Présentation de la DCRI

La missions de la DCRI est la sécurité des systèmes d'informations (SI).

Depuis des années les chiffres de la cybercriminalité sont en augmentation. Les victimes principales de la cybercriminalité sont les entreprises.

La cybercriminalité est pour une grande part la transposition de la criminalité réel au monde de l’entreprise.

Cœur de métier de la DRCI

  • contre-espionnage ;
    • lutte contre le renseignement électronique ;
  • contre-terrorisme international ;
    • moyens logistiques & émergences du cyber terrorisme ;
  • lutte contre subversion violente ;
    • moyens logistiques & « cyber-hacktivisme » ;
  • contre ingénierie économique ;
    • protection de l’information stratégique et de l’image.

L’espionnage industriel est courant à l’heure actuelle.

Aujourd’hui les entreprises sauvegardes leurs informations sur des supports électroniques, le risque est donc non négligeable.

L’une des missions de la DCRI est d’assurer la sécurité des données industrielles, des informations stratégique et de l’image de marque.

Les SI sont les yeux, les oreilles, le cerveau, la moelle épinière de l’entreprise. La plupart des entreprises n’ont pas réellement conscience de la dépendance qu’ils ont vis à vis de leur SI.

photos_security.jpg Crédit photos

L’équation de la sécurité

Analyses des risques encourus => menaces x vulnérabilités = risques.

Menaces

  1. Les services de renseignement (SR) étrangers ;
  2. Les organisations criminelles (génèrent 10% en volume de CA de la terre) ;
  3. Les sociétés de renseignement privées (SRP) (environ 3000 en France), leurs missions est de répondre à des questions indiscrètes. Ils effectuent leurs missions de manière légale car le SI n’est pas suffisamment protégé. Ce sont les entreprises qui laissent sortir leurs informations. Les SRPs n’ont plus qu’à les récupérer.
  4. Les cellules d’intelligence économique ;
  5. Les acteurs de la cyber délinquance ;
  6. La fraude interne & externe ;

Vulnérabilités

  1. Les vulnérabilités humaines ;
    1. Dans l’immense majorité des cas la faille provient de l’humain. Ignorance, négligence ou inconscience ;
    2. Malveillance (environ 2% de la population est considérée comme "criminogène", ces 2% font 57% des dégâts);
  2. Les vulnérabilités techniques
    1. Liées intrinsèquement aux systèmes d’informations et de communication ;
      1. OS ;
      2. SCADA (Supervisory Control and data Acquisition) ;
      3. Protocoles (TCP-IP, Wi-Fi, Bluetooth, etc. ;
      4. Téléphonie : VoIP ;
      5. Logiciels applicatifs ;
      6. Erreurs d’administration, et/ou de l’utilisateur.

Risques

Pertes

  • d’Intégrité ;
    • Ne pas mettre les copies de sauvegarde « backup » à côté des originaux.
  • de Disponibilité ;
    • Les utilisateurs sont de plus en plus exigeants quant à la disponibilités des SI, il faut mettre en face les moyens nécessaire à cette haute-disponibilité.
  • de l’Authenticité ;
    • Le mail n’a pas de valeur juridique. Mais on peut utiliser des certificats de signature électronique qui permettent de signer un document de manière informatique : valeur juridique.
  • de la Confidentialité ;

Les risques qui touche à l’image de l’entreprise

  • défaçages de site web ;
  • piratage en vue de démontrer une faille ;
  • etc.

Risques juridiques

La Responsabilité pénale

  • Non respect de la protection des données à caractères personnel ;
  • Utilisation de logiciels sans licence (47%). En cas de rachat d’entreprise, il faut renégocier les licences d’utilisation des logiciels ;
  • Diffusion de fichiers illicites (Spam, Warez, etc.)
  • Etc.

La responsabilité civile

  • En raison de son fait ;
  • Ou du fait d’autrui …

Attention : l’externalisation engendre un DANGER !

L’aspect humain entre en compte pour 80% des problèmes des de sécurité informatique. Le matériels n’est en cause que dans 20% des cas restant.

cadenas_security.jpg Crédit photos

Le paradoxe de la Sécurité des Systèmes d’Informations (SSI)

  1. L’entreprise doit s’ouvrir en communiquant plus, plus vite et plus loin.
  2. Tout en protégeant mieux ses données

Solution : hiérarchiser les données et renforcer la SSI autour du sanctuaire.

Hiérarchie :

  • information ouverte (+ de 80% des données) (blanche) ;
    • diffusion large et totalement ouverte ;
  • l’information semi-ouverte (grise) ;
    • diffusion limité et contrôlée ;
  • l’information secrète (1% des données) (noire) ;
    • diffusion interdite.

La riposte : une politique globale de SSI :

  • Mise en place d’une doctrine :
    • charte (doit être rédigé par des juristes) ;
    • guide de bonne pratique (compréhensible par un humain lambda, condensé par rapport à la charte) ;
    • sensibilisation ;

=> politique de sécurité des systèmes.

Dire aux utilisateurs que l’ont prend en compte le sécurité informatique.

  • Gestion des comptes et des privilèges ;
    • Compartimenter/cloisonner l’information, même si c’est de manière symbolique ;
    • Un compte utilisateurs appartient à l’entreprise (sauf compte mail, et dossiers clairement identifié comme personnel);
  • Hiérarchisation des données &DLP ;
  • Contrôles d’accès (mot de passe et plus) ;
  • Traçabilité, auditabilité ;
  • Sauvegardes & ILM (archivage) ;
  • Pare-feu avec filtrage applicatif (classe 7) ;
  • Anti-virus & anti-spywares ;
  • Cryptographie & signature @ (PKI) ;
  • Veille technique (pour se tenir au courant des évolutions des SSI);
  • Etc.

minimal_security.jpg Crédit photos

Attention à se méfier de la « fausse sécurité » !

  • Pare-feu inefficace ;
  • Mots de passe fragiles ;
  • Cryptographie inadaptée (ex. clef WEP) ;

A retenir : la perfection n’existe pas.

La citation de la fin :

« Celui qui reconnait consciemment ses limites est le plus proche de la perfection. »

J.W. von Goethe

---

J'ai apprécié cette conférence, je l'ai trouvé pertinente et adapté au publique qu'il y avait en face (pas tous technicien) et en même temps le discours n'était pas trop simplifié. Et j'ai eu l'impression d'avoir réellement quelqu'un de compétent en face de moi. Qui sait de quoi il parle. Loin de certains discours commerciaux qui essais de nous faire croire que tout va bien dans la monde de la sécurité informatique.

Merci de votre lecture et à bientôt sur Narcissique Blog.

Pierre