Securite Informatique Orthez

Sécurité informatique

Des risques et des solutions

Sécurité Informatique : les risques et les solutions – Orthez 25 Septembre 2008

http://www.pau.cci.fr/

Présentation de l’association

72 adhérents qui représentent le secteur des TIC dans le département.

Développer la filière.Promouvoir nos offres.Contribuer au développement économique.Concevoir et diffuser des réalisations collectives.



Sécurité informatique

Approche proposée

Les risques par catégorieLes solutions pratiquesLes actions à conduire



Organisation informatique classique

Des collaborateurs quiutilisent des micro ordinateurs…

…en contact avec des tiers……raccordés à un réseau local…

…désormais à Internet…

…souvent avec un serveur…

…et assistés par des techniciens pressés.…mais pas toujours…



Les risques par catégorie

Informations (données/logiciels)

Situés dans des locaux

Transportées sur des réseaux

Stockées dans des ordinateurs/serveurs

-Altération (virus)-Altération (bug programme)-Perte (manipulation)-Perte (obsolescence)

-Altération (accès non souhaité )-Altération (détournement)-Perte (panne technique)-Perte (diffusion intempestive)

-Indisponibilité (panne mécanique)-Indisponibilité(erreur logicielle)-Perte (panne mécanique)-Perte (destruction intempestive)

-Destruction (dégâts eaux, feu… )-Indisponibilité (énergie)-Perte (vol)

-Non autorisées (mot de passe )-Maladroites (non informées)-Malveillantes-Non destinatrices / satisfaites

Utilisées par des personnes


Une protection standard

Actions CoûtsFaire l’analyse des risques et situer le curseur de protection.

3 jours en interne.1 jour par an.

Collaborateurs Rédiger et faire signer des documents.Mettre en place une gestion des droits d’accès.Vérifier le niveau des compétence.

2 jours en interne.Appui d’un expert.

Tiers Rédiger / Lire les contrats avec les tiers.Souscrire un contrat d’assurance adapté.

Assurance adaptée :

Locaux Protéger les accès.Mettre un onduleur/batterie.Climatiser la salle informatique.Mettre des détecteurs incendie/humidité.

Un verrou à clavier : 150 ehtUn onduleur 5PC : 400 ehtUne clim mobile : 500 ehtUn ensemble détecteurs : 2 000 eht(caméra, détecteur fumée, humidité..)

Equipements Surveiller les contrats de maintenance.Identifier les équipements critiques, les « doubler ».Gérer les dossiers et les droits d’accès.Sauvegarder les données.

Des disques « miroirs » : + 20%Sauvegarder en ligne 10GO : 100eht/anUne unité de sauvegarde : 500 eht

Réseaux Séparer les réseaux « publics » et « privés ».Interdire ce qui n’est pas autorisé.Identifier les solutions de secours.

Un pare-feu évolué : 1 000 eht et 200 eht/an.

Données Mettre en œuvre une solution antivirale.Gérer le stockage des données et les sauvegardes.Maintenir les logiciels en rapport avec les données.

Un antivirus : 20eht/an/poste.Un coffre fort : 300 eht

CollaborateursRappel à la loi sur l’écran de connexion

Saisie et changement mot de passe

Procédure entrée/sortie collaborateur- Règlement intérieur- Données personnelles- Boîte aux lettres (Mail)- Accès aux répertoires de l ’entreprise

Gestion du mot de passe: - Nbre de caractères minimum- Validité- Complexité (Majuscule, chiffre, autres)

Procédures Exploitation / Production:- Serveurs / Stations- Droits Utilisateurs- Messagerie- Stockage / Archivage / Sauvegarde- Pare-Feux / Routeurs / Concentrateurs- Téléphonie IP / Analogique

http://www.polymtl.ca/si/service/aireAccesLibre/images/WinXP_MotDePasse.jpe

Tiers

• Contrats ou Convention de Services– Les services Rendus

• Exhaustivité des services rendus

– Temps• Réponse• Exécution• Résultat• Continuité d’effort• Escalade

– Personnels intervenants• Qualification• Rôle

– Pénalités

LocauxSalle Serveur Informatique Climatisation

Onduleur Détecteurs - CaméraConsole Supervision

Sécurisationporte

EquipementsContrôleur disqueDisque extractible à « chaud »

