Conférence Entreprise et Cyber-criminalité à l'IUT d'Annecy
Une conférence présentée par Eric Jailletde la Direction Centrale du Renseignement Intérieur (DRCI).
Sur le thème de la sécurité des systèmes d’informations appliquées à l’entreprise.
Voici mes notes prises lors de la conférence le mardi 9 décembre 2008 à l'IUT d'Annecy. J'ai fait court et concis (prise de notes), c'est brut de formes, j'y reviendrais peut être dans de prochains billet. Pour donner mon analyse de tout ce qui as été dit ce soir. Je vous laisse lire et juger vous même.
Présentation de la DCRI
La missions de la DCRI est la sécurité des systèmes d'informations (SI).
Depuis des années les chiffres de la cybercriminalité sont en augmentation. Les victimes principales de la cybercriminalité sont les entreprises.
La cybercriminalité est pour une grande part la transposition de la criminalité réel au monde de l’entreprise.
Cœur de métier de la DRCI
- contre-espionnage ;
- lutte contre le renseignement électronique ;
- contre-terrorisme international ;
- moyens logistiques & émergences du cyber terrorisme ;
- lutte contre subversion violente ;
- moyens logistiques & « cyber-hacktivisme » ;
- contre ingénierie économique ;
- protection de l’information stratégique et de l’image.
L’espionnage industriel est courant à l’heure actuelle.
Aujourd’hui les entreprises sauvegardes leurs informations sur des supports électroniques, le risque est donc non négligeable.
L’une des missions de la DCRI est d’assurer la sécurité des données industrielles, des informations stratégique et de l’image de marque.
Les SI sont les yeux, les oreilles, le cerveau, la moelle épinière de l’entreprise. La plupart des entreprises n’ont pas réellement conscience de la dépendance qu’ils ont vis à vis de leur SI.
L’équation de la sécurité
Analyses des risques encourus => menaces x vulnérabilités = risques.
Menaces
- Les services de renseignement (SR) étrangers ;
- Les organisations criminelles (génèrent 10% en volume de CA de la terre) ;
- Les sociétés de renseignement privées (SRP) (environ 3000 en France), leurs missions est de répondre à des questions indiscrètes. Ils effectuent leurs missions de manière légale car le SI n’est pas suffisamment protégé. Ce sont les entreprises qui laissent sortir leurs informations. Les SRPs n’ont plus qu’à les récupérer.
- Les cellules d’intelligence économique ;
- Les acteurs de la cyber délinquance ;
- La fraude interne & externe ;
Vulnérabilités
- Les vulnérabilités humaines ;
- Dans l’immense majorité des cas la faille provient de l’humain. Ignorance, négligence ou inconscience ;
- Malveillance (environ 2% de la population est considérée comme "criminogène", ces 2% font 57% des dégâts);
- Les vulnérabilités techniques
- Liées intrinsèquement aux systèmes d’informations et de communication ;
- OS ;
- SCADA (Supervisory Control and data Acquisition) ;
- Protocoles (TCP-IP, Wi-Fi, Bluetooth, etc. ;
- Téléphonie : VoIP ;
- Logiciels applicatifs ;
- Erreurs d’administration, et/ou de l’utilisateur.
- Liées intrinsèquement aux systèmes d’informations et de communication ;
Risques
Pertes
- d’Intégrité ;
- Ne pas mettre les copies de sauvegarde « backup » à côté des originaux.
- de Disponibilité ;
- Les utilisateurs sont de plus en plus exigeants quant à la disponibilités des SI, il faut mettre en face les moyens nécessaire à cette haute-disponibilité.
- de l’Authenticité ;
- Le mail n’a pas de valeur juridique. Mais on peut utiliser des certificats de signature électronique qui permettent de signer un document de manière informatique : valeur juridique.
- de la Confidentialité ;
Les risques qui touche à l’image de l’entreprise
- défaçages de site web ;
- piratage en vue de démontrer une faille ;
- etc.
Risques juridiques
La Responsabilité pénale
- Non respect de la protection des données à caractères personnel ;
- Utilisation de logiciels sans licence (47%). En cas de rachat d’entreprise, il faut renégocier les licences d’utilisation des logiciels ;
- Diffusion de fichiers illicites (Spam, Warez, etc.)
- Etc.
La responsabilité civile
- En raison de son fait ;
- Ou du fait d’autrui …
Attention : l’externalisation engendre un DANGER !
L’aspect humain entre en compte pour 80% des problèmes des de sécurité informatique. Le matériels n’est en cause que dans 20% des cas restant.
Le paradoxe de la Sécurité des Systèmes d’Informations (SSI)
- L’entreprise doit s’ouvrir en communiquant plus, plus vite et plus loin.
- Tout en protégeant mieux ses données
Solution : hiérarchiser les données et renforcer la SSI autour du sanctuaire.
Hiérarchie :
- information ouverte (+ de 80% des données) (blanche) ;
- diffusion large et totalement ouverte ;
- l’information semi-ouverte (grise) ;
- diffusion limité et contrôlée ;
- l’information secrète (1% des données) (noire) ;
- diffusion interdite.
La riposte : une politique globale de SSI :
- Mise en place d’une doctrine :
- charte (doit être rédigé par des juristes) ;
- guide de bonne pratique (compréhensible par un humain lambda, condensé par rapport à la charte) ;
- sensibilisation ;
=> politique de sécurité des systèmes.
Dire aux utilisateurs que l’ont prend en compte le sécurité informatique.
- Gestion des comptes et des privilèges ;
- Compartimenter/cloisonner l’information, même si c’est de manière symbolique ;
- Un compte utilisateurs appartient à l’entreprise (sauf compte mail, et dossiers clairement identifié comme personnel);
- Hiérarchisation des données &DLP ;
- Contrôles d’accès (mot de passe et plus) ;
- Traçabilité, auditabilité ;
- Sauvegardes & ILM (archivage) ;
- Pare-feu avec filtrage applicatif (classe 7) ;
- Anti-virus & anti-spywares ;
- Cryptographie & signature @ (PKI) ;
- Veille technique (pour se tenir au courant des évolutions des SSI);
- Etc.
Attention à se méfier de la « fausse sécurité » !
- Pare-feu inefficace ;
- Mots de passe fragiles ;
- Cryptographie inadaptée (ex. clef WEP) ;
A retenir : la perfection n’existe pas.
La citation de la fin :
« Celui qui reconnait consciemment ses limites est le plus proche de la perfection. »
J.W. von Goethe
---
J'ai apprécié cette conférence, je l'ai trouvé pertinente et adapté au publique qu'il y avait en face (pas tous technicien) et en même temps le discours n'était pas trop simplifié. Et j'ai eu l'impression d'avoir réellement quelqu'un de compétent en face de moi. Qui sait de quoi il parle. Loin de certains discours commerciaux qui essais de nous faire croire que tout va bien dans la monde de la sécurité informatique.
Merci de votre lecture et à bientôt sur Narcissique Blog.
Pierre
Commentaires
merci pour ce rapport en bonne et due forme !
@Thomas et @magusine : au plaisir, je ferais peut être une analyse en donnant mon point de vue sur les thèmes qui ont été abordés.
Merci pour vos retours,
A bientôt sur Narcissique Blog,
Pierre
Merci pour ces notes fort complètes et pour ton appréciation globale sur l'intervenant
je vous indique la parution récente du libre " cybermenaces , entreprises , internautes edition économica 2008 19 euros
Bien cordialement