ACG DASSO Sensibilisation v0.1
ACG DASSO Sensibilisation v0.1
ACG DASSO Sensibilisation v0.1
à la sécurité
des SI
Introduction
Les menaces sont nombreuses, mais les cybermenaces connaissent la plus forte
évolution en termes de fréquence et d’impact
Vol de matériel
Divulgation d’informations sur Internet
blogs, site perso, réseaux sociaux, …
Usurpation d’identité
mot de passe, réseaux sociaux, …
A l’hôtel
Au bureau vol, copie de disques, connexion WI-FI non sûre,
Impressions confidentielles, discussion à la salles de formation, …
machine à café, …
Enjeux et Menaces
Cyber-braquage (2016)
«En février 2016, des pirates étaient parvenus à s’infiltrer
Etape 1 dans les systèmes informatiques de la banque centrale du
Bangladesh et avaient passé, par le biais de matériels
Intrusion dans le SI de la banque installés par Swift et permettant de se connecter au réseau
interbancaire, des ordres de virements pour plus de 950
millions de dollars (835 millions d’euros). Une grande partie
de ces fonds avaient été bloqués à temps mais 81 millions de
dollars (71 millions d’euros) ont été transférés sur les comptes
Etape 2 de casinos philippins, avant de s’évanouir dans la nature.»
Vol d’identifiants d’opérateurs SWIFT permettant la
création, l’approbation et l’exécution de transactions
bancaires.
Etape 3
3 autres attaques déjouées contre Swif
Lancement des 35 ordres frauduleux https://www.lemondeinformatique.fr
Business:
– La Direction Générale attend un traitement approprié de ses données
– Protection de l’image de marque
– Protection des actifs informationnels
Technologies:
– Explosion des services dématérialisés et des volumes d’information
– Augmentation des menaces et des vulnérabilités
– Augmentation des attaques informatiques contre les compagnies
Importance de la sécurité (2/2)
– Assurer la sécurité des données, des actifs et des personnes compte tenu de
la sensibilité des activités menées.
Intrusions
Hacking
Image de l’entreprise
Pertes financières
Violation contrat
Conséquences pénales
Perte d’emploi
Réputation et carrière
Collaborateur
Stratégie de
réponse
Stratégie de réponse
Processus
Personnes
procédures
Technologies
… Au centre desquels se
trouve le facteur humain
Bonnes pratiques & Comportements à risques
PERSONNEL
Gouvernance
Sécurité Physique
Internet
Réseau interne
Systèmes et terminaux
Applications
Données
Je suis responsable des visiteurs que je reçois et ne les laisse jamais seuls durant
leur visite dans les locaux
Sécurité du matériel
Je protège mon matériel informatique et les supports d’information (clé
USB, CD, DVD, etc.) contre le vol et la perte
Sécurité du matériel
Quelques chiffres sur le vol d’ordinateurs en France …
23
Bonnes pratiques & Comportements à risques
Nul n’est censé ignorer la loi • Je protège les droits d’auteur et la propriété intellectuelle
Les exigences légales,
réglementaires et
• Je prête attention aux traitements de données à caractère
contractuelles sont multiples
personnel au sein de mon entité
et complexes • Je veille au respect des exigences contractuelles par mes
prestataires
• En cas de doute, je sollicite l’avis de l’entité juridique ou du
RSSI
• Je sensibilise mes collaborateurs à l’enjeux de la conformité,
et au processus disciplinaire applicable en cas de non respect
des politiques et chartes ou des lois en vigueur
24
Bonnes pratiques & Comportements à risques
25
Bonnes pratiques & Comportements à risques
Attention lorsque vous traitez l’information au Certaines personnes se font passer pour des
téléphone ou dans les lieux publics (restaurants, employés, des relations de travail, des
ascenseurs, gares, aéroports, transports en commun… administrateurs IT, afin d’obtenir des
Vos conversation peuvent être écoutées, vos informations sensibles.
documents lus, … On parle dans ce cas « d’ingénierie sociale »
Configuration sécurisé
Protection antivirale
Mots de passe
Je choisis des mots de passe robustes et mémorisables et je les
communique JAMAIS à personne
Messagerie électronique
Messagerie électronique
33
Bonnes pratiques & Comportements à risques
Développement sécurisé
Être vigilant aux mises à jour effectuées sur les systèmes et aux vulnérabilités
auxquelles ils pourraient être exposés
Politique générale Gestion des ID et contrôle Antivirus Postes de travail & Sauvegarde et restauration
d’accès terminaux mobiles
Attachez votre
ordinateur portable
avec un câble antivol Récupérez vos
documents sensibles
Fermez vos tiroirs et après l’impression
armoires à clé