Cluster de Serveurs

Equipements redondés:- 2 connexion réseau par serveurs- Doublement des équipements réseaux actifs- 2 opérateurs différents

Réseau

Données

Console AdministrationConsole Anti-virus

Sauvegarde / Archivage sur Bande, Disque ou DVD

La SECURITE

DaoVO TRUNGChannel Manager [email protected]

mailto:[email protected]

Copyright 2008 SonicWALL Inc. All Rights Reserved - For SonicWALL and SonicWALL Partners ONLY2

Le contexte des entreprises

Democratisation de l’ADSLOuverture des portsMultiplication des applicationsApplications webNomadismeEvolution des sites distantsCroissance du WIFI


Les problematiques

Complexite des dangersTurn OverExtranetRelations Fournisseurs/ ClientsEvolution des methodes de travailComplexification du nomadismeSous traitanceGestion de la messagerie


Les dangers, les risques et les consequences

Attaques ordonnees (intrusions, trojans, worms, …)Attaques desordonnees (spyware, phishing, pharming, keylogging…)Utilisations des ressourcesUsurpation d’identiteInterruptions des servicesPerte, vol ou corruption des donneesAtteinte a l’imageRisques juridiques et financiersVulnerabilitesSpams


Qui sont-ils et quelles sont leurs motivations

Script kiddies

Hackers

Social Engineering


Pourquoi les PME et les administrations

Peu de ressourcesPeu de connaissancesResponsabilités peu assuméesMutualisation des competences


Les besoins

Contrôle d’accèsConfidentialiteProductiviteVerification d’identiteGestion de la bande passanteLes acces nomadesLes donneesLes utilisateursRisque juridiqueLe reporting


Les solutions

Le FirewallLa DMZLe VPNLe filtrage de contenuLa sauvegarde en continuL’authentificationL’analyse de logsLa supervision et l’administration centralisée


La sécurité SonicWALL

Firewall UTM VPN SSL Antispam Boîtiers de sauvegarde

SÉCURITÉPÉRIMÉTRIQUE

SÉCURISATION DE LA MESSAGERIE

SAUVEGARDE EN CONTINUACCÈS DISTANT

Global Management System

NSA E5500/E6500/E7500

NSA 2400/3500/4500/5000

TZ 150/180/190

EX-750/1600/2500

SSL-VPN 200/2000/4000

ES 6000/8000

ES 200/300/400/500

CDP 1440i/2400i/3400i/4400i

Fin

Activer la signatureAppuyer sur Option pour activer

la signature

Cocher la case pour signer ce message

Donner son code secret pour valider la signature

A la réception, contrôle de la signatureCe symbole matérialise

un message signé : cliquer dessus pour vérifier la validité

Vérification de la validité de la signature

La signature est valide …

…car chaque point de vérification est

positif

Les conditions sont réunies

• Les technologies ont atteint un niveau d’ergonomie et de fiabilité suffisant pour être déployés en masse.

• Les méthodologies d’approche sont maintenant claires.

• Dispositions légales et réglementaires suffisamment claires.

Apports de la dématérialisation

C

Accroissement de la qualité

Diminution des coûts Diminution des délais

D

Q

Diminution des coûts

Coût de logistique interne

duplication emballage

Coût de fournitures

consommablesamortissements

Coût de logistique externe

Coût de secrétariat

frappe

Diminution des délais

Délais de logistique externe

Délais de logistique interne

Délais d’emballage

Délais de duplication

Délais de construction du document final

Chambersign

• Chambersign : Entité dédiée des Chambres de Commerce qui délivre la carte d’identité ou le passeport électronique qui permet à chaque personne identifiée au sein d’une entreprise d’échanger de manière légale et sécurisée.

• Les Chambres de Commerce sont là, localement, pour assurer le lien entre la carte d’identité virtuelle et la réalité de l’entreprise

Un réseau de proximité

• 107 points d’enregistrements répartis sur l’ensemble du territoire français

– 250 opérateurs professionnels formés aux besoins des entreprises

– 10 réseaux de Chambres de Commerce européennes sous le label

ChamberSign

Support physiquesécurisé

Support physique

Support logiciel

Pas de contrôle d’identité

Contrôle sans face à face

Contrôle avec face à face

Sécurité Globale

Les classes de certificats

Les services associés

• Assurance des services de certification auprès de Fia Net, courtier spécialisé dans les risques liés à l’internet marchand

• Remplacement du certificat :– En cas de perte, vol, ou destruction– Montant assuré : le prix du certificat

• Utilisation frauduleuse du certificat: – Remboursement des pertes financières en cas

d'utilisation malveillante ou frauduleuse du certificat et en charge des frais et pertes divers.

