club de la sécurité de l’information régional clusirlr gilles lucato transferts lr
DESCRIPTION
Club de la Sécurité de l’Information Régional www.clusirlr.info Gilles LUCATO Transferts LR. Plan Sécurité Des Systèmes d’Informations. Le constat alarmant Des exemples réels Que faut-il protéger? De quoi? Comment?. Constat FBI CSI 2007. - PowerPoint PPT PresentationTRANSCRIPT
Nov 2008 – UM3 1
Club de la Sécurité de l’Information Régionalwww.clusirlr.info
Gilles LUCATOTransferts LR
Nov 2008 – UM3 2
Plan Sécurité Des Systèmes d’Informations
Le constat alarmant Des exemples réels Que faut-il protéger? De quoi? Comment?
Nov 2008 – UM3 3
Constat FBI CSI 2007In total, 194 responses yielded losses of $66,930,950, up from $52,494,290 (for 313 respondents) in 2006.
Nov 2008 – UM3 4
Constat FBI CSI 2007The response indicates that respondents who detectedincidents tended to detect more of them than in past years, with the number who detected more than 10 incidents jumping from 9 to 26 percent.
Attaques
Nov 2008 – UM3 5
Attaques
Nov 2008 – UM3 6
Affaire Dupont
Nov 2008 – UM3 7
Affaire Dupont
Nov 2008 – UM3 8
Affaire Duracell
Nov 2008 – UM3 9
Site piégé
Nov 2008 – UM3 10
Failles industrielles
Nov 2008 – UM3 11
Nov 2008 – UM3 12
Constat CLUSIF édition 2006
Nov 2008 – UM3 13
Constat CLUSIF édition 2006
Nov 2008 – UM3 14
Constat CLUSIF édition 2006
Nov 2008 – UM3 15
Constat CLUSIF édition 2006
Nov 2008 – UM3 16
Constat CLUSIF édition 2006
Nov 2008 – UM3 17
Constat CLUSIF édition 2006
Nov 2008 – UM3 18
Constat CLUSIF édition 2006
Nov 2008 – UM3 19
Exemple 1
Carte Bleue Banque
Nov 2008 – UM3 20
Exemple 2
Carte Bleue Essence
Exemple 3
Carte Bleue Vol
Nov 2008 – UM3 21
Nov 2008 – UM3 22
Que faut-il protéger?
Bâtiments– Accès– Alimentation électrique– Téléphonie / Internet
Personnes– Sensibilisation, charte, formation
Matériels– Accès aux serveurs, PCs, …– Accès aux routers, firewalls, …– Accès aux outils de sauvegardes
Logiciels– Copies de sauvegardes
Données– Noires– Grises– Blanches
Nov 2008 – UM3 23
Protéger ses données
Noires– Comptabilité : affaire Airbus
– Commandes/BL : affaire Edi par le Web
– Secrets de fabrications
– Mots de passe
– Paramétrage des routers et firewalls
– Comptes web, mail, ftp, mysql, …
Grises– Liste des clients
– Liste des fournisseurs
– Gammes de tarifs
– Bons de commandes, factures, …
– Carnets d’adresses et emails échangés
Blanches– Site web
– Documents commerciaux
Nov 2008 – UM3 24
Se protéger de quoi?
Attaques internes– Pannes– Sabotages, chantage– Divulgations, vols
Attaques externes– Social enginering– Intrusions– Virus / Espions– Spam– Hackers– Clients / fournisseurs
Nov 2008 – UM3 25
Se protéger, comment?
Aspects juridiques– Loi Informatique et Liberté 78, Art 226-17 à 24– Loi Godfrain 88, Art 323-1 à 7
Aspects humains– Sensibilisation– Formation
Aspects techniques– Accès– Anti vol– Informatique (sauvegardes, anti virus, anti espions, anti spam, …)
Nov 2008 – UM3 26
Aspects juridiques
Loi Informatique et Liberté 78– http://www.commentcamarche.net/droits/loi78-17.php3
Code pénal Art 226-16 à 24– http://www.cnil.fr/index.php?id=303
Art. 226-17 Le fait de procéder ou de faire procéder à un
traitement de données à caractère personnel sans mettre en œuvre les mesures de sécurité adéquates est puni de cinq ans d'emprisonnement et de 300.000 € d'amende.
Nov 2008 – UM3 27
Aspects juridiques
Loi Godfrain 88– http://www.commentcamarche.net/droits/loi-godfrain.php3
Code pénal Art 323-1 à 7– http://lexinter.net/Legislation2/atteintesinformatiques.htm
Art. 323-2 Le fait d'entraver ou de fausser le fonctionnement
d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 300.000 F d'amende.
Nov 2008 – UM3 28
Aspects humains
Politique de Sécurité– Que protège-t-on et comment– Système d’évaluation
Le RSSI– Le Monsieur Sécurité
Charte des employés Plan de Reprise d’Activité Audit de sécurité
Affiche SensibilisationClusir-LR
Nov 2008 – UM3 29
Aspects techniques informatiques
Mots de passe– outil
Sauvegardes– À distance, référentiel AFAQ
Cryptage– Compta– Mail confidentiel
Signature électronique– Tous les mails– Documents contractuels
Anti virus Anti espions Anti intrusions Anti spam
Cédérom SécuritéClusir-LR
http://poletiim.nerim.net
Nov 2008 – UM3 30
Outils gratuits
Mots de passe– KeyPass en français– http://keepass.sourceforge.net/
Sauvegardes– SyncBack en français– http://www.2brightsparks.com/syncback/syncback-hub.html– CDBurnerXPPro en français– http://www.cdburnerxp.se/
Cryptage– TrueCrypt en anglais– http://www.truecrypt.org/– WinPT en français– http://winpt.sourceforge.net/
Nov 2008 – UM3 31
Anti virus
Obligation– Mise à jour quotidienne
Difficultés– Que fait-on quand il y a un virus?
• Quarantaine• Supprimer• Nettoyer• …
– Les virus arrivent par mail ET web
Il y a des antivirus gratuits efficaces (en anglais)
Nov 2008 – UM3 32
Anti espions
Obligation– Mise à jour mensuelle, pour l’instant
Difficultés– Aucune : toujours nettoyer– Les espions arrivent par le web
Il y a des anti espions gratuits efficaces en français
Nov 2008 – UM3 33
Anti intrusions (firewall)
Obligation– Mise à jour : aucune
Difficultés– Règles de comportement
• Liste rouge : bloqués• Liste orange : sous certaines conditions• Liste verte : autorisés
– Station locale et port local (localhost, 127.0.0.1)– Serveur distant et port distant (80, 25, 110)– Netbios– Les « pirates » utilisent des outils automatisés
Il y a des anti intrusions gratuits efficaces (en anglais)
Nov 2008 – UM3 34
Anti spam
Obligation– Mise à jour : aucune
Difficultés– Règles de comportement
• Liste rouge : bloqués• Liste orange : sous certaines conditions• Liste verte : autorisés
– Type : POP, Proxy– A qui sert le spam?
Il y a des anti spam gratuits efficaces en français
Démo de Clé sécurisée
Navigateur sécurisé Mots de passe FTP Mail Agenda/contacts PDF Images Nettoyeurs …
Nov 2008 – UM3 35