• Aucun résultat trouvé

Jusqu où aller dans la sécurité des systèmes d information?

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Jusqu où aller dans la sécurité des systèmes d information?"

Copied!
29
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Jusqu’où aller dans la sécurité des systèmes d’information ?

Jacqueline Reigner

dr ès sciences bio-médicale

Experte en sécurité informatique Directrice de Sémafor Conseil SA à Pully / Lausanne, Genève et Sierre http://www.semafor-conseil.ch

(2)

Les bonnes questions en matière de sécurité informatique ...

Que faire qui soit simple, efficace et pas cher ?

Je ne veux pas me casser la tête, j’ai d’autres priorités !

Que prévoir pour survivre en cas d’incident grave ?

Mon ordinateur est hors d’usage, mais qu’est- ce-que je peux faire pour récupérer mes

informations et continuer mon travail ?

(3)

... et les questions que je vous pose :

Combien de temps avez-vous perdu à cause d’un problème informatique ?

Combien vous coûte une journée sans système d’information ?

Combien de temps pouvez-vous vous passer de votre système d’information ?

(4)

Etude de cas

Indépendant PME

Société de service

(5)

Etude de cas - un indépendant dentiste ou fiduciaire

Mon ordinateur est encore “tout neuf”, il n’a que 3 ans et ma secrétaire s’en sert seulement pour la messagerie, le

télébanking et la bureautique.

Problème : l’ordinateur est très lent, il ne fonctionne plus comme avant.

(6)

Des dégâts qui coûtent chers

Diagnostic: virus présents, anti-virus hors date, système d’exploitation non mis à jour Conséquences / impact:

Temps perdu,

Informations perdues, Coût de la réparation.

(7)

Il faut bien récupérer la situation

Solution:

Nettoyage des virus ( x heures) ou réinstallation complète,

Mises à jour du système d’exploitation Windows, Mac OS ou Linux,

Renouveler la licence anti-virus, mises à jour quotidiennes,

Installer un firewall, Formation.

(8)

Hier cadre supérieur, aujourd’hui vous vous mettez à votre compte

Choisissez des systèmes simples et peu coûteux:

logiciels libres, outsourcing.

Prenez soin de vos informations:

Mettez à jour tous vos systèmes d’exploitation et vos logiciels,

Mettez à jour votre anti-virus, renouvelez l’abonnement,

Sauvegardez vos données tous les jours, Prenez conseil auprès d’un expert neutre.

(9)

Etude de cas - PME

Une étude d’avocats installe un réseau wifi

Contexte : priorité à la confidentialité des informations.

Souhait : installer un réseau wifi.

(10)

Comment veiller à la

confidentialité des informations ?

Priorité à la sécurité informatique sur le réseau câblé (LAN):

Un identifiant et un mot de passe secret pour chaque collaborateur.

Toutes les mesures de sécurité sont prises sur les ordinateurs, sur le serveur et sur le firewall.

Formation spécialisée de chaque collaborateur en particulier sur la confidentialité de la messagerie électronique.

(11)

Pourquoi sécuriser son réseau wifi ?

Pour éviter que le voisin utilise à saturation votre accès Internet sans le payer.

Afin d’empêcher un concurrent ou la partie adverse de fouiner dans vos dossiers

électroniques.

Pour échapper aux logiciels zombies, aux images pédophiles, etc... qui pourraient être déposés sur un espace caché de votre serveur.

(12)

Comment sécuriser un réseau wifi ?

Confiez l’installation à un spécialiste compétent.

Gardez le point d’accès invisible.

Réservez l’accès au réseau aux seules personnes ou machines autorisées.

Utilisez une méthode d’authentification sûre.

(13)

Et si votre point d’accès doit être à disposition de vos partenaires visiteurs ?

Les visiteurs sont autorisés à utiliser exclusivement l’accès Internet

sans aucun accès à vos informations.

(14)

Votre responsabilité de patron:

Evaluez vos propres risques.

Gérez, contrôlez et améliorez la sécurité de vos informations,

ISMS (information security management system, réf ISO 27001).

Choisir la stratégie informatique.

Prenez conseil auprès d’un expert neutre.

(15)

Etude de cas - Société de services Survivre à un incident grave

Vous fournissez des services haut de

gamme: outsourcing, ASP, services internet.

Vous consacrez beaucoup d’énergie à assurer la disponibilité de vos services.

Etes-vous prêt à affronter un sinistre ou un incident grave ?

(16)

Quelles sont vos solutions actuelles?

Tout à double: redondance, load balancing.

Est-ce adéquat en cas de sinistre dans la salle des machines ?

Avez-vous un plan de secours, un DRP ?

(17)

DRP, qu’est ce que c’est ?

DRP : disaster recovery plan en français: plan de secours

(18)

Pourquoi un plan de secours?

Pour protéger les activités fondamentales liées à la mission de l’organisation.

