SlideShare une entreprise Scribd logo
1
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Security Day
Webdays Algiers
Définitions/ Risques / Droits
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité
Consultant Sécurité, Expert Cloud Access
7 juin 2013
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
2
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Plan
1 Introduction
2 Études des risques
3 Droits en vigueur
4 Cloud Computing
5 Protections et sécurité
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
3
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Engineer in computer science specialized networks and
security in USTHB (2009)
Algeria Telecom Security Engineer - Djaweb Service :
Department operating platforms national and international
(www.djaweb.dz)(2009/2010)
Master degree in Telecommunications and networking at
UPMC (University Pierre et Marie Curie) in partnership with
Telecom Paris Tech and ITIN ENST (2010/2011)
PhD student in Laboratoire d’Informatique de Paris 6
(www.lip6.fr), with specialization in a virtual environment,
Security of Cloud and virtual network.(2011 / nowdays)
Security Consultant SecFuNet FP7 project
Telecom Consultant NU@GE Project
co-author / Security consultant Gintao Project
co-author / Security consultant SMVR Project
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
4
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Les risques sont nombreux en sécurité informatique et
évoluent d’année en année
C’est une activité de tous les instants, qui repose sur le bon
sens
Il suffit d’appliquer de simples pratiques d’excellence pour
améliorer de façon considérable votre protection ?
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
4
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Les risques sont nombreux en sécurité informatique et
évoluent d’année en année
C’est une activité de tous les instants, qui repose sur le bon
sens
Il suffit d’appliquer de simples pratiques d’excellence pour
améliorer de façon considérable votre protection ?
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
4
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Les risques sont nombreux en sécurité informatique et
évoluent d’année en année
C’est une activité de tous les instants, qui repose sur le bon
sens
Il suffit d’appliquer de simples pratiques d’excellence pour
améliorer de façon considérable votre protection ?
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
5
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
La sécurité informatique est l’ensemble des moyens mis en œuvre
pour réduire la vulnérabilité d’un système. Les exigences
principales d’un système sont :
Disponibilité (serveur local, internet) : disponible pour les
personnes autorisées
Confidentialité : l’accès à l’information n’est possible que pour
les personnes autorisées
Intégrité : modification autorisée de l’information
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
6
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Une menace est une violation potentielle de la sécurité, plusieurs
types existent :
Accidentelle
Intentionnelle (et là je l’appelle attaque)
Active (directement nuisible)
Passive (espionnage ou surveillance)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
7
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Rien ne sert de mettre en place une solution pour une menace
donnée qui coûte plus cher que ce que coûteraient les retombées
de l’attaque elle même.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
8
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Notre travail en tant qu’ingénieur sécurité consiste à proposer :
1 Une Analyse cohérente qui identifie les risques potentiels mais
aussi les solutions avec le coût associé (oui le budget)
2 Des solutions et produits existants et éprouvés (ne pas
réinventer la roue ou proposer une innovation)
3 Organiser les solutions sous forme de politique de sécurité
avec des niveaux de tolérance
4 En conclusion on obtient ce que l’on doit protéger par priorité
(Encore que le jeu en vaille la chandelle)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
9
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Les bonnes questions que l’on doit se poser :
Quels sont le coût et le délai de remplacement d’un
équipement
Quelle valeur possède l’information à protéger
Quel impact sur la clientèle si une information concernant une
attaque dont on aurait fait l’objet (La réputation a un prix)
Faire des tests avec des outils d’analyse réseau (Audit de
sécurité externe)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
10
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
En fin de compte je dois mettre en place un SMSI (Système de
Management de la sécurité de l’information et continuité d’activité)
Pour cela je dois m’aider d’outils et de méthodes d’analyses, en
prenant soin de m’approcher le plus possible de la norme
ISO-27000
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
11
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Il existe des méthodes d’analyses de risques éditées pour la sécurité
informatique :
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
12
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Méthode EBIOS (Expression des Besoins et Identification des
Objectifs de Sécurité) :
Mise en place par la DCSSI (Direction Centrale de la Sécurité des
Systèmes d’informations)
se compose principalement de 5 guides : Introduction,
Démarches, Techniques, Outillages, logiciels)
elle se compose en 5 grandes étapes :
1 étude du contexte
2 expression des besoins de sécurité
3 étude des menaces
4 identification des objectifs de sécurité
5 détermination des exigences de sécurité
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
13
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Mehari (MEthode Harmonisée d’Analyse de RIsques) est
développée par le CLUSIF depuis 1995
Elle est développée par le CLUSIF ( Club de la Sécurité de
l’Information Français) depuis 1995 et en constante mise à jour
Elle est dérivée des méthodes Melisa et Marion.
Le logiciel RISICARE développé par la société BUC SA est un
outil de gestion des risques basé sur la méthode Mehari.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
14
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Mehari s’articule autour de 3 types de livrables :
1 Le Plan Stratégique de Sécurité (PSS) fixe les objectifs de
sécurité ainsi que les métriques permettant de les mesurer
