Guide "hygiène informatique" de l'Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la sécurité des systèmes d'information.
S’adressant aux personnes en charge de la sécurité informatique, que ce soit un responsable de la sécurité des systèmes d’information (RSSI) ou toute autre personne qui remplit cette fonction, ce document présente les 40 règles d’hygiène informatique incontournables.
Elles ne prétendent pas avoir un caractère d’exhaustivité. Elles constituent cependant le socle minimum des règles à respecter pour protéger les informations d’une entreprise.
Ne pas les suivre expose l’entreprise à des risques d’incidents majeurs, susceptibles de mettre sa compétitivité, voire sa pérennité, en danger.
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
Les prochains Entretiens de Télécom ParisTech poseront les questions essentielles suivantes : quelles protections demain ? Pour quels modèles éthiques et sociétaux et en fonction de quelles évolutions technologiques ? Les Entretiens de Télécom ParisTech sur la Cybersécurité des mercredi 11 et jeudi 12 mars réuniront des industriels, des représentants publics, des chercheurs et des juristes.
La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.
Etude réalisée en janvier 2016 par Small Business France sur la filière industrielle nationale de la cybersécurité. Cette étude a été présentée au #FIC2106, à Lille, le 26 janvier 2016, par Henri d'Agrain, Président de Small Business France, le commissaire divisionnaire Thierry Delville, Délégué ministérielle aux industries de sécurité du Ministère de l'intérieur et Jean-Noël de Galzain, Président d'HexaTrust.
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Guide "hygiène informatique" de l'Agence nationale de la sécurité des systèmes d’information (ANSSI) sur la sécurité des systèmes d'information.
S’adressant aux personnes en charge de la sécurité informatique, que ce soit un responsable de la sécurité des systèmes d’information (RSSI) ou toute autre personne qui remplit cette fonction, ce document présente les 40 règles d’hygiène informatique incontournables.
Elles ne prétendent pas avoir un caractère d’exhaustivité. Elles constituent cependant le socle minimum des règles à respecter pour protéger les informations d’une entreprise.
Ne pas les suivre expose l’entreprise à des risques d’incidents majeurs, susceptibles de mettre sa compétitivité, voire sa pérennité, en danger.
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
Les prochains Entretiens de Télécom ParisTech poseront les questions essentielles suivantes : quelles protections demain ? Pour quels modèles éthiques et sociétaux et en fonction de quelles évolutions technologiques ? Les Entretiens de Télécom ParisTech sur la Cybersécurité des mercredi 11 et jeudi 12 mars réuniront des industriels, des représentants publics, des chercheurs et des juristes.
La cybersécurité est aujourd’hui un enjeu de premier plan qui s’explique par les révélations presque incessantes sur des attaques informatiques et des violations de données. Dans ce contexte d’imprévisibilité et d’insécurité, les organisations redéfinissent leur approche de la sécurité et recherchent un équilibre entre risque, innovation et coût. En parallèle, le domaine de la cybersécurité enregistre des évolutions spectaculaires, qui imposent aux
organisations d’appliquer de nouvelles pratiques et d’acquérir de nouvelles compétences.
Le risque en matière de cybersécurité est désormais clairement commercial. Sous-estimer l’importance de la sécurité peut ainsi constituer une menace pour l’avenir d’une organisation. Pourtant, de nombreuses organisations continuent à gérer et à envisager la cybersécurité dans le champ du service informatique. Cela doit changer.
Etude réalisée en janvier 2016 par Small Business France sur la filière industrielle nationale de la cybersécurité. Cette étude a été présentée au #FIC2106, à Lille, le 26 janvier 2016, par Henri d'Agrain, Président de Small Business France, le commissaire divisionnaire Thierry Delville, Délégué ministérielle aux industries de sécurité du Ministère de l'intérieur et Jean-Noël de Galzain, Président d'HexaTrust.
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
Présentation PME-PMI - Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions digitales, réalisée pour la RCC Bretagne et Vesperale GRANIT du 10 avril 2014
Le terme «cyber sécurité» est dans toutes les bouches, avec pour conséquence un effet de galvaudage qui s’avère in fine préjudiciable aux organisations qui s’escriment à protéger leurs biens de valeur. Cette présentation vise à prodiguer quelques conseils pragmatiques en termes de gouvernance cyber sécurité, élaborés sur base du retour d’expérience terrain d’ELCA. Elle ne vise pas à introduire quelque concept hyper novateur et miraculeux mais invite au contraire à se reconcentrer sur des principes de bon sens de base curieusement négligés aujourd’hui.
Analyse de risques en cybersécurité industriellePatrice Bock
Principes du contrôle commande, méthodes d'analyse standard et limites, justification d'approches pragmatiques par l'actualité (octobre 2011).
Réalisé avant que DuQu soit rendu public, mais donc d'autant plus pertinent à présent.
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
Hapsis réinvente la sécurité informatique en proposant la sécurité numérique à la carte.
Cette offre permet d’offrir à nos clients le bon niveau d’intervention au meilleur prix grâce à la mise à disposition de compétences nécessaires pour les travaux à réaliser, un consultant manager dédié et une facturation à l’heure/ journée, sur devis ou par abonnement.
L’offre de Hapsis est structurée en cinq domaines :
- Stratégie
- Process
- Protection de l'infrastructure
- Volet humain
- Transformation numérique
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
Présentation PME-PMI - Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions digitales, réalisée pour la RCC Bretagne et Vesperale GRANIT du 10 avril 2014
Le terme «cyber sécurité» est dans toutes les bouches, avec pour conséquence un effet de galvaudage qui s’avère in fine préjudiciable aux organisations qui s’escriment à protéger leurs biens de valeur. Cette présentation vise à prodiguer quelques conseils pragmatiques en termes de gouvernance cyber sécurité, élaborés sur base du retour d’expérience terrain d’ELCA. Elle ne vise pas à introduire quelque concept hyper novateur et miraculeux mais invite au contraire à se reconcentrer sur des principes de bon sens de base curieusement négligés aujourd’hui.
Analyse de risques en cybersécurité industriellePatrice Bock
Principes du contrôle commande, méthodes d'analyse standard et limites, justification d'approches pragmatiques par l'actualité (octobre 2011).
Réalisé avant que DuQu soit rendu public, mais donc d'autant plus pertinent à présent.
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
Hapsis réinvente la sécurité informatique en proposant la sécurité numérique à la carte.
Cette offre permet d’offrir à nos clients le bon niveau d’intervention au meilleur prix grâce à la mise à disposition de compétences nécessaires pour les travaux à réaliser, un consultant manager dédié et une facturation à l’heure/ journée, sur devis ou par abonnement.
L’offre de Hapsis est structurée en cinq domaines :
- Stratégie
- Process
- Protection de l'infrastructure
- Volet humain
- Transformation numérique
Cette présentation reprend d'une façon succincte la relation entre la démarche d’Intelligence Économique qui regroupe l’ensemble des pratiques de veille, des pratiques de diffusion et de protection de la connaissance externe en interne et la démarche de Management de la connaissance qui vise à la cohérence et à la disponibilité de la connaissance produite en interne, à sa capitalisation et sa diffusion au sein de l'organisation.
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
Gérez la sécurité informatique et auditez ses outils !
Lors de cette formation vous allez :
- Connaître l’environnement informatique, les contrôles et les risques associés
- Détenir les techniques pour manager les risques informatiques
- Identifier les solutions pour auditer les contrôles informatiques
- Disposer d'un référentiel des contrôles informatiques sur les process achats et ventes
Suivez la formation vidéo par ici :
https://www.smartnskilled.com/tutoriel/formation-en-ligne-manager-et-auditer-les-risques-informatiques
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...EY
Chaque jour, dans le sillage des innovations technologiques, de nouveaux risques toujours plus complexes émergent, augmentant de façon significative la vulnérabilité des actifs des organisations. Les organisations ont conscience qu’elles vont devoir affronter de plus en plus de cybercriminels, non localisables, souvent mus par des considérations politiques et technologiquement très avancés.
Pour en savoir plus sur cette étude :
http://www.ey.com/FR/fr/Services/Advisory/IT/GISS---Cyber-attaques---Comment-les-combattre
Alors que l’adoption de DevOps pour des organisations Agile était une transition naturelle, le passage à DevSecOps a introduit de nouveaux défis. DevSecOps nécessite un changement important de mentalité et de culture d'entreprise pour intégrer les nouveaux outils et les nouvelles activités de sécurité. C’est la raison pour laquelle suivre le rythme d’Agile et la culture DevOps lors de l’introduction de la sécurité dans le cycle de développement logiciel (SDLC) est un défit pour de nombreuses entreprises.
Dans ce webinaire, Cem Nisanoglu explore le modèle opérationnel de DevSecOps et souligne l'importance de la gestion des changements, de l'automatisation, et des indicateurs de sécurité dans une transition vers DevSecOps, ainsi que la manière dont ces activités peuvent contribuer à la formation de sécurité, à des cycles de release plus rapides, et à l'optimisation des budgets de sécurité dans l’entreprise.
User centric security - le facteur humain en sécurité de l'Information
1. User Centric Security
Comment développer une sécurité centrée
sur l’utilisateur ?
Alain EJZYN
#Transformation Digitale #Sécurité de l’information
ICHEC Brussels Management School
alain.ejzyn@ichec.be
www.ichec.be
5. ü Dossier patient électronique
ü Plateforme d’accès
aux analyses
ü Prescriptions électroniques
ü Équipements connectés
ü Pharmacie
ü Robots,….
