurité - Mesures de sécurité
Métiers en cyber sécurité - La fonction de RSSI
Audit de sécurité
VOLET N°4 – ORGANISATION DE LA SÉCURITÉ EN FRANCE
Organisation de la sécurité en France
Comment réagir en cas de cyber crime ?
Contexte juridique - Le droit des T.I.C.
Lutte contre la cybercriminalité en France
Loi Godfrain - CNIL
VOICI LES DIFFÉRENTS THÈMES ABORDÉS LORS DE CETTE FORMATION
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET 1
6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET N°1 : INTRODUCTION
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
QUELQUES CHIFFRES – STATISTIQUES
CYBER CRIMINALITÉ
HACKERS – WHITE HAT – BLACK HAT
QUELQUES EXEMPLES DE CYBER ATTAQUES – FOCUS STUXNET
LES MENACES - ILLUSTRATIONS
CYBERCRIMINALITÉ
8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Qu’est-ce que la cybercriminalité ?
Activité criminelle portant atteinte aux données, au non-respect des droits d'auteur ainsi
que les activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie et
le harcèlement dans le cyberespace.
Cyber délinquance : individus attirés par l’appât du gain, motivation politique, religieuse,
concurrents directs de l’organisation visée…
Quel est son objectif, ses cibles ?
Gains financiers (accès à de l’information, puis monétisation et revente)
Utilisation de ressources (espace de stockage de films ou autres contenus, botnets)
Chantage, Espionnage
Quelle est la tendance de la cybercriminalité ?
Les "cyber-attaquants" identifient et affinent leurs approches de façon plus
stratégique, ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux
d’infection de leurs attaques (source : Trend Micro)
Kaspersky
Norse
NOUVELLE ÉCONOMIE DE LA CYBERCRIMINALITÉ
9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Une majorité des actes de délinquance réalisés sur Internet sont commis par des
groupes criminels organisés, professionnels et impliquant de nombreux acteurs
1
2
3
4
5
des groupes spécialisés dans le développement de programmes
malveillants et virus informatiques
des groupes en charge de l’exploitation et de la commercialisation de
services permettant de réaliser des attaques informatiques
un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des
hébergeurs malhonnêtes soit des hébergeurs victimes eux-mêmes d’une
attaque et dont les serveurs sont contrôlés par des pirates
des groupes en charge de la vente des données volées, et principalement
des données de carte bancaire
des intermédiaires financiers pour collecter l’argent qui s’appuient
généralement sur des réseaux de mules
QUELQUES CHIFFRES
Coût estimé de la cybercriminalité et du piratage informatique en
2014 pour les entreprises entre 375 et 575
milliards de dollars par an (source IDC) (1/3 dépensé pour tenter
de réparer les dégâts occasionnés)
91%des entreprises ont subi au moins une cyber attaque en
2014, les autres ignorent qu'elles le sont (Cassidian)
La plupart des cyber attaques ont pour but le vol de données après
vient le sabotage et l’atteinte à l’image
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES « HACKERS »
White hat
Les white hat hackers / Ethical hacking
« Pentester », hacker au sens noble du terme, ils testent les
sécurités et les failles pour améliorer les systèmes. Faits
d'armes : ils collaborent avec les autorités pour aider sur les
enquêtes, ils travaillent avec les grandes entreprises pour
améliorer les logiciels et matériels que nous utilisons chaque
jour.
LES « HACKERS »
Black hat
Les black hat hackers / Criminal hacking
Hackers de divers niveaux techniques allant de zéro à des surdoués ayant
diverses motivations dont une en commun : l'argent. Toutes les méthodes
techniques et de manipulations sont utilisées : escroqueries, fausses
annonces, piratages de comptes, piratages de moyens de paiements,
détournement d'actifs… Ils agissent seuls ou en groupe restreints. Mais le
plus dangereux est qu’ils vendent ou louent leurs services aux plus
offrants : mafias, groupe criminels, concurrence déloyale…
Faits d'armes : N'en citons qu'un Vladislav Horohorin , qui a séjourné dans
la prison de Luynes près d'Aix en Provence. Considéré dans le « milieu »
comme un des rois du hacking alias « BadB » arrêté en France et qui était
l'un des 5 cybercriminels les plus recherchés par les services de
renseignements américains. Il serait à l'origine de la majorité des grands
« cyber-braquage » des banques mondiales et certainement le plus grand
trafiquant de cartes bancaires au monde.
LES « HACKERS »
Hacktivistes
Les Hacktivistes / idéologies hacking
De différents niveaux techniques ils utilisent l'art du hacking pour voler des
informations et les divulguer au grand jour afin d’empêcher des
gouvernements ou des entreprises de travailler, voire de les pousser à la
faillite. Leur cheval de bataille : la croyance et l’idéologie. Ils se disent
défenseurs des droits universels, de la liberté d'expression et veulent lutter
contre l'oppression et la censure. Ils utilisent la désobéissance civile de
manière générale.
Faits d'armes : Si le groupe le plus médiatique est certainement les
Anomymous ; ils existent d'autres groupes idéologiques souvent extensions
« techniques » de groupe idéologiques déjà connus.
Ils se sont attaqués à différents gouvernement, à l'église de scientologie, à
de grandes entreprises, des personnes…
LES MENACES
14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Espionnage
industriel
Dérober des
informations
Cyber-
extorsion,
racket
Déni de service
Dénigrement et
déstabilisation
(Cyber)
Terrorisme
Contrefaçon
(10% du
commerce
mondial)
Atteinte à
l’image et
réputation
contre
espionnage, anti-
terrorisme
Atteinte
physique aux
sites
DES RISQUES RÉELS
15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CYBER ATTAQUES
CYBER-ATTAQUES INDUSTRIELLES
Piratage du système d’adduction d’eau de
Springfield
Attaque sur différents gazoducs aux états unis en
2012 - Attaque provenant d’un malware en pièce
jointe d’un mail
En 2012, Cyber attaque de la centrale nucléaire
Three Mile Island au niveau du système de
contrôle commande des pompes de
refroidissement
En 2013, cyber attaque d’un réseau ferroviaire
aux états unis occasionnant de nombreux retards.
17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html
CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le Siemens Organization Block 35 (process
watchdog) est modifié par Stuxnet – Il gère
des opérations critiques qui requièrent des
temps de réponse inférieurs à 100 ms
La cible pourrait être la centrale
de Bushehr, en construction mais
aussi des centrifugeuses sur le
site de Natanz
Famille de PLC SIEMENS concernée :
6ES7-417 et 6ES7-315-2 -> cibles complexes !
* multiples ProfiBus * Puissance CPU
DÉSÉQUILIBRE ATTAQUANT - DÉFENSEUR
• Principe n°1 : Le défenseur doit défendre tous les points; l’attaquant
peut choisir le point le plus faible
• Principe n°2 : Le défenseur ne peut défendre que ce qu’il connaît;
l’attaquant peut rechercher des points vulnérables
• Principe n°3 : Le défenseur se doit d’être vigilant en permanence;
l’attaquant peut attaquer quand il le veut
• Principe n°4 : Le défenseur doit respecter les règles; l’attaquant peut
faire ce qu’il veut
L’avantage de l’attaquant et le dilemme du défenseur :
1919 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMPÉTENCES & SOPHISTICATION DES ATTAQUES
2020 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
D’OÙ VIENT LA MENACE ?
2121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mauvaise utilisation
Malveillance
Ingénierie sociale (Arnaque,
Manipulation)
Catastrophes Naturelles
Intrusions, vers
Codes malicieux : Keylogger,
botnets, sniffer, …
Données
Rebond, propagation …
Web : Contenu illicites
MENACES ET ATTAQUES : LES TYPOLOGIES
Il existe une multitude de critères pour classer les attaques :
Attaques non techniques
Ingénierie sociale, scam, phishing, loterie …
Attaques techniques de type
Attaque directe, par rebond, par réflexion ou « man in the middle »
Attaques en fonction du système utilisé
Infrastructure réseau, système d’exploitation, application
2222 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SITES WEB LÉGITIMES COMPROMIS
23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Selon les SophosLabs, plus de 30 000 sites Web sont
infectés par jour, 80% d'entre eux étant des sites légitimes.
85% de tous les malwares tels que les virus, vers,
spywares, adware et Chevaux de Troie sont transmis par
le Web, principalement par téléchargement passif .
Les envois de pièces jointes
malveillantes continuent d'être largement
pratiqués, mais bien plus
répandu encore est l'envoi de
liens vers des pages Web
infectées.
MENACES ET ATTAQUES : LES TYPOLOGIES
2424 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MENACES ET ATTAQUES : LES TYPOLOGIES
2525 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Idée reçue : Construire une forteresse technique …
• Ce qu’il faut savoir :
– 80% des problèmes de sécurité informatique proviennent de l’intérieur des organisations
– Le maillon faible est humain
– La politique de sécurité informatique n’est jamais définitive
– La sécurité est un ensemble : Il suffit d’un seul élément non sécurisé pour que l’édifice soit
vulnérable
Nécessaire
mais pas suffisant !
Attaques de malware* peuvent frapper à tout moment et n'importe où,
Mots de passe (faciles à pirater)
Smart phones (vol, perte)
Réseaux sociaux (fuite d’information, renseignement)
Supports amovibles (vol, perte, transmission de virus),
CE QUI VOUS MET EN DANGER
… tous ces outils comportent des risques.
*Malware : programme malveillant
2626 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES SMART PHONES
27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RESEAUX SOCIAUX
L’utilisation des
réseaux sociaux
privés et
professionnels
Parfaites sources
d’information pour de
l’ingénierie sociale
25% des fuites
d’informations
sensibles sont
issues des réseaux
sociaux
15% des profils
contiennent des
informations
professionnelles
sensibles
2828 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSEAUX SOCIAUX
Web 2.0 et réseaux sociaux : Quelques
événements marquants
45% des recruteurs consultent les réseaux sociaux
avant d’envisager le recrutement d’un candidat
(FaceBook, LinkedIn, MySpace, Blogs, Twitter)
Pour le fondateur de FaceBook, la protection de la vie
privée est périmée
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés29
L'INGÉNIERIE SOCIALE (OU SOCIAL ENGINEERING)
• 90 % des cas avérés d’escroquerie
impliquent un employé qui aurait par mégarde
donné accès à des informations sensibles.
• Pour pallier cette faiblesse de sécurité, les
entreprises doivent former leur personnel à
éviter de tomber dans les pièges de l’ingénierie
sociale.
• L’ « ingénierie sociale » constitue une « attaque ciblée » qui vise à
abuser de la « naïveté » des employés de l’entreprise :
• pour dérober directement des informations confidentielle, ou
• pour introduire des logiciels malveillants dans le système d’information
3030 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
HAMEÇONNAGE & INGÉNIERIE SOCIALE
Le phishing (ou encore hameçonnage en français) est une technique
dite de "social engineering" ayant pour but de dérober à des individus
leurs identifiants de connexion et mots de passe ou leurs numéros de
cartes bancaires.
Exemple : http://www.eila.univ-paris-diderot.fr/sysadmin/securite/virus/phishing
1. Réception d’un mail utilisant le logo et les couleurs de
l’entreprise
2. Demande pour effectuer une opération comme la
mise-à-jour des données personnelles ou la
confirmation du mot de passe
3. Connexion à un faux-site identique à celui de
l’entreprise et contrôlé par l’attaquant
4. Récupération par l’attaquant des identifiants/mots de
passe (ou tout autre donnée sensible) saisie par le
client sur le faux site
3131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CLOUD COMPUTING
« Cloud Computing », virtualisation
L'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts en
délocalisant leurs contenus et en utilisant des applications à distance. Mais « c'est un
cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes traditionnelles », a
estimé John Chambers, PDG de Cisco.
Avec 45 millions d'utilisateurs, Dropbox est l'un des services
de partage de fichiers dans le nuage les plus populaires. Des
chercheurs ont néanmoins découvert au moins 3 différentes
façons de pirater le service et d'accéder aux données sans
autorisation.
Une mise à jour déficiente a exposé les comptes de tous les
utilisateurs, qui devenaient accessibles simplement en
saisissant l'adresse électronique du client.
32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CLOUD COMPUTING
Les dangers liés au « cloud computing » :
Problématique de la localisation des données, maîtrise de la confidentialité des informations
Le client est spectateur de la sécurisation de ses données
Sécurité bas de gamme mise en place – VLAN pour le cloisonnement des données
Identification de la chaîne de responsabilité – déresponsabilisation des propriétaires de
l’information dilution des risques sur les intervenants
Haute indisponibilité parfois
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés33
PAUSE-RÉFLEXION
Avez-vous des questions ?
34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Chiffres
Statistiques
Cyber criminalité
Hackers White Hat
Black Hat
Les menaces
actuelles -
illustrations
Quelques
exemples de
Cyber attaques
PAUSE RÉCRÉATIVE
DÉMONSTRATIONS
36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉMONSTRATIONS
37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET 2
38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET N°2 : GRANDS PRINCIPES
39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EVOLUTION DES SYSTÈMES D’INFORMATION
EVOLUTION DE LA CYBER SÉCURITÉ
EVOLUTION DU MARCHÉ DE LA CYBER SÉCURITÉ
PRINCIPES FONDAMENTAUX DE CYBER SECURITE
D.I.C.P., MENACES, ATTAQUES, RISQUES, IMPACTS
DIFFICULTÉS DE LA SÉCURITÉ - RELATIVITÉ DE LA SÉCURITÉ
CYBER SÉCURITÉ
40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés41
42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES
D’INFORMATION
43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source : Denis Virole Telindus et Jean-Louis Brunel
LES 4 GRANDES PHASES DE L’ÉVOLUTION DU MARCHÉ SÉCURITÉ
44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
10% d’augmentation chaque année en France
Un des secteurs les plus dynamiques
45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LE SYSTÈME D’INFORMATION (S.I.)
Le S.I. doit permettre et faciliter la mission de l’organisation
La sécurité du S.I. consiste donc à assurer la sécurité de
l’ensemble de ces biens.
Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs :
personnesite matériel réseau logiciel organisation
actifs primordiaux
actifs supports
processus métiers
et informations
ISO/IEC 27005:2008
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
3 critères sont retenus pour répondre à cette problématique,
connus sous le nom de D.I.C.
Disponibilité
Intégrité
Confidentialité
Bien à
protéger
Propriété d'accessibilité au moment voulu
des biens par les personnes autorisées (i.e. le bien
doit être disponible durant les plages d’utilisation prévues)
Propriété d'exactitude et de complétude des biens
et informations (i.e. une modification illégitime
d’un bien doit pouvoir être détectée et corrigée)
Propriété des biens de n'être accessibles
qu'aux personnes autorisées
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment
évaluer si ce bien est correctement sécurisé ?
• 1 critère complémentaire est souvent associé au D.I.C.
Besoin de sécurité : « Preuve »
Preuve
Bien à
protéger
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
lesquelles ce bien évolue. Cette propriété englobe
Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs
L’imputabilité du responsable de l’action effectuée
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses
services sur internet :
Exemple d’évaluation DICP
Serveur
web
Disponibilité = Très fort
Un haut niveau de disponibilité du site
web est nécessaire, sans quoi
l’entreprise ne peut atteindre son
objectif de faire connaitre ses services
au public
