La cybersécurité dans la "vraie vie" de l'entreprise - CCI Herault
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
La cybersécurité dans la “vraie vie” de l’entreprise.
SCIURUS: La société
• Société française (SARL) dont le siège est situé dans la
région montpelliéraine;
• Cabinet de conseil en cybersécurité…
• Nous faisons de la cybersécurité (plutôt bien).
• Nous ne faisons que ça…
• Tous nos consultants possèdent au moins une
certification majeure en sécurité
• Spécialisé en prestation de service et transfert de
compétence.
• Indépendant, objectif et détaché de toute
technologie, constructeur ou fournisseur.
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.
Plan de séance
1. Présentation générale
2. La situation
3. Le besoin de l’entreprise
4. Les freins
5. Les différents acteurs
6. Ce qu’il faudrait déjà faire
7. Comment se faire accompagner?
8. Focus sur le RGPD et les ransomwares
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.
1.Présentation
• La cybersécurité
• La menace
• Pour se protéger de quoi?
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.
1.1 La cybersécurité (déf ANSSI)
• Cybercriminalité: terme employé pour désigner
l’ensemble des infractions pénales susceptibles
de se commettre sur les réseaux de
télécommunication ou ciblant ces mêmes
réseaux.
• Recouvre deux réalités :
– Les infractions spécifiques aux technologies de
l’information et de la communication
(atteintes aux STAD ou au droit des personnes):
– Les infractions dont la commission est liée ou facilitée
par l’utilisation des technologies de l’information et
de la communication, parmi lesquelles :
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.
1.2 La menace
• Un petit film…
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.
1.3 Se protéger de quoi?
• Perte de données sensibles
(données de fabrication, brevets, savoir-faire,
etc.)
• Pertes, vol ou détérioration de matériel
• Atteinte à la réputation
• Coût de reprise d’activité
• Sanctions suite aux manquement aux règles,
normes et directives
• Immobilisation du système de production
• Etc.
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.1.3 Se protéger de quoi (2)
• Quels risques concrets possibles dans mon
quotidien?
– Démonstration avec deux attaques « simples ».
• Dans l’entreprise
• En déplacement
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.2. La situation
• 76% des utilisateurs savent en 2016 qu’ils doivent
protéger leurs informations, mais donnent leur mot de
passe et ont des comportements à risques.
• 35% des utilisateurs possèdent au moins un
périphérique non protégé qui les rend vulnérables.
• 40% des utilisateurs de la génération Y (80/90) ont subi
un incident de cybersécurité en 2016.
• 86% des utilisateurs ont été confrontés au phishing en
2016, 13% d’entre eux se sont fait piéger et 80% de ces
derniers ont subi des conséquences négatives (vol
d’identité, d’argent)…
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.3. Le besoin des entreprises
• Quand le besoin ressenti est souvent loin du
besoin réel…
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.3.1 Le besoin ressenti
• Sauvegardes
• Antivirus
• Cloud sécurisé
• SOC
• ???
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.3.2 Le besoin réel
• Quels risques concrets possibles dans mon
quotidien?
– Démonstration avec deux attaques « simples ».
• Dans l’entreprise
• En déplacement
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.3.2 Le besoin réel (2)
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.3.2 Le besoin réel (3)
• Mise en sureté des données
• Plan de sauvegarde et outils de backup
• Protection de la confidentialité des échanges
• Chiffrement /signature des courriels
• Sécurisation réseau (architecture et flux)
• Dispositif de protection de documents particuliers
• Protection des informations et des supports lors des
déplacements
• Maitrise des supports de stockage ( espaces partagés,
smartphone pro/perso, clef USB pro/perso)
• Maitrise de l’information sortante (y compris verbale) et
entrante (malware)
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.4. Les freins à la mise en oeuvre
• Des couts de mises en place inadaptés
• Un temps de déploiement souvent trop long
• L’absence de retour sur investissement palpable
• L’impression de pouvoir “se faire duper” facilement
• La sensation que les produits/prestations proposés par
le spécialiste ne sont pas à leur portée
• Le sentiment d’un objectif trop complexe et impossible
à atteindre
• Un manque de culture
• ??
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.5. Les acteurs
• Clients
• Offreurs
• Relais et prescripteurs
• État (ANSSI et forces de l’ordre)
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.5.1 Les clients
• Vous (nous)!
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.5.2 Les offreurs
• Les prestataires de service spécialisés
• Les offreurs de solutions matérielles ou
logiciels de sécurité
• Ceux qui savent tout faire ou presque…
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.5.3 Les relais et les prescripteurs
• Associations
• Chambres de commerce, des métiers
• Réseaux professionnels…
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.5.4 L’état
• Forces de l’ordre
– Police
– Gendarmerie
– À noter: Investigateurs spécialisés en CyberCriminalité (ICC/Police
et N-TECH/Gendarmerie) présents dans les services territoriaux
des régions.
• ANSSI
(Agence nationale de la sécurité des systèmes d'information).
Site web: www.ssi.gouv.fr
• ACYMA
– Depuis le 17 oct., le dispositif d'assistance aux victimes d'actes de
cybermalveillance est actif sur l’ensemble du territoire national.
– C’est un dispositif gouvernemental contre la cybermalveillance et
ayant pour mission de prévenir et aider la population en matière
de sécurité numérique
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.5.4.3 ACYMA
www.cybermalveillance.gouv.fr
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.6. Ce qu’il faudrait déjà faire…
• Respecter des règles simples et essayer de
suivre le guide d’hygiène informatique de
l’ANSSI
• Sensibiliser et former les collaborateurs de
l’entreprise
• Prendre réellement en compte les risques qui
pèsent sur le SI
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.6.1.a Les 10 règles de bases (ANSSI)
1. Utiliser des mots de passe de qualité
2. Avoir un système d’exploitation et des logiciels à jour
3. Effectuer des sauvegardes régulières.
4. Désactiver par défaut les composants ActiveX et
JavaScript.
5. Ne pas cliquer trop vite sur des liens.
6. Ne jamais utiliser un compte administrateur pour
naviguer.
7. Contrôler la diffusion d’informations personnelles.
8. Ne jamais relayer des canulars.
9. Soyez prudent et vigilant,
10. Attention aux pièces jointes dans les courriels.
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.6.1.b Guide d’hygiène informatique
• Guide gratuit réalisé par l’ANSSI.
https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_a
nssi.pdf
– 72 pages;
– 10 rubriques
– 42 mesures.
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.6.2 …et dans un monde idéal
• Créer et développer dans le temps une culture
sécuritaire dans l’entreprise
• Mettre en place les mesures élémentaires
d’hygiène informatique et s’y tenir
• Développer et améliorer dans le temps la sécurité
du système d’information de l’entreprise
• Faire un point régulier (annuel?) avec un
prestataire spécialisé
• Effectuer ou bénéficier d’une veille technique
pour prévenir au mieux les menaces émergentes
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.7. Se faire accompagner?
• (avant) pour prévenir les incidents
• (pendant) pour bien réagir à un incident
• (après) pour limiter les effets, capitaliser sur
incident.
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.8. Focus sur…
• les ransomwares
• le RGPD
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.8.1 Ransomware?
• Les ransomwares (ou rançongiciels) sont des
logiciels malveillants destinés à soutirer de
l'argent à une victime.
C'est une forme de racket numérique qui
“prend en otage” l’accès à certains documents
ou à l'ordinateur dans le but d’obtenir le
paiement d’une rançon.
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.8.1.2 Quelques chiffres
• 2,2 millions d’internautes français ont déjà été
infectés par un ransomware
• 30 % des victimes ont payé une rançon
• + 600% Augmentation des attaques entre
2015 et fin 2016
• 1 milliard USD de pertes en 2016 (FBI)…
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.8.1.4 Mesures à prendre
• Effectuer très régulièrement les mises à jour
(système d’exploitation ET logiciels)
• Effectuer régulièrement des sauvegardes
(sauvegarde = duplication + mise en sureté)
• Payer ne garantit en aucun cas que:
– Les fichiers seront intégralement récupérés,
– Aucun malware n’a été ajouté à votre PC…
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.8.2 RGPD
• Règlement Général sur la Protection des Données
• Règlement européen entrant en vigueur fin mai
2018
• Un cadre juridique unifié pour l’ensemble de l’UE
• Un renforcement des droits des personnes
• Une conformité basée sur la transparence et la
responsabilisation
• Des responsabilités partagées et précisées
• Des sanctions encadrées, graduées et renforcées
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.8.2.1 Des notions qui fâchent
• DPO (Data Privacy Officer) ou DPD (délégué à la
protection des données)
• Security by Design
• Security by Default
• Droit à l’oubli
• Droit à la portabilité, à la rectification, à
l’effacement, etc.
• Coresponsabilité du commanditaire (« pas » de
délégation).
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.8.2.2 Des obligations
• Tenir et maintenir un registre de traitement des données
• Effectuer une analyse d’impact
• Mettre en œuvre les procédures et les mesures de sécurité
• Informer en cas de faille ou de fuite de données (72h)
• Mettre en œuvre l’ensemble des procédures pour traiter les
demandes des individus (rectification…)
• Recueillir le consentement express et explicite des individus
• Sensibiliser les personnels à la protection des données
• S’assurer du respect des obligations du GDPR de bout en bout
• Être en mesure de démontrer que le traitement est conforme au
RGPD par la mise en œuvre de mesures techniques et
organisationnelles appropriées dès l'origine
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.8.2.3 Processus en trois étapes
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.9 Bilan
• Aujourd’hui, tous les spécialistes s’accordent à dire que
la question à se poser n’est plus “est-ce que ça va
m’arriver?”, mais “quand est-ce que ça va m’arriver?”.
• N’attendez pas d’être le prochain et n’exposez plus
votre entreprise inutilement.
• Anticipez les problèmes de cybersécurité avec la même
intelligence et la même objectivité que vous mettez à
anticiper les autres!
• N’hésitez plus à vous adresser à des professionnels
spécialisés: il y a forcément une solution qui
correspondra à votre situation particulière…
COPYRIGHT © 2017, SCIURUS CONSEIL. ALL RIGHTS RESERVED.Vous pouvez aussi lire
