Rencontres GRILOG Nord

19 juin 2014
Patrick Vanhessche - Axysécurité
« Panorama sur la sécurité
des systèmes d’informations »
Transformons la sécurité en opportunité
 …
 Un niveau de sécurité adapté à vos risques et à vos enjeux
 Secteurs privé et public – GE, PME, TPE
 Conseil , Audit : SMSI – Conformité – MOA MOE
 Formation et sensibilisation
Bien connaître pour mieux défendre !
Panorama de la Sécurité
PC
Serveurs
1980/1990
Pannes
Internet
1990/2000
Virus Spams
Cloud Mobilité Réseaux sociaux
2010/2020
Botnets, Ransomware
 Des incidents (pannes, erreurs, vols) … jusqu’aux sinistres
PME françaises :
GE
PME
74% attaque(s) internet - 33% perte de données
70 % ont un plan de reprise, 30% opérationnels
mêmes risques
…
moins de moyens
(source Symantec 2010)
 Dans ce contexte, la sécurité …
Pourquoi – Quoi – Comment – Evolutions - Conclusion
La sécurité : pourquoi ?
 Pouvez-vous produire … sans votre informatique ?
 Pouvez-vous vous passer de votre informatique 1 h, 1 jour, 1 mois ?
 Votre informatique doit-elle être fiable ? À peu près, à 80%, à
100% ?
 Certaines de vos informations sont-elles confidentielles … ?
 Les attentes d’une Direction Générale
 Améliorer les résultats et pérenniser l’entreprise
 Disposer d’un système d’information fiable
Investir au meilleur coût
Gagner en visibilité sur … les risques sécurité
l’efficacité de la sécurité
La sécurité : quoi ?
Préservation de la confidentialité, de l’intégrité et de la
disponibilité de l’information.
Informations
Informatique
ISO 27001
114 mesures
14 chapitres
Personnes
Sites, locaux,
biens matériels
La sécurité : comment ?
Disponibilité
Intégrité
Confidentialité
Accidents
Erreurs
Malveillance
Conséquences
Risques
(scénarios)
Vraisemblance
Plan traitement risques
S.I.
Mesures de
sécurité
L’outil
La règle
L’humain
Certificat « Sécurité et cybercriminalité »
01 à 06/2015
Environnements personnels et professionnels de - en - distincts
 BYOD
…
autorisation, espace pro paramétré, accès mais pas stockage, données
présumées pro sauf si identifiées comme personnelles
Environnements physiques versus virtuels
 Virtualisation
Plus de barrière physique entre VM, impact compromission vCenter,
VM offline non màj, Contrôle d’accès déficient …
 Cloud computing accès – audit – certification – sécurité selon sites – législation locale -
mutualisation et confidentialité – reverse engineering
L'approche règlementaire s’intensifie
 Notre conviction
Analyse de
risques
 Top Down
 Analyse de risques versus opérationnel
responsabilités
politique sécurité
 Mesures d'hygiène = protection 80/20
charte
 L’Humain plus que jamais le premier rempart
sauvegarde
antivirus
accès
échanges
« Il y a bien des manières de ne pas réussir, mais la
sûre est de ne jamais prendre des risques. »
(Benjamin Franklin)
Sécurité
plusphysique
correctifs
plan
de
continuité