Rencontres GRILOG Nord
Transcription
Rencontres GRILOG Nord
19 juin 2014 Patrick Vanhessche - Axysécurité « Panorama sur la sécurité des systèmes d’informations » Transformons la sécurité en opportunité … Un niveau de sécurité adapté à vos risques et à vos enjeux Secteurs privé et public – GE, PME, TPE Conseil , Audit : SMSI – Conformité – MOA MOE Formation et sensibilisation Bien connaître pour mieux défendre ! Panorama de la Sécurité PC Serveurs 1980/1990 Pannes Internet 1990/2000 Virus Spams Cloud Mobilité Réseaux sociaux 2010/2020 Botnets, Ransomware Des incidents (pannes, erreurs, vols) … jusqu’aux sinistres PME françaises : GE PME 74% attaque(s) internet - 33% perte de données 70 % ont un plan de reprise, 30% opérationnels mêmes risques … moins de moyens (source Symantec 2010) Dans ce contexte, la sécurité … Pourquoi – Quoi – Comment – Evolutions - Conclusion La sécurité : pourquoi ? Pouvez-vous produire … sans votre informatique ? Pouvez-vous vous passer de votre informatique 1 h, 1 jour, 1 mois ? Votre informatique doit-elle être fiable ? À peu près, à 80%, à 100% ? Certaines de vos informations sont-elles confidentielles … ? Les attentes d’une Direction Générale Améliorer les résultats et pérenniser l’entreprise Disposer d’un système d’information fiable Investir au meilleur coût Gagner en visibilité sur … les risques sécurité l’efficacité de la sécurité La sécurité : quoi ? Préservation de la confidentialité, de l’intégrité et de la disponibilité de l’information. Informations Informatique ISO 27001 114 mesures 14 chapitres Personnes Sites, locaux, biens matériels La sécurité : comment ? Disponibilité Intégrité Confidentialité Accidents Erreurs Malveillance Conséquences Risques (scénarios) Vraisemblance Plan traitement risques S.I. Mesures de sécurité L’outil La règle L’humain Certificat « Sécurité et cybercriminalité » 01 à 06/2015 Environnements personnels et professionnels de - en - distincts BYOD … autorisation, espace pro paramétré, accès mais pas stockage, données présumées pro sauf si identifiées comme personnelles Environnements physiques versus virtuels Virtualisation Plus de barrière physique entre VM, impact compromission vCenter, VM offline non màj, Contrôle d’accès déficient … Cloud computing accès – audit – certification – sécurité selon sites – législation locale - mutualisation et confidentialité – reverse engineering L'approche règlementaire s’intensifie Notre conviction Analyse de risques Top Down Analyse de risques versus opérationnel responsabilités politique sécurité Mesures d'hygiène = protection 80/20 charte L’Humain plus que jamais le premier rempart sauvegarde antivirus accès échanges « Il y a bien des manières de ne pas réussir, mais la sûre est de ne jamais prendre des risques. » (Benjamin Franklin) Sécurité plusphysique correctifs plan de continuité