Intégrité = Très fort
Un haut niveau d’intégrité des
informations présentées est
nécessaire. En effet, l’entreprise ne
souhaiterait pas qu’un concurrent
modifie frauduleusement le contenu du
site web pour y insérer des
informations erronées (ce qui serait
dommageable)
Confidentialité = Faible
Un faible niveau de confidentialité
suffit. En effet, les informations
contenues dans ce site web sont
publiques par nature!
Preuve = Faible
Un faible niveau de preuve suffit.
En effet, ce site web ne permet
aucune interaction avec les
utilisateurs, il fournit simplement
des informations fixes.
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Différences entre sureté et sécurité
* Certaines de ces parades seront présentées dans ce cours
Sûreté
Protection contre les
dysfonctionnements et accidents
involontaires
Exemple de risque : saturation d’un
point d’accès, panne d’un disque,
erreur d’exécution, etc.
Quantifiable statistiquement (ex. : la
durée de vie moyenne d’un disque est
de X milliers d’heures)
Parades : sauvegarde,
dimensionnement, redondance des
équipements…
Sécurité
Protection contre les actions malveillantes
volontaires
Exemple de risque : blocage d’un service,
modification d’informations, vol
d’information
Non quantifiable statistiquement, mais il
est possible d’évaluer en amont le niveau
du risque et les impacts
Parades : contrôle d’accès, veille sécurité,
correctifs, configuration renforcée,
filtrage…*
« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.
L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Vulnérabilité
• Faiblesse au niveau d’un bien (au niveau de la conception, de la
réalisation, de l’installation, de la configuration ou de l’utilisation du
bien).
Notion de « Vulnérabilité »
Vulnérabilités
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Menace
• Cause potentielle d’un incident, qui pourrait entrainer des dommages sur
un bien si cette menace se concrétisait.
Notion de « Menace »
Menaces
Code malveillant
Personnes extérieures malveillantes
Perte de service
Stagiaire
malintentionné
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Attaque
• Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une
attaque représente la concrétisation d’une menace, et nécessite
l’exploitation d’une vulnérabilité.
Notion d’« Attaque »
Attaques
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Attaque
• Une attaque ne peut donc avoir lieu (et réussir)
que si le bien est affecté par une vulnérabilité.
Notion d’« Attaque »
Ainsi, tout le travail des experts sécurité consiste à s’assurer que le
S.I. ne possède aucune vulnérabilité.
Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces
vulnérabilités plutôt que de viser un objectif 0 inatteignable.
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Vulnérabilités
Menaces
Impact
RISQUE
55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La sécurité a pour objectif de réduire les risques pesant sur le système
d’information, pour limiter leurs impacts
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
Impacts financiers
Interruption de la production
Modification des paramètres
de fabrication
Impacts juridiques
et réglementaires
Impacts
organisationnels
Impacts sur l’image
et la réputation
Sécurité
des S.I.
Dommages matériels
et/ou corporels
Responsabilité civil ou
pénale
Impact
environnemental
Pollution du site de
production et de
l’environnement
COMPLEXITÉ DE L’APPROCHE CYBER SÉCURITÉ
Entreprise
LAN / station de travail
Environnement
Informatique et télécom
Equipements
de sécurité
Fournisseur
d’accès
Fournisseurs de services
- Opérateurs Télécom
- Hébergeurs,
- Paiement sécurisé,
- Sites de sauvegarde et secours
Environnement
Général : EDF
Intervenants
en amont
dans la conception
et la réalisation
des environnements
Personnel
Serveurs
Prestataires
de services
infogérance
56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTHODOLOGIE
57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Liste des biens sensibles
Liste des menaces et modes
opératoires
Listes des impacts et probabilités
Liste des contre-mesures
1 : Quoi protéger et pourquoi ?
2 : De quoi se protéger ?
3 : Quels sont les risques ?
4 Comment protéger l’entreprise ?
ORDONNANCEMENT DES ACTIONS
58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Recenser les actifs numériques
Évaluation des risques
–Intégrité & Confidentialité des données,
–Disponibilité du SI
–Détournement d’activité, Image de Marque,
–Sanctions pénales
Mettre en place les protections et préventions
Formaliser les procédures et méthodologies
Mettre en place les contrôles et surveillances
Formaliser un plan de reprise
Effectuer une veille technologique lié à la sécurisation
APPROCHE NORMATIVE ET ANALYSE DE RISQUES
Analyser les risques de votre système d’information (méthode EBIOS,
norme ISO 27005)
Suivre les recommandations et les bonnes
pratiques de sécurité issues des normes de sécurité – Normes ISO
27xxx ( Exemple : norme ISO-27001 et 27002), Normes IEC 62443-XX
( Exemple : normes ISO-62443-2 ISO-62443-3, ISO-62443-4)
5959 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
…d’où la nécessité d’avoir une approche méthodologique et
transversale pour cadrer la démarche de sécurisation de
votre système d’information
LA SÉCURITÉ EST UN PROCESSUS CONTINU
• La sécurité ne se met pas en œuvre en une seule fois
• Elle fait partie intégrante du cycle de vie du système
• Il s’agit d’un processus itératif qui n’est jamais fini et doit
être corrigé et testé régulièrement
La sécurité n’est pas une activité ponctuelle :
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés60
« La sécurité absolue est inatteignable,
c’est un voyage, pas une destination »
LES DIFFICULTÉS DE LA SÉCURITÉ
Les usagers ont des besoins spécifiques en sécurité informatique,
mais en général ils ont aucune expertise dans le domaine
L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de
comprendre ses besoins et de mettre en œuvre les moyens
adéquates
Performance et confort d’utilisation Versus Sécurité
Les mécanismes de sécurité consomment des ressources
additionnelles
La sécurité interfère avec les habitudes de travail des usagers
Ouverture vers le monde extérieur en constante progression
Les frontières de l’entreprise sont virtuelles ex : télémaintenance
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés61
LES DIFFICULTÉS DE LA SÉCURITÉ
Centre de coût versus centre de profit
La justification des dépenses en matière de sécurité n’est pas évidente
Le retour sur investissement en sécurité est un exercice parfois difficile
La sécurité n’est pas une fin en soi mais résulte d’un compromis
entre :
- un besoin de protection ;
- le besoin opérationnel qui prime sur la sécurité (coopérations,
interconnexions…)
- les fonctionnalités toujours plus tentantes offertes par les technologies
(sans fil, VoIP…)
- un besoin de mobilité (technologies mobiles…)
- des ressources financières et des limitations techniques
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés62
RELATIVITÉ DE LA SÉCURITÉ
« The only truly secure system is one
that is powered off, cast in a block of
concrete and sealed in a lead-lined
room with armed guards - and even
then I have my doubts. »
— Eugene H. Spafford ,
http://www.cerias.purdue.edu/homes/spaf/quotes.html
De la relativité de la sécurité :
63 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LE FACTEUR HUMAIN
Le principal facteur de sinistre est humain
La principale source de risque est l’erreur pas la
malveillance.
La sécurité est une affaire de management. La sécurité
repose d'abord sur les hommes et
l'organisation, elle nécessite un encadrement et un effort permanents.
La mobilisation de l'ensemble du personnel sur les enjeux de la sécurité donne un effet
de levier considérable aux actions de prévention, de détection, de protection et de veille
technologique.
La sécurité est l’affaire de tous.
64 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RELATIVITÉ DE LA SÉCURITÉ
65 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Evolution des
systèmes
d’information
Evolution de la
cyber sécurité
Principes
fondamentaux
de la cyber
sécurité
Evolution du
marché de la
cyber sécurité
DICP, Menaces,
vulnérabilités,
Risques
Difficultés de la
sécurité -
Relativité de la
sécurité
VOLET 3
68 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET N°3 : MESURES DE SÉCURITÉ
69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
BUDGET SÉCURITÉ – SOURCE CLUSIF – 2014
DÉCLINAISON DES BONNES PRATIQUES
MÉCANISMES DE SÉCURITÉ POUR ATTEINDRE LES BESOINS DICP
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
MESURES DE SÉCURITÉ
MÉTIERS EN CYBER SÉCURITÉ - LA FONCTION DE RSSI
AUDIT DE SÉCURITÉ
BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014
70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RSSI :
Responsable
Sécurité
DÉCLINAISON DES BONNES PRATIQUES
71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source : Jean-Louis Brunel
Détection d’intrusion
Centralisation des logs
Audit / Tests intrusifs
MÉCANISMES DE SÉCURITÉ POUR ATTEINDRE LES
BESOINS DICP
72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de
garantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes de
sécurité participant à cette garantie :
Cryptographie
Mécanisme permettant d’implémenter du chiffrement et des
signatures électroniques
Pare-feu
Équipement permettant d’isoler des zones réseaux entre-elles
et de n’autoriser le passage que de certains flux seulement
Contrôles d’accès
logiques
Mécanismes permettant de restreindre l’accès en
lecture/écriture/suppression aux ressources aux seules
personnes dument habilitées
Sécurité physique des
équipements et locaux
Mécanismes de protection destinés à protéger l’intégrité
physique du matériel et des bâtiments/bureaux.
Anti-virus
Mécanisme technique permettant de détecter toute attaque
virale qui a déjà été identifiée par la communauté sécurité
D I C P
73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Capacité d’audit
Mécanismes organisationnels destinés à s’assurer de l’efficacité
et de la pertinence des mesures mises en œuvre. Participe à
l’amélioration continue de la sécurité du S.I.
Clauses contractuelles
avec les partenaires
Mécanismes organisationnels destinés à s’assurer que les
partenaires et prestataires mettent en œuvre les mesures
nécessaires pour ne pas impacter la sécurité des S.I. de leurs
clients
Formation et
sensibilisation
Mécanismes organisationnels dont l’objectif est d’expliquer aux
utilisateurs, administrateurs, techniciens, PDG, clients, grand
public, etc. en quoi leurs actions affectent la sécurité des S.I.
Diffusion des bonnes pratiques de sécurité.
Le cours actuel en est une illustration !
D I C P
MÉCANISMES DE SÉCURITÉ POUR ATTEINDRE LES
BESOINS DICP
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Politique,
procédures
Sécurité
physique
DMZ
Réseau
Interne
Machin
e
Applica
tion
Donn
éeChiffrement, mots de passe, droit d’accès par fichier/répertoire
Contrôle des entrées, test d’intrusion,
communication (https, ssh…), traçabilité…
Antivirus, Correctifs de sécurité, HIDS, Authentification
Sous-réseau, NIDS, VLAN…
Pare-feu, VPN, Zone démilitarisée…
Gardiens, verrous, contrôle d’accès…
Politique de sécurité, procédure de secours,
sensibilisation…
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Anti-virus
• Anti-Spyware,
• Anti-rootkit
• …
• Détecter les vulnérabilités
• Appliquer les Correctifs
• Sondes IDS
• Analyse des traces
•Supervision, Veille,
•Surveillance
• Firewall
• Compartimenter le
réseau et les systèmes
• Sécuriser et certifier
les échanges (VPN /
Mails chiffrés)
• Former et sensibiliser les
utilisateurs
• Consignes en cas
d’attaque ou de doutes
• Mise en œuvre de
procédures de sécurité
• Plan de continuité
•Sauvegarde et protection des supports
•Redondance des systèmes
• Classifier les données
• Analyse de risques
• Protéger des données
• Accès restrictifs
Gestion de la sécurité (non exhaustif)
Données
•Protéger et isoler
les réseaux sans fil
MESURES DE SÉCURITÉ
76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Architecture
- Séparation des niveaux
- Architecture rouge/noir
- DMZ, Proxy, HoneyPot
Intégration de COTS
- Produits de chiffrement
- Antivirus
- Firewall / VPN
- IDS/IPS
- SIEM
- Diode
- Authentification biométrique
- Offuscation
Développements spécifiques
- Configuration des OS Windows, Linux, VxWorks
- Chargeur sécurisé, Dongle de sécurité
- Développements de service de sécurité (log, …)
MESURES DE SÉCURITÉ
77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Sécurité physique
- Contrôle d’accès électronique
- Alarmes
- Vidéo-surveillance
- Système de détection d’intrusion
- Films antieffraction
Sécurité organisationnelle
- Réglementation
- Procédures d’exploitation de la sécurité
- Politiques
- PCA/PRA
Sécurité humaine
- Habilitation
- Sensibilisation
- Entrainement
CCTV
Locks
Safes
Digicode
Protected areas
Motion detectors
security seals
Holograms
Bouchon
RJ45
Bouchon
USB
Différenciateur physique
MESURES DE SÉCURITÉ
78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Faire de la sécurité opérationnelle :
Identification de l’information critique ;
Analyse de la menace ;
Analyse des vulnérabilités ;
Estimation du risque ;
Application de contre-mesures adaptées.
Les produits suivants sont donnés à titre d’exemple.
Les produits à utiliser doivent être qualifiés par l’ANSSI avec un
niveau EAL 3 ou EAL 3+
http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/
MESURES DE SÉCURITÉ
79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Security Operation Center outsourcing de la sécurité
Concevoir et manager un dispositif de sécurité adapté nécessite :
– Une bonne connaissance / évaluation des risques
– Une approche globale et transversale faisant interagir les fonctions
Direction Générale, Direction de la Sécurité des Systèmes
d'Information, Direction du Contrôle Interne et Direction de l'Audit
– Un modèle de conception dynamique qui intègre l’ évolution des
architectures et des menaces.
Une problématique complexe
MESURES DE SÉCURITÉ : SMSI
80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le SMSI (Système de Management de la Sécurité de l’Information) doit être
cohérent avec les objectifs métiers de l’organisme et cohérent avec le
système de management de la qualité
MESURES DE SÉCURITÉ : SMSI
81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MESURES DE SÉCURITÉ : PSSI
Politique de sécurité des systèmes d’information : PSSI
Définition formelle de la position d'une entreprise en matière de sécurité.
« Ensemble des règles formelles auxquelles doivent se conformer les personnes
autorisées à accéder à l’information et aux ressources d’une organisation »
(RFC 2196)
Finalité d’une politique de sécurité ?
« Réduire les risques »
« Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? »
« Définir les règles du jeu »
« Communiquer , faire accepter et faire respecter les règles du jeu »
82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MESURES DE SÉCURITÉ : INTÉGRER LA SÉCURITÉ
DANS VOS PROJETS
83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Étude /
Initialisation
Conception
Implémentation /
Prototype / Test
Exploitation /
Maintenance
Fin de vie
• Perception d’un
besoin
• Expression des
besoins
• Création d’un
projet
• Analyse de
risques amont
• Consultation des
équipes sécurité
• Formalisation de
besoins fonctionnels
• Étude de marché
• Étude de faisabilité
• Analyse de coût
• Planification
• Identification des
entrée/sortie
• Analyse de risques
• Proposition de
mesures de sécurité
• Identification des
risques résiduels
• Expressions de
besoins de sécurité
• Estimation de coûts
• Développement
logiciel ou matériel
• Construction de
prototype
• Tests utilisateurs
• Documentation
• Développement
• Prise en compte
des bonnes
pratiques
• Top 10 OWASP
• Validation sécurité
• Contrôle des
mesures de
sécurité
• Maintien en condition
de sécurité
• Gestion des incidents
• Analyse Forensique
• Sauvegarde
• Supervision de
sécurité
• Veille de sécurité
• Audit (technique,
opérationnel)
• Tests d’intrusion
• Résilience
• Déploiement dans
l’environnement de
production
• Test de performance
