Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
Si les grandes entreprises ont entrepris de se protéger, les PME sont loin de ces problématiques. Comment les atteindre et les convaincre du risque ? Quelles solutions leur apporter?
Article publié dans La Tribune le 10 février 2015
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles International – CIGREF
http://salle-de-presse.cigref.fr/work/entreprises-et-cybersecurite-%E2%80%A8a-lhorizon-2020/
Les PDG et les RSSI ont besoin d’une solution fiable. En protégeant de manière proactive votre capital, Reveelium change complètement le visage de l’analyse des menaces.
Etude réalisée en janvier 2016 par Small Business France sur la filière industrielle nationale de la cybersécurité. Cette étude a été présentée au #FIC2106, à Lille, le 26 janvier 2016, par Henri d'Agrain, Président de Small Business France, le commissaire divisionnaire Thierry Delville, Délégué ministérielle aux industries de sécurité du Ministère de l'intérieur et Jean-Noël de Galzain, Président d'HexaTrust.
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercr...Crossing Skills
Si les grandes entreprises ont entrepris de se protéger, les PME sont loin de ces problématiques. Comment les atteindre et les convaincre du risque ? Quelles solutions leur apporter?
Article publié dans La Tribune le 10 février 2015
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles International – CIGREF
http://salle-de-presse.cigref.fr/work/entreprises-et-cybersecurite-%E2%80%A8a-lhorizon-2020/
Les PDG et les RSSI ont besoin d’une solution fiable. En protégeant de manière proactive votre capital, Reveelium change complètement le visage de l’analyse des menaces.
Etude réalisée en janvier 2016 par Small Business France sur la filière industrielle nationale de la cybersécurité. Cette étude a été présentée au #FIC2106, à Lille, le 26 janvier 2016, par Henri d'Agrain, Président de Small Business France, le commissaire divisionnaire Thierry Delville, Délégué ministérielle aux industries de sécurité du Ministère de l'intérieur et Jean-Noël de Galzain, Président d'HexaTrust.
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Nous vivons dans un monde connecté : jour après jour, ce constat se révèle
être une description toujours plus fidèle de notre réalité. Que ce soit dans notre vie
professionnelle ou pour nos loisirs, Internet occupe une place considérable et
ne cesse de se développer. Aujourd'hui, quelque 2,4 milliards d'internautes de
tous les pays, soit 34 % de la population mondiale, passent de plus en plus de
temps en ligne.1 Et nos cyber-activités s'ajoutent à celles, intenses, des entreprises,
ceci étant une tendance de fond susceptible de révolutionner les usages.
Pour certains, les avantages de notre vie en ligne et des nouveaux modèles
économiques rendus possibles par l'utilisation d'Internet sont assortis de risques
facilement appréhendables et acceptables. D'autres considèrent que de tels
mouvements de masse demandent des réponses plus réfléchies. Mais le temps
manque pour organiser un débat. Ce dont nous avons vraiment besoin, c'est
d'une incitation à l'action.
Pour éliminer les risques qui menacent notre vie en ligne, nous devons prendre en
compte 4 tendances, ayant chacune des implications différentes liées à la cybersécurité,
et demandant l'attention des organisations gouvernementales :
Démocratisation : le pouvoir est à l'utilisateur alors que les entreprises
apprennent à s'adresser à leurs clients par les canaux que ceux-ci imposent.
Consumérisation : il s'agit ici de l'impact des nombreux appareils ou, plus
important encore, des applications, qui sont les compagnons de notre vie
connectée, que ce soit pour le travail ou pour les loisirs.
Externalisation : il est ici fait référence à la dynamique économique du cloud
computing qui entraîne une forte baisse des dépenses d'investissement
et bouleverse le mode de transit des données à destination et en provenance
des entreprises.
Digitalisation : ce terme fait référence à la connectivité exponentielle liée
à l'Internet des objets constitué de toutes sortes de capteurs et d'appareils
connectés.
En matière de lutte contre le cyber-risque, la résolution des problèmes associés
à l'une de ces tendances ne fait qu'accroître l'importance de ceux liés à la
suivante. Tout comme avec la plupart des autres bonnes pratiques, il existe
plusieurs réponses correctes signifiant, au mieux, que vous pouvez optimiser
l'environnement de votre entreprise pour réduire son exposition. En effet, le cyberrisque
ne peut pas être éradiqué en raison des puissantes forces mentionnées
ci-dessus.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
Le dirigeant est responsable de la sécurité informatique de son entreprise.