2 Les Plans Opérationnels de Sécurité définissent pour chaque
site les mesures de sécurité qui doivent être mises en œuvre.
3 Le Plan Opérationnel d’Entreprise assure le suivi de la sécurité
par l’élaboration d’indicateurs sur les risques identifiés et le
choix des scénarios de catastrophe contre lesquels il faut se
prémunir.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
15
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Comment choisir une méthode parmi le panel existant ?
l’origine géographique de la méthode
la langue de la méthode
la qualité de la documentation
le coût de la mise en œuvre
la quantité de moyens humains qu’elle implique et la durée de
mobilisation
la taille de l’entreprise
sa popularité, l’existence d’un club d’utilisateurs afin d’avoir
un retour d’expériences
...etc.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
16
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Loi
pause
Loi 09-04 du 14 Chaabane 1430 correspondant au 5 août 2009
portant règles particulières relatives à la prévention et à la lutte
contre les infractions liées aux technologies de l’information et de
la communication :
Définit la terminologie (beaucoup de manque)
Champs d’application
Cas autorisant le recours à la surveillance électronique
Perquisition des systèmes informatiques
Obligation des fournisseurs de services à porter assistance aux
autorités (l’inverse ? ?)
elle définit les « infractions liées aux technologies de
l’information et de la communication »
Organe national de prévention et de lutte contre les
infractions lièes aux TICs (Where is it ?)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
17
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Loi
pause
Je vous invite à faire une pause de 10 minutes
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
18
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
La virtualisation : ensemble des techniques matérielles et/ou
logicielles qui permettent de faire fonctionner sur une seule
machine plusieurs systèmes d’exploitations et/ou plusieurs
applications, séparément les uns des autres, comme s’ils
fonctionnaient sur des machines physiques distinctes
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
19
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
There are four (4) basic categories of virtualization :
1 Storage virtualization : which pools physical storage from
multiple network storage devices so that they appear to be a
single storage device
2 Network virtualization : which provides a way to run different,
separated networks within the same physical infrastructure
3 Software virtualization : which allow better compatibility for
applications
4 Server virtualization :The server administrator uses a software
application to divide one physical server into multiple isolated
virtual environments.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
20
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
Resource sharing
Heterogeneity
Scalability and self management
Payment model ( pay-per-use model)
Security ? ? ?
Usability (easy use)
...
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
21
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
Cisco définit le Cloud : "Ressources informatiques et services qui
sont abstraites de l’infrastructure sous-jacente et proposer "à la
demande" et "à l’échelle" dans un environnement locataires
multiples"
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
22
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
On demand : resources can be provisioned immediately when
needed, released (libérer) when no longer required, and billed
(facturer) only when used
At scale : the service provides the illusion of infinite resource
availability in order to meet whatever demands are made of it
Multitenant environment : the resources are provided to many
consumers from a single implementation, saving (économiser)
the provider significant cost
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
23
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
les avantages du cloud sont la simple dérivée de ceux de la
virtualisation
Réduction des coûts d’exploitations
Focalisation sur le corps métier
La Flexibilité de la technologie (provisionning/déploiement)
Économie d’énergie et développement durable
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
24
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le terrain de bataille
Principaux défauts de sécurité
Principaux conseils à suivre
Conclusion
L’importance accordée aux systèmes d’informations par les
entreprises en fait la cible d’attaque ; le risque est encore plus accru
avec l’ouverture de l’entreprise vers internet.
Négliger la sécurité de ces systèmes peut conduire l’entreprise à la
faillite ; la sécurité prend alors deux formes :
Sécurité interne de l’entreprise (Fuites d’informations, Erreur
humaine, Vols...)
Sécurité externe de l’entreprise (Piratage, Services
indisponibles, DDos...)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
25
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le terrain de bataille
Principaux défauts de sécurité
Principaux conseils à suivre
Conclusion
les principaux défauts de sécurité constatés :
> Installations des matériels et logiciels par défaut
> Mises à jour non effectuées
> Mots de passe inexistants
> Session non sécurisée
> Services inutiles conservés
> pas de séparations de flux (flux opérationnels/ flux
d’administrations)
> aucune procédure de sécurité ou de SMSI
> outils de tests laissés dans les configurations de productions
> Authentification faible
> ...
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
26
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le terrain de bataille
Principaux défauts de sécurité
Principaux conseils à suivre
Conclusion
les principaux défauts de sécurité constatés :
> La formation des utilisateurs (point très important)
> La sécurité du poste de travail indépendamment des serveurs
> Antivirus / pare-feu (matériels et logiciels)
> Authentification couplée au Cryptage
> Protocoles sécurisés (SSL/SSH/EAP-TLS...STOP TELNET)
> Sécurisation de la messagerie
> Surveiller son trafic
> Tests et Audits
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
27
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le terrain de bataille
Principaux défauts de sécurité
Principaux conseils à suivre
Conclusion
Protégez-vous c’est important !
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers

Contenu connexe

Tendances

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
polenumerique33
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
Thierry Pertus
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
ELCA Informatique SA / ELCA Informatik AG
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Thierry Pertus
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
polenumerique33
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Eric DUPUIS
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
Cyber Security Alliance
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
OPcyberland
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 

Tendances (20)

Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 

En vedette

Consignes carnaval
Consignes carnavalConsignes carnaval
Consignes carnavalarcfound
 
Sentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
Sentencia TSJA sobre Reconocer Experiencia Religion OposicionesSentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
Sentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
MaestroPedro .
 
hanira repaso
hanira repaso hanira repaso
hanira repaso
HANIRA SANCHEZ
 
A la découverte de notre Histoire
A la découverte de notre HistoireA la découverte de notre Histoire
A la découverte de notre HistoireBourgeoisE
 
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_etiPôle Systematic Paris-Region
 
PROIEKTUAK3 BIDIAIA 2010
PROIEKTUAK3 BIDIAIA 2010PROIEKTUAK3 BIDIAIA 2010
PROIEKTUAK3 BIDIAIA 2010
ibonsalaberria
 
Miniquest la nueva economía
Miniquest la nueva economíaMiniquest la nueva economía
Miniquest la nueva economía
Departamento de Historia y Ciencias Sociales
 
Réalisations novadys portrait
Réalisations novadys portraitRéalisations novadys portrait
Réalisations novadys portraitLucie SEPTIER
 
Cce 04 2014
Cce 04 2014Cce 04 2014
Cce 04 2014
gt_unsa_casino
 
Explorando el aula virtual
Explorando el aula virtualExplorando el aula virtual
Explorando el aula virtual
kcompta
 
Présentation du projet de l'ASBL Jardin'âges
Présentation du projet de l'ASBL Jardin'âgesPrésentation du projet de l'ASBL Jardin'âges
Présentation du projet de l'ASBL Jardin'âgesClément Darcheville
 
Présentation1
Présentation1Présentation1
Présentation1Tapaka
 
Refrigeradoras
RefrigeradorasRefrigeradoras
Refrigeradoras
Mamfredy Mejia
 
Guía chile en el mundo 02
Guía chile en el mundo 02Guía chile en el mundo 02
Discours de la presidente du college regional des femmes 080314
Discours de la presidente du college regional des femmes 080314Discours de la presidente du college regional des femmes 080314
Discours de la presidente du college regional des femmes 080314
Fatimata Kone
 