– Montant assuré : 3000 Euros par certificat et par année d'assurance.

La chaîne de confiance

Courrier Courrier éélectroniquelectronique

TTééllééprocprocééduresdures

Appels Appels dd’’offresoffres

ContratsContratséélectroniqueslectroniques

Certificat Certificat éélectronique lectronique

ChamberSignChamberSign

Coffre fortCoffre fort

HorodatageHorodatage

Vote Vote éélectroniquelectronique

Facture Facture éélectroniquelectronique

La confiance ne s’acquiert pas de factoChamberSign et ses partenaires forment une chaîne de

la confiance.

SECURITE INFORMATIQUESECURITE INFORMATIQUE

RESPONSABILITES ET RESPONSABILITES ET ASSURANCESASSURANCES

LE RISQUE INFORMATIQUELE RISQUE INFORMATIQUE

Quel que soit le secteur d’activité de votre entreprise, les défaillances informatiques peuvent impacter sur :

– La gestion des approvisionnements– La production– La gestion des ventes– La consolidation des informations financières– La gestion du personnel


–La panne ou dysfonctionnement des systèmes d’information ou destruction physique des équipements informatiques

Exemple : Suppression de l’accès Internet suite à panne électrique chez le fournisseur d’accèsExemple : Site web non accessible du fait de liens défectueux

–La fraude informatique, notamment du fait de la non sécurisation d’un site Internet, la malveillance–La propagation de virus informatiques en l’absence de système anti-virus ou firewall–La perte de données – nécessité de sauvegardes internes ou externalisées

Exemple : Endommagement de données suite à problème technique sur le serveur.


–L’endommagement de matériel, équipement informatique, Unité centrale, PC portable…confiés par les clients pour entretien ou réparation.–La vente d’un logiciel inadapté ou défaillant–Le détournement de codes, de données par un préposé ou un sous-traitant de votre entreprise

Exemple : le sabotage des programmes informatiques d’une chaîne de production a conduit une entreprise à stopper sa chaîne lorsque la non-conformité des produits à la sortie a été détectée

Les informations stockées ou véhiculées par les systèmes d’informations représentent une valeur patrimoniale supérieure à celle du Système d’information lui-même.


– Un relevé d’informations erroné, une erreur d’analyse, d’interprétation

– Une faute commise dans le traitement des données relevées n’aboutissant pas au résultat escompté tel que par exemple à l’amélioration de la productivitéd’une entreprise.

Exemple : Une erreur de paramétrage lors des mises à jour de base de données pour une entreprise de marketing par mailing n’a pas été détectée immédiatement. Lorsque la détection a eu lieu, l’entreprise a constaté que les bases de données sauvegardées depuis 6 mois étaient systématiquement fausses.

- La perte de données

LES RÉPONSES ASSURANCES À CES RISQUES

Deux réponses assurances complémentaires.

La RESPONSABILITE CIVILE PROFESSIONNELLE répondant à une mise en cause de la Société.

La RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX répondant à une mise en cause personnelle du dirigeant.

Les mises en causes de L’Entreprise

L’ASSURANCE RESPONSABILITE CIVILE PROFESSIONNELLE

1.1. Objet de la garantie Objet de la garantie Cette assurance garantit votre sociCette assurance garantit votre sociééttéé contre les conséquences pécuniaires de la Responsabilité civile qu’elle peut encourir visvis--àà--vis des tiersvis des tiers, en raison des nnéégligences et fautes commises par les collaborateurs, gligences et fautes commises par les collaborateurs, prprééposposéés, dans l'exercice de leurs activits, dans l'exercice de leurs activitéés.s.

2.2. Intervention de lIntervention de l’’assureur :assureur :Prise en charge (dans les limites et conditions fixPrise en charge (dans les limites et conditions fixéées es dans votre contrat) des frais engagdans votre contrat) des frais engagéés par le tiers victime s par le tiers victime afin de le remettre dans la situation dans laquelle il aurait afin de le remettre dans la situation dans laquelle il aurait ééttéé en len l’’absence du prabsence du prééjudice.judice.

A L’ATTENTION DES SOCIETES INFORMATIQUES

•Prévoir des solutions de back-up internes ou externes pour assurer la continuité de la maintenance et assistance informatique pour pallier àtout imprévu.

•Contrôler les sous-traitantsVotre responsabilité peut être mise en cause du fait de l’intervention de vos sous-traitants.

•Vérifier qu’aucune clause de renonciation à recours ne soit intégrée dans les contrats que vous passés avec vos sous-traitants.

QUELQUES CONSEILS

A L’ATTENTION DES SOCIETES INFORMATIQUES

•Demander une attestation d’assurance Responsabilité Civile Professionnelle à vos sous-traitants afin de s’assurer d’une facilité de recours en cas de sinistre.

•S’assurer contre les risques professionnels liés à vos activités, notamment pour une erreur ou un défaut de conseil

QUELQUES CONSEILS

QUELQUES CONSEILS

A L’ATTENTION DES TOUTES SOCIETES

•Réaliser régulièrement des sauvegardes de données au moyen d’un système interne ou externe.•Disposer d’un système anti-virus et Firewall•Sécuriser votre site Internet notamment si vous pratiquez l’e-commerce.•S’assurer contre les risques liés à l’exercice de vos activités

Les mises en cause du DirigeantLes mises en cause du Dirigeant

LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX

Qui est assurQui est assuréé ??Dirigeant de Droit (qui a un titre comme PDG, Gérant, Président d’Association)• Dirigeant de fait (qui est reconnu par le tribunal comme ayant eu la possibilité de causer le dommage et qui est donc tenu de le réparer )•Les bénéficiaires d’une délégation ou sous délégation de pouvoir même non écrite•Toute personne dans l’entreprise mise en cause au titre d’une faute liée à l’emploi (ex: harcèlement, discrimination,…)•Toute personne dans l’entreprise mis en cause personnellement, au moins pour des frais de défense qui viseront à démontrer que cette personne n’a pas eu la capacité de causer le dommage.

Qui peut Qui peut êêtre mettre en cause un dirigeant ?tre mettre en cause un dirigeant ?

DIRIGEANT

Autres Dirigeants

Anciens dirigeants

Concurrents

L’entrepriseEmployés, Anciens

Employés, CandidatsMaison mère

Pouvoirs Publics

Tous actionnairesActionnaires familiaux,

Minoritaires ou institutionnels

Clients

Autorités de régulationFournisseursCréanciers


Les fondements de la mise en causeLes fondements de la mise en cause


Les exemples de mises en causes se retrouvent :• Quel que soit le type de société commerciales ou Association,

• Et, quelle que soit sa taille, son activité, sa forme juridique (en effet la forme juridique ne peut faire écran et protéger le dirigeant)

Les mises en causes peuvent venir de tous ceux qui peuvent justifier d’un préjudice causé par une personne considérée comme dirigeant

Ces personnes morales ou physiques peuvent demander la réparation du préjudice pour leur propre compte ou pour celui de la société.

Selon la loi du 24/ 07/ 1966, les dirigeants sont responsables individuellement et solidairement, sur leurs biens propres…

• Des infractions aux lois et règlements• Des violations des statuts de leur entreprise• Des fautes de gestion

Ainsi une simple erreur, omission, imprudence, déclaration inexacte, voire négligence peut-être considérée comme une faute de gestionEt, dans un sens plus large, toutes fautes liées à l’emploi (harcèlement, discrimination, …)

Les fondements de la mise en cause Les fondements de la mise en cause


Philosophie :

Au-delà de la protection financière personnelle du dirigeant par la prise en charge de ses frais de défense et le paiement éventuel de dommages et intérêts, le contrat intervient :

• Avant la procédure : prise en charge des frais de défense sans attendre une mise en cause formelle afin d’éviter celle-ci.

•Pendant la procédure : défense civile ou pénale du dirigeant et proposition, si besoin, ainsi qu’à son entourage, d’un soutien psychologique personnalisé (coach ou traumatologue)

• Après la procédure : Paiement d’éventuels dommages et intérêts. En revanche, si la responsabilité du dirigeant n’est pas engagée, accompagnement dans la réhabilitation de son image de dirigeant.