Pour neutraliser les interruptions de services.

Pour protéger les processus métier des sinistres et des défaillances des systèmes d’information.

Pour garantir la reprise des processus métiers dans des délais acceptés par les décideurs ou les clients.

Réf ISO 27001, chap 14. Gestion de la continuité des activités.

(19)

Plan de secours - 4 phases

1 Analyse stratégique.

2 Choix des solutions.

3 Réalisation.

4 Suivi - validation.

(20)

Plan de secours - 1 Analyse stratégique

Organisation et conduite de projet:

équipe, planification et formation.

Analyse des risques.

Inventaire des machines, réseau, applicatifs, etc... et des risques probables.

Analyse d’impact.

Perte de temps, perte d’image, perte de clients.

Détermination du DMIS, le délai maximal d’interruption de service accepté en cas de sinistre.

(21)

DMIS ?

Quelle est votre DMIS ?

Combien vous coûte 1 jour sans système d’information ?

Combien de jours pouvez-vous tenir ?

(22)

Plan de secours - 2 Choix des solutions

Analyse et choix des solutions en fonction des critères stratégiques de l’entreprise.

un serveur de réserve mutualisé ou dédié sur site.

un système complet ou un serveur dédié hors site avec les applications et les

données à jour en temps réel.

(23)

Plan de secours - 3 Réalisation

Mise en oeuvre opérationnelle.

Documentation complète.

(24)

Plan de secours - 4 Suivi & validation

Test d’alerte, de bascule programmés du site de production vers le site de secours.

Mise à jour du plan de secours en continu.

Audit du plan de secours.

(25)

Avantages du plan de secours d’une société de service

Avantage concurrentiel.

Vous le proposez aussi à vos clients.

Une garantie de survie de votre société.

(26)

Jusqu’où aller en sécurité des systèmes d’information ?

La sécurité informatique est un ensemble de pratiques et de solutions - les exemples d’aujourd’hui - qui contribuent ensemble à la confidentialité de vos informations, à leur disponibilité et à leur intégrité font partie de votre ISMS

(information security management system, réf ISO 27001).

(27)

Nouveaux projets de Sémafor

Veille en sécurité informatique

Une collection de bandes dessinées

(28)

Pour en savoir plus:

http://www.17799central.com/iso-27001.htm http://www.cert.org/

Sécurité informatique et réseaux, Solange Ghernaouti-Hélie, Dunod, 2006

Tableaux de bord de la sécurité réseau, Cédric Llorens, Laurent Levier, Eyrolles, 2003

(29)

Merci de votre attention

jacqueline.reigner@semafor-conseil.ch http://www.semafor-conseil.ch

Références

Télécharger maintenant ( PDF - 29 Page - 461.97 KB )

Documents relatifs

20182019 SÉCURITÉ ROUTIÈRE VIVRE, ENSEMBLE.

* Pour un taux d’alcool égal ou supérieur à 0,2 g/l pour les permis probatoires et pour un taux égal ou supérieur à 0,5 g/l pour les autres : – d’un retrait de six points sur

AUJOURD' HUI, ENSEMBLE POUR DEMAIN RÉPONDRE À VOS BESOINS EN MATIÈRE DE BIOPROCÉDÉS ET DE FABRICATION DE VACCINS

Appareils à rollers de paillasse WHEATON® - Mini flacon Le système pour mini flacons permet une utilisation avec des flacons de sérum et de milieu ainsi qu’avec des tubes de culture

ENSEMBLE, TISSONS DU LIEN AUJOURD HUI, POUR UN AVENIR SEREIN

UNEP MULTISELECTION PLUS (avec ou sans option Protection Majeur) est un contrat d’assurance vie de groupe proposé par Oradéa Vie Société Anonyme d’assurance sur la vie et

Information de sécurité - Sous-ensemble de défibrillateurs card

Le tableau ci-dessous présente plusieurs scénarii d'utilisation, la durée de service projetée associée (= période entre l’implantation et la date recommandée de

Information de sécurité - Informations / recommandations concer

En 2017, l’ANSM a été informée de plusieurs signalements concernant des cas d’interférence de la biotine à concentration très élevée sur certains immunodosages dont le

Information de sécurité - Informations / recommandations concer

En conclusion, l’ANSM demande aux fabricants de dispositifs de diagnostic in vitro incluant de la biotine d’évaluer son éventuelle interférence dans le cadre de la constitution de

Génétique et microbiote intestinal contribuent ensemble aux MICI

Les chercheurs ont déjà effectué une analyse de selles chez une centaine de patients atteints de MICI et ont constaté une diminution généralisée de la production de

Jusqu à aujourd hui, se préparer pour demain c était surtout

Jusqu’à aujourd’hui, se préparer pour demain c’était sur Une taxonomie des méthodes de recherche sur le futur.. Agent Modeling Casual Layered Analysis Chaos and Non-Linear