Sexta secundaria
Sexta secundariaSexta secundaria
Sexta secundaria
Alonso Mendez Torres
 
Power point im1 fonction publique
Power point im1 fonction publiquePower point im1 fonction publique
Power point im1 fonction publiqueLapitievivi02
 
David guetta presentation
David  guetta presentationDavid  guetta presentation
David guetta presentationamfitrita
 

En vedette (20)

Consignes carnaval
Consignes carnavalConsignes carnaval
Consignes carnaval
 
Sentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
Sentencia TSJA sobre Reconocer Experiencia Religion OposicionesSentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
Sentencia TSJA sobre Reconocer Experiencia Religion Oposiciones
 
Code deontologique
Code deontologiqueCode deontologique
Code deontologique
 
hanira repaso
hanira repaso hanira repaso
hanira repaso
 
A la découverte de notre Histoire
A la découverte de notre HistoireA la découverte de notre Histoire
A la découverte de notre Histoire
 
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
01.jean noel degalzain- l'offre_de_service_d’accompagnement_aux_tpe,_pme_et_eti
 
PROIEKTUAK3 BIDIAIA 2010
PROIEKTUAK3 BIDIAIA 2010PROIEKTUAK3 BIDIAIA 2010
PROIEKTUAK3 BIDIAIA 2010
 
Miniquest la nueva economía
Miniquest la nueva economíaMiniquest la nueva economía
Miniquest la nueva economía
 
Réalisations novadys portrait
Réalisations novadys portraitRéalisations novadys portrait
Réalisations novadys portrait
 
Cce 04 2014
Cce 04 2014Cce 04 2014
Cce 04 2014
 
Explorando el aula virtual
Explorando el aula virtualExplorando el aula virtual
Explorando el aula virtual
 
Présentation du projet de l'ASBL Jardin'âges
Présentation du projet de l'ASBL Jardin'âgesPrésentation du projet de l'ASBL Jardin'âges
Présentation du projet de l'ASBL Jardin'âges
 
Présentation1
Présentation1Présentation1
Présentation1
 
Refrigeradoras
RefrigeradorasRefrigeradoras
Refrigeradoras
 
Guía chile en el mundo 02
Guía chile en el mundo 02Guía chile en el mundo 02
Guía chile en el mundo 02
 
Discours de la presidente du college regional des femmes 080314
Discours de la presidente du college regional des femmes 080314Discours de la presidente du college regional des femmes 080314
Discours de la presidente du college regional des femmes 080314
 
Sexta secundaria
Sexta secundariaSexta secundaria
Sexta secundaria
 
Power point im1 fonction publique
Power point im1 fonction publiquePower point im1 fonction publique
Power point im1 fonction publique
 
Lire le référentiel1relu eee
Lire le référentiel1relu eeeLire le référentiel1relu eee
Lire le référentiel1relu eee
 
David guetta presentation
David  guetta presentationDavid  guetta presentation
David guetta presentation
 

Similaire à Security Day "Définitions, Risques et Droits" par Fouad Guenane

ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Fiche formation cissp
Fiche formation   cisspFiche formation   cissp
Fiche formation cisspzsekoia
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
Lexing - Belgium
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
PRONETIS
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 
Mehari
MehariMehari
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
Manuel Cédric EBODE MBALLA
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
IBM France PME-ETI
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
FootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
Aurélie Sondag
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
facemeshfacemesh
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
ASIP Santé
 
Mehari
MehariMehari
Mehari
Afaf MATOUG
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectés
Stéphanie Roger
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Christophe Pekar
 

Similaire à Security Day "Définitions, Risques et Droits" par Fouad Guenane (20)

ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Fiche formation cissp
Fiche formation   cisspFiche formation   cissp
Fiche formation cissp
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Mehari
MehariMehari
Mehari
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
Mehari
MehariMehari
Mehari
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectés
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 

