Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots
Le Centre de Contrôle et de Supervision managé par ITrust, Security Operation Center (SOC), vise à superviser entièrement la sécurité d’une organisation. Ainsi, vous vous concentrez sur votre cœur de métier en confiant votre Système d’Information à des professionnels de la sécurité informatique.
Activité historique de la société depuis sa création, ITrust conseille et accompagne petites et grandes entreprises dans leur démarche de sécurisation. ITrust a acquis une expérience riche en sécurité informatique et réseau et offre ainsi aux entreprises un accompagnement de qualité.
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"Les risques liés à la sécurité des SI" Philippe LOUDENOT, FSSI/HFDS - Diaporama
Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots
Le Centre de Contrôle et de Supervision managé par ITrust, Security Operation Center (SOC), vise à superviser entièrement la sécurité d’une organisation. Ainsi, vous vous concentrez sur votre cœur de métier en confiant votre Système d’Information à des professionnels de la sécurité informatique.
Activité historique de la société depuis sa création, ITrust conseille et accompagne petites et grandes entreprises dans leur démarche de sécurisation. ITrust a acquis une expérience riche en sécurité informatique et réseau et offre ainsi aux entreprises un accompagnement de qualité.
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"Les risques liés à la sécurité des SI" Philippe LOUDENOT, FSSI/HFDS - Diaporama
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" Olivier PANTALEO, Président et Christophe KICIAK, Directeur associé Offensive security, Provadys - Diaporama
Les cyberattaquesse multiplient chaque jour et nous sommes tous de potentielles victimes : Que faites-vous pour vous protéger ?, Prenez-vous les mesures nécessaires ? Syneidis vous invite à lire cette présentation où nous vous expliquons comment gérer vos informations confidentielles facilement et en toute sécurité. Si vous voulez en savoir en plus, cliquez sur cette page pour accéder à notre Whitepaper. https://bit.ly/2ys8p7i
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
Qu'est-ce qu'une Sécurité Informatique ?
Pourquoi la Sécurité Informatique?
Mise en œuvre d’une stratégie pour la Sécurité Informatique.
Concepts et Technologies: Cas Pratique
La mobilité s'impose et nous expose. Faut-il subir ou gérer ? L'évolution de la mobilité en entreprise présentée et agrémentée par des démonstrations d'attaque et par les moyens de ...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
For those who didn't come to our conference "Security by Design : An IoT must have", or those who want to see it again, here is the presentation made by Lacroix Electronics.
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014polenumerique33
PASSEPORT DE CONSEILS AUX VOYAGEURS de l'Agence nationale de la sécurité des systèmes d’information (ANSSI).
Partir à l’étranger avec son téléphone, sa tablette ou son ordinateur portable
La protection de données, La classification un premier pasAlghajati
La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.
The conference will describe the main concepts of security for embedded and IoT solutions : security vs safety, IT vs OT, main standards, level of security of available operating systems (Linux, Android, etc.), examples of attacks and secure solutions.
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
La sécurité de votre système d'information : un sujet toujours d'actualité
- Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
- Comment assurer une protection efficace ?
- Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques
Les cyberattaques frappent rapidement et sans relâche. Chaque vague devient plus ciblée, évasive et potentiellement plus mortelle pour votre organisation. Selon Cybercrime: The CredentialConnection d’IDC, plus de 70 % des atteintes réussies aux données commencent sur les points de terminaison, de sorte que la nécessité d’une sécurité efficace des points de terminaison est claire.SandBlastAgent est une protection complète des points de terminaison et une solution EDR qui offre des technologies de prévention des menaces pour la défense de haut niveau contre les cyberattaques connues et inconnues à jour zéro. Une stratégie de prévention des menaces d’abord contrecarre les attaques avant qu’elles ne puissent déclencher leur destruction sur votre organisation.
Système de détection d'intrusion (Intrusion Detection System)YousraChahinez
Un système de détection d'intrusion, (ou IDS pour Intrusion detection system), tente de découvrir ces exploits illégaux commis sur le système en s’appuyant sur une norme. Si les activités s’éloignent de la norme, l’IDS lance une alerte.
