formations/securite_entreprise/presentation/securite_informatique_intro.md

7.4 KiB
Raw Blame History

La sécurité informatique en entreprise

Tour d'horizon

William Petit - S.C.O.P. Cadoles - 2017


Qu'est ce que la sécurité ?

Menaces, vulnérabilités, contre-mesures et risque


Menace

Cause potentielle d'un incident, pouvant causer des dommages à un système ou une organisation.

-- Définition (traduite) de "menace" dans le standard ISO/IEC 27000

Source: ISO/IEC 27000 - Wikipédia


Vulnérabilité

Faiblesse d'un "bien" ou d'un "contrôle" pouvant être exploité par une ou plusieurs "menaces".

-- Définition (traduite) de "vulnérabilité" dans le standard ISO/IEC 27000

Source: ISO/IEC 27000 - Wikipédia


Contre-mesure

Disposition prise pour s'opposer à une action, à un effet, à un événement, ou pour les prévenir.

-- Définition de "contre-mesure"

Source: Wiktionnaire


Risque

Possibilité dun événement négatif, péril possible, hasard dangereux.

-- Définition de "risque"

Source: Wiktionnaire

Formule empirique

Risque= \frac {\mathit{Vuln	\acute{e}rabilit\acute{e}} \times \mathit{Menace}} {\mathit{ContreMesure}}

Responsabilité légale

Responsabilité et peines pour l'attaquant

Responsabilité et peines pour l'entreprise


Responsabilité et peines pour l'attaquant

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. [...] Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende.

-- Extrait de l'article 323-1 du Code Pénal

Source: Légifrance


Responsabilité et peines pour l'entreprise

Qu'est ce qu'une "donnée personnelle" ?

Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale

-- Extrait de l'article 4 du RGPD

Source: CNIL


Responsabilité et peines pour l'entreprise

Réponsabilité au niveau national

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

-- Article 34 de la loi n° 78-17 du 6 janvier 1978

Source: Légifrance


Réponsabilité au niveau européen

[..] le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour **protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

-- Extrait de l'article 17 de la directive européenne 95/46/CE du 24 octobre 1995

Source: EURLex


Peines au niveau national

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

-- Article 226-17 du Code Pénal

Source: Légifrance


Objectifs de la sécurité informatique

Maintenir l'intégrité des données

S'assurer du niveaux d'authentification et d'autorisation

Maintenir la disponibilité des services

Assurer la traçabilité des échanges

Éviter la fuite d'informations


Maintenir l'intégrité des données


S'assurer du niveaux d'authentification et d'autorisation


Maintenir la disponibilité des services


Assurer la traçabilité des échanges


Éviter la fuite d'informations


Une politique de sécurité, plusieurs niveaux d'application

Identifier les différents contextes et leurs spécificités

La nécessité de la démarche globale et l'intégration du facteur humain

Un processus continue avec une réévaluation constante


Identifier les différents contextes et leurs spécificités

Le lieu de travail

Le poste de travail

L'intranet

L'extranet

L'utilisateur


Le lieu de travail


Le poste de travail


L'intranet


L'extranet


L'utilisateur


La nécessité de la démarche globale et l'intégration du facteur humain

Les chartes d'utilisation

La formation continue des salariés

L'identification des référents sur la sécurité


Un processus continue avec une réévaluation constante


La démarche d'audit

Travaux pré-intervention

Intervention

Analyse des données

Debriefing


Travaux pré-intervention


Intervention


Analyse des données


Debriefing


Travaux pratiques


Licence

CC BY-NC-SA 3.0 FR

Creative Commons - Attribution - Pas dUtilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France