Security Day "Définitions, Risques et Droits" par Fouad Guenane

  • 1. 1 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Security Day Webdays Algiers Définitions/ Risques / Droits Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Consultant Sécurité, Expert Cloud Access 7 juin 2013 Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 2. 2 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Plan 1 Introduction 2 Études des risques 3 Droits en vigueur 4 Cloud Computing 5 Protections et sécurité Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 3. 3 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Engineer in computer science specialized networks and security in USTHB (2009) Algeria Telecom Security Engineer - Djaweb Service : Department operating platforms national and international (www.djaweb.dz)(2009/2010) Master degree in Telecommunications and networking at UPMC (University Pierre et Marie Curie) in partnership with Telecom Paris Tech and ITIN ENST (2010/2011) PhD student in Laboratoire d’Informatique de Paris 6 (www.lip6.fr), with specialization in a virtual environment, Security of Cloud and virtual network.(2011 / nowdays) Security Consultant SecFuNet FP7 project Telecom Consultant NU@GE Project co-author / Security consultant Gintao Project co-author / Security consultant SMVR Project Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 4. 4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 5. 4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 6. 4 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Les risques sont nombreux en sécurité informatique et évoluent d’année en année C’est une activité de tous les instants, qui repose sur le bon sens Il suffit d’appliquer de simples pratiques d’excellence pour améliorer de façon considérable votre protection ? Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 7. 5 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions La sécurité informatique est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système. Les exigences principales d’un système sont : Disponibilité (serveur local, internet) : disponible pour les personnes autorisées Confidentialité : l’accès à l’information n’est possible que pour les personnes autorisées Intégrité : modification autorisée de l’information Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 8. 6 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Parcours Contexte Définitions Une menace est une violation potentielle de la sécurité, plusieurs types existent : Accidentelle Intentionnelle (et là je l’appelle attaque) Active (directement nuisible) Passive (espionnage ou surveillance) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 9. 7 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Rien ne sert de mettre en place une solution pour une menace donnée qui coûte plus cher que ce que coûteraient les retombées de l’attaque elle même. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 10. 8 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Notre travail en tant qu’ingénieur sécurité consiste à proposer : 1 Une Analyse cohérente qui identifie les risques potentiels mais aussi les solutions avec le coût associé (oui le budget) 2 Des solutions et produits existants et éprouvés (ne pas réinventer la roue ou proposer une innovation) 3 Organiser les solutions sous forme de politique de sécurité avec des niveaux de tolérance 4 En conclusion on obtient ce que l’on doit protéger par priorité (Encore que le jeu en vaille la chandelle) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 11. 9 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Les bonnes questions que l’on doit se poser : Quels sont le coût et le délai de remplacement d’un équipement Quelle valeur possède l’information à protéger Quel impact sur la clientèle si une information concernant une attaque dont on aurait fait l’objet (La réputation a un prix) Faire des tests avec des outils d’analyse réseau (Audit de sécurité externe) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 12. 10 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode En fin de compte je dois mettre en place un SMSI (Système de Management de la sécurité de l’information et continuité d’activité) Pour cela je dois m’aider d’outils et de méthodes d’analyses, en prenant soin de m’approcher le plus possible de la norme ISO-27000 Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 13. 11 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Il existe des méthodes d’analyses de risques éditées pour la sécurité informatique : Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 14. 12 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) : Mise en place par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’informations) se compose principalement de 5 guides : Introduction, Démarches, Techniques, Outillages, logiciels) elle se compose en 5 grandes étapes : 1 étude du contexte 2 expression des besoins de sécurité 3 étude des menaces 4 identification des objectifs de sécurité 5 détermination des exigences de sécurité Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 15. 13 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Mehari (MEthode Harmonisée d’Analyse de RIsques) est développée par le CLUSIF depuis 1995 Elle est développée par le CLUSIF ( Club de la Sécurité de l’Information Français) depuis 1995 et en constante mise à jour Elle est dérivée des méthodes Melisa et Marion. Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 16. 14 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Mehari s’articule autour de 3 types de livrables : 1 Le Plan Stratégique de Sécurité (PSS) fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer 2 Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. 3 Le Plan Opérationnel d’Entreprise assure le suivi de la sécurité par l’élaboration d’indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 17. 