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
Au commencement il y avait « l’audit de sécurité » qui était très cadré et très dirigé et donc manquait de vision terrain. Nous sommes ensuite passé au « test d’intrusion », plus réaliste d’une cyberattaque car il permet une plus grande marge de manœuvre pour les consultants tout en permettant l’application des méthodes des pirates. Cependant, le test d’intrusion possède ses limites et face à la généralisation des cyberattaques certains commencent à se demander s’il ne vaudrait pas mieux faire évoluer cette méthodologie…
Le « Red Team » (qui nous vient tout droit d’outre-atlantique) serait-il LA réponse à cette problématique ? L’objectif de ce talk est donc de présenter cette nouvelle méthodologie qui petit à petit commence à faire son bout de chemin sur le vieux continent.
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
Présentation faite lors des matinées d'échange et de réflexion organisées tous les mois par Altitude Concept Sprl. Thème du mois de mars : La sécurité informatique. Plusieurs responsables informatiques des grandes sociétés de la RDC étaient présent pour partciper aux réflexions menés tout au long de cette matinée.
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger" Olivier PANTALEO, Président et Christophe KICIAK, Directeur associé Offensive security, Provadys - Diaporama
Les cyberattaquesse multiplient chaque jour et nous sommes tous de potentielles victimes : Que faites-vous pour vous protéger ?, Prenez-vous les mesures nécessaires ? Syneidis vous invite à lire cette présentation où nous vous expliquons comment gérer vos informations confidentielles facilement et en toute sécurité. Si vous voulez en savoir en plus, cliquez sur cette page pour accéder à notre Whitepaper. https://bit.ly/2ys8p7i
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
Qu'est-ce qu'une Sécurité Informatique ?
Pourquoi la Sécurité Informatique?
Mise en œuvre d’une stratégie pour la Sécurité Informatique.
Concepts et Technologies: Cas Pratique
La mobilité s'impose et nous expose. Faut-il subir ou gérer ? L'évolution de la mobilité en entreprise présentée et agrémentée par des démonstrations d'attaque et par les moyens de ...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
For those who didn't come to our conference "Security by Design : An IoT must have", or those who want to see it again, here is the presentation made by Lacroix Electronics.
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014polenumerique33
PASSEPORT DE CONSEILS AUX VOYAGEURS de l'Agence nationale de la sécurité des systèmes d’information (ANSSI).
Partir à l’étranger avec son téléphone, sa tablette ou son ordinateur portable
La protection de données, La classification un premier pasAlghajati
La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.
The conference will describe the main concepts of security for embedded and IoT solutions : security vs safety, IT vs OT, main standards, level of security of available operating systems (Linux, Android, etc.), examples of attacks and secure solutions.
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
La sécurité de votre système d'information : un sujet toujours d'actualité
- Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
- Comment assurer une protection efficace ?
- Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques
Les cyberattaques frappent rapidement et sans relâche. Chaque vague devient plus ciblée, évasive et potentiellement plus mortelle pour votre organisation. Selon Cybercrime: The CredentialConnection d’IDC, plus de 70 % des atteintes réussies aux données commencent sur les points de terminaison, de sorte que la nécessité d’une sécurité efficace des points de terminaison est claire.SandBlastAgent est une protection complète des points de terminaison et une solution EDR qui offre des technologies de prévention des menaces pour la défense de haut niveau contre les cyberattaques connues et inconnues à jour zéro. Une stratégie de prévention des menaces d’abord contrecarre les attaques avant qu’elles ne puissent déclencher leur destruction sur votre organisation.
Système de détection d'intrusion (Intrusion Detection System)YousraChahinez
Un système de détection d'intrusion, (ou IDS pour Intrusion detection system), tente de découvrir ces exploits illégaux commis sur le système en s’appuyant sur une norme. Si les activités s’éloignent de la norme, l’IDS lance une alerte.
