Big Data & contrôle des données

Journée stratégique CLUSIS

23.01.2015 © UDITIS SA @SDroxler

Atelier Big Data - Contrôle des données

Cybercriminalité

Pouvoir Idéalisme Argent

34.40%

28.50%

27.30%

5.90%

2.40%

1.60%

Hackers

Publication accidentelle

Perte de laptop / DD

Fraude interne

Inconnu

Fraude externe

Principales causes de pertes de données(nombre d’incidents)

Source: Internet Security Threat Report 2014, Symantec

61.7%

CEO CISO

Sommes-nous protégés ?

Que font nos concurrents ?

Challenges

RISQUEET SECURITE

CO

NFI

DE

NT

IAL

Challenges

Business justwants to do business

Enjeux

RéputationClients

Enjeux

49%

47%

45%

40%

39%

25%

35%

38%

37%

44%

36%

20%

Achats en ligne

Participer à un concours /sondage en ligne

S'idenitifer sur un site web

Partager infos pour accéder à ducontenu en ligne (ex NYTimes.com)

Ouvrir une pub email

Télécharger une application

A quel point êtes-vous sensible à vos données personnelles, leur sécurité et protection lorsque vous faîtes l’une des actions suivantes:

(participants ayant répondu 4 ou 5 sur une échelle de 1 [pas du tout préoccupé] à 5 [très concerné]

US EU-7

Source: North American Technographics Online Benchmark Survey Q3-12 & European Technographics Consumer Technology Online Survey Q4-12

Enjeux

RéputationClientsIP

Enjeux

RéputationClientsIP

Une approche en trois étapes

27.01.2015 © UDITIS SA @SDroxler

IDENTIFIER

DISSEQUER

DEFENDRE

Enjeux

3’ Données sensibles traitées au sein de votre entreprise ?

Démarche

3P + IP = TDPCIPHIPII

Intellectualproperty

Toxic Data

Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »

Démarche

IDENTIFIERDécouverte Classification

Data ID

Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »

Schéma typique de classification

Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »

# Level Description

1 Public Anything not company-internal

2 Internal Internal but not for public release

3 Confidential Not for distribution (memos, plans, strategy, …)

… Additional classifcation levels as appropriate

X Restricted Highly compartimentalized (salaries, regulatory information, …)

Radioactive

Toxic

Unclassified

Classification à trois niveaux

Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »

Rôles

Créateur Propriétaire Utilisateur Auditeur

Comment ça marche?

Intéressé à en savoir plus. Les cinq slides suivants sont disponibles sur simple demande à:

stephane.droxler@uditis.ch ou @SDroxler

Démarche

IDENTIFIER

DISSEQUER

Découverte ClassificationData ID

AnalysePrincipes audit

RenseignementImplications

Managers

Aligner priorités et investissements

Technologies disponibles (eDiscovery, DLP,NAV, encryption,classification, …)

Créateur / propriétaire Entreprise - Partenaires- Clients

Relation à la donnée Propriété Gardien

Risque Perte engendrerait un dégâtstratégique

Contractuel, légal

Conséquence Perte de revenus Coûts supplémentaires

Question clé Qui doit savoir ? Pourquoi la donnée circule t’elle ?

Priorité - Maîtriser la circulation- Réduire les abus

- Bloquer la circulation - Réduire l’usage

Protection Chiffrement Data Loss Prevention

Adapted fromby: Forrester Research Inc, « Strategy Deep Dive: Define your Data »

Principe d’audit

Démarche

IDENTIFIER

DISSEQUER

DEFENDRE

Découverte ClassificationData ID

Analyse

Protection & contrôle données

Principes auditAnalyse

Implications

Accès Usage Archivage ‘Kill’

DEFENDREAccès Usage Archivage ‘Kill’

PCI DSS Reqs 7,8,9

ISO 27002 § 11

PCI DSS Req 10

ISO 27002 § 10.10

PCI DSS Req 3

ISO 27002 § 9.2.6§ 10.7.2§ 15.1.3

PCI DSS Reqs 3,4

ISO 27002 § 12.3

§ 10.5.1§ 15.1.6

CEO CISO

Sommes-nous protégés ?

IDENTIFIER

DISSEQUER

DEFENDRE

Découverte ClassificationData ID

Analyse

Protection & contrôle données

Principes auditAnalyse

Implications

Accès Usage Archivage ‘Kill’

On sait…

What we have

Why + Where we have it &Who is using it

How to protect it

CEO CISO

Que font nos concurrents ?

Grille de maturité InfoSec

DiU

DiM

DaR

DISCOVER CLASSIFY CONSOLIDATE DESIGN ENFORCE

Non adressé

Ponctuel, non consistent

Répétable, non documenté, occasionnelDéfini, documenté, prévisible

Mesuré, formalisé, automatisé

Optimisé, proactif

Stéphane Droxler Associé UDITIS SAExecutive Master in Economic Crime Investigation Economiste d’entreprise ESCEA

Tél. +41 32 557 55 01 / Mobile +41 79 458 43 69stephane.droxler@uditis.chhttp://www.uditis-forensic.blogspot.chhttp://ch.linkedin.com/in/stephanedroxler/