• Maintien en Condition
Opérationnelle
• Exploitation
• Libération des
ressources
• Fin du projet
• Archivage des
informations
• Effacement
sécurisé
• Réversibilité
• Mise au rebut
• Obsolescence des
configurations
SécuritéPhases
MESURES DE SÉCURITÉ : AUDIT DE SÉCURITÉ
84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIFFÉRENTS TYPES D’AUDIT TECHNIQUES
MESURES DE SECURITE : GUIDE PRATIQUE
86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANSSI
Guide d’hygiène informatique
• Connaitre son SI et ses utilisateurs
• Maîtriser le réseau
• Mettre à niveau les logiciels
• Authentifier l’utilisateur
• Sécuriser les équipements terminaux
• Sécuriser l’intérieur du réseau
• Protéger le réseau interne de l’Internet
• Surveiller les systèmes
• Sécuriser l’administration du réseau
• Contrôler l’accès aux locaux et la sécurité physique
• Organiser la réaction en cas d’incident
• Sensibiliser
• Faire auditer la sécurité
Et de nombreux autres guides…
http://www.ssi.gouv.fr/
87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La norme ISO/IEC 27002:2013
constitue un code de bonnes
pratiques. Elle est composée de
114 mesures de sécurité réparties
en 14 chapitres couvrant les
domaines organisationnels et
techniques ci-contre.
C’est en adressant l’ensemble de
ces domaines que l’on peut avoir
une approche globale de la
sécurité des S.I.
Code de bonnes pratiques pour le management de la sécurité de l’information (27002)
Politique de sécurité de
l’information
Organisation de la sécurité de
l’information
Contrôle d'accès
Sécurité liée aux
ressources humaines
Sécurité
opérationnelle
Acquisition, dévpt. et maint.
des SI
Sécurité physique et environnementale
Gestion des actifs
Conformité
Organisationnel
Opérationnel
Gestion de incidents liés à la
sécurité de l’information
Gestion de la continuité de
l’activité
Cryptographie
Sécurité des
communications
Relations avec les
fournisseurs
MESURES DE SECURITE : NORME ISO 27002
MÉTIERS EN CYBER SÉCURITÉ
88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Gouvernance de la sécuritéGouvernance de la sécurité
Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression
de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la
gouvernance globale de l’organisation.
Exploitation / maintien de
condition de sécurité
Validation / audit
organisationnel / test intrusion
Expression de besoin /
maitrise d’ouvrage (MOA)
Conception d’architecture
/ maitrise d’œuvre (MOE)
Développement logiciel ou
composant matériel
veille des vulnérabilités
/ analyse forensics
Intégration de produit /
déploiement d’architecture
Cartographie des métiers et compétence en SSI
MÉTIERS EN CYBER SÉCURITÉ
89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
b. Cartographie des métiers et compétence en SSI
Étude
Exploitation /
Maintenance
Gestion des
incidents, des crises
MétiersPhases
Implémentation,
déploiement
Conception
Auditeur organisationnel
Auditeur technique
RSSI, Technicien support
Investigateur numérique
Ingénieur de sécurité, architecte de
sécurité, développeur de sécurité,
Consultant
Analyste dans un SOC
MÉTIERS EN CYBER SÉCURITÉ
90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les métiers se répartissent dans les familles de l’informatique et des réseaux.
Nb année
expérience
Compétence
technique
Compétence
management
Gouvernance des systèmes d’information
•Responsable ou Directeur 15 à 20 X XXX
•Chef de projet / Consultant MOA 5 à 15 XX XX
Conception et déploiement de système d’information
•Chef de projet / Consultant MOE 5 à 15 XX XX
•Architecte système 10 à 15 XXX
Développement logiciel et matériel
•Architecte/concepteur logiciel/composant 5 à 10 XXX
•Développeur logiciel (dont cryptologue) 0 à 10 XXX
Exploitation
•Technicien système et réseau 0 à 10 XXX
•Administrateur système et réseau 0 à 10 XXX X
•Analyste veille/gestion des incidents/forensics 0 à 10 XXX X
Validation / Audit
•Auditeur technique SSI (dont test intrusion) 0 à 10 XXX X
•Auditeur organisationnel SSI 5 à 10 X X
b. Cartographie des métiers et compétence en SSI
Compétence
requise :
X : peu de
compétence
XX : niveau
moyen
XXX : forte
compétence
RÉSUMÉ DU MODULE
91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Budget
Sécurité –
Source
CLUSIF –
2014
Déclinaison des
bonnes
pratiques
Mesures de
sécurité
Vue d’ensemble
des mesures de
sécurité
Métiers en
cyber sécurité Audit de sécurité
PAUSE-RÉFLEXION
Avez-vous des questions ?
92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET 4
93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET N°4 : ORGANISATION DE LA
SÉCURITÉ EN FRANCE
94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORGANISATION DE LA SÉCURITÉ EN FRANCE
COMMENT RÉAGIR EN CAS DE CYBER CRIME ?
LE CONTEXTE JURIDIQUE
LE DROIT DES T.I.C.
LA LUTTE CONTRE LA CYBERCRIMINALITÉ EN FRANCE
LA LOI GODFRAIN - CNIL
ORGANISATION DE LA SÉCURITÉ EN FRANCE
95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Cyberdéfense : un véritable enjeu de sécurité nationale
« Les cyberattaques, parce qu’elles n’ont pas, jusqu’à présent, causé la mort
d’hommes, n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dès
aujourd’hui, et plus encore à l’horizon du Livre blanc, elles constituent une menace
majeure, à forte probabilité et à fort impact potentiel » (Chapitre 4, Les priorités
stratégiques, livre blanc 2013)
« Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort
marqué » (Chapitre 7, Les moyens de la stratégie, , livre blanc 2013)
ORGANISATION DE LA SÉCURITÉ EN FRANCE
96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Premier Ministre
Secrétaire général de la
défense et de la sécurité
nationale (SGDSN)
Agence nationale de la
sécurité des systèmes
d’information (ANSSI)
Ministères
Défense
Intérieur
Affaires étrangères
Economie
Budget
Industrie
…
Hauts fonctionnaires de
défense et de sécurité
(HFDS)
Organisation interministérielle :
Pilotage de la politique nationale en
matière de sécurité des systèmes
d’information
Proposition des règles à appliquer pour la protection des S.I. de l’État.
Vérification de l’application des mesures adoptées
Conseil/soutien Sécurité aux administrations
Information du public
Contribution au développement de Services de confiance
…
Coordination de la préparation des mesures de
défense (Vigipirate) et chargés de la sécurité
des systèmes d'information
ORGANISATION DE LA SÉCURITÉ EN FRANCE
97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• http://www.clusif.asso.fr/fr/production/cybervictime/
Comment réagir en cas de cyber crime ?
LE DROIT DES T.I.C.
98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le contexte juridique
Liberté d’expression
Propriété intellectuelle
Protection de la vie privée
Cybercriminalité
Protection des entreprises
Protection du e-commerce
… et bien d’autres…
LE DROIT DES T.I.C.
99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
– Un droit non codifié : des dizaines de codes en vigueur
– … et difficile d’accès
• Au carrefour des autres droits
• En évolution constante et rapide
• Issu de textes de toute nature /niveaux
• Caractérisé par une forte construction jurisprudentielle*
– nécessitant un effort de veille juridique.
(*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce qui
donne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société.
Code civil
Code pénal
Droit du travail
Code de la propriété
intellectuelle
Code des postes et
communicat. électroniques
Code de la défense
Code de la consommation
…
Le contexte juridique
LE DROIT DES T.I.C.
100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Définition de la cybercriminalité :
« Ensemble des actes contrevenants aux traités internationaux ou aux
lois nationales utilisant les réseaux ou les systèmes d’information
comme moyens de réalisation d’un délit ou d’un crime, ou les ayant
pour cible. »
Définition de l’investigation numérique (forensics) :
« Ensemble des protocoles et de mesures permettant de rechercher
des éléments techniques sur un conteneur de données numériques en
vue de répondre à un objectif technique en respectant une procédure
de préservation du conteneur. »
La lutte contre la cybercriminalité en France
LE DROIT DES T.I.C.
101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans tout
ou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al. 1 du
CP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum.
– Élément matériel de l’infraction : la notion d’accès ou maintien
– La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de cause »
– Éléments indifférents :
• Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données)
• Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002)
• La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ;
affaire Anses / Bluetouff TGI Créteil, 23 avril 2013)
La lutte contre la cybercriminalité en France
Tendance des tribunaux : une plus grande intransigeance à l’égard de certaines
« victimes » d’accès frauduleux dont le système n’est pas protégé de manière appropriée
Jurisprudence sur la définition des STAD : Le réseau France Télécom, le réseau bancaire,
un disque dur, une radio, un téléphone, un site internet…
LE DROIT DES T.I.C.
102 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du
CP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende
• L'introduction, la suppression ou la modification frauduleuse de données dans
un système de traitement automatisé (art. 323-3 du CP) est puni d’un maximum de 5
ans d'emprisonnement et de 75.000 € d'amende
• L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir,
de céder ou de mettre à disposition, sans motif légitime, un programme ou un
moyen permettant de commettre les infractions prévues aux articles 323-1 à 323-
3. (mêmes sanctions)
• Art. 323-4 : l’association de malfaiteurs en informatique
• Art. 323-5 : les peines complémentaires
• Art. 323-6 : la responsabilité pénale des personnes morales
• Art. 323-7 : la répression de la tentative
La lutte contre la cybercriminalité en France
LE DROIT DES T.I.C.
103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Quel est le champ d’application de la loi ?
– Art. 2 « La présente loi s’applique aux traitements automatisés de
données à caractère personnel, ainsi qu’aux traitements non
automatisés de données à caractère personnel contenues ou appelées
à figurer dans des fichiers, à l’exception des traitements mis en œuvre
pour l’exercice d’activités exclusivement personnelles, lorsque leur
responsable remplit les conditions prévues à l’article 5 (relevant du droit
national). »
• Qu’est qu’une donnée à caractère personnel ?
– « Constitue une donnée à caractère personnel toute information relative
à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d’identification
ou à un ou plusieurs éléments qui lui sont propres. »
Le rôle de la CNIL : La protection des données à caractère personnel
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et
aux libertés
LE DROIT DES T.I.C.
104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Un traitement de données à caractère personnel doit être « loyal et
licite »
– Les données sont collectées pour des finalités déterminées explicites et
légitimes
– de manière proportionnée (adéquates, pertinentes et non excessives)
– avec le consentement de la personne concernée (sauf exception)
– pendant une durée n’excédant pas celle nécessaire à la réalisation des
finalités !
• Les personnes physiques disposent de différents droits sur les données
à caractère personnel qui font l’objet d’un traitement…
– Un droit d’information préalable au consentement
– Un droit d’accès aux données collectées
– Un droit de rectification
– Un droit d’opposition pour raison légitime
Le rôle de la CNIL : La protection des données à caractère personnel
La loi protège les droits des personnes physiques identifiées ou
identifiables par les données à caractère personnel
LE DROIT DES T.I.C.
105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Obligations administratives auprès de la CNIL
– Le régime de la déclaration préalable (art. 22 à 24)
• Le traitement peut faire l’objet d’une dispense de déclaration
• Le traitement échappe à l’obligation de déclaration car le responsable du
traitement a désigné un correspondant à la protection des données (CIL)
• Dans tous les autres cas, le traitement doit effectivement faire l’objet d’une
déclaration préalable
– Le régime d’autorisation préalable (art. 25 à 27)
• Régime applicable pour les « traitements sensibles » (listés à l’art. 25)
• Examen de la demande par la CNIL sous deux mois (le silence vaut rejet).
Le rôle de la CNIL : La protection des données à caractère personnel
Le responsable de traitement est la personne qui détermine les finalités
et les moyens du traitement de données à caractère personnel
LE DROIT DES T.I.C.
106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Des obligations de confidentialité et de sécurité des traitements et de
secret professionnel
– De mettre en œuvre les mesures techniques et organisationnelles
appropriées, au regard de la nature des données et des risques, pour
préserver la sécurité des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès
(art. 34)
• Absence de prescriptions techniques précises
• Recommandation de réaliser une analyse de risques préalable voire, pour les
traitements les plus sensibles, une étude d’impact sur la vie privée (PIA)
• Publication par la CNIL de « guides sécurité pour gérer les risques sur la vie
privée » (méthodologie d’analyse de risques et catalogue de bonnes pratiques)
– De veiller à ce que, le cas échéant, les sous-traitants apportent des
garanties suffisantes au regard des mesures de sécurité techniques et
d’organisation
• Est considéré comme sous-traitant celui qui traite des données à caractère
personnel pour le compte et sous la responsabilité du responsable du traitement
(article 35)
Le rôle de la CNIL : La protection des données à caractère personnel
LE DROIT DES T.I.C.
107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Des sanctions pénales (articles 226-16 et suivants du Code pénal) : Douze délits punis de 3 à 5
ans d’emprisonnement et jusqu’à 300.000 euros d’amende
– Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement de
données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi
n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros
d'amende » (art. 226-17)
• Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts en fonction
du préjudice causé aux personnes concernées
• Des sanctions administratives associées aux pouvoirs conférés à la CNIL
– Pouvoir d’injonction de cesser le traitement pour les fichiers soumis à déclaration ou de retrait de
l’autorisation accordée
– Pouvoir de sanction pécuniaire
– Procédure d’urgence : pouvoir d’interruption de la mise en œuvre du traitement ou de verrouillage
des données (3 mois)
– Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions
Le rôle de la CNIL : La protection des données à caractère personnel
Les différents risques et sanctions en cas de manquements aux
différentes obligations
RÉSUMÉ DU MODULE
108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Organisation
de la sécurité
en France
Comment réagir
en cas de cyber
crime ?
La lutte contre la
cybercriminalité
en France
Le contexte
juridique – Le
droit des TIC
La loi Godfrain
CNIL
PAUSE-RÉFLEXION
Avez-vous des questions ?
109 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POUR ALLER PLUS LOIN
Livres
Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti
(Auteur) édition DUNOD
Management de la sécurité de l'information. Implémentation ISO 27001 Broché
– 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface)
La sécurité du système d'information des établissements de santé Broché – 31
mai 2012 de Cédric Cartau (Auteur)
Magazines
http://boutique.ed-diamond.com/ (revue MISC)
http://www.mag-securs.com
Web
www.ssi.gouv.fr – Sécurité des systèmes industriels
Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr
www.clusif.fr
Rapport du Sénateur Bockel sur la Cyberdéfense - http://www.senat.fr/rap/r11-
681_mono.html
110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIN
MERCI POUR VOTRE
ATTENTION
111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Contenu connexe

Tendances

Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
Lisa Lombardi
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
SINCLAIR JAZA FOLEFACK
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
Leandre Cof's Yeboue
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
Amadou Dary diallo
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
Bee_Ware
 
Audit
AuditAudit
Audit
zan
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
badrboutouja1
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
EyesOpen Association
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
Intissar Dguechi
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 

Tendances (20)

Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Audit
AuditAudit
Audit
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 

En vedette

Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
Antoine Vigneron
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
SecludIT
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Intelligence Artificielle et cybersécurité
Intelligence Artificielle et cybersécuritéIntelligence Artificielle et cybersécurité
Intelligence Artificielle et cybersécurité
OPcyberland
 
Sécurité des bases de données
Sécurité des bases de donnéesSécurité des bases de données
Sécurité des bases de données
litayem bechir
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
Serrerom
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
PRONETIS
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
L’hiver de la cybersécurité ne vient plus…
L’hiver de la cybersécurité ne vient plus…L’hiver de la cybersécurité ne vient plus…
L’hiver de la cybersécurité ne vient plus…
ITrust - Cybersecurity as a Service
 
Gérer et protéger ses informations stratégiques
Gérer et protéger ses informations stratégiquesGérer et protéger ses informations stratégiques
Gérer et protéger ses informations stratégiques
Actulligence Consulting
 
Demonstration injection de code
Demonstration injection de codeDemonstration injection de code
Demonstration injection de code
PRONETIS
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
Thibault Tim
 
Lorsque l'intelligence artificielle uberise la cybersécurité...
Lorsque l'intelligence artificielle uberise la cybersécurité...Lorsque l'intelligence artificielle uberise la cybersécurité...
Lorsque l'intelligence artificielle uberise la cybersécurité...
OPcyberland
 
[Sentryo] slideshare influenceurs cybersecurite twitter
[Sentryo] slideshare influenceurs cybersecurite twitter[Sentryo] slideshare influenceurs cybersecurite twitter
[Sentryo] slideshare influenceurs cybersecurite twitter
Sentryo
 

En vedette (20)

Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Intelligence Artificielle et cybersécurité
Intelligence Artificielle et cybersécuritéIntelligence Artificielle et cybersécurité
Intelligence Artificielle et cybersécurité
 
Sécurité des bases de données
Sécurité des bases de donnéesSécurité des bases de données
Sécurité des bases de données
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
L’hiver de la cybersécurité ne vient plus…
L’hiver de la cybersécurité ne vient plus…L’hiver de la cybersécurité ne vient plus…
L’hiver de la cybersécurité ne vient plus…
 
Gérer et protéger ses informations stratégiques
Gérer et protéger ses informations stratégiquesGérer et protéger ses informations stratégiques
Gérer et protéger ses informations stratégiques
 
Demonstration injection de code
Demonstration injection de codeDemonstration injection de code
Demonstration injection de code
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
 
Lorsque l'intelligence artificielle uberise la cybersécurité...
Lorsque l'intelligence artificielle uberise la cybersécurité...Lorsque l'intelligence artificielle uberise la cybersécurité...
Lorsque l'intelligence artificielle uberise la cybersécurité...
 
7familles
7familles7familles
7familles
 
[Sentryo] slideshare influenceurs cybersecurite twitter
[Sentryo] slideshare influenceurs cybersecurite twitter[Sentryo] slideshare influenceurs cybersecurite twitter
[Sentryo] slideshare influenceurs cybersecurite twitter
 

Similaire à Introduction cyber securite 2016

Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
Jean-Michel Tyszka
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprise
mariejura
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
mariejura
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
Abdeljalil AGNAOU
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
Net4All
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
COMPETITIC
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
OPcyberland
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016
Laetitia Berché
 
Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
CYBER SECURITY & FINTECH
CYBER SECURITY & FINTECHCYBER SECURITY & FINTECH
CYBER SECURITY & FINTECH
Djallal BOUABDALLAH
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
COMPETITIC
 
Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevens
lecointe666
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
ITrust - Cybersecurity as a Service
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
Cédric Lefebvre
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle
Personal Interactor
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
Lexing - Belgium
 

Similaire à Introduction cyber securite 2016 (20)

Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Webschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entrepriseWebschool du Jura - La cybercriminalité en entreprise
Webschool du Jura - La cybercriminalité en entreprise
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016
 
Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
Webinar ATN+ symantec
 
CYBER SECURITY & FINTECH
CYBER SECURITY & FINTECHCYBER SECURITY & FINTECH
CYBER SECURITY & FINTECH
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevens
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
 
Formation des dirigeants d’entreprises jan 2013 v3-2
Formation des dirigeants d’entreprises jan 2013   v3-2Formation des dirigeants d’entreprises jan 2013   v3-2
Formation des dirigeants d’entreprises jan 2013 v3-2
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 

Plus de PRONETIS

Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
PRONETIS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
PRONETIS
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
PRONETIS
 
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
PRONETIS
 
C7 Réseaux : couche transport
C7 Réseaux : couche transportC7 Réseaux : couche transport
C7 Réseaux : couche transport
PRONETIS
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
PRONETIS
 
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natC5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
PRONETIS
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
PRONETIS
 
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiC3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
PRONETIS
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
PRONETIS
 
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsC1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
PRONETIS
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
PRONETIS
 
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
PRONETIS
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
PRONETIS
 
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bSonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
PRONETIS
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
PRONETIS
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
PRONETIS
 

Plus de PRONETIS (18)

Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
 
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
 
C7 Réseaux : couche transport
C7 Réseaux : couche transportC7 Réseaux : couche transport
C7 Réseaux : couche transport
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
 
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natC5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiC3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
 
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsC1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
 
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bSonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
 

Dernier

Burkina Faso libraries newsletter for June 2024
Burkina Faso libraries newsletter for June 2024Burkina Faso libraries newsletter for June 2024
Burkina Faso libraries newsletter for June 2024
Friends of African Village Libraries
 
A2-Critiques-gastronomiques activités critiques
A2-Critiques-gastronomiques activités critiquesA2-Critiques-gastronomiques activités critiques
A2-Critiques-gastronomiques activités critiques
lebaobabbleu
 
A2-Faire-une-appreciation positive et/ou négative (A2)
A2-Faire-une-appreciation positive et/ou négative (A2)A2-Faire-une-appreciation positive et/ou négative (A2)
A2-Faire-une-appreciation positive et/ou négative (A2)
lebaobabbleu
 
Zineb Mekouar.pptx Écrivaine marocaine
Zineb Mekouar.pptx   Écrivaine  marocaineZineb Mekouar.pptx   Écrivaine  marocaine
Zineb Mekouar.pptx Écrivaine marocaine
Txaruka
 
Microbiologie: le monde microbien et les techniques de mise en évidence.
Microbiologie: le monde microbien et les techniques de mise en évidence.Microbiologie: le monde microbien et les techniques de mise en évidence.
Microbiologie: le monde microbien et les techniques de mise en évidence.
MahouwetinJacquesGBO
 
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
dokposeverin
 
1eT Revolutions Empire Revolution Empire
1eT Revolutions Empire Revolution Empire1eT Revolutions Empire Revolution Empire
1eT Revolutions Empire Revolution Empire
NadineHG
 
Formation M2i - Attitude constructive : développer l'art de l'optimisme
Formation M2i - Attitude constructive : développer l'art de l'optimismeFormation M2i - Attitude constructive : développer l'art de l'optimisme
Formation M2i - Attitude constructive : développer l'art de l'optimisme
M2i Formation
 
La Révolution Bénédictine Casadéenne du Livradois-Forez: De Charlemagne à Fra...
La Révolution Bénédictine Casadéenne du Livradois-Forez: De Charlemagne à Fra...La Révolution Bénédictine Casadéenne du Livradois-Forez: De Charlemagne à Fra...
La Révolution Bénédictine Casadéenne du Livradois-Forez: De Charlemagne à Fra...
Editions La Dondaine
 
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptxMARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
Martin M Flynn
 
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
mcevapi3
 
apprendre-a-programmer-avec-python-3.pdf
apprendre-a-programmer-avec-python-3.pdfapprendre-a-programmer-avec-python-3.pdf
apprendre-a-programmer-avec-python-3.pdf
kamouzou878
 
MS-203 Microsoft 365 Messaging Study Guide to prepare the certification
MS-203 Microsoft 365 Messaging Study Guide to prepare the certificationMS-203 Microsoft 365 Messaging Study Guide to prepare the certification
MS-203 Microsoft 365 Messaging Study Guide to prepare the certification
OlivierLumeau1
 

Dernier (13)

Burkina Faso libraries newsletter for June 2024
Burkina Faso libraries newsletter for June 2024Burkina Faso libraries newsletter for June 2024
Burkina Faso libraries newsletter for June 2024
 
A2-Critiques-gastronomiques activités critiques
A2-Critiques-gastronomiques activités critiquesA2-Critiques-gastronomiques activités critiques
A2-Critiques-gastronomiques activités critiques
 
A2-Faire-une-appreciation positive et/ou négative (A2)
A2-Faire-une-appreciation positive et/ou négative (A2)A2-Faire-une-appreciation positive et/ou négative (A2)
A2-Faire-une-appreciation positive et/ou négative (A2)
 
Zineb Mekouar.pptx Écrivaine marocaine
Zineb Mekouar.pptx   Écrivaine  marocaineZineb Mekouar.pptx   Écrivaine  marocaine
Zineb Mekouar.pptx Écrivaine marocaine
 
Microbiologie: le monde microbien et les techniques de mise en évidence.
Microbiologie: le monde microbien et les techniques de mise en évidence.Microbiologie: le monde microbien et les techniques de mise en évidence.
Microbiologie: le monde microbien et les techniques de mise en évidence.
 
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
 
1eT Revolutions Empire Revolution Empire
1eT Revolutions Empire Revolution Empire1eT Revolutions Empire Revolution Empire
1eT Revolutions Empire Revolution Empire
 
Formation M2i - Attitude constructive : développer l'art de l'optimisme
Formation M2i - Attitude constructive : développer l'art de l'optimismeFormation M2i - Attitude constructive : développer l'art de l'optimisme
Formation M2i - Attitude constructive : développer l'art de l'optimisme
 
La Révolution Bénédictine Casadéenne du Livradois-Forez: De Charlemagne à Fra...
La Révolution Bénédictine Casadéenne du Livradois-Forez: De Charlemagne à Fra...La Révolution Bénédictine Casadéenne du Livradois-Forez: De Charlemagne à Fra...
La Révolution Bénédictine Casadéenne du Livradois-Forez: De Charlemagne à Fra...
 
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptxMARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
 
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
 
apprendre-a-programmer-avec-python-3.pdf
apprendre-a-programmer-avec-python-3.pdfapprendre-a-programmer-avec-python-3.pdf
apprendre-a-programmer-avec-python-3.pdf
 
MS-203 Microsoft 365 Messaging Study Guide to prepare the certification
MS-203 Microsoft 365 Messaging Study Guide to prepare the certificationMS-203 Microsoft 365 Messaging Study Guide to prepare the certification
MS-203 Microsoft 365 Messaging Study Guide to prepare the certification
 

Introduction cyber securite 2016

  • 1. INTERVENANT : PHILIPPE PRESTIGIACOMO MODULE D’OUVERTURE « INTRODUCTION À LA CYBER SÉCURITÉ » 1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 2. SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Philippe PRESTIGIACOMO Dirigeant de la société PRONETIS Consultant SSI – Lead Auditor 27001 / Risk Manager 27005 Membre de la Réserve de Cyber Défense Citoyenne Professeur associé à Polytech Marseille PRONETIS – www.pronetis.fr Société indépendante spécialisée en SSI Audit – Conseil – Formation – Lutte contre la fraude informatique 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 3. OBJECTIF DE CETTE FORMATION Objectif L’objectif est de sensibiliser aux menaces et enjeux et d’initier aux principaux concepts de la Cyber Sécurité. Il s’agit de présenter un guide de bonnes pratiques applicables à l’ensemble des étudiants quelle que soit sa filière dans Polytech Marseille. 1. Comprendre les motivations et le besoin de sécurité des systèmes d’information 2. Connaitre les définitions de base et la typologie des menaces 3. Connaitre les grandes orientations de la gestion de la cyber sécurité sur les plans techniques, organisationnels et juridiques 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 4. VOLET N°1 – INTRODUCTION - MENACES Quelques chiffres – statistiques Cyber criminalité Hackers – White Hat – Black Hat Quelques exemples de Cyber attaques – focus Stuxnet Menaces - illustrations VOLET N°2 – GRANDS PRINCIPES Evolution des systèmes d’information Evolution de la cyber sécurité Evolution du marché de la cyber sécurité Principes fondamentaux de la Cyber Sécurité : Besoins, D.I.C.P., Risques Difficultés de la sécurité - Relativité de la sécurité VOICI LES DIFFÉRENTS THÈMES ABORDÉS LORS DE CETTE FORMATION 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 5. VOLET N°3 – MESURES DE SÉCURITÉ Budget Sécurité – Déclinaison des bonnes pratiques Mécanismes de sécurité pour atteindre les besoins DICP Vue d’ensemble des mesures de sécurité - Mesures de sécurité Métiers en cyber sécurité - La fonction de RSSI Audit de sécurité VOLET N°4 – ORGANISATION DE LA SÉCURITÉ EN FRANCE Organisation de la sécurité en France Comment réagir en cas de cyber crime ? Contexte juridique - Le droit des T.I.C. Lutte contre la cybercriminalité en France Loi Godfrain - CNIL VOICI LES DIFFÉRENTS THÈMES ABORDÉS LORS DE CETTE FORMATION 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 6. VOLET 1 6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 7. VOLET N°1 : INTRODUCTION 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés QUELQUES CHIFFRES – STATISTIQUES CYBER CRIMINALITÉ HACKERS – WHITE HAT – BLACK HAT QUELQUES EXEMPLES DE CYBER ATTAQUES – FOCUS STUXNET LES MENACES - ILLUSTRATIONS
  • 8. CYBERCRIMINALITÉ 8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Qu’est-ce que la cybercriminalité ? Activité criminelle portant atteinte aux données, au non-respect des droits d'auteur ainsi que les activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie et le harcèlement dans le cyberespace. Cyber délinquance : individus attirés par l’appât du gain, motivation politique, religieuse, concurrents directs de l’organisation visée… Quel est son objectif, ses cibles ? Gains financiers (accès à de l’information, puis monétisation et revente) Utilisation de ressources (espace de stockage de films ou autres contenus, botnets) Chantage, Espionnage Quelle est la tendance de la cybercriminalité ? Les "cyber-attaquants" identifient et affinent leurs approches de façon plus stratégique, ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux d’infection de leurs attaques (source : Trend Micro) Kaspersky Norse
  • 9. NOUVELLE ÉCONOMIE DE LA CYBERCRIMINALITÉ 9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Une majorité des actes de délinquance réalisés sur Internet sont commis par des groupes criminels organisés, professionnels et impliquant de nombreux acteurs 1 2 3 4 5 des groupes spécialisés dans le développement de programmes malveillants et virus informatiques des groupes en charge de l’exploitation et de la commercialisation de services permettant de réaliser des attaques informatiques un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des hébergeurs malhonnêtes soit des hébergeurs victimes eux-mêmes d’une attaque et dont les serveurs sont contrôlés par des pirates des groupes en charge de la vente des données volées, et principalement des données de carte bancaire des intermédiaires financiers pour collecter l’argent qui s’appuient généralement sur des réseaux de mules
  • 10. QUELQUES CHIFFRES Coût estimé de la cybercriminalité et du piratage informatique en 2014 pour les entreprises entre 375 et 575 milliards de dollars par an (source IDC) (1/3 dépensé pour tenter de réparer les dégâts occasionnés) 91%des entreprises ont subi au moins une cyber attaque en 2014, les autres ignorent qu'elles le sont (Cassidian) La plupart des cyber attaques ont pour but le vol de données après vient le sabotage et l’atteinte à l’image 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 11. LES « HACKERS » White hat Les white hat hackers / Ethical hacking « Pentester », hacker au sens noble du terme, ils testent les sécurités et les failles pour améliorer les systèmes. Faits d'armes : ils collaborent avec les autorités pour aider sur les enquêtes, ils travaillent avec les grandes entreprises pour améliorer les logiciels et matériels que nous utilisons chaque jour.
  • 12. LES « HACKERS » Black hat Les black hat hackers / Criminal hacking Hackers de divers niveaux techniques allant de zéro à des surdoués ayant diverses motivations dont une en commun : l'argent. Toutes les méthodes techniques et de manipulations sont utilisées : escroqueries, fausses annonces, piratages de comptes, piratages de moyens de paiements, détournement d'actifs… Ils agissent seuls ou en groupe restreints. Mais le plus dangereux est qu’ils vendent ou louent leurs services aux plus offrants : mafias, groupe criminels, concurrence déloyale… Faits d'armes : N'en citons qu'un Vladislav Horohorin , qui a séjourné dans la prison de Luynes près d'Aix en Provence. Considéré dans le « milieu » comme un des rois du hacking alias « BadB » arrêté en France et qui était l'un des 5 cybercriminels les plus recherchés par les services de renseignements américains. Il serait à l'origine de la majorité des grands « cyber-braquage » des banques mondiales et certainement le plus grand trafiquant de cartes bancaires au monde.
  • 13. LES « HACKERS » Hacktivistes Les Hacktivistes / idéologies hacking De différents niveaux techniques ils utilisent l'art du hacking pour voler des informations et les divulguer au grand jour afin d’empêcher des gouvernements ou des entreprises de travailler, voire de les pousser à la faillite. Leur cheval de bataille : la croyance et l’idéologie. Ils se disent défenseurs des droits universels, de la liberté d'expression et veulent lutter contre l'oppression et la censure. Ils utilisent la désobéissance civile de manière générale. Faits d'armes : Si le groupe le plus médiatique est certainement les Anomymous ; ils existent d'autres groupes idéologiques souvent extensions « techniques » de groupe idéologiques déjà connus. Ils se sont attaqués à différents gouvernement, à l'église de scientologie, à de grandes entreprises, des personnes…
  • 14. LES MENACES 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Espionnage industriel Dérober des informations Cyber- extorsion, racket Déni de service Dénigrement et déstabilisation (Cyber) Terrorisme Contrefaçon (10% du commerce mondial) Atteinte à l’image et réputation contre espionnage, anti- terrorisme Atteinte physique aux sites
  • 15. DES RISQUES RÉELS 15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 16. 16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CYBER ATTAQUES
  • 17. CYBER-ATTAQUES INDUSTRIELLES Piratage du système d’adduction d’eau de Springfield Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards. 17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html
  • 18. CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ? 18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le Siemens Organization Block 35 (process watchdog) est modifié par Stuxnet – Il gère des opérations critiques qui requièrent des temps de réponse inférieurs à 100 ms La cible pourrait être la centrale de Bushehr, en construction mais aussi des centrifugeuses sur le site de Natanz Famille de PLC SIEMENS concernée : 6ES7-417 et 6ES7-315-2 -> cibles complexes ! * multiples ProfiBus * Puissance CPU
  • 19. DÉSÉQUILIBRE ATTAQUANT - DÉFENSEUR • Principe n°1 : Le défenseur doit défendre tous les points; l’attaquant peut choisir le point le plus faible • Principe n°2 : Le défenseur ne peut défendre que ce qu’il connaît; l’attaquant peut rechercher des points vulnérables • Principe n°3 : Le défenseur se doit d’être vigilant en permanence; l’attaquant peut attaquer quand il le veut • Principe n°4 : Le défenseur doit respecter les règles; l’attaquant peut faire ce qu’il veut L’avantage de l’attaquant et le dilemme du défenseur : 1919 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 20. COMPÉTENCES & SOPHISTICATION DES ATTAQUES 2020 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 21. D’OÙ VIENT LA MENACE ? 2121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mauvaise utilisation Malveillance Ingénierie sociale (Arnaque, Manipulation) Catastrophes Naturelles Intrusions, vers Codes malicieux : Keylogger, botnets, sniffer, … Données Rebond, propagation … Web : Contenu illicites
  • 22. MENACES ET ATTAQUES : LES TYPOLOGIES Il existe une multitude de critères pour classer les attaques : Attaques non techniques Ingénierie sociale, scam, phishing, loterie … Attaques techniques de type Attaque directe, par rebond, par réflexion ou « man in the middle » Attaques en fonction du système utilisé Infrastructure réseau, système d’exploitation, application 2222 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 23. SITES WEB LÉGITIMES COMPROMIS 23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Selon les SophosLabs, plus de 30 000 sites Web sont infectés par jour, 80% d'entre eux étant des sites légitimes. 85% de tous les malwares tels que les virus, vers, spywares, adware et Chevaux de Troie sont transmis par le Web, principalement par téléchargement passif . Les envois de pièces jointes malveillantes continuent d'être largement pratiqués, mais bien plus répandu encore est l'envoi de liens vers des pages Web infectées.
  • 24. MENACES ET ATTAQUES : LES TYPOLOGIES 2424 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 25. MENACES ET ATTAQUES : LES TYPOLOGIES 2525 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Idée reçue : Construire une forteresse technique … • Ce qu’il faut savoir : – 80% des problèmes de sécurité informatique proviennent de l’intérieur des organisations – Le maillon faible est humain – La politique de sécurité informatique n’est jamais définitive – La sécurité est un ensemble : Il suffit d’un seul élément non sécurisé pour que l’édifice soit vulnérable Nécessaire mais pas suffisant !
  • 26. Attaques de malware* peuvent frapper à tout moment et n'importe où, Mots de passe (faciles à pirater) Smart phones (vol, perte) Réseaux sociaux (fuite d’information, renseignement) Supports amovibles (vol, perte, transmission de virus), CE QUI VOUS MET EN DANGER … tous ces outils comportent des risques. *Malware : programme malveillant 2626 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 27. LES SMART PHONES 27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 28. RESEAUX SOCIAUX L’utilisation des réseaux sociaux privés et professionnels Parfaites sources d’information pour de l’ingénierie sociale 25% des fuites d’informations sensibles sont issues des réseaux sociaux 15% des profils contiennent des informations professionnelles sensibles 2828 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 29. RÉSEAUX SOCIAUX Web 2.0 et réseaux sociaux : Quelques événements marquants 45% des recruteurs consultent les réseaux sociaux avant d’envisager le recrutement d’un candidat (FaceBook, LinkedIn, MySpace, Blogs, Twitter) Pour le fondateur de FaceBook, la protection de la vie privée est périmée PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés29
  • 30. L'INGÉNIERIE SOCIALE (OU SOCIAL ENGINEERING) • 90 % des cas avérés d’escroquerie impliquent un employé qui aurait par mégarde donné accès à des informations sensibles. • Pour pallier cette faiblesse de sécurité, les entreprises doivent former leur personnel à éviter de tomber dans les pièges de l’ingénierie sociale. • L’ « ingénierie sociale » constitue une « attaque ciblée » qui vise à abuser de la « naïveté » des employés de l’entreprise : • pour dérober directement des informations confidentielle, ou • pour introduire des logiciels malveillants dans le système d’information 3030 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 31. HAMEÇONNAGE & INGÉNIERIE SOCIALE Le phishing (ou encore hameçonnage en français) est une technique dite de "social engineering" ayant pour but de dérober à des individus leurs identifiants de connexion et mots de passe ou leurs numéros de cartes bancaires. Exemple : http://www.eila.univ-paris-diderot.fr/sysadmin/securite/virus/phishing 1. Réception d’un mail utilisant le logo et les couleurs de l’entreprise 2. Demande pour effectuer une opération comme la mise-à-jour des données personnelles ou la confirmation du mot de passe 3. Connexion à un faux-site identique à celui de l’entreprise et contrôlé par l’attaquant 4. Récupération par l’attaquant des identifiants/mots de passe (ou tout autre donnée sensible) saisie par le client sur le faux site 3131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 32. CLOUD COMPUTING « Cloud Computing », virtualisation L'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts en délocalisant leurs contenus et en utilisant des applications à distance. Mais « c'est un cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes traditionnelles », a estimé John Chambers, PDG de Cisco. Avec 45 millions d'utilisateurs, Dropbox est l'un des services de partage de fichiers dans le nuage les plus populaires. Des chercheurs ont néanmoins découvert au moins 3 différentes façons de pirater le service et d'accéder aux données sans autorisation. Une mise à jour déficiente a exposé les comptes de tous les utilisateurs, qui devenaient accessibles simplement en saisissant l'adresse électronique du client. 32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 33. CLOUD COMPUTING Les dangers liés au « cloud computing » : Problématique de la localisation des données, maîtrise de la confidentialité des informations Le client est spectateur de la sécurisation de ses données Sécurité bas de gamme mise en place – VLAN pour le cloisonnement des données Identification de la chaîne de responsabilité – déresponsabilisation des propriétaires de l’information dilution des risques sur les intervenants Haute indisponibilité parfois PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés33
  • 34. PAUSE-RÉFLEXION Avez-vous des questions ? 34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 35. RÉSUMÉ DU MODULE 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Chiffres Statistiques Cyber criminalité Hackers White Hat Black Hat Les menaces actuelles - illustrations Quelques exemples de Cyber attaques
  • 36. PAUSE RÉCRÉATIVE DÉMONSTRATIONS 36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 37. DÉMONSTRATIONS 37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 38. VOLET 2 38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 39. VOLET N°2 : GRANDS PRINCIPES 39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés EVOLUTION DES SYSTÈMES D’INFORMATION EVOLUTION DE LA CYBER SÉCURITÉ EVOLUTION DU MARCHÉ DE LA CYBER SÉCURITÉ PRINCIPES FONDAMENTAUX DE CYBER SECURITE D.I.C.P., MENACES, ATTAQUES, RISQUES, IMPACTS DIFFICULTÉS DE LA SÉCURITÉ - RELATIVITÉ DE LA SÉCURITÉ
  • 40. CYBER SÉCURITÉ 40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 41. PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés41
  • 42. 42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 43. ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION 43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Source : Denis Virole Telindus et Jean-Louis Brunel
  • 44. LES 4 GRANDES PHASES DE L’ÉVOLUTION DU MARCHÉ SÉCURITÉ 44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 10% d’augmentation chaque année en France Un des secteurs les plus dynamiques
  • 45. 45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés LE SYSTÈME D’INFORMATION (S.I.) Le S.I. doit permettre et faciliter la mission de l’organisation La sécurité du S.I. consiste donc à assurer la sécurité de l’ensemble de ces biens. Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs : personnesite matériel réseau logiciel organisation actifs primordiaux actifs supports processus métiers et informations ISO/IEC 27005:2008