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
Au commencement il y avait « l’audit de sécurité » qui était très cadré et très dirigé et donc manquait de vision terrain. Nous sommes ensuite passé au « test d’intrusion », plus réaliste d’une cyberattaque car il permet une plus grande marge de manœuvre pour les consultants tout en permettant l’application des méthodes des pirates. Cependant, le test d’intrusion possède ses limites et face à la généralisation des cyberattaques certains commencent à se demander s’il ne vaudrait pas mieux faire évoluer cette méthodologie…
Le « Red Team » (qui nous vient tout droit d’outre-atlantique) serait-il LA réponse à cette problématique ? L’objectif de ce talk est donc de présenter cette nouvelle méthodologie qui petit à petit commence à faire son bout de chemin sur le vieux continent.
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...NetSecure Day
Le protocole TLS est une des solutions les plus répandues pour la protection des flux réseau, assurant la confidentialité et l’intégrité d’échanges de données applicatives. Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Les déploiements apportant le plus d’assurance en matière de sécurité dépendent de l’ajustement de plusieurs paramètres du protocole en fonction du contexte de communication.
La présentation propose un tour d’horizon des bonnes pratiques TLS, récemment déclinées dans le guide de « Recommandations de sécurité relatives à TLS » publié par l’ANSSI. Cet état de l’art est accompagné d’observations sur l’écosystème HTTPS, réalisées dans le cadre de l’observatoire de la résilience de l’Internet français.
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
En tant que Startup vous pensez que l’audit de sécurité viendra plus tard. Que nenni ! Votre premier client bancaire vous remettra dans le droit chemin !
Ce talk est un retour d’expérience du coté de l’audité. Comment faire évoluer la culture de l’entreprise sans perdre l’essence d’une startup et tomber dans les pièges des pertes de productivité que vous rencontrez chez les grands comptes dont vous commencez à partager les peines.
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
Décrire le concept d’Intelligence Economique dans tous ses aspects en insistant sur la détection des informations sensibles dans l’entreprise. Indiquer les points de fragilité et les moyens de se protéger. Décrire le dispositif régional d’aide aux entreprises, les outils et les parties prenantes pouvant les épauler.
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
Depuis quelques années, la tendance est de déployer des APIs afin d’exposer de manière unique son backend face à des plateformes différentes : interfaces web, applications mobiles natives ou bien tout simplement d’autres scripts qui l’exploite. Les standards d’API changent régulièrement , et les technologies sont nombreuses, mais les principes de sécurité et de disponibilité autour de cette architecture de nos systèmes d’informations sont souvent identiques. Et pas toujours prises en compte.
Petit tour d’horizon des techniques et bonnes pratiques afin d’assurer l’authentification, la sécurité et bien sur la disponibilité des API, tout en conservant leur facilité d’utilisation.
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationORSYS
Orsys est le premier Institut de formation aux Nouvelles Technologies de l'Informatique et l'un des acteurs les plus importants dans les domaines du Management et du Développement personnel.
Plus d’informations sur les séminaires ORSYS: http://www.seminaires-orsys.com/
CNIL - Guide de la sécurité des données personnellesChristophe Elut
Pour aider les professionnels dans la mise en conformité à la loi Informatique et Liberté et au règlement général sur la protection des données, ce guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.
Source : CNIL
https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?M2i Formation
Les risques font partie de l'écosystème d'un Système d'Information : aucune entreprise ne peut y échapper !
Et pourtant, ces risques sont encore trop peu gérés par les entreprises... et les gouvernements.
Etat des lieux de la sécurité
- La sécurité d'un SI, une simple question de budget ?
- Les principales menaces actuelles
- Et la gestion des risques ?
- On-Premise ou dans le Cloud ?
Mettre en œuvre une approche et une méthode liées à la cybersécurité de son SI
- Comment décrire une approche efficace en termes de cybersécurité
- Vue d'ensemble des principales méthodes reconnues au national et à l'international sur son SSI
- Introduction et cas concret avec la méthode Ebios Risk Manager recommandée par l'ANSSI
- Tour d'horizon des bonnes pratiques préconisées
Et les risques principaux dans tout cela ?
- Comment le ransomware peut-il pénétrer un SI ? Comment interagira-t-il avec le SI ? Quelles seront les conséquences ?
- Comment durcir son SI afin de réduire le risque ?
- Retour sur des cas réels et leurs impacts
Webinar animé par Alexandre Héron
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
Quelles sont les obligations à charge du gestionnaire d’un système informatique ?
Qu’est-ce que le pentesting ?
Qu’est-ce que le piratage éthique ?
Quelles réactions en cas d’attaque ?
par Alexandre CASSART et Pauline LIMBREE (Lexing) et Mélanie GAGNON (MGSI)
Similaire à #NSD15 - Intelligence juridique & systèmes d'informations (20)
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
Le dirigeant est responsable de la sécurité informatique de son entreprise.
Quelles mesures les entreprises doivent-elles prendre pour être en règle ?
Comment le dirigeant peut-il se protéger ? Comment limiter les risques pour l’entreprise ?
Le cyber risque, un risque à assurer – L’assurance responsabilité civile dédiée à la cybersécurité.
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...NetSecure Day
Certificate Transparency vise à renforcer la sécurité des certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. Son objectif est de faciliter la détection de certificats frauduleux ou invalides. Pour cela, les certificats sont enregistrés dans des journaux en ajout seul (append-only) et consultables par tous. Cette conférence présente Certificate Transparency d’un point de vue théorique, dans un premier temps. Ensuite un focus est fait sur son implémentation et son utilisation dans la pratique.
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
Cette présentation va nous montrer comment la communauté de hackers white hat a adapté son environnement pas toujours compréhensif avec sa démarche de remontée de vulnérabilités. Les différentes communautés de sécurité et open source autour du globe ont su adapter ou développer leurs outils à leur savoir-faire. Et inventer de nouveaux concepts tels que le Bug Bounty qui de nos jours fait beaucoup parler de lui tant pour son efficacité, que pour les relations qu’il crée entre les organisations et ces communautés.
Le Bug Bounty est, en quelque sorte, une réponse adaptée à toutes ces personnes ou organisations qui durant des années n’ont pas su fournir une réponse appropriée et un cadre non punitif à ces individus souhaitant simplement exprimer leurs talents de hackers en servant l’intérêt général, et ce, depuis les débuts du Hacking. C’est avec cette foi, mais sans loi que le Bug Bounty hunter est né. Grâce à l’émergence des plateformes qui offrent un cadre aux entreprises et aux hackers, le Bug Bounty a su se rendre accessible aux contraintes d’une approche organisationnelle qui sera évoquée lors de cette présentation.
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
Un grand nombre d’objets connectés utilisent la technologie Bluetooth Low Energy afin d’offrir une connectivité avec des smartphones. Afin d’évaluer la sécurité de ces derniers, il est nécessaire de pouvoir étudier les communications entre ces smartphones et leurs applications associées et les objets connectés, de façon fiable et pratique.
Jusqu’à peu de temps, la seule solution consistait à « sniffer » les communications à l’aide de matériel dédié, mais c’était laborieux et relativement aléatoire. Une alternative possible consiste à réaliser une interception active, avec une approche de l’homme du milieu, ou « man in the middle », mais cette approche était impossible à réaliser faute d’outil adéquat.
Cette présentation rappellera les bases du protocole Bluetooth Low Energy, les raisons des échecs rencontrés lors de l’utilisation de sniffers relativement populaires, pour enfin présenter le framework d’interception BtleJuice, permettant de mettre en œuvre une interception active reposant sur une approche man-in-the-middle. Des démonstrations live seront effectuées afin de démontrer l’efficacité et les possibilités offertes par cet outil, en les mettant en œuvre sur différents objets connectés.
Enfin, des contre-mesures adaptées seront évoquées afin de limiter ce type d’attaque et d’améliorer la sécurité des objets connectés utilisant ce protocole de communication.