Quelles mesures les entreprises doivent-elles prendre pour être en règle ?
Comment le dirigeant peut-il se protéger ? Comment limiter les risques pour l’entreprise ?
Le cyber risque, un risque à assurer – L’assurance responsabilité civile dédiée à la cybersécurité.
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
Cybersécurité : créer les conditions de la confiance dans le monde digitalEY
EY publie les résultats de son étude annuelle sur la
cybersécurité. Cette 18ème édition, s’appuie sur une enquête
menée auprès de 1755 professionnels provenant de 67 pays,
formant un panel composé de DSI, de DAF, de PDG et des
responsables de la sécurité de l’information de sociétés issues
de 25 secteurs d’activité différents.
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
Les prochains Entretiens de Télécom ParisTech poseront les questions essentielles suivantes : quelles protections demain ? Pour quels modèles éthiques et sociétaux et en fonction de quelles évolutions technologiques ? Les Entretiens de Télécom ParisTech sur la Cybersécurité des mercredi 11 et jeudi 12 mars réuniront des industriels, des représentants publics, des chercheurs et des juristes.
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
La 17e édition de l’étude annuelle d’EY sur la sécurité de l’information s’appuie sur une enquête menée auprès de 1 825 professionnels dans 60 pays. Le panel se compose de DSI, DAF, PDG, directeurs de l’audit interne, responsables de la sécurité des systèmes d’information, issus de 25 secteurs d’activité différents.
L’étude met en lumière le positionnement actuel des entreprises en matière de cybersécurité et les actions que celles-ci doivent mettre en oeuvre pour conserver une longueur d’avance sur les cybercriminels.
Pour en savoir plus : http://www.ey.com/GISS
Présentation aux équipes VSCT de la Task Force que j'ai mis en place afin de résorber toutes les problématiques lié au portail E-Commerce Junior & Cie.
Histoire d’une technique pour faire des trous d’épingles ou la difficile gestion d’un problème de sécurité. La découverte d’une attaque sur les pare-feu à état m’a amené à devoir gérer les problèmes de la correction et de la divulgation de la faille. Le but de cette présentation est de faire un retour sur l’expérience acquise dans la gestion d’une telle problématique.
Nous vivons dans un monde connecté : jour après jour, ce constat se révèle
être une description toujours plus fidèle de notre réalité. Que ce soit dans notre vie
professionnelle ou pour nos loisirs, Internet occupe une place considérable et
ne cesse de se développer. Aujourd'hui, quelque 2,4 milliards d'internautes de
tous les pays, soit 34 % de la population mondiale, passent de plus en plus de
temps en ligne.1 Et nos cyber-activités s'ajoutent à celles, intenses, des entreprises,
ceci étant une tendance de fond susceptible de révolutionner les usages.
Pour certains, les avantages de notre vie en ligne et des nouveaux modèles
économiques rendus possibles par l'utilisation d'Internet sont assortis de risques
facilement appréhendables et acceptables. D'autres considèrent que de tels
mouvements de masse demandent des réponses plus réfléchies. Mais le temps
manque pour organiser un débat. Ce dont nous avons vraiment besoin, c'est
d'une incitation à l'action.
Pour éliminer les risques qui menacent notre vie en ligne, nous devons prendre en
compte 4 tendances, ayant chacune des implications différentes liées à la cybersécurité,
et demandant l'attention des organisations gouvernementales :
Démocratisation : le pouvoir est à l'utilisateur alors que les entreprises
apprennent à s'adresser à leurs clients par les canaux que ceux-ci imposent.
Consumérisation : il s'agit ici de l'impact des nombreux appareils ou, plus
important encore, des applications, qui sont les compagnons de notre vie
connectée, que ce soit pour le travail ou pour les loisirs.
Externalisation : il est ici fait référence à la dynamique économique du cloud
computing qui entraîne une forte baisse des dépenses d'investissement
et bouleverse le mode de transit des données à destination et en provenance
des entreprises.
Digitalisation : ce terme fait référence à la connectivité exponentielle liée
à l'Internet des objets constitué de toutes sortes de capteurs et d'appareils
connectés.
En matière de lutte contre le cyber-risque, la résolution des problèmes associés
à l'une de ces tendances ne fait qu'accroître l'importance de ceux liés à la
suivante. Tout comme avec la plupart des autres bonnes pratiques, il existe
plusieurs réponses correctes signifiant, au mieux, que vous pouvez optimiser
l'environnement de votre entreprise pour réduire son exposition. En effet, le cyberrisque
ne peut pas être éradiqué en raison des puissantes forces mentionnées
ci-dessus.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
« RESISTANCE CYBER » est un collectif spontané regroupant chefs d’entreprise en cybersécurité, responsables et représentants de clubs, associations, cluster, référents cyber, journalistes, référents du numérique.
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
Le dirigeant est responsable de la sécurité informatique de son entreprise.
Quelles mesures les entreprises doivent-elles prendre pour être en règle ?
Comment le dirigeant peut-il se protéger ? Comment limiter les risques pour l’entreprise ?
Le cyber risque, un risque à assurer – L’assurance responsabilité civile dédiée à la cybersécurité.
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
Cybersécurité : créer les conditions de la confiance dans le monde digitalEY
EY publie les résultats de son étude annuelle sur la
cybersécurité. Cette 18ème édition, s’appuie sur une enquête
menée auprès de 1755 professionnels provenant de 67 pays,
formant un panel composé de DSI, de DAF, de PDG et des
responsables de la sécurité de l’information de sociétés issues
de 25 secteurs d’activité différents.
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
Les prochains Entretiens de Télécom ParisTech poseront les questions essentielles suivantes : quelles protections demain ? Pour quels modèles éthiques et sociétaux et en fonction de quelles évolutions technologiques ? Les Entretiens de Télécom ParisTech sur la Cybersécurité des mercredi 11 et jeudi 12 mars réuniront des industriels, des représentants publics, des chercheurs et des juristes.
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
La 17e édition de l’étude annuelle d’EY sur la sécurité de l’information s’appuie sur une enquête menée auprès de 1 825 professionnels dans 60 pays. Le panel se compose de DSI, DAF, PDG, directeurs de l’audit interne, responsables de la sécurité des systèmes d’information, issus de 25 secteurs d’activité différents.
L’étude met en lumière le positionnement actuel des entreprises en matière de cybersécurité et les actions que celles-ci doivent mettre en oeuvre pour conserver une longueur d’avance sur les cybercriminels.
Pour en savoir plus : http://www.ey.com/GISS
Présentation aux équipes VSCT de la Task Force que j'ai mis en place afin de résorber toutes les problématiques lié au portail E-Commerce Junior & Cie.
Histoire d’une technique pour faire des trous d’épingles ou la difficile gestion d’un problème de sécurité. La découverte d’une attaque sur les pare-feu à état m’a amené à devoir gérer les problèmes de la correction et de la divulgation de la faille. Le but de cette présentation est de faire un retour sur l’expérience acquise dans la gestion d’une telle problématique.
La cave a maintenant son portail :
http://www.lacave-online.com/forum/accueil
Prenez maintenant la bonne porte pour arriver chez nous !
Venez le découvrir.
Lundi 12 Mai 2014. Le premier rallye Maya vient de se terminer. Les participants et les équipes techniques sont conviés à un dîner dans la superbe « Casa Montes Molina »sur le Paseo Montejo de la ville de Mérida dans l'Etat du Yucatán. La bonne humeur et la joie sont au rendez-vous et les compétiteurs se relâchent après 6 jours de haute compétition sous le soleil Maya. La course est finie mais l'aventure vient de commencer ! Reportage et diaporama.
Aartisanat roumain. prezentare din cadrul proectului Comenius "LA M E M O I R E C U L T U R E L L E D E S P E U P L E S", Romania 2014, Liceul Teoretic "Traian Doda" Caransebes
Campagne Business Security distribuée le 27 Mai 2015 à 12'258 exemplaires dans le magazine économique BILAN et touchant 64'000 lecteurs en Suisse Romande ainsi que sur www.business-security.ch
Interview principale: Stephane Koch, Expert Romand en sécurité de l'information
Clients de références: HEIG Vaud, Securitas Direct
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...EY
Chaque jour, dans le sillage des innovations technologiques, de nouveaux risques toujours plus complexes émergent, augmentant de façon significative la vulnérabilité des actifs des organisations. Les organisations ont conscience qu’elles vont devoir affronter de plus en plus de cybercriminels, non localisables, souvent mus par des considérations politiques et technologiquement très avancés.
Pour en savoir plus sur cette étude :
http://www.ey.com/FR/fr/Services/Advisory/IT/GISS---Cyber-attaques---Comment-les-combattre
Cap sur la cyberrésilience : anticiper, résister, réagirEY
Face à l’intensification des attaques malveillantes, la cybersécurité soulève des questions de plus en plus pressantes pour les DSI, directeurs métiers et autres membres du Comex. Découvrez comment ils appréhendent ces questions avec la 19e édition de l'étude EY sur la sécurité de l'information.
Plus d'informations : http://www.ey.com/fr/fr/services/advisory/ey-etude-mondiale-sur-la-securite-de-l-information-cap-su-la-cyberresilience-anticiper-resister-reagir
Dossier de presse - Assises de la Sécurité 2016Laetitia Berché
Dossier de presse nouvelle génération réalisé pour l'ensemble des clients de l'agence Cymbioz à l'occasion des Assises de la Sécurité qui se sont déroulées du 5 au 8 octobre 2016 à Monaco.
Banques et Assurances : Comment lutter avec une plus grande efficacite contre...BRIVA
Le poids des pertes financières dans ce domaine et les contraintes réglementaires font de la lutte
contre la fraude un problème incontournable à traiter.
En matière de lutte contre la fraude (Interne ou externe), les banques et les assurances sont
confrontées aux difficultés suivantes :
• Des solutions de détection parfois fragmentées.
• Un déficit de communication entre les experts sécurité, les Métiers et la technique.
• Des coûts d’investissement et de fonctionnement qui deviennent des postes financiers
importants.
• La nécessité de conserver une relation fluide et simple avec les clients tout en intégrant des
étapes de sécurité supplémentaires.
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Douze règles essentielles pour la sécurité des systèmes d’information des petites et moyennes entreprises.
Les problématiques rencontrées par les petites et moyennes entreprises pour la sécurité de leurs systèmes d’information sont nombreuses : protection des fichiers clientèle, des données personnelles et du savoir-faire technologique, sécurité des systèmes de production… Or, les TPE/PME sont confrontées, chaque jour, à de nouveaux risques menaçant leur intégrité, leur image et leur compétitivité : vol de données, escroqueries financières, sabotage de sites d’e-commerce.
La sensibilisation aux enjeux de sécurité informatique rencontrés par chaque maillon du tissu économique national est au cœur des préoccupations de l’Agence nationale de la sécurité des systèmes d’information. Pour mieux appréhender les problématiques des petites structures, l’Agence travaille en partenariat avec la CGPME (Confédération générale des petites et moyennes entreprises), qui apporte son expertise de terrain : ce guide est le fruit d’une réflexion et d’échanges menés en commun.
La prévention des incidents et attaques informatiques relève souvent de réflexes simples, qui concourent à une protection globale de l’entreprise. Le Guide des bonnes pratiques de l’informatique présente douze recommandations à destination des non-spécialistes, issues de l’analyse d’attaques réussies et de leurs causes.
L’ANSSI et la CGPME encouragent tous les acteurs concernés à s’approprier et mettre en œuvre les conseils présentés dans ce document.
1. «Chaque employé constitue une brique dans
le bouclier contre les hackers», explique
Daniel Soriano, Sales Department Manager,
Consulting & Engineering Services chez
Telindus. «Les entreprises veulent utiliser
des solutions pour diminuer le risque posé
par le facteur humain, explique Jean-Pierre
Henderyckx, Department Manager, Network
&SecuritySolutions,Consulting&Saleschez
Telindus. Il faut agir en amont du réseau pour
protéger correctement les outils et scanner
le matériel avant de l’intégrer au système
interne. Nous devons, progressivement,
mettre ensemble les Unified Communica -
tions et la sécurité.»
TESTS ET DÉ TE C TIONS
BOOST É S
«Au niveau des applications, parfois, la
fonctionnalité de l’application prime sur les
contrôles sécurité implémentés, explique
DanielSoriano.Denouvellestechniquesper-
mettent aujourd’hui d’analyser entièrement,
d’un point de vue sécurité, le code source
de ces applications, afin de détecter les me-
naces présentes.» Il est tout aussi probable
de détecter des erreurs de programmation
(bugs permettant un buffer overflow,…) que
des menaces plus ou moins volontaires
(chevaux de Troie, backdoors,…). «La revue
de code sécurisé présente un bon complé-
ment au test d’intrusion, explique Daniel
Soriano. Elle peut être lancée alors que le
développement n’est pas encore finalisé et
mettre en évidence des éléments imper -
ceptibles de l’extérieur.» La CSSF préconise
quelessiteswebtransactionnelssoienttes -
tés après chaque mise à jour majeure. «Par
rapport à la norme IS O/IEC 27001:2005, le
Luxembourg est un peu en retard par rap -
port à d’autres pays, dit Daniel Soriano. À
l’heure actuelle, une seule entreprise est
certifiée ISO 27001… alors que plus de 200
entreprises ont décroché l’IS O 9000, qui
date, il est vrai, de 1987.»
PAT C HER « À LA VOL É E »
Enfin, la multiplicité et la diversité des appli-
cations présentes dans les environnements
physiques et virtuels rendent difficile, voir
impossible, l’application de la totalité des
patchs sécurité proposés par les éditeurs.
«Il existe des solutions innovantes IPP (Inline
Patch Proxy) permettant de patcher les flux
‘à la volée’ et donc de pouvoir consolider les
fenêtres de maintenance sur des cycles plus
espacés», indique Jean-Pierre Henderyckx.
Jeu, set et patch
Après huit ans de tests d’intrusion et la mise en place de
nombreuses infrastructures sécurité, Telindus constate que les
entreprises luxembourgeoises sont généralement bien protégées
contre les agressions externes.
Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux
systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Se-
lon Telindus, citant Gartner, 80 % des entreprises subiront des attaques au ni-
veau applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par
l’intégrateur vont dans le même sens : les risques sont moindres de voir les
menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité
de ses clients, Telindus place les priorités à deux niveaux : les individus et les
applications.
TEC HNICA L D EVELOPMENT MANAGER
38 AVRIL 08
LEGRANDDOSSIER
Sécurité
2. Daniel Soriano, Sales Department Manager
Consulting & Engineering Services chez Telindus
AVRIL 08 39
3. BUSINESS Trends∆
[ 10 ] Soluxions 66 - Mai2008
Les banquiers luxembourgeois s’estiment «bien
° La confiance? Un rapport direct avec la taille de
l’organisation
Seulement 18% des petites banques s’estiment «très
bien protégées». En revanche, 30% des grandes
organisations estiment l’être. Le niveau de confiance
serait donc proportionnel à la taille, exprimée par le
nombre d’employés, indice en rapport avec l’importance
des ressources qui peuvent être allouées à l’effort de
sécurité. En revanche, le rapport s’inverse si l’on évalue
l’importance des capitaux: plus importants sont ceux-ci,
moins les banques s’estiment «très bien protégées»…
° Le budget alloué à la sécurité? Plutôt stable…
La question du budget est cruciale pour implémenter
de nouvelles technologies ou, plus simplement, garantir
le niveau de conformité nécessaire. Dans la plupart des
banques, la sécurité est encore et toujours considérée
comme un centre de coût. 54% des institutions
interrogées confirment que leur budget est stable;
41% évoquent une évolution. Aucun répondant, c’est
heureux, n’a évoqué de réduction de budget.
° Information Security Officer, une fonction
naturellement proche de l’IT
82% des banques ont nommé un Information Security
Officer. Mais ce n’est là qu’une moyenne. En fait, tout
dépend de l’importance de la banque, les plus grandes
ayant été les plus nombreuses (90%) à officialiser cette
responsabilité. Ceci noté, cette personne assure par ailleurs
d’autres responsabilités. Principalement l’IT (43%), ensuite les
risques opérationnels (19%) et la sécurité physique (19%). De
toute évidence, le lien entre sécurité et IT est -et reste- fort.
° Business Continuity, les plus grandes font la
différence!
Une priorité, c’est évident. Mais des niveaux de tolérance
relativement différents d’une banque à l’autre. Si l’on
peut se risquer à établir une moyenne, le «downtime» est
de moins de 4 heures (58%). Plus intéressant: l’étude a
montré une corrélation forte avec le montant des capitaux:
19% des banques disposant de plus de 5.000 millions
d’EUR annoncent un «downtime» s’exprimant en minutes.
Par ailleurs, si 97% des banques ont un BCP (Business
Continuity Plan), il apparaît que 15% des répondants ne
disposent pas d’un BCP formalisé, testé et maintenu…
Pour la première fois, via le «Benchmark 2007 of Information Security - Banks and insurances
in Luxembourg», les banques et les compagnies d’assurance luxembourgeoises ont évoqué
ouvertement leur politique en matière de sécurité. Bien que limitée à 51 institutions,
l’initiative de Telindus Luxembourg mérite d’être saluée. Son rapport de 64 pages -réalisé
en partenariat avec l’ABBL (Association des Banques et Banquiers de Luxembourg), l’ACA
(Association des Compagnies d’Assurances), la CSSF (Commission de Surveillance du
Secteur Financier) et le Ministère de l’Economie- est riche en informations, réflexions et
tendances. Soluxions a épinglé une série d’informations relatives au secteur bancaire.
«Benchmark 2007 of Information Security - Banks and insurances in
Luxembourg» est une initiative de Telindus Luxembourg.
Ont contribué à cette première édition: Olivier Antoine, Crédric
Mauny, Renaud Dumas et Daniel Soriano.
Si l’Information Security Officer assure d’autres responsabilités,
quelles sont-elles?
IT 43%
Risques opérationnels 19%
Risques physiques 19%
Audit 14%
Management 5%
Autres 38%
0 10 20 30 40 50
4. Soluxions 66 - Mai2008 [ 11 ]
protégés», voire «très bien protégés»
° Les technologies d’authentification forte
et de gestion des identités en retrait
Suprématie des firewalls (97%), programmes d’anti-virus
(92%), outils d’encryption (82%) et autres IDS/IPS (71%).
En revanche, moins d’intérêt pour l’authentification
forte -biométrie, token, etc. Niveau de pénétration:
34%. Précisons ici que l’attentisme des banques sur le
sujet de l’authentification forte n’est pas propre à la
place luxembourgeoise… mais au secteur financier en
général. Or, les attaques de «phishing» (tentative de vol
d’informations personnelles) sont bien réelles! Retard,
également, au niveau de la gestion des identités. Le SSO
(Single Sign-On) recueille à peine 16%. La technologie,
il est vrai, s’intègre le plus souvent à un projet de
sécurité plus étendu, dans lequel elle ne constitue
qu’un élément secondaire, voire un simple bonus.
La veille technologique? Une question de ressources!
Gestion, analyse, suivi… La prévention des risques est
aussi un investissement intellectuel. Telindus parle à
raison de «veille technologique». Il apparaît que 58%
des banques affirment mener une démarche de veille
technologique, mais pas systématiquement. L’écart entre
les banques qui mènent une démarche systématique
et celles qui ne le font pas est très net si l’on tient
compte de la taille: 50% pour les plus grandes, 29%
pour les moyennes et 18% pour les plus petites.
Menez-vous une politique de veille technologique en matière de sécurité?
n Ne sait pas/N’a pas répondu
n Non
n Non, mais la démarche est envisagée
n Oui, mais pas systématiquement
n Oui, systématiquement
De 1 à 49 employés
De 50 à 249 employés
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Plus de 250 employés
De 1 à 49
employés
De 50 à 249
employés
Plus de 250
employés
Firewalls » « «
Anti-virus sur stations de travail ∆ » «
Anti-virus sur portails de messagerie « » ∆
Outils d’encryption » ∆ «
IDS/IPS » « «
Anti-spyware/ Anti-malware » « »
Authentification forte » « »
Firewalls individuels » ∆ «
SSO » » «
Les choix technologiques sont fonction de la taille de la banque
5. Pleins feux
sur la sécurité
Telindus a présenté les résultats de son étude sur l’état
de la sécurité de l’information au Luxembourg.
Première étude sur la sécurité exclusivement dédiée au Grand-Duché de
Luxembourg, ‘Benchmark 2007’ analyse l’état de la sécurité de l’information au
sein de 51 banques et sociétés d’assurances. Lancée l’été dernier par Telindus
PSF, l’étude s’adressait à plusieurs domaines de sécurité: physique, business
continuity, conformité, standardisation, responsabilisation, etc.
Avec cette première étude, Telindus PSF veut
ainsi donner un angle local à la problématique
de la sécurité et fournir des résultats utiles aux
institutions publiques et aux responsables de la
sécurité des systèmes d’information (RSSI). La
société a également souhaité mettre l’accent
sur la confidentialité des données. Ainsi, les
réponses furent utilisées avec la confidentialité
la plus complète, sans identifier directement
ou indirectement les participants. Un élément
important à prendre en compte alors que 80%
des répondants de l’étude représentent le sec-
teur bancaire, contre 20% pour les sociétés
d’assurances, et que les RSSI doivent évaluer
la sécurité de leurs systèmes…
Lors de l’évaluation du degré de protection
en termes de sécurité d’information, les RSSI
ont répondu: très bonne (20%), bonne ou
relativement bonne (75%) et mauvaise ou
insuffisante (5%). En termes de budget alloué
à la sécurité de l’information, 20% des répon-
dants prédisent une augmentation majeure
dans l’année à venir, 31% une augmentation,
41% que cela restera constant et 8% n’ont
donné aucune réponse. Plus précisément,
alors que les banques répondent en majo-
rité (55%) que les investissements seront
constants, les sociétés d’assurance y voient
une augmentation très importante (38%) ou
importante (46%). Seules 8% prédisent un
investissement semblable à l’année précé-
dente, ce qui induit une focalisation accrue
pour ces sociétés. Enfin, 72% des répon-
dants on un plan de business continuity en
place et formalisé, tandis que 20% sont en
cours, et 8% n’ont encore défini aucune stra-
tégie en la matière.
rÔlE(s) Du rssi
De manière générale, les répondants esti-
ment que le rôle du RSSI est bien défini et
chapeaute même d’autres fonctions (32%).
Cependant, 10% d’entre eux pensent que
la responsabilisation du RSSI n’est pas
assez claire tandis que 8% déclarent que
cette problématique est en cours de résolu-
tion. Le RSSI peut aussi prendre en charge
d’autres fonctions, telles que l’IT, le risque
opérationnel, la sécurité physique, l’audit et
le management. En matière de risques, 15%
des répondants estiment que le risk assess-
ment est fait en fonction d’une méthodologie
reconnue, tandis que dans 65% des cas, la
méthode est inhouse. Dans 20% des cas, le
risk assessment n’est soit pas encore défini,
soit pas encore en projet.
la CErtiFiCatioN,
NoN prioritairE
Telindus PSF a également comparé les
systèmes d’information du secteur des ban-
cassurances luxembourgeois aux standards
internationaux ISO/IEC 27002 :2005.
Selon l’étude de Telindus, 65% des répon-
dants sont familiers avec ces standards,
tandis qu’environ un tiers des personnes les
connaissent peu ou pas du tout. Alors que
45% des sociétés sont en train d’implémen-
ter les recommandations émises par ces
standards, environ 55% ne comptent pas les
développer, ou les ignorent. Enfin, seuls 10%
des répondants vont suivre cette standardi-
sation jusqu’à obtenir la certification.
//// priorités pour
l’aNNéE 2008 ////
1. Data confidentiality
2. a. Awareness-raising
and training of the personnel
b. Data backup
c. Disaster recovery
and business continuity plan
3. Information security policy
4. Network and remote
access protection
5. Analysis of risks
6. Compliance with legal
and regulatory aspects
7. a. Physical protection
of equipment and data
b. Rights, access and privilege control
8. Identification and classification
of assets and definition
of responsibilities
9. Information system monitoring,
incident detection and response
10. Protection against viruses,
malware, spyware and spam
JUIN 08 73
BUSINESS DECISION MAKER
ACTUAL-IT
Sécurité