Un hôpital « digital »
6. Réalisation de prototypes de chariots de soins connectés
Objectifs :
- Accès aux informations les plus
récentes (analyses, imageries,
notes, …)
- Encodage direct
- Paperless
Satisfaction des utilisateurs :
5/5
Sécurité :
7. Réaction de l’hôpital
- Note de service
- Envoi d’un mail de rappel des
règles de sécurité, …
9. Que retenir de cet exemple ?
§ Tensions entre
« Business » et « sécurité »
§ Objectifs à CT divergents
§ Mécanismes adaptés aux tâches ?, …
§ Culture Cyber sécurité ?
13. Origine des « Data Breaches »
X
2018 Cost of a Data Breach Study:
Benchmark research sponsored by IBM Security
Independently conducted by Ponemon Institute LLC
18. L’organisation du travail et
les mécanismes de sécurité
sont-ils compatibles avec des
comportements « vertueux » ?
1) Organisation du travail et sécurité
19. 75% des utilisateurs ne suivent pas
les recommandations du message
de sécurité
Google(2015)
2) Les applications (et interfaces) sont-elles ergonomiques ?
24. Vitesse
(Speed)
La réalisation de la tâche est-elle rapide ?
Efficacité
(Efficiency)
Apprentissage
(Learnability)
Mémorabilité
(Memorability)
Préférence utilisateur
(User Preference)
Quel est le nombre (moyen) d’erreurs
pour réaliser la tâche ?
Le système est-il facile à apprendre ?
Après apprentissage, est-il facile
de se souvenir de la procédure ?
Entre plusieurs mécanismes/systèmes possibles,
quel est celui qui est plébiscité par les utilisateurs ?
30. Conformité
Respect des pratiques de
sécurité définies par
l’organisation
(obligations légales ou
autres)
Intelligence
Faire preuve de « jugement »
en matière de sécurité =
adopter des comportements
appropriés
Communication,
sensibilisation,
formation, …
Culture
organisationnelle
Climat
organisationnel
Adapté de Nguyen (2017)
CT LT
31. Il est
fondamentalement
impossible d’assurer
vraiment la protection
de l’information
L’organisation n’a pas
vraiment une
responsabilité
« morale » de protéger
l’information
La sécurité de
l’information est
du ressort
exclusif du
département
informatique
Dans notre
organisation, la
sécurité de
l’information ce n’est
pas prioritaire
Plus ces croyances sont
répandues, moins les
employés seront motivés à
mettre en œuvre des
pratiques sécuritaires
La sécurité de
l’information est
avant tout un défi
d’ordre technique
Adapté de Nguyen (2017)
32. L’organisation
communique sur
l’importance de la
sécurité (objectifs,
importance, attentes,
etc)
Les employés sont
impliqués dans
l’élaboration et
l’évolution des
pratiques de sécurité
Les mesures de
sécurité sont en
adéquation avec le
contexte
organisationnel et
les tâches
L’environnement de travail
permet de discuter
ouvertement des
problèmes/erreurs liés à la
mise en oeuvre des
pratiques de sécurité
L’organisation forme et
développe les
connaissances en
sécurité de
l’information
L’organisation
récompense le
respect des
pratiques de
sécurité
Plus l’organisation développe un
climat positif envers la sécurité,
plus les les employés seront
enclins à mettre en œuvre des
pratiques sécuritaires
Les gestionnaires
appuient
concrètement la
sécurité de
l’information
36. Framing
Risque vs gain
L'illusion
du contrôle
Familiarity
Autorité
Réciprocité
Lien d'affection
Biais
d’omission
Biais
d’optimisme
Engagement
Biais
de disponibilité
Consensus
Niveau de
connaissances
Approche
Par les biais cognitifs
Approche
la persuasion
Pourquoi les utilisateurs
« se font avoir » ?
38. Pourquoi ne pas s’inspirer d’autres
domaines/secteurs pour impliquer les
utilisateurs dans le « design » de
dispositifs de sécurité ?
En la matière le « Design Thinking » est
une approche novatrice et très efficace.
39. Cette approche permet :
- De comprendre l’utilisateur et l’intégrer dans la
réflexion
- D’impliquer des équipes pluridisciplinaires
- De se concentrer sur les solutions et pas les
problèmes
- De tester très rapidement les solutions
- D’itérer
40. Alors il est temps de
favoriser une
approche
pluridisciplinaire et
de placer
l’utilisateur au
centre
des dispositifs
SI
41. Merci pour votre attention
Crédit « visuels » flaticon.com & pixabay.com
Pour aller plus loin
Certificat en Management de la sécurité
des systèmes d’Information
Certificat interuniversitaire en Protection des
données à caractère personnel
Ouvrage Revue Formations