Auris solutions : risques & piratages pour les PME / TPE

SAS Auris Solutions - Technopôle Brest Iroise 115 rue Claude Chappe – 29280 Plouzané

Tel 02 90 820 888 – Fax 02 22 44 20 96 – Mobile 06 75 31 51 20 Capital 11 000 € - Siret : 512 380 064 000 18 - Code APE : 7022Z

Système d'InformationSécurité & Piratage

Comment une PME/TPE peut gérer les risques

emnemnÉcole de Management École de Management

NumériqueNumérique

Auris Solutions - Licence creative commons / Paternité - Pas d'Utilisation Commerciale - Pas de Modification 2.0 France (CC BY-NC-ND 2.0)

École de Management Numérique : http://www.ecole-management-numerique.com/

emnemnÉcole de École de

Management Management NumériqueNumérique

0650856622

Des risques ? Quels risques ?Des risques ? Quels risques ?

Réalité ? Fantasme ?

http://www.ecole-management-numerique.com/

mailto:S%C3%A9curit%C3%A9_des_Syst%C3%A8mes_d_Information_1_Stuxnet





0650856622

C'est grave docteur ?C'est grave docteur ?






C'est grave docteur ?C'est grave docteur ?● 1 ordinateur sur 5 connait une panne de disque dur pendant son exploitation

● 95% des salariés d'entreprises déclarent avoir déjà perdu des fichiers informatiques, représentant 1 heure à plusieurs jours de travail.

● 20% des ordinateurs portables sont volés ou avariés chaque année.

● 70% des PME ne protègent pas leurs sauvegardes.

● 50% des entreprises perdant totalement leurs données ferment définitivement.

● 90 % des entreprises restantes mettent deux années à y faire face.

● 60% des PME ayant vécu un sinistre informatique disparaissent dans les 5 ans.

Source : enquête de la société Ontrack Data spécialisé dans la récupération des données.






A quoi cela ressemble ?A quoi cela ressemble ?

Des types « originaux » d'attaques :

● Saturation des bandes passantes (déni de service)● « contamination » d'imprimante● Piratage de vidéo (de sécurité) wifi● Destruction à distance de matériel● Piratage de badge d'identification● Piratage de la ventilation d'un hôpital● Piratage du système de contrôle d'une flotte de véhicules de location● Prise de contrôle des systèmes d'irrigation, des feux de signalisation, des systèmes d'aiguillage● Des programmes zombies sur les mobiles● ...

Source : clusif 2009






0650856622

Un système d'information est un ensemble d'éléments :

● Technologie● Organisation● Processus

Remettons les choses à platRemettons les choses à plat

Processus

OrganisationTechnologie






0650856622

Menaces sur la technologieMenaces sur la technologie






0650856622

Menaces sur l'organisationMenaces sur l'organisation






0650856622

Menaces liées aux processusMenaces liées aux processus






0650856622

Le CLUSIF (Club de la Sécurité de l'Information Français) préconise une approche qui s'appuie sur des scénarios.

Le risque étant alors vu comme la probabilité de réalisation

{ menace + scénario + vulnérabilité }

● La menace est-elle plausible ? Probable ?Urgence = haute probabilité * haut impact

● Quel(s) scénario(s) découle(nt) de cette menace ?

● Sommes-nous vulnérable dans ce scénario ?

Démarche de gestion du risqueDémarche de gestion du risque






Démarche de gestion du risqueDémarche de gestion du risque

IdentificationMenace + Scénario + Vulnérabilité

MesuresPalliatives + Correctives + Préventives

Sensibilisation

Formation

Technique

Organisation

Processus

Évaluation






RecommandationsRecommandations

Technologie ● DMZ (filtre, répartiteur de charge, sonde, ...)● FireWall● Antivirus + Antimalware● Système d'exploitation et logiciels à jour● Stratégie de sauvegarde / restauration● Cryptage (TrueCrypt)● Devices mobiles sécurisés

Organisation● Sensibilisation / responsabilisation● Charte informatique

Processus● PRA / PCA● Patrimoine numérique


Documents

Auris solutions : risques & piratages pour les PME / TPE