View
2.147
Download
4
Category
Preview:
DESCRIPTION
Présentation réunion sécurité informatique du 25 septembre 2008 à Orthez - CCI Pau Béarn / PEBA
Citation preview
Sécurité informatique
Des risques et des solutions
Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008
Présentation de l’association
72 adhérents qui représentent le secteur des TIC dans le département.
Développer la filière.Promouvoir nos offres.Contribuer au développement économique.Concevoir et diffuser des réalisations collectives.
Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008
Sécurité informatique
Approche proposée
Les risques par catégorieLes solutions pratiquesLes actions à conduire
Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008
Organisation informatique classique
Des collaborateurs quiutilisent des micro ordinateurs…
…en contact avec des tiers……raccordés à un réseau local…
…désormais à Internet…
…souvent avec un serveur…
…et assistés par des techniciens pressés.…mais pas toujours…
Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008
Les risques par catégorie
Informations (données/logiciels)
Situés dans des locaux
Transportées sur des réseaux
Stockées dans des ordinateurs/serveurs
-Altération (virus)-Altération (bug programme)-Perte (manipulation)-Perte (obsolescence)
-Altération (accès non souhaité )-Altération (détournement)-Perte (panne technique)-Perte (diffusion intempestive)
-Indisponibilité (panne mécanique)-Indisponibilité(erreur logicielle)-Perte (panne mécanique)-Perte (destruction intempestive)
-Destruction (dégâts eaux, feu… )-Indisponibilité (énergie)-Perte (vol)
-Non autorisées (mot de passe )-Maladroites (non informées)-Malveillantes-Non destinatrices / satisfaites
Utilisées par des personnes
Une protection standard
Actions CoûtsFaire l’analyse des risques et situer le curseur de protection.
3 jours en interne.1 jour par an.
Collaborateurs Rédiger et faire signer des documents.Mettre en place une gestion des droits d’accès.Vérifier le niveau des compétence.
2 jours en interne.Appui d’un expert.
Tiers Rédiger / Lire les contrats avec les tiers.Souscrire un contrat d’assurance adapté.
Assurance adaptée :
Locaux Protéger les accès.Mettre un onduleur/batterie.Climatiser la salle informatique.Mettre des détecteurs incendie/humidité.
Un verrou à clavier : 150 ehtUn onduleur 5PC : 400 ehtUne clim mobile : 500 ehtUn ensemble détecteurs : 2 000 eht(caméra, détecteur fumée, humidité..)
Equipements Surveiller les contrats de maintenance.Identifier les équipements critiques, les « doubler ».Gérer les dossiers et les droits d’accès.Sauvegarder les données.
Des disques « miroirs » : + 20%Sauvegarder en ligne 10GO : 100eht/anUne unité de sauvegarde : 500 eht
Réseaux Séparer les réseaux « publics » et « privés ».Interdire ce qui n’est pas autorisé.Identifier les solutions de secours.
Un pare-feu évolué : 1 000 eht et 200 eht/an.
Données Mettre en œuvre une solution antivirale.Gérer le stockage des données et les sauvegardes.Maintenir les logiciels en rapport avec les données.
