SlideShare une entreprise Scribd logo
1  sur  33
INTELLIGENCE JURIDIQUE ET SYSTÈMES D’INFORMATIONS
AXELLE OFFROY-FRANCÈS // CLÉMENT MICHEL
1
 Droit de l’informatique
 Droit commercial
 Droit de la concurrence,
de la distribution et de la consommation
 Transactions immobilières
2
3
Droit de l’informatique
Rédaction et négociations de contrats informatiques
Contrat de vente de matériel informatique et maintenance
Contrat de licence et de développement de logiciel
Contrat d'assistance Technique, forfait, et contrat d'infogérance
Exploitation de solutions (Cloud Computing et services SaaS, licences, maintenance, etc.)
Intégration de système clé en main
Grands projets informatiques (intégration de systèmes de type ERP, CRM etc.)
Conditions générales de ventes, conditions générales d’achats, de vente en ligne (e-commerce)
Rédaction de chartes informatiques
 Résolution des litiges liés aux systèmes d'information
Mode alternatif de règlement des litiges (négociation, médiation, expertise amiable ...)
Procédure d'expertise judiciaire et suivi des opérations d'expertise
Clément MICHEL
4
 Security Consultant
 French Startuper
 CEO & Co-Founder @Synhack
 CEO & Co-Founder @Synspark
 President & Co-Founder @NetSecureDay
SYNHACK, consultants en sécurité
5
 Cabinet de consultants indépendants en sécurité informatique
 Notre mission : Protéger, Sensibiliser, Accompagner
 Audits de sécurité, formation du personnel et
accompagnement sur vos projets numériques
 Notre champs d’action : Votre entreprise
Synspark, plateforme de sécurité Next-Gen
6
 Plateforme de sécurité « Full-Stack »
 Donner du sens aux données de sécurité des entreprises
 Solutions de protections en temps réel :
 Tableaux de bords
 Alertes en temps réel
 Rapports de menaces
 Protection contre les attaques
Sécurité informatique : Un enjeu de taille
 Aspects techniques : CIAP
 Confidentiality
 Integrity
 Availability
 Proof
 Aspects stratégiques :
 Protéger vos actifs
 Rester compétitif
 Eviter les pertes financières
10%
90%
Aspects techniques Habitudes du personnel
7
Cas Pratiques – Jurisprudence
 ORANGE
Cyber attaque en Avril 2014 - vol massif de données personnelles
Sanction de la CNIL : Avertissement public sur les manquements de l’opérateur à ses
obligations de sécurité et de confidentialité
 SONY
Novembre 2014, filiale américaine de Sony est victime d’une attaque sur ses systèmes
d’informations (vol de fichiers de données à caractère personnel concernant 47.000
personnes, de 33.000 documents confidentiels mais également de cinq films)
 BLUETOUFF
Bluetouff co-fondateur du site reflets.info et spécialiste de la sécurité informatique
A l’occasion d’une enquête sur le régime syrien, découverte des documents confidentiels
diffusés sur le réseau privé de l’agence nationale de la sécurité sanitaire (ANSES).
Sanction pénale
8
Sécurité informatique et cadre légal : Quelles
obligations ?
Principe : mise en œuvre de moyens suffisants pour respecter les engagements pris en matière
de sécurité des SI vis-à-vis des collaborateurs, clients, et partenaires.
Pas de cadre légal spécifique - Nécessité de se respecter les dispositions légales et
règlementaires existantes (code pénal, code civil etc…)
Exemple de cas particulier : Les activité de traitement de données nominatives - loi
Informatique et Liberté du 6 janvier 1978 article 34
Sanction : Article 226-17 du Code pénal - 5 ans d’emprisonnement et 300.000 € d’amende.
9
Les responsabilités du chef d’entreprise :
Quels Risques ?
La responsabilité civile
De son fait personnel
•Pour faute (1382 du code civil)
•Pour négligence ou imprudence (1383 du code civil)
 Du fait de ses préposés/salariés (1384 alinéa 5 du code civil)
10
Les responsabilités du chef d’entreprise :
Quels Risques ?
La responsabilité pénale
Principe : « nul n’est pénalement responsable que de son propre fait » (121-1 code pénal)
En pratique : Pas de responsabilité pénale en dehors d’une faute détachable ou séparable de ses
fonctions.
Risque pour le chef d’entreprise : complicité pour aide et assistance au salarié
11
Les responsabilités des Salariés: Quels
Risques ?
Responsabilité civile
Responsabilité pénale
Le cas des délégations aux DSI, RSSI
12
La protection de son système d’information :
Quelles solutions ?
Les solutions techniques
Les solutions juridiques
13
14
Se protéger : Quelles solutions ?
15
Oui cette image est un magnifique cliché !
Pare-feu
Antivirus
Antimalwares
Certificats SSL
Clés GPG
Connexions VPN
Chiffrement des données
IDS / IPS
Passwords OTP
MDM
Kerberos
Double Auth
Tokens ID
Containers chiffrés
Mieux se connaître pour mieux se défendre
Définissons votre maturité SSI (Sécurité des Systèmes d’Informations)
 Quelles sont les conséquences potentielles ?
 Quelle est la sensibilité de votre patrimoine ?
 Quel est votre degré d’exposition aux menaces ?
 Quelle est l’importance des vulnérabilités ?
16
Maturité SSI (Phase de réflexion)
17
Niveau adéquat de maturité SSI
Niveau des conséquences
potentielles
Adhérence au SI
Niveau des impacts internes
Niveau des impacts externes
Sensibilité du patrimoine
informationnel
Besoins de disponibilité
Besoins d'intégrité
Besoins de confidentialité
Degré d'exposition aux menaces
Fréquence des incidents SSI
Degré de motivation des
attaquants
Moyens des attaquants
Importance des vulnérabilités
Hétérogénéité du SI
Ouverture du SI
Variabilité du SI
Maturité SSI (Phase de réflexion)
 Niveau des impacts internes : Quelles sont les conséquences internes (perturbations du
fonctionnement, impacts financiers, impacts juridiques...) d'un sinistre touchant la sécurité de
votre système d’information (ex : déni de service, perte d’informations, attaque virale...) ?
 Cette question permet d’évaluer la portée des impacts internes suite à un sinistre.
18
Réponses Valeur
Les conséquences internes d’un sinistre SSI ne peuvent qu'être négligeables 0
Les conséquences internes d’un sinistre SSI peuvent être significatives 1
Les conséquences internes d’un sinistre SSI peuvent être graves 2
Les conséquences internes d’un sinistre SSI peuvent être fatales 3
Maturité SSI (Phase de réflexion)
AdhérenceauSI
Niveaudesimpactsinternes
Niveaudesimpactsexternes
Besoinsdedisponibilité
Besoinsd’intégrité
Besoinsdeconfidentialité
FréquencedesincidentsSSI
Degrédemotivationdesattaquants
Moyensdesattaquants
HétérogénéitéduSI
OuvertureduSI
VariabilitéduSI
0 1 1 2 0 0 2 1 0 0 1 0
Niveau des
conséquences
potentielles
Sensibilité du
patrimoine
informationnel
Degré d’exposition aux
menaces
Importance des
vulnérabilités
2 2 3 1
Somme totale : 8
Niveau adéquat de maturité SSI : Niveau 3
19
Exemple :
Niveau de maturité SSI (Phase de réflexion)
Somme des quatre valeurs Niveau adéquat de maturité SSI
De 0 à 2 1 – Pratique informelle
De 3 à 5 2 – Pratique répétable et suivie
De 6 à 8 3 – Processus définis
De 9 à 10 4 – Processus contrôlés
De 11 à 12 5 – Processus continuellement optimisés
20
21
Exigences d’atteinte du niveau de maturité SSI
DéfinirlastratégieSSI
GérerlesrisquesSSI
GérerlesrèglesSSI
SuperviserlaSSI
Concevoirlesmesures
SSI
RéaliserlesmesuresSSI
ExploiterlesmesuresSSI
Des actions sont réalisées en employant des pratiques de base X X X X X X X
Niveau 1 OK OK OK OK OK OK OK
Les actions sont planifiées X X X X
Les acteurs sont compétents en SSI X X X X X X
Certaines pratiques sont formalisées X X X X
Des mesures qualitatives sont réalisées X X X
Les autorités compétentes sont informées des mesures effectuées X X X X X
Niveau 2 OK OK OK
Le processus est défini, standardisé et formalisé X
Les acteurs ont des compétences appropriées au processus X
L’organisme soutien le processus X
Niveau 3
Le processus est coordonné dans tout le périmètre choisi
Des mesures quantitatives sont régulièrement effectuées
Les mesures effectuées sont analysées
Le processus est amélioré en fonction des mesures effectuées
Niveau 4
Le processus est adapté de façon dynamique à la situation
L'analyse des mesures est définie, standardisée et formalisée
L'amélioration du processus est définie, standardisée et formalisée
Les évolutions du processus sont journalisées
Niveau 5
Niveau effectif de maturité SSI des processus 1 1 2 2 1 2 1
Exemple :
Niveau de maturité SSI (Phase opérationnelle)
22
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Base de travail
Effectifs Ciblés
Niveau de maturité SSI (Phase opérationnelle)
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Phase 1
Effectifs Ciblés
23
0 1 2 3 4 5
Exploiter les mesures SSI
Réaliser les mesures SSI
Concevoir les mesures SSI
Superviser la SSI
Gérer les règles SSI
Gérer les risques SSI
Définir la stratégie SSI
Niveaux de maturité SSI – Phase 2
Effectifs Ciblés
Maturité SSI – Le Récap
1. Définir son niveau de maturité cible
2. Analyser son niveau de maturité effectif
3. Poser sa vision, définir sa stratégie
4. Piloter la gouvernance
N’oubliez pas que 90% des actions qui à effectuer seront liées à l’Humains alors que 10% seront
liées à des aspects techniques.
Humains : Formations, méthodologies, procédures…
24
Quelques conseils opérationnels
CHOISIR AVEC SOIN SES MOTS DE PASSE
METTRE À JOUR RÉGULIÈREMENT VOS
LOGICIELS
25
Quelques conseils opérationnels
BIEN CONNAÎTRE SES UTILISATEURS ET SES
PRESTATAIRES
EFFECTUER DES SAUVEGARDES RÉGULIÈRES
26
Quelques conseils opérationnels
SÉCURISER L’ACCÈS WIFI DE VOTRE
ENTREPRISE
ÊTRE AUSSI PRUDENT AVEC SON SMARTPHONE
OU SA TABLETTE QU’AVEC SON ORDINATEUR
27
Quelques conseils opérationnels
PROTÉGER SES DONNÉES LORS DE SES
DÉPLACEMENTS
ÊTRE PRUDENT LORS DE L’UTILISATION DE SA
MESSAGERIE
28
Quelques conseils opérationnels
TÉLÉCHARGER SES PROGRAMMES SUR LES
SITES OFFICIELS DES ÉDITEURS
ÊTRE VIGILANT LORS D’UN PAIEMENT SUR
INTERNET
29
Quelques conseils opérationnels
SÉPARER LES USAGES PERSONNELS DES
USAGES PROCESSIONNELS
PRENDRE SOIN DE SES INFORMATIONS ET DE
SON IDENTITÉ NUMÉRIQUE
30
Les solutions Juridiques
Les chartes et codes éthiques
•Principe : Liberté du chef d’entreprise dans la mise en œuvre des documents
•Attention au respect de principes (proportionnalité, justification, transparence et loyauté)
•Droit du travail et volet disciplinaire : Intégration au règlement intérieur
Dispositif d’alerte professionnelle
31
Sources
Guide des bonnes pratiques informatiques élaboré par l’ANSSI
http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf
Communiqué de presse 16.10.2015 : La France se dote d’une stratégie nationale pour la sécurité
du numérique
http://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_dossierpress
e1.pdf
32
33
72 rue de la République
Bâtiment Seine Innopolis
76140 Le Petit-Quevilly
Tel (33) 09 67 53 63 76
contact@synhack.fr
www.synhack.fr
2 bis rue Georges Charpak
76130 Mont Saint Aignan
Tel (33) 02 76 01 50 07
Fax (33) 02 35 59 96 27
contact@offroyfrances-avocats.fr
www.offroyfrances-avocats.fr

Contenu connexe

Tendances

DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
Analyste soc sécurité en stage ou alternance
Analyste soc sécurité en stage ou alternanceAnalyste soc sécurité en stage ou alternance
Analyste soc sécurité en stage ou alternanceCoralie JESUS
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseHushapp by Syneidis
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?e-Xpert Solutions SA
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
JCSA 2012 02 Florent Chabaud : L'Organisation de la résilience
JCSA 2012 02 Florent Chabaud : L'Organisation de la résilienceJCSA 2012 02 Florent Chabaud : L'Organisation de la résilience
JCSA 2012 02 Florent Chabaud : L'Organisation de la résilienceAfnic
 
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014polenumerique33
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...Pôle Systematic Paris-Region
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Sandblast agent-solution-brief fr
Sandblast agent-solution-brief frSandblast agent-solution-brief fr
Sandblast agent-solution-brief frAGILLY
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)YousraChahinez
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 

Tendances (20)

DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Analyste soc sécurité en stage ou alternance
Analyste soc sécurité en stage ou alternanceAnalyste soc sécurité en stage ou alternance
Analyste soc sécurité en stage ou alternance
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
1 introduction secu
1  introduction secu1  introduction secu
1 introduction secu
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
JCSA 2012 02 Florent Chabaud : L'Organisation de la résilience
JCSA 2012 02 Florent Chabaud : L'Organisation de la résilienceJCSA 2012 02 Florent Chabaud : L'Organisation de la résilience
JCSA 2012 02 Florent Chabaud : L'Organisation de la résilience
 
Prés kais
Prés kaisPrés kais
Prés kais
 
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Sandblast agent-solution-brief fr
Sandblast agent-solution-brief frSandblast agent-solution-brief fr
Sandblast agent-solution-brief fr
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 

En vedette

#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...NetSecure Day
 
#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnelsNetSecure Day
 
#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & LumièresNetSecure Day
 
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...NetSecure Day
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voix#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voixNetSecure Day
 
#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaireNetSecure Day
 
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur  prenez-en soin - Florence Feniou#NSD16 - vos informations ont de la valeur  prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence FeniouNetSecure Day
 
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent CasseNetSecure Day
 

En vedette (9)

#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
 
#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels
 
#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières
 
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voix#NSD15 - Sécurité des plateformes voix
#NSD15 - Sécurité des plateformes voix
 
#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire
 
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur  prenez-en soin - Florence Feniou#NSD16 - vos informations ont de la valeur  prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
 
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
 

Similaire à #NSD15 - Intelligence juridique & systèmes d'informations

resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationORSYS
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Morkfromork
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?M2i Formation
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
 

Similaire à #NSD15 - Intelligence juridique & systèmes d'informations (20)

Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
Formation M2i - Cybersécurité : comment se protéger des pires menaces ?
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 

Plus de NetSecure Day

#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...NetSecure Day
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)NetSecure Day
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...NetSecure Day
 
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan NitotNetSecure Day
 
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas GlonduNetSecure Day
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark webNetSecure Day
 
#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêterNetSecure Day
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objetsNetSecure Day
 
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacentersNetSecure Day
 
#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des donnéesNetSecure Day
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big DataNetSecure Day
 
#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'InternetNetSecure Day
 
#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événementNetSecure Day
 

Plus de NetSecure Day (14)

#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
 
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
 
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web
 
#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets
 
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
 
#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data
 
#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet
 
#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement
 

#NSD15 - Intelligence juridique & systèmes d'informations

  • 1. INTELLIGENCE JURIDIQUE ET SYSTÈMES D’INFORMATIONS AXELLE OFFROY-FRANCÈS // CLÉMENT MICHEL 1
  • 2.  Droit de l’informatique  Droit commercial  Droit de la concurrence, de la distribution et de la consommation  Transactions immobilières 2
  • 3. 3 Droit de l’informatique Rédaction et négociations de contrats informatiques Contrat de vente de matériel informatique et maintenance Contrat de licence et de développement de logiciel Contrat d'assistance Technique, forfait, et contrat d'infogérance Exploitation de solutions (Cloud Computing et services SaaS, licences, maintenance, etc.) Intégration de système clé en main Grands projets informatiques (intégration de systèmes de type ERP, CRM etc.) Conditions générales de ventes, conditions générales d’achats, de vente en ligne (e-commerce) Rédaction de chartes informatiques  Résolution des litiges liés aux systèmes d'information Mode alternatif de règlement des litiges (négociation, médiation, expertise amiable ...) Procédure d'expertise judiciaire et suivi des opérations d'expertise
  • 4. Clément MICHEL 4  Security Consultant  French Startuper  CEO & Co-Founder @Synhack  CEO & Co-Founder @Synspark  President & Co-Founder @NetSecureDay
  • 5. SYNHACK, consultants en sécurité 5  Cabinet de consultants indépendants en sécurité informatique  Notre mission : Protéger, Sensibiliser, Accompagner  Audits de sécurité, formation du personnel et accompagnement sur vos projets numériques  Notre champs d’action : Votre entreprise
  • 6. Synspark, plateforme de sécurité Next-Gen 6  Plateforme de sécurité « Full-Stack »  Donner du sens aux données de sécurité des entreprises  Solutions de protections en temps réel :  Tableaux de bords  Alertes en temps réel  Rapports de menaces  Protection contre les attaques
  • 7. Sécurité informatique : Un enjeu de taille  Aspects techniques : CIAP  Confidentiality  Integrity  Availability  Proof  Aspects stratégiques :  Protéger vos actifs  Rester compétitif  Eviter les pertes financières 10% 90% Aspects techniques Habitudes du personnel 7
  • 8. Cas Pratiques – Jurisprudence  ORANGE Cyber attaque en Avril 2014 - vol massif de données personnelles Sanction de la CNIL : Avertissement public sur les manquements de l’opérateur à ses obligations de sécurité et de confidentialité  SONY Novembre 2014, filiale américaine de Sony est victime d’une attaque sur ses systèmes d’informations (vol de fichiers de données à caractère personnel concernant 47.000 personnes, de 33.000 documents confidentiels mais également de cinq films)  BLUETOUFF Bluetouff co-fondateur du site reflets.info et spécialiste de la sécurité informatique A l’occasion d’une enquête sur le régime syrien, découverte des documents confidentiels diffusés sur le réseau privé de l’agence nationale de la sécurité sanitaire (ANSES). Sanction pénale 8
  • 9. Sécurité informatique et cadre légal : Quelles obligations ? Principe : mise en œuvre de moyens suffisants pour respecter les engagements pris en matière de sécurité des SI vis-à-vis des collaborateurs, clients, et partenaires. Pas de cadre légal spécifique - Nécessité de se respecter les dispositions légales et règlementaires existantes (code pénal, code civil etc…) Exemple de cas particulier : Les activité de traitement de données nominatives - loi Informatique et Liberté du 6 janvier 1978 article 34 Sanction : Article 226-17 du Code pénal - 5 ans d’emprisonnement et 300.000 € d’amende. 9
  • 10. Les responsabilités du chef d’entreprise : Quels Risques ? La responsabilité civile De son fait personnel •Pour faute (1382 du code civil) •Pour négligence ou imprudence (1383 du code civil)  Du fait de ses préposés/salariés (1384 alinéa 5 du code civil) 10
  • 11. Les responsabilités du chef d’entreprise : Quels Risques ? La responsabilité pénale Principe : « nul n’est pénalement responsable que de son propre fait » (121-1 code pénal) En pratique : Pas de responsabilité pénale en dehors d’une faute détachable ou séparable de ses fonctions. Risque pour le chef d’entreprise : complicité pour aide et assistance au salarié 11
  • 12. Les responsabilités des Salariés: Quels Risques ? Responsabilité civile Responsabilité pénale Le cas des délégations aux DSI, RSSI 12
  • 13. La protection de son système d’information : Quelles solutions ? Les solutions techniques Les solutions juridiques 13
  • 14. 14
  • 15. Se protéger : Quelles solutions ? 15 Oui cette image est un magnifique cliché ! Pare-feu Antivirus Antimalwares Certificats SSL Clés GPG Connexions VPN Chiffrement des données IDS / IPS Passwords OTP MDM Kerberos Double Auth Tokens ID Containers chiffrés
  • 16. Mieux se connaître pour mieux se défendre Définissons votre maturité SSI (Sécurité des Systèmes d’Informations)  Quelles sont les conséquences potentielles ?  Quelle est la sensibilité de votre patrimoine ?  Quel est votre degré d’exposition aux menaces ?  Quelle est l’importance des vulnérabilités ? 16
  • 17. Maturité SSI (Phase de réflexion) 17 Niveau adéquat de maturité SSI Niveau des conséquences potentielles Adhérence au SI Niveau des impacts internes Niveau des impacts externes Sensibilité du patrimoine informationnel Besoins de disponibilité Besoins d'intégrité Besoins de confidentialité Degré d'exposition aux menaces Fréquence des incidents SSI Degré de motivation des attaquants Moyens des attaquants Importance des vulnérabilités Hétérogénéité du SI Ouverture du SI Variabilité du SI
  • 18. Maturité SSI (Phase de réflexion)  Niveau des impacts internes : Quelles sont les conséquences internes (perturbations du fonctionnement, impacts financiers, impacts juridiques...) d'un sinistre touchant la sécurité de votre système d’information (ex : déni de service, perte d’informations, attaque virale...) ?  Cette question permet d’évaluer la portée des impacts internes suite à un sinistre. 18 Réponses Valeur Les conséquences internes d’un sinistre SSI ne peuvent qu'être négligeables 0 Les conséquences internes d’un sinistre SSI peuvent être significatives 1 Les conséquences internes d’un sinistre SSI peuvent être graves 2 Les conséquences internes d’un sinistre SSI peuvent être fatales 3
  • 19. Maturité SSI (Phase de réflexion) AdhérenceauSI Niveaudesimpactsinternes Niveaudesimpactsexternes Besoinsdedisponibilité Besoinsd’intégrité Besoinsdeconfidentialité FréquencedesincidentsSSI Degrédemotivationdesattaquants Moyensdesattaquants HétérogénéitéduSI OuvertureduSI VariabilitéduSI 0 1 1 2 0 0 2 1 0 0 1 0 Niveau des conséquences potentielles Sensibilité du patrimoine informationnel Degré d’exposition aux menaces Importance des vulnérabilités 2 2 3 1 Somme totale : 8 Niveau adéquat de maturité SSI : Niveau 3 19 Exemple :
  • 20. Niveau de maturité SSI (Phase de réflexion) Somme des quatre valeurs Niveau adéquat de maturité SSI De 0 à 2 1 – Pratique informelle De 3 à 5 2 – Pratique répétable et suivie De 6 à 8 3 – Processus définis De 9 à 10 4 – Processus contrôlés De 11 à 12 5 – Processus continuellement optimisés 20
  • 21. 21 Exigences d’atteinte du niveau de maturité SSI DéfinirlastratégieSSI GérerlesrisquesSSI GérerlesrèglesSSI SuperviserlaSSI Concevoirlesmesures SSI RéaliserlesmesuresSSI ExploiterlesmesuresSSI Des actions sont réalisées en employant des pratiques de base X X X X X X X Niveau 1 OK OK OK OK OK OK OK Les actions sont planifiées X X X X Les acteurs sont compétents en SSI X X X X X X Certaines pratiques sont formalisées X X X X Des mesures qualitatives sont réalisées X X X Les autorités compétentes sont informées des mesures effectuées X X X X X Niveau 2 OK OK OK Le processus est défini, standardisé et formalisé X Les acteurs ont des compétences appropriées au processus X L’organisme soutien le processus X Niveau 3 Le processus est coordonné dans tout le périmètre choisi Des mesures quantitatives sont régulièrement effectuées Les mesures effectuées sont analysées Le processus est amélioré en fonction des mesures effectuées Niveau 4 Le processus est adapté de façon dynamique à la situation L'analyse des mesures est définie, standardisée et formalisée L'amélioration du processus est définie, standardisée et formalisée Les évolutions du processus sont journalisées Niveau 5 Niveau effectif de maturité SSI des processus 1 1 2 2 1 2 1 Exemple :
  • 22. Niveau de maturité SSI (Phase opérationnelle) 22 0 1 2 3 4 5 Exploiter les mesures SSI Réaliser les mesures SSI Concevoir les mesures SSI Superviser la SSI Gérer les règles SSI Gérer les risques SSI Définir la stratégie SSI Niveaux de maturité SSI – Base de travail Effectifs Ciblés
  • 23. Niveau de maturité SSI (Phase opérationnelle) 0 1 2 3 4 5 Exploiter les mesures SSI Réaliser les mesures SSI Concevoir les mesures SSI Superviser la SSI Gérer les règles SSI Gérer les risques SSI Définir la stratégie SSI Niveaux de maturité SSI – Phase 1 Effectifs Ciblés 23 0 1 2 3 4 5 Exploiter les mesures SSI Réaliser les mesures SSI Concevoir les mesures SSI Superviser la SSI Gérer les règles SSI Gérer les risques SSI Définir la stratégie SSI Niveaux de maturité SSI – Phase 2 Effectifs Ciblés
  • 24. Maturité SSI – Le Récap 1. Définir son niveau de maturité cible 2. Analyser son niveau de maturité effectif 3. Poser sa vision, définir sa stratégie 4. Piloter la gouvernance N’oubliez pas que 90% des actions qui à effectuer seront liées à l’Humains alors que 10% seront liées à des aspects techniques. Humains : Formations, méthodologies, procédures… 24
  • 25. Quelques conseils opérationnels CHOISIR AVEC SOIN SES MOTS DE PASSE METTRE À JOUR RÉGULIÈREMENT VOS LOGICIELS 25
  • 26. Quelques conseils opérationnels BIEN CONNAÎTRE SES UTILISATEURS ET SES PRESTATAIRES EFFECTUER DES SAUVEGARDES RÉGULIÈRES 26
  • 27. Quelques conseils opérationnels SÉCURISER L’ACCÈS WIFI DE VOTRE ENTREPRISE ÊTRE AUSSI PRUDENT AVEC SON SMARTPHONE OU SA TABLETTE QU’AVEC SON ORDINATEUR 27
  • 28. Quelques conseils opérationnels PROTÉGER SES DONNÉES LORS DE SES DÉPLACEMENTS ÊTRE PRUDENT LORS DE L’UTILISATION DE SA MESSAGERIE 28
  • 29. Quelques conseils opérationnels TÉLÉCHARGER SES PROGRAMMES SUR LES SITES OFFICIELS DES ÉDITEURS ÊTRE VIGILANT LORS D’UN PAIEMENT SUR INTERNET 29
  • 30. Quelques conseils opérationnels SÉPARER LES USAGES PERSONNELS DES USAGES PROCESSIONNELS PRENDRE SOIN DE SES INFORMATIONS ET DE SON IDENTITÉ NUMÉRIQUE 30
  • 31. Les solutions Juridiques Les chartes et codes éthiques •Principe : Liberté du chef d’entreprise dans la mise en œuvre des documents •Attention au respect de principes (proportionnalité, justification, transparence et loyauté) •Droit du travail et volet disciplinaire : Intégration au règlement intérieur Dispositif d’alerte professionnelle 31
  • 32. Sources Guide des bonnes pratiques informatiques élaboré par l’ANSSI http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf Communiqué de presse 16.10.2015 : La France se dote d’une stratégie nationale pour la sécurité du numérique http://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_dossierpress e1.pdf 32
  • 33. 33 72 rue de la République Bâtiment Seine Innopolis 76140 Le Petit-Quevilly Tel (33) 09 67 53 63 76 contact@synhack.fr www.synhack.fr 2 bis rue Georges Charpak 76130 Mont Saint Aignan Tel (33) 02 76 01 50 07 Fax (33) 02 35 59 96 27 contact@offroyfrances-avocats.fr www.offroyfrances-avocats.fr