  • 46. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 3 critères sont retenus pour répondre à cette problématique, connus sous le nom de D.I.C. Disponibilité Intégrité Confidentialité Bien à protéger Propriété d'accessibilité au moment voulu des biens par les personnes autorisées (i.e. le bien doit être disponible durant les plages d’utilisation prévues) Propriété d'exactitude et de complétude des biens et informations (i.e. une modification illégitime d’un bien doit pouvoir être détectée et corrigée) Propriété des biens de n'être accessibles qu'aux personnes autorisées
  • 47. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Comment définir le niveau de sécurité d’un bien du S.I. ? Comment évaluer si ce bien est correctement sécurisé ? • 1 critère complémentaire est souvent associé au D.I.C. Besoin de sécurité : « Preuve » Preuve Bien à protéger Propriété d'un bien permettant de retrouver, avec une confiance suffisante, les circonstances dans lesquelles ce bien évolue. Cette propriété englobe Notamment : La traçabilité des actions menées L’authentification des utilisateurs L’imputabilité du responsable de l’action effectuée
  • 48. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP. • Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses services sur internet : Exemple d’évaluation DICP Serveur web Disponibilité = Très fort Un haut niveau de disponibilité du site web est nécessaire, sans quoi l’entreprise ne peut atteindre son objectif de faire connaitre ses services au public Intégrité = Très fort Un haut niveau d’intégrité des informations présentées est nécessaire. En effet, l’entreprise ne souhaiterait pas qu’un concurrent modifie frauduleusement le contenu du site web pour y insérer des informations erronées (ce qui serait dommageable) Confidentialité = Faible Un faible niveau de confidentialité suffit. En effet, les informations contenues dans ce site web sont publiques par nature! Preuve = Faible Un faible niveau de preuve suffit. En effet, ce site web ne permet aucune interaction avec les utilisateurs, il fournit simplement des informations fixes.
  • 49. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Différences entre sureté et sécurité * Certaines de ces parades seront présentées dans ce cours Sûreté Protection contre les dysfonctionnements et accidents involontaires Exemple de risque : saturation d’un point d’accès, panne d’un disque, erreur d’exécution, etc. Quantifiable statistiquement (ex. : la durée de vie moyenne d’un disque est de X milliers d’heures) Parades : sauvegarde, dimensionnement, redondance des équipements… Sécurité Protection contre les actions malveillantes volontaires Exemple de risque : blocage d’un service, modification d’informations, vol d’information Non quantifiable statistiquement, mais il est possible d’évaluer en amont le niveau du risque et les impacts Parades : contrôle d’accès, veille sécurité, correctifs, configuration renforcée, filtrage…* « Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte. L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.
  • 50. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Vulnérabilité • Faiblesse au niveau d’un bien (au niveau de la conception, de la réalisation, de l’installation, de la configuration ou de l’utilisation du bien). Notion de « Vulnérabilité » Vulnérabilités
  • 51. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Menace • Cause potentielle d’un incident, qui pourrait entrainer des dommages sur un bien si cette menace se concrétisait. Notion de « Menace » Menaces Code malveillant Personnes extérieures malveillantes Perte de service Stagiaire malintentionné
  • 52. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Attaque • Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une attaque représente la concrétisation d’une menace, et nécessite l’exploitation d’une vulnérabilité. Notion d’« Attaque » Attaques
  • 53. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Attaque • Une attaque ne peut donc avoir lieu (et réussir) que si le bien est affecté par une vulnérabilité. Notion d’« Attaque » Ainsi, tout le travail des experts sécurité consiste à s’assurer que le S.I. ne possède aucune vulnérabilité. Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces vulnérabilités plutôt que de viser un objectif 0 inatteignable.
  • 54. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Vulnérabilités Menaces Impact RISQUE
  • 55. 55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour limiter leurs impacts PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ Impacts financiers Interruption de la production Modification des paramètres de fabrication Impacts juridiques et réglementaires Impacts organisationnels Impacts sur l’image et la réputation Sécurité des S.I. Dommages matériels et/ou corporels Responsabilité civil ou pénale Impact environnemental Pollution du site de production et de l’environnement
  • 56. COMPLEXITÉ DE L’APPROCHE CYBER SÉCURITÉ Entreprise LAN / station de travail Environnement Informatique et télécom Equipements de sécurité Fournisseur d’accès Fournisseurs de services - Opérateurs Télécom - Hébergeurs, - Paiement sécurisé, - Sites de sauvegarde et secours Environnement Général : EDF Intervenants en amont dans la conception et la réalisation des environnements Personnel Serveurs Prestataires de services infogérance 56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 57. MÉTHODOLOGIE 57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Liste des biens sensibles Liste des menaces et modes opératoires Listes des impacts et probabilités Liste des contre-mesures 1 : Quoi protéger et pourquoi ? 2 : De quoi se protéger ? 3 : Quels sont les risques ? 4 Comment protéger l’entreprise ?
  • 58. ORDONNANCEMENT DES ACTIONS 58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Recenser les actifs numériques Évaluation des risques –Intégrité & Confidentialité des données, –Disponibilité du SI –Détournement d’activité, Image de Marque, –Sanctions pénales Mettre en place les protections et préventions Formaliser les procédures et méthodologies Mettre en place les contrôles et surveillances Formaliser un plan de reprise Effectuer une veille technologique lié à la sécurisation
  • 59. APPROCHE NORMATIVE ET ANALYSE DE RISQUES Analyser les risques de votre système d’information (méthode EBIOS, norme ISO 27005) Suivre les recommandations et les bonnes pratiques de sécurité issues des normes de sécurité – Normes ISO 27xxx ( Exemple : norme ISO-27001 et 27002), Normes IEC 62443-XX ( Exemple : normes ISO-62443-2 ISO-62443-3, ISO-62443-4) 5959 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés …d’où la nécessité d’avoir une approche méthodologique et transversale pour cadrer la démarche de sécurisation de votre système d’information
  • 60. LA SÉCURITÉ EST UN PROCESSUS CONTINU • La sécurité ne se met pas en œuvre en une seule fois • Elle fait partie intégrante du cycle de vie du système • Il s’agit d’un processus itératif qui n’est jamais fini et doit être corrigé et testé régulièrement La sécurité n’est pas une activité ponctuelle : PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés60 « La sécurité absolue est inatteignable, c’est un voyage, pas une destination »
  • 61. LES DIFFICULTÉS DE LA SÉCURITÉ Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de comprendre ses besoins et de mettre en œuvre les moyens adéquates Performance et confort d’utilisation Versus Sécurité Les mécanismes de sécurité consomment des ressources additionnelles La sécurité interfère avec les habitudes de travail des usagers Ouverture vers le monde extérieur en constante progression Les frontières de l’entreprise sont virtuelles ex : télémaintenance PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés61
  • 62. LES DIFFICULTÉS DE LA SÉCURITÉ Centre de coût versus centre de profit La justification des dépenses en matière de sécurité n’est pas évidente Le retour sur investissement en sécurité est un exercice parfois difficile La sécurité n’est pas une fin en soi mais résulte d’un compromis entre : - un besoin de protection ; - le besoin opérationnel qui prime sur la sécurité (coopérations, interconnexions…) - les fonctionnalités toujours plus tentantes offertes par les technologies (sans fil, VoIP…) - un besoin de mobilité (technologies mobiles…) - des ressources financières et des limitations techniques PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés62
  • 63. RELATIVITÉ DE LA SÉCURITÉ « The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. » — Eugene H. Spafford , http://www.cerias.purdue.edu/homes/spaf/quotes.html De la relativité de la sécurité : 63 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 64. LE FACTEUR HUMAIN Le principal facteur de sinistre est humain La principale source de risque est l’erreur pas la malveillance. La sécurité est une affaire de management. La sécurité repose d'abord sur les hommes et l'organisation, elle nécessite un encadrement et un effort permanents. La mobilisation de l'ensemble du personnel sur les enjeux de la sécurité donne un effet de levier considérable aux actions de prévention, de détection, de protection et de veille technologique. La sécurité est l’affaire de tous. 64 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 65. RELATIVITÉ DE LA SÉCURITÉ 65 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 66. PAUSE-RÉFLEXION Avez-vous des questions ? 66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 67. RÉSUMÉ DU MODULE 67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Evolution des systèmes d’information Evolution de la cyber sécurité Principes fondamentaux de la cyber sécurité Evolution du marché de la cyber sécurité DICP, Menaces, vulnérabilités, Risques Difficultés de la sécurité - Relativité de la sécurité
  • 68. VOLET 3 68 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 69. VOLET N°3 : MESURES DE SÉCURITÉ 69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés BUDGET SÉCURITÉ – SOURCE CLUSIF – 2014 DÉCLINAISON DES BONNES PRATIQUES MÉCANISMES DE SÉCURITÉ POUR ATTEINDRE LES BESOINS DICP VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ MESURES DE SÉCURITÉ MÉTIERS EN CYBER SÉCURITÉ - LA FONCTION DE RSSI AUDIT DE SÉCURITÉ
  • 70. BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014 70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés RSSI : Responsable Sécurité
  • 71. DÉCLINAISON DES BONNES PRATIQUES 71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Source : Jean-Louis Brunel Détection d’intrusion Centralisation des logs Audit / Tests intrusifs
  • 72. MÉCANISMES DE SÉCURITÉ POUR ATTEINDRE LES BESOINS DICP 72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de garantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes de sécurité participant à cette garantie : Cryptographie Mécanisme permettant d’implémenter du chiffrement et des signatures électroniques Pare-feu Équipement permettant d’isoler des zones réseaux entre-elles et de n’autoriser le passage que de certains flux seulement Contrôles d’accès logiques Mécanismes permettant de restreindre l’accès en lecture/écriture/suppression aux ressources aux seules personnes dument habilitées Sécurité physique des équipements et locaux Mécanismes de protection destinés à protéger l’intégrité physique du matériel et des bâtiments/bureaux. Anti-virus Mécanisme technique permettant de détecter toute attaque virale qui a déjà été identifiée par la communauté sécurité D I C P
  • 73. 73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Capacité d’audit Mécanismes organisationnels destinés à s’assurer de l’efficacité et de la pertinence des mesures mises en œuvre. Participe à l’amélioration continue de la sécurité du S.I. Clauses contractuelles avec les partenaires Mécanismes organisationnels destinés à s’assurer que les partenaires et prestataires mettent en œuvre les mesures nécessaires pour ne pas impacter la sécurité des S.I. de leurs clients Formation et sensibilisation Mécanismes organisationnels dont l’objectif est d’expliquer aux utilisateurs, administrateurs, techniciens, PDG, clients, grand public, etc. en quoi leurs actions affectent la sécurité des S.I. Diffusion des bonnes pratiques de sécurité. Le cours actuel en est une illustration ! D I C P MÉCANISMES DE SÉCURITÉ POUR ATTEINDRE LES BESOINS DICP
  • 74. VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ 74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Politique, procédures Sécurité physique DMZ Réseau Interne Machin e Applica tion Donn éeChiffrement, mots de passe, droit d’accès par fichier/répertoire Contrôle des entrées, test d’intrusion, communication (https, ssh…), traçabilité… Antivirus, Correctifs de sécurité, HIDS, Authentification Sous-réseau, NIDS, VLAN… Pare-feu, VPN, Zone démilitarisée… Gardiens, verrous, contrôle d’accès… Politique de sécurité, procédure de secours, sensibilisation…
  • 75. VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ 75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Anti-virus • Anti-Spyware, • Anti-rootkit • … • Détecter les vulnérabilités • Appliquer les Correctifs • Sondes IDS • Analyse des traces •Supervision, Veille, •Surveillance • Firewall • Compartimenter le réseau et les systèmes • Sécuriser et certifier les échanges (VPN / Mails chiffrés) • Former et sensibiliser les utilisateurs • Consignes en cas d’attaque ou de doutes • Mise en œuvre de procédures de sécurité • Plan de continuité •Sauvegarde et protection des supports •Redondance des systèmes • Classifier les données • Analyse de risques • Protéger des données • Accès restrictifs Gestion de la sécurité (non exhaustif) Données •Protéger et isoler les réseaux sans fil
  • 76. MESURES DE SÉCURITÉ 76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Architecture - Séparation des niveaux - Architecture rouge/noir - DMZ, Proxy, HoneyPot Intégration de COTS - Produits de chiffrement - Antivirus - Firewall / VPN - IDS/IPS - SIEM - Diode - Authentification biométrique - Offuscation Développements spécifiques - Configuration des OS Windows, Linux, VxWorks - Chargeur sécurisé, Dongle de sécurité - Développements de service de sécurité (log, …)
  • 77. MESURES DE SÉCURITÉ 77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Sécurité physique - Contrôle d’accès électronique - Alarmes - Vidéo-surveillance - Système de détection d’intrusion - Films antieffraction Sécurité organisationnelle - Réglementation - Procédures d’exploitation de la sécurité - Politiques - PCA/PRA Sécurité humaine - Habilitation - Sensibilisation - Entrainement CCTV Locks Safes Digicode Protected areas Motion detectors security seals Holograms Bouchon RJ45 Bouchon USB Différenciateur physique
  • 78. MESURES DE SÉCURITÉ 78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Faire de la sécurité opérationnelle : Identification de l’information critique ; Analyse de la menace ; Analyse des vulnérabilités ; Estimation du risque ; Application de contre-mesures adaptées. Les produits suivants sont donnés à titre d’exemple. Les produits à utiliser doivent être qualifiés par l’ANSSI avec un niveau EAL 3 ou EAL 3+ http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/
  • 79. MESURES DE SÉCURITÉ 79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Security Operation Center outsourcing de la sécurité
  • 80. Concevoir et manager un dispositif de sécurité adapté nécessite : – Une bonne connaissance / évaluation des risques – Une approche globale et transversale faisant interagir les fonctions Direction Générale, Direction de la Sécurité des Systèmes d'Information, Direction du Contrôle Interne et Direction de l'Audit – Un modèle de conception dynamique qui intègre l’ évolution des architectures et des menaces. Une problématique complexe MESURES DE SÉCURITÉ : SMSI 80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le SMSI (Système de Management de la Sécurité de l’Information) doit être cohérent avec les objectifs métiers de l’organisme et cohérent avec le système de management de la qualité