Un antivirus : 20eht/an/poste.Un coffre fort : 300 eht
CollaborateursRappel à la loi sur l’écran de connexion
Saisie et changement mot de passe
Procédure entrée/sortie collaborateur- Règlement intérieur- Données personnelles- Boîte aux lettres (Mail)- Accès aux répertoires de l ’entreprise
Gestion du mot de passe: - Nbre de caractères minimum- Validité- Complexité (Majuscule, chiffre, autres)
Procédures Exploitation / Production:- Serveurs / Stations- Droits Utilisateurs- Messagerie- Stockage / Archivage / Sauvegarde- Pare-Feux / Routeurs / Concentrateurs- Téléphonie IP / Analogique
Tiers
• Contrats ou Convention de Services– Les services Rendus
• Exhaustivité des services rendus
– Temps• Réponse• Exécution• Résultat• Continuité d’effort• Escalade
– Personnels intervenants• Qualification• Rôle
– Pénalités
LocauxSalle Serveur Informatique Climatisation
Onduleur Détecteurs - CaméraConsole Supervision
Sécurisationporte
EquipementsContrôleur disqueDisque extractible à « chaud »
Cluster de Serveurs
Equipements redondés:- 2 connexion réseau par serveurs- Doublement des équipements réseaux actifs- 2 opérateurs différents
Réseau
Données
Console AdministrationConsole Anti-virus
Sauvegarde / Archivage sur Bande, Disque ou DVD
Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY2
Le contexte des entreprises
Democratisation de l’ADSLOuverture des portsMultiplication des applicationsApplications webNomadismeEvolution des sites distantsCroissance du WIFI
Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY3
Les problematiques
Complexite des dangersTurn OverExtranetRelations Fournisseurs/ ClientsEvolution des methodes de travailComplexification du nomadismeSous traitanceGestion de la messagerie
Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY4
Les dangers, les risques et les consequences
Attaques ordonnees (intrusions, trojans, worms, …)Attaques desordonnees (spyware, phishing, pharming, keylogging…)Utilisations des ressourcesUsurpation d’identiteInterruptions des servicesPerte, vol ou corruption des donneesAtteinte a l’imageRisques juridiques et financiersVulnerabilitesSpams
Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY5
Qui sont-ils et quelles sont leurs motivations
Script kiddies
Hackers
Social Engineering
Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY6
Pourquoi les PME et les administrations
Peu de ressourcesPeu de connaissancesResponsabilités peu assuméesMutualisation des competences
Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY7
Les besoins
Contrôle d’accèsConfidentialiteProductiviteVerification d’identiteGestion de la bande passanteLes acces nomadesLes donneesLes utilisateursRisque juridiqueLe reporting
Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY8
Les solutions
Le FirewallLa DMZLe VPNLe filtrage de contenuLa sauvegarde en continuL’authentificationL’analyse de logsLa supervision et l’administration centralisée
Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY9
La sécurité SonicWALL
Firewall UTM VPN SSL Antispam Boîtiers de sauvegarde
SÉCURITÉPÉRIMÉTRIQUE
SÉCURISATION DE LA MESSAGERIE
SAUVEGARDE EN CONTINUACCÈS DISTANT
Global Management System
NSA E5500/E6500/E7500
NSA 2400/3500/4500/5000
TZ 150/180/190
EX-750/1600/2500
SSL-VPN 200/2000/4000
ES 6000/8000
ES 200/300/400/500
CDP 1440i/2400i/3400i/4400i
Fin
Activer la signatureAppuyer sur Option pour activer
la signature
Cocher la case pour signer ce message
Donner son code secret pour valider la signature
A la réception, contrôle de la signatureCe symbole matérialise
un message signé : cliquer dessus pour vérifier la validité
Vérification de la validité de la signature
La signature est valide …
…car chaque point de vérification est
positif
Les conditions sont réunies
• Les technologies ont atteint un niveau d’ergonomie et de fiabilité suffisant pour être déployés en masse.
• Les méthodologies d’approche sont maintenant claires.
• Dispositions légales et réglementaires suffisamment claires.
Apports de la dématérialisation
C
Accroissement de la qualité
Diminution des coûts Diminution des délais
D
Q
Diminution des coûts
Coût de logistique interne
duplication emballage
Coût de fournitures
consommablesamortissements
Coût de logistique externe
Coût de secrétariat
frappe
Diminution des délais
Délais de logistique externe
Délais de logistique interne
Délais d’emballage
Délais de duplication
Délais de construction du document final
Chambersign
• Chambersign : Entité dédiée des Chambres de Commerce qui délivre la carte d’identité ou le passeport électronique qui permet à chaque personne identifiée au sein d’une entreprise d’échanger de manière légale et sécurisée.
• Les Chambres de Commerce sont là, localement, pour assurer le lien entre la carte d’identité virtuelle et la réalité de l’entreprise
Un réseau de proximité
• 107 points d’enregistrements répartis sur l’ensemble du territoire français
– 250 opérateurs professionnels formés aux besoins des entreprises
– 10 réseaux de Chambres de Commerce européennes sous le label
ChamberSign
Support physiquesécurisé
Support physique
Support logiciel
Pas de contrôle d’identité
Contrôle sans face à face
Contrôle avec face à face
Sécurité Globale
Les classes de certificats
Les services associés
• Assurance des services de certification auprès de Fia Net, courtier spécialisé dans les risques liés à l’internet marchand
• Remplacement du certificat :– En cas de perte, vol, ou destruction– Montant assuré : le prix du certificat
• Utilisation frauduleuse du certificat: – Remboursement des pertes financières en cas
d'utilisation malveillante ou frauduleuse du certificat et en charge des frais et pertes divers.
– Montant assuré : 3000 Euros par certificat et par année d'assurance.
La chaîne de confiance
Courrier Courrier éélectroniquelectronique
TTééllééprocprocééduresdures
Appels Appels dd’’offresoffres
ContratsContratséélectroniqueslectroniques
Certificat Certificat éélectronique lectronique
ChamberSignChamberSign
Coffre fortCoffre fort
HorodatageHorodatage
Vote Vote éélectroniquelectronique
Facture Facture éélectroniquelectronique
La confiance ne s’acquiert pas de factoChamberSign et ses partenaires forment une chaîne de
la confiance.
SECURITE INFORMATIQUESECURITE INFORMATIQUE
RESPONSABILITES ET RESPONSABILITES ET ASSURANCESASSURANCES
LE RISQUE INFORMATIQUELE RISQUE INFORMATIQUE
Quel que soit le secteur d’activité de votre entreprise, les défaillances informatiques peuvent impacter sur :
– La gestion des approvisionnements– La production– La gestion des ventes– La consolidation des informations financières– La gestion du personnel
LE RISQUE INFORMATIQUELE RISQUE INFORMATIQUE
–La panne ou dysfonctionnement des systèmes d’information ou destruction physique des équipements informatiques
Exemple : Suppression de l’accès Internet suite à panne électrique chez le fournisseur d’accèsExemple : Site web non accessible du fait de liens défectueux
–La fraude informatique, notamment du fait de la non sécurisation d’un site Internet, la malveillance–La propagation de virus informatiques en l’absence de système anti-virus ou firewall–La perte de données – nécessité de sauvegardes internes ou externalisées
Exemple : Endommagement de données suite à problème technique sur le serveur.
LE RISQUE INFORMATIQUELE RISQUE INFORMATIQUE
–L’endommagement de matériel, équipement informatique, Unité centrale, PC portable…confiés par les clients pour entretien ou réparation.–La vente d’un logiciel inadapté ou défaillant–Le détournement de codes, de données par un préposé ou un sous-traitant de votre entreprise
Exemple : le sabotage des programmes informatiques d’une chaîne de production a conduit une entreprise à stopper sa chaîne lorsque la non-conformité des produits à la sortie a été détectée
Les informations stockées ou véhiculées par les systèmes d’informations représentent une valeur patrimoniale supérieure à celle du Système d’information lui-même.
LE RISQUE INFORMATIQUELE RISQUE INFORMATIQUE
– Un relevé d’informations erroné, une erreur d’analyse, d’interprétation
– Une faute commise dans le traitement des données relevées n’aboutissant pas au résultat escompté tel que par exemple à l’amélioration de la productivitéd’une entreprise.
Exemple : Une erreur de paramétrage lors des mises à jour de base de données pour une entreprise de marketing par mailing n’a pas été détectée immédiatement. Lorsque la détection a eu lieu, l’entreprise a constaté que les bases de données sauvegardées depuis 6 mois étaient systématiquement fausses.
- La perte de données
LES RÉPONSES ASSURANCES À CES RISQUES
Deux réponses assurances complémentaires.
La RESPONSABILITE CIVILE PROFESSIONNELLE répondant à une mise en cause de la Société.
La RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX répondant à une mise en cause personnelle du dirigeant.
Les mises en causes de L’Entreprise
L’ASSURANCE RESPONSABILITE CIVILE PROFESSIONNELLE
1.1. Objet de la garantie Objet de la garantie Cette assurance garantit votre sociCette assurance garantit votre sociééttéé contre les conséquences pécuniaires de la Responsabilité civile qu’elle peut encourir visvis--àà--vis des tiersvis des tiers, en raison des nnéégligences et fautes commises par les collaborateurs, gligences et fautes commises par les collaborateurs, prprééposposéés, dans l'exercice de leurs activits, dans l'exercice de leurs activitéés.s.
2.2. Intervention de lIntervention de l’’assureur :assureur :Prise en charge (dans les limites et conditions fixPrise en charge (dans les limites et conditions fixéées es dans votre contrat) des frais engagdans votre contrat) des frais engagéés par le tiers victime s par le tiers victime afin de le remettre dans la situation dans laquelle il aurait afin de le remettre dans la situation dans laquelle il aurait ééttéé en len l’’absence du prabsence du prééjudice.judice.
A L’ATTENTION DES SOCIETES INFORMATIQUES
•Prévoir des solutions de back-up internes ou externes pour assurer la continuité de la maintenance et assistance informatique pour pallier àtout imprévu.
•Contrôler les sous-traitantsVotre responsabilité peut être mise en cause du fait de l’intervention de vos sous-traitants.
•Vérifier qu’aucune clause de renonciation à recours ne soit intégrée dans les contrats que vous passés avec vos sous-traitants.
QUELQUES CONSEILS
A L’ATTENTION DES SOCIETES INFORMATIQUES
•Demander une attestation d’assurance Responsabilité Civile Professionnelle à vos sous-traitants afin de s’assurer d’une facilité de recours en cas de sinistre.
•S’assurer contre les risques professionnels liés à vos activités, notamment pour une erreur ou un défaut de conseil
QUELQUES CONSEILS
QUELQUES CONSEILS
A L’ATTENTION DES TOUTES SOCIETES
•Réaliser régulièrement des sauvegardes de données au moyen d’un système interne ou externe.•Disposer d’un système anti-virus et Firewall•Sécuriser votre site Internet notamment si vous pratiquez l’e-commerce.•S’assurer contre les risques liés à l’exercice de vos activités
Les mises en cause du DirigeantLes mises en cause du Dirigeant
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Qui est assurQui est assuréé ??Dirigeant de Droit (qui a un titre comme PDG, Gérant, Président d’Association)• Dirigeant de fait (qui est reconnu par le tribunal comme ayant eu la possibilité de causer le dommage et qui est donc tenu de le réparer )•Les bénéficiaires d’une délégation ou sous délégation de pouvoir même non écrite•Toute personne dans l’entreprise mise en cause au titre d’une faute liée à l’emploi (ex: harcèlement, discrimination,…)•Toute personne dans l’entreprise mis en cause personnellement, au moins pour des frais de défense qui viseront à démontrer que cette personne n’a pas eu la capacité de causer le dommage.
Qui peut Qui peut êêtre mettre en cause un dirigeant ?tre mettre en cause un dirigeant ?
DIRIGEANT
Autres Dirigeants
Anciens dirigeants
Concurrents
L’entrepriseEmployés, Anciens
Employés, CandidatsMaison mère
Pouvoirs Publics
Tous actionnairesActionnaires familiaux,
Minoritaires ou institutionnels
Clients
Autorités de régulationFournisseursCréanciers
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Les fondements de la mise en causeLes fondements de la mise en cause
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Les exemples de mises en causes se retrouvent :• Quel que soit le type de société commerciales ou Association,
• Et, quelle que soit sa taille, son activité, sa forme juridique (en effet la forme juridique ne peut faire écran et protéger le dirigeant)
Les mises en causes peuvent venir de tous ceux qui peuvent justifier d’un préjudice causé par une personne considérée comme dirigeant
Ces personnes morales ou physiques peuvent demander la réparation du préjudice pour leur propre compte ou pour celui de la société.
Selon la loi du 24/ 07/ 1966, les dirigeants sont responsables individuellement et solidairement, sur leurs biens propres…
• Des infractions aux lois et règlements• Des violations des statuts de leur entreprise• Des fautes de gestion
Ainsi une simple erreur, omission, imprudence, déclaration inexacte, voire négligence peut-être considérée comme une faute de gestionEt, dans un sens plus large, toutes fautes liées à l’emploi (harcèlement, discrimination, …)
Les fondements de la mise en cause Les fondements de la mise en cause
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Philosophie :
Au-delà de la protection financière personnelle du dirigeant par la prise en charge de ses frais de défense et le paiement éventuel de dommages et intérêts, le contrat intervient :
• Avant la procédure : prise en charge des frais de défense sans attendre une mise en cause formelle afin d’éviter celle-ci.
•Pendant la procédure : défense civile ou pénale du dirigeant et proposition, si besoin, ainsi qu’à son entourage, d’un soutien psychologique personnalisé (coach ou traumatologue)
• Après la procédure : Paiement d’éventuels dommages et intérêts. En revanche, si la responsabilité du dirigeant n’est pas engagée, accompagnement dans la réhabilitation de son image de dirigeant.
Que couvre le contrat ?Que couvre le contrat ?
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Frais deReprésentation
Frais de défense
Soutienpsychologique
Soit
ReconnaissanceDe
responsabilité
Non reconnaissance
De responsabilité
Dommageset intérêts
ReconstitutionD’image
+
Avant Pendant
Frais deDéfense
supplémentaires
Après
Mise en cause Jugement du tribunal Nouvelle Mise encause d’un dirigeant
La procLa procéédure dans le tempsdure dans le temps
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Retard dans la présentation des comptes annuels :Le souscripteur, une société d’ingénierie, n’avait pas présenté ses comptes annuels dans le délai imparti. Le souscripteur a par la suite fait faillite et le liquidateur judicaire a mis en cause les dirigeants pour faute de gestion, une telle faute étant présumée dès lors que les comptes n’ont pas été présentés à temps. Devant les Tribunaux, les dirigeants ont pu échapper aux condamnations en démontrant que les conditions de marché, et non une faute de gestion de leur part, avaient été à l’origine de la faillite.
Dans un grand nombre de cas, la faillite d’une société a pour effet quasi-automatique la mise en cause en justice des dirigeants par le liquidateur judiciaire, pour le compte de la société et/ou des créanciers. Plusieurs pays européens disposent d’un arsenal juridique spécifique aggravant la responsabilité des dirigeant en cas de faillite.
Emploi de main-d’œuvre clandestine par un sous-traitantLe souscripteur, dirigeant d’un groupe de distribution important, était poursuivi pour recel de main d’œuvre clandestine. Un de ses sous-traitants employait le travailleur clandestin.Selon la législation du travail, le dirigeant aurait dû s’assurer que son sous-traitant appliquait des procédure d’embauche régulières, et plus particulièrement qu’il n’employait que de la main-d’œuvre déclarée. Le dirigeant n’ayant pas respecté la législation locale a été condamné pénalement.
L’amende imposée par le Tribunal n’entre pas dans le champ de la garantie. En revanche, la police prend en charge les frais de défense encourus par un assuré dans le cadre de la procédure pénale.
Quelques exemples de sinistresQuelques exemples de sinistres
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Délit d’initié et information trompeuseLe souscripteur annonça un « profit warning ». Cette annonce entraînera une baisse substantielle de la valeur des actions cotées en bourse. Les investisseurs estimèrent qu’ils avaient été trompés par des informations incorrectes sur la situation financière de la société, ce qui leur avait causé un préjudice. Une enquête officielle a été ouverte à l’égard de certains dirigeants pour délits d’initiéAffaire toujours en cours
Comblement de passifDans le cadre de la cession d’une filiale, les dirigeants sont responsables sur leurs biens propres du passif suite au soutien financier abusif de cette filiale en difficulté.
Négligence dans la supervision du recouvrement de créance :Le souscripteur, un imprimeur, avait reçu une commande de catalogues d’un client d’Europe de l’Est pour un montant de 300.000 €. Le contrat stipulait que l’impression ne commencerait qu’après réception intégrale du paiement. Le client confirmera qu’il avait donné l’ordre à sa banque de verser les fonds.L’impression fut donc lancée et les catalogues livrés. Entre temps, la banque du client fait faillite avant d’avoir versé les fonds au souscripteur. Une somme de 100.000 € put être récupérée auprès du client, mais le solde resta impayé.Les actionnaires ont introduit une action contre les dirigeants du souscripteur et leur responsabilité fut retenue.
Quelques exemples de sinistresQuelques exemples de sinistres
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX
Quelques exemples de sinistresQuelques exemples de sinistres
Défaut de consultation des organes représentatifs :Les dirigeants d’un hôpital avaient réorganisé le département obstétrique et modifié le contrat de travail d’un représentant syndical sans consultation du comité d’ entreprise.Une procédure administrative a été engagée à la suite de ce manquement. Des indemnités furent versées au représentant syndical et au syndicat lui-même.
Cette affaire reflète la garantie accordée aux dirigeants lorsqu’ils sont mise en cause dans le cadre d’actions devant les juridictions administratives et condamnés à payer d’éventuels dommages et intérêts.
1 Allées Catherine de Bourbon, 64000 PAU/ Tél : 05 59 02 20 60 / Fax : 05 59 02 20 80 / e-mail : egatine@roussille-gestion.comSite : www.roussille-gestion.com
Recommended