Que couvre le contrat ?Que couvre le contrat ?


Frais deReprésentation

Frais de défense

Soutienpsychologique

Soit

ReconnaissanceDe

responsabilité

Non reconnaissance

De responsabilité

Dommageset intérêts

ReconstitutionD’image

+

Avant Pendant

Frais deDéfense

supplémentaires

Après

Mise en cause Jugement du tribunal Nouvelle Mise encause d’un dirigeant

La procLa procéédure dans le tempsdure dans le temps


Retard dans la présentation des comptes annuels :Le souscripteur, une société d’ingénierie, n’avait pas présenté ses comptes annuels dans le délai imparti. Le souscripteur a par la suite fait faillite et le liquidateur judicaire a mis en cause les dirigeants pour faute de gestion, une telle faute étant présumée dès lors que les comptes n’ont pas été présentés à temps. Devant les Tribunaux, les dirigeants ont pu échapper aux condamnations en démontrant que les conditions de marché, et non une faute de gestion de leur part, avaient été à l’origine de la faillite.

Dans un grand nombre de cas, la faillite d’une société a pour effet quasi-automatique la mise en cause en justice des dirigeants par le liquidateur judiciaire, pour le compte de la société et/ou des créanciers. Plusieurs pays européens disposent d’un arsenal juridique spécifique aggravant la responsabilité des dirigeant en cas de faillite.

Emploi de main-d’œuvre clandestine par un sous-traitantLe souscripteur, dirigeant d’un groupe de distribution important, était poursuivi pour recel de main d’œuvre clandestine. Un de ses sous-traitants employait le travailleur clandestin.Selon la législation du travail, le dirigeant aurait dû s’assurer que son sous-traitant appliquait des procédure d’embauche régulières, et plus particulièrement qu’il n’employait que de la main-d’œuvre déclarée. Le dirigeant n’ayant pas respecté la législation locale a été condamné pénalement.

L’amende imposée par le Tribunal n’entre pas dans le champ de la garantie. En revanche, la police prend en charge les frais de défense encourus par un assuré dans le cadre de la procédure pénale.

Quelques exemples de sinistresQuelques exemples de sinistres


Délit d’initié et information trompeuseLe souscripteur annonça un « profit warning ». Cette annonce entraînera une baisse substantielle de la valeur des actions cotées en bourse. Les investisseurs estimèrent qu’ils avaient été trompés par des informations incorrectes sur la situation financière de la société, ce qui leur avait causé un préjudice. Une enquête officielle a été ouverte à l’égard de certains dirigeants pour délits d’initiéAffaire toujours en cours

Comblement de passifDans le cadre de la cession d’une filiale, les dirigeants sont responsables sur leurs biens propres du passif suite au soutien financier abusif de cette filiale en difficulté.

Négligence dans la supervision du recouvrement de créance :Le souscripteur, un imprimeur, avait reçu une commande de catalogues d’un client d’Europe de l’Est pour un montant de 300.000 €. Le contrat stipulait que l’impression ne commencerait qu’après réception intégrale du paiement. Le client confirmera qu’il avait donné l’ordre à sa banque de verser les fonds.L’impression fut donc lancée et les catalogues livrés. Entre temps, la banque du client fait faillite avant d’avoir versé les fonds au souscripteur. Une somme de 100.000 € put être récupérée auprès du client, mais le solde resta impayé.Les actionnaires ont introduit une action contre les dirigeants du souscripteur et leur responsabilité fut retenue.





Défaut de consultation des organes représentatifs :Les dirigeants d’un hôpital avaient réorganisé le département obstétrique et modifié le contrat de travail d’un représentant syndical sans consultation du comité d’ entreprise.Une procédure administrative a été engagée à la suite de ce manquement. Des indemnités furent versées au représentant syndical et au syndicat lui-même.

Cette affaire reflète la garantie accordée aux dirigeants lorsqu’ils sont mise en cause dans le cadre d’actions devant les juridictions administratives et condamnés à payer d’éventuels dommages et intérêts.

1 Allées Catherine de Bourbon, 64000 PAU/ Tél : 05 59 02 20 60 / Fax : 05 59 02 20 80 / e-mail : [email protected] : www.roussille-gestion.com

http://www.roussille-gestion.com/

Technology

Securite Informatique Orthez