  • 81. MESURES DE SÉCURITÉ : SMSI 81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 82. MESURES DE SÉCURITÉ : PSSI Politique de sécurité des systèmes d’information : PSSI Définition formelle de la position d'une entreprise en matière de sécurité. « Ensemble des règles formelles auxquelles doivent se conformer les personnes autorisées à accéder à l’information et aux ressources d’une organisation » (RFC 2196) Finalité d’une politique de sécurité ? « Réduire les risques » « Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? » « Définir les règles du jeu » « Communiquer , faire accepter et faire respecter les règles du jeu » 82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 83. MESURES DE SÉCURITÉ : INTÉGRER LA SÉCURITÉ DANS VOS PROJETS 83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Étude / Initialisation Conception Implémentation / Prototype / Test Exploitation / Maintenance Fin de vie • Perception d’un besoin • Expression des besoins • Création d’un projet • Analyse de risques amont • Consultation des équipes sécurité • Formalisation de besoins fonctionnels • Étude de marché • Étude de faisabilité • Analyse de coût • Planification • Identification des entrée/sortie • Analyse de risques • Proposition de mesures de sécurité • Identification des risques résiduels • Expressions de besoins de sécurité • Estimation de coûts • Développement logiciel ou matériel • Construction de prototype • Tests utilisateurs • Documentation • Développement • Prise en compte des bonnes pratiques • Top 10 OWASP • Validation sécurité • Contrôle des mesures de sécurité • Maintien en condition de sécurité • Gestion des incidents • Analyse Forensique • Sauvegarde • Supervision de sécurité • Veille de sécurité • Audit (technique, opérationnel) • Tests d’intrusion • Résilience • Déploiement dans l’environnement de production • Test de performance • Maintien en Condition Opérationnelle • Exploitation • Libération des ressources • Fin du projet • Archivage des informations • Effacement sécurisé • Réversibilité • Mise au rebut • Obsolescence des configurations SécuritéPhases
  • 84. MESURES DE SÉCURITÉ : AUDIT DE SÉCURITÉ 84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 85. 85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DIFFÉRENTS TYPES D’AUDIT TECHNIQUES
  • 86. MESURES DE SECURITE : GUIDE PRATIQUE 86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ANSSI Guide d’hygiène informatique • Connaitre son SI et ses utilisateurs • Maîtriser le réseau • Mettre à niveau les logiciels • Authentifier l’utilisateur • Sécuriser les équipements terminaux • Sécuriser l’intérieur du réseau • Protéger le réseau interne de l’Internet • Surveiller les systèmes • Sécuriser l’administration du réseau • Contrôler l’accès aux locaux et la sécurité physique • Organiser la réaction en cas d’incident • Sensibiliser • Faire auditer la sécurité Et de nombreux autres guides… http://www.ssi.gouv.fr/
  • 87. 87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La norme ISO/IEC 27002:2013 constitue un code de bonnes pratiques. Elle est composée de 114 mesures de sécurité réparties en 14 chapitres couvrant les domaines organisationnels et techniques ci-contre. C’est en adressant l’ensemble de ces domaines que l’on peut avoir une approche globale de la sécurité des S.I. Code de bonnes pratiques pour le management de la sécurité de l’information (27002) Politique de sécurité de l’information Organisation de la sécurité de l’information Contrôle d'accès Sécurité liée aux ressources humaines Sécurité opérationnelle Acquisition, dévpt. et maint. des SI Sécurité physique et environnementale Gestion des actifs Conformité Organisationnel Opérationnel Gestion de incidents liés à la sécurité de l’information Gestion de la continuité de l’activité Cryptographie Sécurité des communications Relations avec les fournisseurs MESURES DE SECURITE : NORME ISO 27002
  • 88. MÉTIERS EN CYBER SÉCURITÉ 88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Gouvernance de la sécuritéGouvernance de la sécurité Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la gouvernance globale de l’organisation. Exploitation / maintien de condition de sécurité Validation / audit organisationnel / test intrusion Expression de besoin / maitrise d’ouvrage (MOA) Conception d’architecture / maitrise d’œuvre (MOE) Développement logiciel ou composant matériel veille des vulnérabilités / analyse forensics Intégration de produit / déploiement d’architecture Cartographie des métiers et compétence en SSI
  • 89. MÉTIERS EN CYBER SÉCURITÉ 89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés b. Cartographie des métiers et compétence en SSI Étude Exploitation / Maintenance Gestion des incidents, des crises MétiersPhases Implémentation, déploiement Conception Auditeur organisationnel Auditeur technique RSSI, Technicien support Investigateur numérique Ingénieur de sécurité, architecte de sécurité, développeur de sécurité, Consultant Analyste dans un SOC
  • 90. MÉTIERS EN CYBER SÉCURITÉ 90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Les métiers se répartissent dans les familles de l’informatique et des réseaux. Nb année expérience Compétence technique Compétence management Gouvernance des systèmes d’information •Responsable ou Directeur 15 à 20 X XXX •Chef de projet / Consultant MOA 5 à 15 XX XX Conception et déploiement de système d’information •Chef de projet / Consultant MOE 5 à 15 XX XX •Architecte système 10 à 15 XXX Développement logiciel et matériel •Architecte/concepteur logiciel/composant 5 à 10 XXX •Développeur logiciel (dont cryptologue) 0 à 10 XXX Exploitation •Technicien système et réseau 0 à 10 XXX •Administrateur système et réseau 0 à 10 XXX X •Analyste veille/gestion des incidents/forensics 0 à 10 XXX X Validation / Audit •Auditeur technique SSI (dont test intrusion) 0 à 10 XXX X •Auditeur organisationnel SSI 5 à 10 X X b. Cartographie des métiers et compétence en SSI Compétence requise : X : peu de compétence XX : niveau moyen XXX : forte compétence
  • 91. RÉSUMÉ DU MODULE 91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Budget Sécurité – Source CLUSIF – 2014 Déclinaison des bonnes pratiques Mesures de sécurité Vue d’ensemble des mesures de sécurité Métiers en cyber sécurité Audit de sécurité
  • 92. PAUSE-RÉFLEXION Avez-vous des questions ? 92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 93. VOLET 4 93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 94. VOLET N°4 : ORGANISATION DE LA SÉCURITÉ EN FRANCE 94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ORGANISATION DE LA SÉCURITÉ EN FRANCE COMMENT RÉAGIR EN CAS DE CYBER CRIME ? LE CONTEXTE JURIDIQUE LE DROIT DES T.I.C. LA LUTTE CONTRE LA CYBERCRIMINALITÉ EN FRANCE LA LOI GODFRAIN - CNIL
  • 95. ORGANISATION DE LA SÉCURITÉ EN FRANCE 95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Cyberdéfense : un véritable enjeu de sécurité nationale « Les cyberattaques, parce qu’elles n’ont pas, jusqu’à présent, causé la mort d’hommes, n’ont pas dans l’opinion l’impact d’actes terroristes. Cependant, dès aujourd’hui, et plus encore à l’horizon du Livre blanc, elles constituent une menace majeure, à forte probabilité et à fort impact potentiel » (Chapitre 4, Les priorités stratégiques, livre blanc 2013) « Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué » (Chapitre 7, Les moyens de la stratégie, , livre blanc 2013)
  • 96. ORGANISATION DE LA SÉCURITÉ EN FRANCE 96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Premier Ministre Secrétaire général de la défense et de la sécurité nationale (SGDSN) Agence nationale de la sécurité des systèmes d’information (ANSSI) Ministères Défense Intérieur Affaires étrangères Economie Budget Industrie … Hauts fonctionnaires de défense et de sécurité (HFDS) Organisation interministérielle : Pilotage de la politique nationale en matière de sécurité des systèmes d’information Proposition des règles à appliquer pour la protection des S.I. de l’État. Vérification de l’application des mesures adoptées Conseil/soutien Sécurité aux administrations Information du public Contribution au développement de Services de confiance … Coordination de la préparation des mesures de défense (Vigipirate) et chargés de la sécurité des systèmes d'information
  • 97. ORGANISATION DE LA SÉCURITÉ EN FRANCE 97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • http://www.clusif.asso.fr/fr/production/cybervictime/ Comment réagir en cas de cyber crime ?
  • 98. LE DROIT DES T.I.C. 98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le contexte juridique Liberté d’expression Propriété intellectuelle Protection de la vie privée Cybercriminalité Protection des entreprises Protection du e-commerce … et bien d’autres…
  • 99. LE DROIT DES T.I.C. 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés – Un droit non codifié : des dizaines de codes en vigueur – … et difficile d’accès • Au carrefour des autres droits • En évolution constante et rapide • Issu de textes de toute nature /niveaux • Caractérisé par une forte construction jurisprudentielle* – nécessitant un effort de veille juridique. (*) La « jurisprudence » est formée de l’ensemble des décisions de justice , « à tous les étages » de l’ordre judiciaire, ce qui donne lieu parfois à des décisions contradictoires, à l’image de l’évolution de la société. Code civil Code pénal Droit du travail Code de la propriété intellectuelle Code des postes et communicat. électroniques Code de la défense Code de la consommation … Le contexte juridique
  • 100. LE DROIT DES T.I.C. 100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Définition de la cybercriminalité : « Ensemble des actes contrevenants aux traités internationaux ou aux lois nationales utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible. » Définition de l’investigation numérique (forensics) : « Ensemble des protocoles et de mesures permettant de rechercher des éléments techniques sur un conteneur de données numériques en vue de répondre à un objectif technique en respectant une procédure de préservation du conteneur. » La lutte contre la cybercriminalité en France
  • 101. LE DROIT DES T.I.C. 101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La loi Godfrain du 5 janvier 1988 stipule que l'accès ou le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données – STAD (art. 323-1, al. 1 du CP), est puni de 2 ans d'emprisonnement et de 30.000 € d'amende au maximum. – Élément matériel de l’infraction : la notion d’accès ou maintien – La fraude ou l’élément moral : « être conscient d’être sans droit et en connaissance de cause » – Éléments indifférents : • Accès « avec ou sans influence » (i.e. avec ou sans modification du système ou des données) • Motivation de l’auteur et origine de l’attaque (ex. Cass.soc. 1er octobre 2002) • La protection du système, condition de l’incrimination ? (affaire Tati/Kitetoa CA Paris, 30 octobre 2000 ; affaire Anses / Bluetouff TGI Créteil, 23 avril 2013) La lutte contre la cybercriminalité en France Tendance des tribunaux : une plus grande intransigeance à l’égard de certaines « victimes » d’accès frauduleux dont le système n’est pas protégé de manière appropriée Jurisprudence sur la définition des STAD : Le réseau France Télécom, le réseau bancaire, un disque dur, une radio, un téléphone, un site internet…
  • 102. LE DROIT DES T.I.C. 102 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du CP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende • L'introduction, la suppression ou la modification frauduleuse de données dans un système de traitement automatisé (art. 323-3 du CP) est puni d’un maximum de 5 ans d'emprisonnement et de 75.000 € d'amende • L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir, de céder ou de mettre à disposition, sans motif légitime, un programme ou un moyen permettant de commettre les infractions prévues aux articles 323-1 à 323- 3. (mêmes sanctions) • Art. 323-4 : l’association de malfaiteurs en informatique • Art. 323-5 : les peines complémentaires • Art. 323-6 : la responsabilité pénale des personnes morales • Art. 323-7 : la répression de la tentative La lutte contre la cybercriminalité en France
  • 103. LE DROIT DES T.I.C. 103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Quel est le champ d’application de la loi ? – Art. 2 « La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 (relevant du droit national). » • Qu’est qu’une donnée à caractère personnel ? – « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » Le rôle de la CNIL : La protection des données à caractère personnel Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  • 104. LE DROIT DES T.I.C. 104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Un traitement de données à caractère personnel doit être « loyal et licite » – Les données sont collectées pour des finalités déterminées explicites et légitimes – de manière proportionnée (adéquates, pertinentes et non excessives) – avec le consentement de la personne concernée (sauf exception) – pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités ! • Les personnes physiques disposent de différents droits sur les données à caractère personnel qui font l’objet d’un traitement… – Un droit d’information préalable au consentement – Un droit d’accès aux données collectées – Un droit de rectification – Un droit d’opposition pour raison légitime Le rôle de la CNIL : La protection des données à caractère personnel La loi protège les droits des personnes physiques identifiées ou identifiables par les données à caractère personnel
  • 105. LE DROIT DES T.I.C. 105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Obligations administratives auprès de la CNIL – Le régime de la déclaration préalable (art. 22 à 24) • Le traitement peut faire l’objet d’une dispense de déclaration • Le traitement échappe à l’obligation de déclaration car le responsable du traitement a désigné un correspondant à la protection des données (CIL) • Dans tous les autres cas, le traitement doit effectivement faire l’objet d’une déclaration préalable – Le régime d’autorisation préalable (art. 25 à 27) • Régime applicable pour les « traitements sensibles » (listés à l’art. 25) • Examen de la demande par la CNIL sous deux mois (le silence vaut rejet). Le rôle de la CNIL : La protection des données à caractère personnel Le responsable de traitement est la personne qui détermine les finalités et les moyens du traitement de données à caractère personnel
  • 106. LE DROIT DES T.I.C. 106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Des obligations de confidentialité et de sécurité des traitements et de secret professionnel – De mettre en œuvre les mesures techniques et organisationnelles appropriées, au regard de la nature des données et des risques, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (art. 34) • Absence de prescriptions techniques précises • Recommandation de réaliser une analyse de risques préalable voire, pour les traitements les plus sensibles, une étude d’impact sur la vie privée (PIA) • Publication par la CNIL de « guides sécurité pour gérer les risques sur la vie privée » (méthodologie d’analyse de risques et catalogue de bonnes pratiques) – De veiller à ce que, le cas échéant, les sous-traitants apportent des garanties suffisantes au regard des mesures de sécurité techniques et d’organisation • Est considéré comme sous-traitant celui qui traite des données à caractère personnel pour le compte et sous la responsabilité du responsable du traitement (article 35) Le rôle de la CNIL : La protection des données à caractère personnel
  • 107. LE DROIT DES T.I.C. 107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Des sanctions pénales (articles 226-16 et suivants du Code pénal) : Douze délits punis de 3 à 5 ans d’emprisonnement et jusqu’à 300.000 euros d’amende – Concernant les obligations de sécurité « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende » (art. 226-17) • Des sanctions civiles (articles 1382 et suivants du Code civil) : Dommages-intérêts en fonction du préjudice causé aux personnes concernées • Des sanctions administratives associées aux pouvoirs conférés à la CNIL – Pouvoir d’injonction de cesser le traitement pour les fichiers soumis à déclaration ou de retrait de l’autorisation accordée – Pouvoir de sanction pécuniaire – Procédure d’urgence : pouvoir d’interruption de la mise en œuvre du traitement ou de verrouillage des données (3 mois) – Mesures de publicité des avertissements et, en cas de mauvaise foi, pour les autres sanctions Le rôle de la CNIL : La protection des données à caractère personnel Les différents risques et sanctions en cas de manquements aux différentes obligations
  • 108. RÉSUMÉ DU MODULE 108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Organisation de la sécurité en France Comment réagir en cas de cyber crime ? La lutte contre la cybercriminalité en France Le contexte juridique – Le droit des TIC La loi Godfrain CNIL
  • 109. PAUSE-RÉFLEXION Avez-vous des questions ? 109 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 110. POUR ALLER PLUS LOIN Livres Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD Management de la sécurité de l'information. Implémentation ISO 27001 Broché – 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface) La sécurité du système d'information des établissements de santé Broché – 31 mai 2012 de Cédric Cartau (Auteur) Magazines http://boutique.ed-diamond.com/ (revue MISC) http://www.mag-securs.com Web www.ssi.gouv.fr – Sécurité des systèmes industriels Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr www.clusif.fr Rapport du Sénateur Bockel sur la Cyberdéfense - http://www.senat.fr/rap/r11- 681_mono.html 110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 111. FIN MERCI POUR VOTRE ATTENTION 111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés