[PDF] IBM_Présentation Gestion des risques informatiques 23102012

View - Download IBM_Présentation Gestion des risques informatiques 23102012

Previous PDF

Next PDF

© 2012 IBM Corporation

IBM Security Systems

EI Q EI Q sophie_tacchi@fr.ibm.comLes journées du Management

© 2012 IBM Corporation

IBM Security Systems

2

Les journées du Management

Agenda

Evolution technologique, innovation

Typologie des risques

Analyse de la nature des menaces

Qu'en dit le législateur ?

Nécessité d'une approche holistique de gestion des risques IT

Les principaux domaines du SI àsécuriser

Besoins en formation

Conclusions

© 2012 IBM Corporation

IBM Security Systems

3

Les journées du Management

Bienvenue dans une planète plus intelligente...

Globalisation et virtualisation des

ressources, consommation de l'informatique dans le cloud

Accès à l'information

En temps réelMilliards d'équipements et

d'individus accèdent au web + de possibilités + de complexité

Nouveaux risques

Nouvelles formes d'échange et de

collaboration - réseau sociaux

© 2012 IBM Corporation

IBM Security Systems

4

Les journées du Management

Menaces internes

Par inadvertance

Intentionnelles

Pannes d'électricité

MalwareDéni de serviceAttaques sophistiquées et organisées

Désastres naturelsBouleversements politiques ou économiquesSystèmes non patchésVulnérabilité du codePas contrôle des changementsErreur humaine

"Back doors" créées par des développeursVol de donnéesFraudeurs internes Les menaces augmentent.. Impactant les niveaux de services, les coûts et l'activité. Il existe une multitude de scénarios de menaces ...

Menaces Externes

© 2012 IBM Corporation

IBM Security Systems

5

Les journées du Management

Evolution des menaces

: Les récentes attaques amènent à se poser des questions sur l'efficacité des mécanismes de sécurité traditionnels

© 2012 IBM Corporation

IBM Security Systems

6

Les journées du Management

Exemples d'attaques ciblées visant des entreprises et des gouvernements

© 2012 IBM Corporation

IBM Security Systems

7

Les journées du Management

0100002000030000400005000060000

1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

Total Cumulative Vulnerabilities

1996-2011

Vulnérabilités cumulées -

XForce 2012

© 2012 IBM Corporation

IBM Security Systems

8

Les journées du Management

Les vulnérabilités sont peu " patchées » mais la tendance s'améliore.

© 2012 IBM Corporation

IBM Security Systems

10

Les journées du Management

BlackHat SEO and Rogue Antivirus Exploits Trick End Users

Attackers use search engine optimization

techniques to get their malicious websites listed at the top of search engine results•

Attackers monitor top trending topics on

major search engines and social networking sites.

Continuing in 2011, Rogue AV software

uses Blackhat SEO techniques to distribute itself.

© 2012 IBM Corporation

IBM Security Systems

11

Les journées du Management

Tendances en terme de malware• Zeus anime une e-économie souterraine et vend : -Des versions privées de l"outil avec des plugins additionnels -Des services de configuration Zeus -Des services hébergés et gérés -Des add-on Zeus avec packages additionnels

© 2012 IBM Corporation

IBM Security Systems

13

Les journées du Management

En parallèle arriva SpyEye...•Un concurrent de Zeus - SpyEye a été conçu pour être plus "grand public"

-Ses robots avaient la capacité d'effacer Zeus -Il introduit de nouvelles fonctionnalités comme - Keylogger, et " sniffer » de réseaux

© 2012 IBM Corporation

IBM Security Systems

14

Les journées du Management

2010 - Zeus et SpyEye ont fusionné

© 2012 IBM Corporation

IBM Security Systems

15

Les journées du Management

Trojan Creator Kits

Constructor/Turkojan

V.4 New features

Accéder à un poste en "Remote Desktop"

Activer la webcam et enregistrer à l'insuede l'utilisateur

Audio Streaming

Récupérer tous les mots de passe

MSN Sniffer

Online & Offline keylogger

Etc..

© 2012 IBM Corporation

IBM Security Systems

16

Les journées du Management

Un commerce en pleine expansion...

© 2012 IBM Corporation

IBM Security Systems

17

Les journées du Management

Que dit le législateur?

Soucieux de la protection de la vie privée des citoyens et des actifs immatériels de l'entreprise (dont le Capital intellectuel ), le législateur étoffe les contraintes légales avec le temps. -France : CNIL loi n78-17 du 6/1/1978 - modifiée en 2004 -Cadre réglementaire Européen - Directive de protection des données 95/46/EC, - Directive ePrivacy 2002/58/EC - Directive " Privacy by Design » applicable au 1 erJanvier 2015

Cible: organisations de plus de 250 personnes

Pour tous les nouveaux développementsintégrant des données privées et des données de l'entrepris Amende: 2 % du chiffre d'affaires mondial de l'entreprise -Décret de confidentialité pour les données médicales/ hébergeur de données de santé -Les données personnelles appartiennent à leurs titulaires, tout accès non autorisé doit leur être notifié par courrier " papier » !

© 2012 IBM Corporation

IBM Security Systems

18

Les journées du Management

Pour innover et opérer en toute confiance, les organisations doivent gérer leurs risques Informatiques de bout en bout.

Définir sa politique de sécurité

Gérer ses risques

Gouvernance R

isque et C onformité

Sécuriser

les identités •Fournir les ressources informatiques nécessaires

à l'instant t

à un utilisateur

donné •Gérer les accès

Protéger les

Données

Protéger

les données • Structurées en

Bases de

Données

et • non structurées dans des fichiers xls, pdf, ...

Protéger les

Applications

• Concevoir des applications sécurisées dès la conception • Corriger les vulnérabilités des applications en production • Sécuriser les web services

Protéger les

Infrastructures

•Réseaux •Ordinateurs •Centraux •Serveurs •Les postes de travail fixes/mobiles •Tablettes •Smartphones

Surveillance intelligente et conformité

© 2012 IBM Corporation

IBM Security Systems

19

Les journées du Management

Exemple : ce n'est pas parce que l'on dispose d'une carte à puce que l'intégralité de la chaine du paiement par carte est sécurisée

Banque du

commerçant

TélecollecteurBoutique

e commerce

Données sensible : #CB,

Date de validité, CVV

Il existe plusieurs chemins

pour accéder aux données cartes, le dupliquer pour les revendre ou pour acheter frauduleusement sur internet.

VISA, MC, AMEX, JCB ont

défini le standard PCI DSS auquel toutes banques ou e- marchands " doivent » se conformer.

© 2012 IBM Corporation

IBM Security Systems

20

Les journées du Management

Gouvernance Gouvernance

--Risques Risques conformitconformit RRéépondre aux questions urgentespondre aux questions urgentes

Quels sont les risques ?

Quels contrôles mettre en place ?

Comment démontrer la conformité ?

Comment surveiller de manière

proactive mon système ?

© 2012 IBM Corporation

IBM Security Systems

21

Les journées du Management

Gestion des accGestion des acc

èès et des s et des

identitidentit

éés des personnes s des personnes

(et des objets)(et des objets) RRéépondre aux questions urgentespondre aux questions urgentes

EstEst

--ce que le registre des identitce que le registre des identit

éés est prs est pr

éécis et cis et

jour ? jour ?

Quelle gestion des identités dans un cloud?

Comment re-certifier les habilitations ?

Comment contrôler les utilisateurs privilégies?quotesdbs_dbs26.pdfusesText_32

[PDF] bibliographie de max weber

[PDF] max weber pdf

[PDF] max weber économie et société tome 2 pdf

[PDF] max weber le savant et le politique pdf

[PDF] max weber économie et société fiche de lecture

[PDF] max weber économie et société tome 1 résumé

[PDF] max weber économie et société pdf

[PDF] la sociologie compréhensive de max weber pdf

[PDF] max weber action sociale

[PDF] max weber bureaucratie pdf

[PDF] oeuvres de max weber

[PDF] max weber action sociale pdf

[PDF] questionnaire dentrevue dembauche

[PDF] question entrevue gestionnaire

[PDF] mise en situation entrevue ressources humaines