15 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Introduction et rôle de l’ingénieur Méthode d’analyse Choisir sa méthode Comment choisir une méthode parmi le panel existant ? l’origine géographique de la méthode la langue de la méthode la qualité de la documentation le coût de la mise en œuvre la quantité de moyens humains qu’elle implique et la durée de mobilisation la taille de l’entreprise sa popularité, l’existence d’un club d’utilisateurs afin d’avoir un retour d’expériences ...etc. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 18. 16 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Loi pause Loi 09-04 du 14 Chaabane 1430 correspondant au 5 août 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l’information et de la communication : Définit la terminologie (beaucoup de manque) Champs d’application Cas autorisant le recours à la surveillance électronique Perquisition des systèmes informatiques Obligation des fournisseurs de services à porter assistance aux autorités (l’inverse ? ?) elle définit les « infractions liées aux technologies de l’information et de la communication » Organe national de prévention et de lutte contre les infractions lièes aux TICs (Where is it ?) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 19. 17 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Loi pause Je vous invite à faire une pause de 10 minutes Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 20. 18 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud La virtualisation : ensemble des techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d’exploitations et/ou plusieurs applications, séparément les uns des autres, comme s’ils fonctionnaient sur des machines physiques distinctes Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 21. 19 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud There are four (4) basic categories of virtualization : 1 Storage virtualization : which pools physical storage from multiple network storage devices so that they appear to be a single storage device 2 Network virtualization : which provides a way to run different, separated networks within the same physical infrastructure 3 Software virtualization : which allow better compatibility for applications 4 Server virtualization :The server administrator uses a software application to divide one physical server into multiple isolated virtual environments. Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 22. 20 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud Resource sharing Heterogeneity Scalability and self management Payment model ( pay-per-use model) Security ? ? ? Usability (easy use) ... Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 23. 21 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud Cisco définit le Cloud : "Ressources informatiques et services qui sont abstraites de l’infrastructure sous-jacente et proposer "à la demande" et "à l’échelle" dans un environnement locataires multiples" Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 24. 22 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud On demand : resources can be provisioned immediately when needed, released (libérer) when no longer required, and billed (facturer) only when used At scale : the service provides the illusion of infinite resource availability in order to meet whatever demands are made of it Multitenant environment : the resources are provided to many consumers from a single implementation, saving (économiser) the provider significant cost Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 25. 23 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le chemin du Cloud... Type de virtualisation Les avantages Cloud Computing Born Avantages du Cloud les avantages du cloud sont la simple dérivée de ceux de la virtualisation Réduction des coûts d’exploitations Focalisation sur le corps métier La Flexibilité de la technologie (provisionning/déploiement) Économie d’énergie et développement durable Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 26. 24 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion L’importance accordée aux systèmes d’informations par les entreprises en fait la cible d’attaque ; le risque est encore plus accru avec l’ouverture de l’entreprise vers internet. Négliger la sécurité de ces systèmes peut conduire l’entreprise à la faillite ; la sécurité prend alors deux formes : Sécurité interne de l’entreprise (Fuites d’informations, Erreur humaine, Vols...) Sécurité externe de l’entreprise (Piratage, Services indisponibles, DDos...) Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 27. 25 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion les principaux défauts de sécurité constatés : > Installations des matériels et logiciels par défaut > Mises à jour non effectuées > Mots de passe inexistants > Session non sécurisée > Services inutiles conservés > pas de séparations de flux (flux opérationnels/ flux d’administrations) > aucune procédure de sécurité ou de SMSI > outils de tests laissés dans les configurations de productions > Authentification faible > ... Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 28. 26 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion les principaux défauts de sécurité constatés : > La formation des utilisateurs (point très important) > La sécurité du poste de travail indépendamment des serveurs > Antivirus / pare-feu (matériels et logiciels) > Authentification couplée au Cryptage > Protocoles sécurisés (SSL/SSH/EAP-TLS...STOP TELNET) > Sécurisation de la messagerie > Surveiller son trafic > Tests et Audits Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  • 29. 27 Introduction Études des risques Droits en vigueur Cloud Computing Protections et sécurité Le terrain de bataille Principaux défauts de sécurité Principaux conseils à suivre Conclusion Protégez-vous c’est important ! Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers