Jusqu’où aller dans la sécurité des systèmes d’information ?
Jacqueline Reigner
dr ès sciences bio-médicale
Experte en sécurité informatique Directrice de Sémafor Conseil SA à Pully / Lausanne, Genève et Sierre http://www.semafor-conseil.ch
Les bonnes questions en matière de sécurité informatique ...
Que faire qui soit simple, efficace et pas cher ?
Je ne veux pas me casser la tête, j’ai d’autres priorités !
Que prévoir pour survivre en cas d’incident grave ?
Mon ordinateur est hors d’usage, mais qu’est- ce-que je peux faire pour récupérer mes
informations et continuer mon travail ?
... et les questions que je vous pose :
Combien de temps avez-vous perdu à cause d’un problème informatique ?
Combien vous coûte une journée sans système d’information ?
Combien de temps pouvez-vous vous passer de votre système d’information ?
Etude de cas
Indépendant PME
Société de service
Etude de cas - un indépendant dentiste ou fiduciaire
Mon ordinateur est encore “tout neuf”, il n’a que 3 ans et ma secrétaire s’en sert seulement pour la messagerie, le
télébanking et la bureautique.
Problème : l’ordinateur est très lent, il ne fonctionne plus comme avant.
Des dégâts qui coûtent chers
Diagnostic: virus présents, anti-virus hors date, système d’exploitation non mis à jour Conséquences / impact:
Temps perdu,
Informations perdues, Coût de la réparation.
Il faut bien récupérer la situation
Solution:
Nettoyage des virus ( x heures) ou réinstallation complète,
Mises à jour du système d’exploitation Windows, Mac OS ou Linux,
Renouveler la licence anti-virus, mises à jour quotidiennes,
Installer un firewall, Formation.
Hier cadre supérieur, aujourd’hui vous vous mettez à votre compte
Choisissez des systèmes simples et peu coûteux:
logiciels libres, outsourcing.
Prenez soin de vos informations:
Mettez à jour tous vos systèmes d’exploitation et vos logiciels,
Mettez à jour votre anti-virus, renouvelez l’abonnement,
Sauvegardez vos données tous les jours, Prenez conseil auprès d’un expert neutre.
Etude de cas - PME
Une étude d’avocats installe un réseau wifi
Contexte : priorité à la confidentialité des informations.
Souhait : installer un réseau wifi.
Comment veiller à la
confidentialité des informations ?
Priorité à la sécurité informatique sur le réseau câblé (LAN):
Un identifiant et un mot de passe secret pour chaque collaborateur.
Toutes les mesures de sécurité sont prises sur les ordinateurs, sur le serveur et sur le firewall.
Formation spécialisée de chaque collaborateur en particulier sur la confidentialité de la messagerie électronique.
Pourquoi sécuriser son réseau wifi ?
Pour éviter que le voisin utilise à saturation votre accès Internet sans le payer.
Afin d’empêcher un concurrent ou la partie adverse de fouiner dans vos dossiers
électroniques.
Pour échapper aux logiciels zombies, aux images pédophiles, etc... qui pourraient être déposés sur un espace caché de votre serveur.
Comment sécuriser un réseau wifi ?
Confiez l’installation à un spécialiste compétent.
Gardez le point d’accès invisible.
Réservez l’accès au réseau aux seules personnes ou machines autorisées.
Utilisez une méthode d’authentification sûre.
Et si votre point d’accès doit être à disposition de vos partenaires visiteurs ?
Les visiteurs sont autorisés à utiliser exclusivement l’accès Internet
sans aucun accès à vos informations.
Votre responsabilité de patron:
Evaluez vos propres risques.
Gérez, contrôlez et améliorez la sécurité de vos informations,
ISMS (information security management system, réf ISO 27001).
Choisir la stratégie informatique.
Prenez conseil auprès d’un expert neutre.
Etude de cas - Société de services Survivre à un incident grave
Vous fournissez des services haut de
gamme: outsourcing, ASP, services internet.
Vous consacrez beaucoup d’énergie à assurer la disponibilité de vos services.
Etes-vous prêt à affronter un sinistre ou un incident grave ?
Quelles sont vos solutions actuelles?
Tout à double: redondance, load balancing.
Est-ce adéquat en cas de sinistre dans la salle des machines ?
Avez-vous un plan de secours, un DRP ?
DRP, qu’est ce que c’est ?
DRP : disaster recovery plan en français: plan de secours
Pourquoi un plan de secours?
Pour protéger les activités fondamentales liées à la mission de l’organisation.
Pour neutraliser les interruptions de services.
Pour protéger les processus métier des sinistres et des défaillances des systèmes d’information.
Pour garantir la reprise des processus métiers dans des délais acceptés par les décideurs ou les clients.
Réf ISO 27001, chap 14. Gestion de la continuité des activités.
Plan de secours - 4 phases
1 Analyse stratégique.
2 Choix des solutions.
3 Réalisation.
4 Suivi - validation.
Plan de secours - 1 Analyse stratégique
Organisation et conduite de projet:
équipe, planification et formation.
Analyse des risques.
Inventaire des machines, réseau, applicatifs, etc... et des risques probables.
Analyse d’impact.
Perte de temps, perte d’image, perte de clients.
Détermination du DMIS, le délai maximal d’interruption de service accepté en cas de sinistre.
DMIS ?
Quelle est votre DMIS ?
Combien vous coûte 1 jour sans système d’information ?
Combien de jours pouvez-vous tenir ?
Plan de secours - 2 Choix des solutions
Analyse et choix des solutions en fonction des critères stratégiques de l’entreprise.
un serveur de réserve mutualisé ou dédié sur site.
un système complet ou un serveur dédié hors site avec les applications et les
données à jour en temps réel.
Plan de secours - 3 Réalisation
Mise en oeuvre opérationnelle.
Documentation complète.
Plan de secours - 4 Suivi & validation
Test d’alerte, de bascule programmés du site de production vers le site de secours.
Mise à jour du plan de secours en continu.
Audit du plan de secours.
Avantages du plan de secours d’une société de service
Avantage concurrentiel.
Vous le proposez aussi à vos clients.
Une garantie de survie de votre société.
Jusqu’où aller en sécurité des systèmes d’information ?
La sécurité informatique est un ensemble de pratiques et de solutions - les exemples d’aujourd’hui - qui contribuent ensemble à la confidentialité de vos informations, à leur disponibilité et à leur intégrité font partie de votre ISMS
(information security management system, réf ISO 27001).
Nouveaux projets de Sémafor
Veille en sécurité informatique
Une collection de bandes dessinées
Pour en savoir plus:
http://www.17799central.com/iso-27001.htm http://www.cert.org/
Sécurité informatique et réseaux, Solange Ghernaouti-Hélie, Dunod, 2006
Tableaux de bord de la sécurité réseau, Cédric Llorens, Laurent Levier, Eyrolles, 2003
Merci de votre attention
jacqueline.reigner@semafor-conseil.ch http://www.semafor-conseil.ch