2. La sécurité de l’information
I. La Sécurité de l’Information: de quoi parlons nous?
• Le système d’information
• L’information
• La sécurité de l’information
II. L’importance de la Sécurité de l’Information
• Les mesures de sécurité de l’information
• La variété des menaces à la sécurité de l’information
• L’incidence des menaces à la sécurité de l’information
III.Conclusions
4. Le système
informatique,
composant majeur
du système
d’information
Le système d’information:
les systèmes informatiques & l’information
L’INFORMATION
(Numérisée ou Tangible)
ProcéduresMatériel
Logiciels Données
Personnel
Acquérir
Traiter
Stocker
Communiquer
L’INFORMATION
(Numérisée ou Tangible)
5. Une classification simplifiée de l’information
Classification Définition
Publique Discrétion mais pas d’impact négatif en cas de divulgation
Sensible Requiert des mesures de précautions afin d’assurer
l’intégrité et la confidentialité des données
Privé Informations personnelles dont l’usage est perclus à la
conduite des activités; leur divulgation peut affecter
négativement le personnel ou l’organisation
Confidentiel Dont l’usage est strictement limité à l’organisation ; selon
les cas et pays, hors de portée de la loi sur la divulgation
des informations; l’effet négatif sur l’organisation serait
conséquent
Secret Liée à la sécurité nationale; en cas de divulgation,
pourrait significativement affecter la sécurité nationale
6. La Sécurité de l’Information
La protection de l’information et des systèmes d’information contre tout accès, utilisation,
divulgation, perturbation, modification ou destruction par un tiers sans autorisation.
Principes Fondamentaux :
La confidentialité
L’intégrité
La disponibilité
Critères de sécurité supplémentaires nécessaires:
La non-répudiation
(le fait de s'assurer qu'un contrat, notamment un contrat signé via internet, ne peut être remis en cause par l'une
des parties)
La traçabilité
L’identification/ L’authentification
7. La sécurité de l’information dans toute l’organisation
ProceduresMatériel
Logiciels Données
Personnel
8. Typologie des mesures de Sécurité de l’Information
Administratives
Techniques
Physiques (équipements, bâtiments, personnes)
Virtuelles
Opérationnelles
Ces mesures doivent également être prises en cohérence avec:
le degré de l’information à protéger
le principe de sécurité mis à mal par les menaces
9. L’industrie
La Gouvernance
Responsabilités & pratiques de Sécurité de l’Information
• Les Politiques internes de Sécurité (organisationnelles, problème/système-spécifiques)
• Les Standards: activités, actions, règles ou régulations imposées
• Les Procédures pour employés
• Guidelines pour employés et clients
Rôles & Responsabilités de Sécurité de l’information
Dans ses activités
• En tant que propriétaire de données
• En tant que propriétaire et gestionnaire de systèmes et réseaux
• En tant que propriétaire et gestionnaire de processus de transformation, diffusion…
• En tant que propriétaire d’équipements, bâtiments..
• En tant qu’employeur
• En tant qu’ employé
10. Belgique:
o La région bruxelloise mise sur la sécurité informatique après qu’une étude ait mis en lumière la forte hausse
du nombre des incidents cybercriminels
Evolution du nombre d’incidents et notifications mensuels recensés par la Cyber Emergency Team depuis 2010:
11. La Sécurité de l’Information est donc…
…l’ensemble des mesures légales, contractuelles, opérationnelles et
organisationnelles limitant l’exploitation des vulnérabilités de l’entreprises par des
menaces à l’intégrité, la disponibilité et la confidentialité des données de l’entreprise
et de ses clients.
Il est estimé opportun pour les entreprises d’investir leurs efforts dans la cyber
sécurité et ce, au plus vite.
12. L’Importance de la Sécurité de l’Information
Malgré la législation, sans les mesures de protections adéquates, les systèmes ICT
restent extrêmement vulnérables aux menaces qui caractérisent l’environnement
Internet
La criminalité à leur encontre a de multiples implications.
Exemples: - Début 2003, un virus a paralysé le réseau de self-banking durant
plusieurs heures aux USA
- Actuellement, le virus “Budbear” exploite les systèmes informatiques
infectés et divulgue des quantités importantes de documents
confidentiels
Les chiffres de la sécurité de l’information
•Variété des menaces à la sécurité de l’information
•Incidence des menaces à la sécurité de l’information
14. Tirés d’une analyse estimant le coût global de la cybercriminalité conduite McAfee (2014)
Des Chiffres en rapport aux Incidents Virtuels
Incidents Par Source Incidents Par Type
Malveillance Externe 55% Vol d’identité 54%
Perte accidentelle 25% Fraude financière 17%
Malveillance Interne 15% Accès aux comptes internet 11%
Intrusion Gouvernementale 4% Spamming 10%
Hacking 1% Données personnelles 8%
15. Quelques Chiffres sur les Incidents Virtuels par Source
Incidents involontaires dus aux employés et utilisateurs
• 95% des entreprises se disent menacées par des problèmes de sécurité liés au matériel
informatique appartenant à leurs employés. (Jacopini, D. 2015)
• 47% des entreprises ont observé des intrusions suites à des brèches présentes dans des
appareils mobiles (Jacopini, D. 2015)
• 77% des sites internet propageant des malwares sont des sites légitimes mais infectés
Incidents malveillants (employés, tiers, outsider)
Cette étude souligne la nette augmentation du nombre d’attaques cybercriminelles: par ex, le
vol des données a augmenté de 78% entre 2013 et 2014
Le secteur technologique était le 3ième à être le plus touché par la perte ou le vol de données,
après le secteur marchand et financier en 2014.
L’Europe comptait 12% des incidents cybercriminels mondiaux.
La Belgique fait partie du top 10 des pays Européens les plus affectés en 2014.
16. L’Impact économique de la Cybercriminalité
Menaces
Impact sur l’Entreprise en termes de performance
Impact sur l’Emploi
Impact sur l’économie Nationale
Les pertes liées à la cybercriminalité ont été évaluées à $400 Milliards par an.
Ce chiffre correspond au coût supporté par plus de 800 millions d’individus à travers le monde
dont les informations ont été volées.
Et selon les projections, les choses n’iront pas en s’arrangeant…
17. Les menaces virtuelles évoluent aussi rapidement que la technologie.
“De nouvelles fonctionnalités dans les rootkits et botnets pourraient engendrer de
nouvelles menaces” (Lyne, J. Sophos, 2015)
Le rapide essor de la cybercriminalité tient
-Des rendements substantiels que cette industrie génère
-Du caractère réduit des risques contingents à l’entreprise cybercriminelle
En effet, selon le rapport produit par McAfee en 2014 sur l’impact économique net de
la cybercriminalité:
La hausse des pertes liées au cyber crime est inhérente à
• La dépendance des activités des entreprises et individus au virtuel augmentera
• L’impunité qui caractérise le vol de propriété intellectuelle à des fins compétitives
ou malveillantes
18. Les menaces internes
La culture de l’entreprise: la sécurité de l’information y est-elle intégrée de manière
appropriée?
Principes de sécurité liés au personnel:
- La sensibilisation:
Les personnes juridiquement responsables,
les responsables de la sécurité du système d’information,
l’encadrement du personnel, des managers,…
- Les responsabilités:
Le management de la sécurité,
la séparation des responsabilités personnes juridiquement responsables/
responsables sécurité / utilisateurs/ tiers sous-traitant
19. Les acteurs de l’entreprises:
potentielles sources internes d’incidents
Mener une politique de sécurité de l’information rigoureuse permet d’anticiper et d’éviter une
grande majorité des incidents au sein même de l’entreprise
Les infrastructures:
• Contrôles humain et technologique d’identitié, d’authentification, à l’entrée des bâtiments,
par étages, par locaux
• Enregistrements du personnel et visiteurs
• Caméras, vidéo-surveillance
…
Management:
• Les différents directeurs de l’entreprise sont-ils impliqués dans la politique de sécurité dans
l’entreprise et dans quelle mesure?
• Conduisent-ils leurs activités et projets en cohérence avec les principes fondamentaux de
sécurité?
• Reçoivent-ils la formation nécessaire?
• Mettent-ils l’accent sur la sécurité dans leurs relations avec employés, sous-traitants,
clients et managers?
• La coordination entre niveaux et la communication sont-elles existantes et efficaces?
20. Les employés
• Avant l’engagement:
Le screening et la vérification des cvs se font-ils de manière systématique et
rigoureuse par le directeur des Ressources Humaines?
• Pendant l’engagement:
La communication sur les incidents, changements et
procédures est-elle appropriée?
La notion de la sécurité est-elle comprise de tous, notamment vis-à-vis des
responsabilités qui leur incombe en la matière par contrat?
Les employés ont-ils reçu les formations nécessaire et requises?
• Fin de l’engagement:
Les contrats incluent-ils les clauses appropriées spécifiques à la sécurité de
l’information de l’entreprise et de ses clients?
Récupère t on les données stratégiques?
Contrôle t on les mouvements physiques et virtuelles de la personne ?
21. La Sécurité de l’Information est cruciale afin de limiter la potentielle incidence de
telles menaces
Selon une analyse comparative menée en Allemagne, Autriche et Suisse cette année,
75% des entreprises estiment moyen à élevé le degré d’importance accordé à la
sécurité de l’information par le top management.
• Les risques en termes de sécurité sont généralement ignorés lors de la prise de
décisions et la conduite du “business”
• Seules 31% des entreprises considèrent que la sécurité de l’information est en
adéquation avec la réalisation des objectifs commerciaux.
• Les firmes se contentent de l’évaluation de l’efficacité de leurs mesures de sécurité.
• Seules 7% d’entre elles utilisent des indicateurs de performance spécifiques
• Tandis que 5% à peine portent attention au ROI de la sécurité de l’information
Pourtant, aligner les activités principales d’une entreprise avec les critères de
sécurité les plus pointus offre aux entreprises de nombreux avantages.
22. Autres Impacts des incidents de sécurité & ROI
Interruption du Business-As-Usual
Conséquences légales
Dommage à la confiance des utilisateurs
Dommage à la confiance de l’investisseur
Dommage à la réputation
Perte de revenus
Une “business value” peut être dérivée d’un investissement pointu en matière de
sécurité de l’information:
une étude conduite en 2010 aux USA a permis de déterminer que les entreprises ayant
investit dans des initiatives à la pointe ont vu doubler (voire plus) leur retour sur
investissement annuel comparé entreprises ayant investit dans des garanties de
sécurité moins fiables.