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan NitotNetSecure Day
L’informatique a envahi nos vies, au point qu’il est difficile d’envisager de vivre normalement sans Google ni Facebook ni smartphone aujourd’hui. Pourtant, nous savons depuis les révélations d’Edward Snowden que la centralisation de nos données personnelles rend économiquement possible la surveillance de masse. Pouvons-nous inventer un futur informatique nous permettra d’être libres en ayant la maîtrise de nos données ? A quoi ressemblerait un tel futur ?
#NSD16 - Et si on parlait d'authentification forte - Nicolas GlonduNetSecure Day
L’authentification par simple identifiant et mot de passe est insuffisante pour protéger un compte utilisateur. Les campagnes de phishing pullulent sur le net et cela fait quelques années que l’on voit régulièrement dans l’actualité que les bases données de grandes entreprises ont fuité.
Face à cette insuffisance, il existe toutefois un procédé qui n’est pas réservé aux géants du net : l’authentification forte.
Dans cette conférence, je ferai un tour d’horizon de ce qu’est l’authentification forte et de différentes implémentations existantes.
Lancement de l'événement #NSD14 en présence de :
Me. Mélanie MAMMERI, Conseillère Régionale déléguée à l'accompagnement des entreprises et au numérique.
M. Fanch DANIEL, Responsable ORETIC et Conseiller en Technologies de l'Information et de la Communication à la CCI Normandie.
M. Clément MICHEL, Président et Co-Fondateur de l'association NetSecure Day
Plus d'informations à l'adresse suivante : http://www.netsecure-day.fr/nsd14-lancement-evenement
2. Droit de l’informatique
Droit commercial
Droit de la concurrence,
de la distribution et de la consommation
Transactions immobilières
2
3. 3
Droit de l’informatique
Rédaction et négociations de contrats informatiques
Contrat de vente de matériel informatique et maintenance
Contrat de licence et de développement de logiciel
Contrat d'assistance Technique, forfait, et contrat d'infogérance
Exploitation de solutions (Cloud Computing et services SaaS, licences, maintenance, etc.)
Intégration de système clé en main
Grands projets informatiques (intégration de systèmes de type ERP, CRM etc.)
Conditions générales de ventes, conditions générales d’achats, de vente en ligne (e-commerce)
Rédaction de chartes informatiques
Résolution des litiges liés aux systèmes d'information
Mode alternatif de règlement des litiges (négociation, médiation, expertise amiable ...)
Procédure d'expertise judiciaire et suivi des opérations d'expertise
4. Clément MICHEL
4
Security Consultant
French Startuper
CEO & Co-Founder @Synhack
CEO & Co-Founder @Synspark
President & Co-Founder @NetSecureDay
5. SYNHACK, consultants en sécurité
5
Cabinet de consultants indépendants en sécurité informatique
Notre mission : Protéger, Sensibiliser, Accompagner
Audits de sécurité, formation du personnel et
accompagnement sur vos projets numériques
Notre champs d’action : Votre entreprise
6. Synspark, plateforme de sécurité Next-Gen
6
Plateforme de sécurité « Full-Stack »
Donner du sens aux données de sécurité des entreprises
Solutions de protections en temps réel :
Tableaux de bords
Alertes en temps réel
Rapports de menaces
Protection contre les attaques
7. Sécurité informatique : Un enjeu de taille
Aspects techniques : CIAP
Confidentiality
Integrity
Availability
Proof
Aspects stratégiques :
Protéger vos actifs
Rester compétitif
Eviter les pertes financières
10%
90%
Aspects techniques Habitudes du personnel
7
8. Cas Pratiques – Jurisprudence
ORANGE
Cyber attaque en Avril 2014 - vol massif de données personnelles
Sanction de la CNIL : Avertissement public sur les manquements de l’opérateur à ses
obligations de sécurité et de confidentialité
SONY
Novembre 2014, filiale américaine de Sony est victime d’une attaque sur ses systèmes
d’informations (vol de fichiers de données à caractère personnel concernant 47.000
personnes, de 33.000 documents confidentiels mais également de cinq films)
BLUETOUFF
Bluetouff co-fondateur du site reflets.info et spécialiste de la sécurité informatique
A l’occasion d’une enquête sur le régime syrien, découverte des documents confidentiels
diffusés sur le réseau privé de l’agence nationale de la sécurité sanitaire (ANSES).
Sanction pénale
8
9. Sécurité informatique et cadre légal : Quelles
obligations ?
Principe : mise en œuvre de moyens suffisants pour respecter les engagements pris en matière
de sécurité des SI vis-à-vis des collaborateurs, clients, et partenaires.
Pas de cadre légal spécifique - Nécessité de se respecter les dispositions légales et
règlementaires existantes (code pénal, code civil etc…)
Exemple de cas particulier : Les activité de traitement de données nominatives - loi
Informatique et Liberté du 6 janvier 1978 article 34
Sanction : Article 226-17 du Code pénal - 5 ans d’emprisonnement et 300.000 € d’amende.
9
10. Les responsabilités du chef d’entreprise :
Quels Risques ?
La responsabilité civile
De son fait personnel
•Pour faute (1382 du code civil)
•Pour négligence ou imprudence (1383 du code civil)
Du fait de ses préposés/salariés (1384 alinéa 5 du code civil)
10
11. Les responsabilités du chef d’entreprise :
Quels Risques ?
La responsabilité pénale
Principe : « nul n’est pénalement responsable que de son propre fait » (121-1 code pénal)
En pratique : Pas de responsabilité pénale en dehors d’une faute détachable ou séparable de ses
fonctions.
Risque pour le chef d’entreprise : complicité pour aide et assistance au salarié
11
12. Les responsabilités des Salariés: Quels
Risques ?
Responsabilité civile
Responsabilité pénale
Le cas des délégations aux DSI, RSSI
12
13. La protection de son système d’information :
Quelles solutions ?
Les solutions techniques
Les solutions juridiques
13
15. Se protéger : Quelles solutions ?
15
Oui cette image est un magnifique cliché !
Pare-feu
Antivirus
Antimalwares
Certificats SSL
Clés GPG
Connexions VPN
Chiffrement des données
IDS / IPS
Passwords OTP
MDM
Kerberos
Double Auth
Tokens ID
Containers chiffrés
16. Mieux se connaître pour mieux se défendre
Définissons votre maturité SSI (Sécurité des Systèmes d’Informations)
Quelles sont les conséquences potentielles ?
Quelle est la sensibilité de votre patrimoine ?
Quel est votre degré d’exposition aux menaces ?
Quelle est l’importance des vulnérabilités ?
16
17. Maturité SSI (Phase de réflexion)
17
Niveau adéquat de maturité SSI
Niveau des conséquences
potentielles
Adhérence au SI
Niveau des impacts internes
Niveau des impacts externes
Sensibilité du patrimoine
informationnel
Besoins de disponibilité
Besoins d'intégrité
Besoins de confidentialité
Degré d'exposition aux menaces
Fréquence des incidents SSI
Degré de motivation des
attaquants
Moyens des attaquants
Importance des vulnérabilités
Hétérogénéité du SI
Ouverture du SI
Variabilité du SI
18. Maturité SSI (Phase de réflexion)
Niveau des impacts internes : Quelles sont les conséquences internes (perturbations du
fonctionnement, impacts financiers, impacts juridiques...) d'un sinistre touchant la sécurité de
votre système d’information (ex : déni de service, perte d’informations, attaque virale...) ?
Cette question permet d’évaluer la portée des impacts internes suite à un sinistre.
18
Réponses Valeur
Les conséquences internes d’un sinistre SSI ne peuvent qu'être négligeables 0
Les conséquences internes d’un sinistre SSI peuvent être significatives 1
Les conséquences internes d’un sinistre SSI peuvent être graves 2
Les conséquences internes d’un sinistre SSI peuvent être fatales 3
19. Maturité SSI (Phase de réflexion)
AdhérenceauSI
Niveaudesimpactsinternes
Niveaudesimpactsexternes
Besoinsdedisponibilité
Besoinsd’intégrité
Besoinsdeconfidentialité
FréquencedesincidentsSSI
Degrédemotivationdesattaquants
Moyensdesattaquants
HétérogénéitéduSI
OuvertureduSI
VariabilitéduSI
0 1 1 2 0 0 2 1 0 0 1 0
Niveau des
conséquences
potentielles
Sensibilité du
patrimoine
informationnel
Degré d’exposition aux
menaces
Importance des
vulnérabilités
2 2 3 1
Somme totale : 8
Niveau adéquat de maturité SSI : Niveau 3
19
Exemple :
20. Niveau de maturité SSI (Phase de réflexion)
Somme des quatre valeurs Niveau adéquat de maturité SSI
De 0 à 2 1 – Pratique informelle
De 3 à 5 2 – Pratique répétable et suivie
De 6 à 8 3 – Processus définis
De 9 à 10 4 – Processus contrôlés
De 11 à 12 5 – Processus continuellement optimisés
20
21. 21
Exigences d’atteinte du niveau de maturité SSI
DéfinirlastratégieSSI
GérerlesrisquesSSI
GérerlesrèglesSSI
SuperviserlaSSI
Concevoirlesmesures
SSI
RéaliserlesmesuresSSI
ExploiterlesmesuresSSI
Des actions sont réalisées en employant des pratiques de base X X X X X X X
Niveau 1 OK OK OK OK OK OK OK
Les actions sont planifiées X X X X
Les acteurs sont compétents en SSI X X X X X X
Certaines pratiques sont formalisées X X X X
Des mesures qualitatives sont réalisées X X X
Les autorités compétentes sont informées des mesures effectuées X X X X X
Niveau 2 OK OK OK
Le processus est défini, standardisé et formalisé X
Les acteurs ont des compétences appropriées au processus X
L’organisme soutien le processus X
Niveau 3
Le processus est coordonné dans tout le périmètre choisi
Des mesures quantitatives sont régulièrement effectuées
Les mesures effectuées sont analysées
Le processus est amélioré en fonction des mesures effectuées
Niveau 4
Le processus est adapté de façon dynamique à la situation
L'analyse des mesures est définie, standardisée et formalisée
L'amélioration du processus est définie, standardisée et formalisée
Les évolutions du processus sont journalisées
Niveau 5
Niveau effectif de maturité SSI des processus 1 1 2 2 1 2 1
Exemple :
22. Niveau de maturité SSI (Phase opérationnelle)
22
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Base de travail
Effectifs Ciblés
23. Niveau de maturité SSI (Phase opérationnelle)
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Phase 1
Effectifs Ciblés
23
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Phase 2
Effectifs Ciblés
24. Maturité SSI – Le Récap
1. Définir son niveau de maturité cible
2. Analyser son niveau de maturité effectif
3. Poser sa vision, définir sa stratégie
4. Piloter la gouvernance
N’oubliez pas que 90% des actions qui à effectuer seront liées à l’Humains alors que 10% seront
liées à des aspects techniques.
Humains : Formations, méthodologies, procédures…
24
31. Les solutions Juridiques
Les chartes et codes éthiques
•Principe : Liberté du chef d’entreprise dans la mise en œuvre des documents
•Attention au respect de principes (proportionnalité, justification, transparence et loyauté)
•Droit du travail et volet disciplinaire : Intégration au règlement intérieur
Dispositif d’alerte professionnelle
31
32. Sources
Guide des bonnes pratiques informatiques élaboré par l’ANSSI
http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf
Communiqué de presse 16.10.2015 : La France se dote d’une stratégie nationale pour la sécurité
du numérique
http://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_dossierpress
e1.pdf
32
33. 33
72 rue de la République
Bâtiment Seine Innopolis
76140 Le Petit-Quevilly
Tel (33) 09 67 53 63 76
contact@synhack.fr
www.synhack.fr
2 bis rue Georges Charpak
76130 Mont Saint Aignan
Tel (33) 02 76 01 50 07
Fax (33) 02 35 59 96 27
contact@offroyfrances-avocats.fr
www.offroyfrances-avocats.fr