Download
1 / 33
360 likes | 503 Views
HRIE. Outil Commun de Diffusion de l’intelligence économique. Protection du patrimoine informationnel. Protection du patrimoine informationnel. 1- Etat des lieux 2- Pourquoi protéger son patrimoine informationnel 3- Retours d’expérience
E N D
HRIE Outil Commun de Diffusion de l’intelligence économique Protection du patrimoine informationnel
Protection du patrimoine informationnel • 1- Etat des lieux • 2- Pourquoi protéger son patrimoine informationnel • 3- Retours d’expérience • 4- Pour aller plus loin Sensibiliser les collaborateurs Réaliser des audits Sécuriser ses données Récupérer ses données
1-Etat des lieux 20% des entreprises déclarent avoir déjà subi un sinistre informatique grave entraînant la paralysie de l’activité et des pertes importantes de données. 80% des entreprises ayant perdu leurs données font faillite dans les 12 mois qui suivent.
Etat des lieux 19 jours et 17 000€ sont le temps et le coût nécessaires à une entreprise pour ressaisir 20 Mo de données perdues (HP) 85% des tentatives de restauration sur bandes échouent
Etat des lieux La masse de données stockées à travers le globe prend continuellement de l’ampleur, et ce , à un rythme exponentiel. L’humanité aurait produit entre 2000 et 2003 plus d’informations originales qu’elle n’en avait créées depuis le début de son histoire. Entre 1999 et 2002 l’humanité aurait produit, en données, l’équivalent de : - 600 millions d’ordinateurs, - 18 milliards de CD-ROM ou, - 8 400 milliards de disquettes. Empilées elles atteindraient 24 millions de km de hauteur, soit 66 fois la distance de la Terre à la Lune ! 92% de ces nouvelles informations sont stockées sur des supports magnétiques, principalement des disques durs. Aujourd’hui ce qui prolifère sur les disques durs sont des contenus fixes et non structurés qu’il faut pouvoir conserver, protéger, récupérer et distribuer où et quand on en a besoin. Source : Étude How much information, School of Information Management and Systems, Université de BERKELEY
Etat des lieux Les 12 clés de la sécurité selon l’AFNOR : d’après le Référentiel de bonnes pratiques de l’AFNOR - Août 2002 • 1. Admettre que toute entreprise possède des informations à protéger (plans de recherche, prototypes, plans marketing, stratégie commerciale, fichiers clients, contrats d’assurance,…) • 2. Faire appel à l’ensemble des capacités de l’entreprise (chercheurs, logisticiens, gestionnaires de personnel, informaticiens, juristes, financiers,…) pour réaliser l’inventaire des informations sensibles, des points faibles, des risques encourus et de leurs conséquences • 3. Exploiter l’information ouverte sur l’environnement dans lequel évolue l’entreprise, observer le comportement des concurrents, partenaires, prestataires de service, fournisseurs, pour identifier les menaces potentielles • 4. S’appuyer sur un réseau de fournisseurs de confiance pour ceux d’entre eux qui partagent ou accèdent à des informations sensibles • 5. Ne pas chercher à tout protéger : classifier les informations et les locaux en fonction des préjudices potentiels et des risques acceptables • 6. Mettre en place les moyens de protection adéquats correspondant au niveau de sensibilité des informations ainsi classifiées, s’assurer qu’ils sont adaptés et, si besoin, recourir à des compétences et expertises extérieures
Etat des lieux • 7. Désigner et former des personnes responsables de l’application des mesures de sécurité • 8. Impliquer le personnel et les partenaires en les sensibilisant à la valeur des informations, en leur apprenant à les protéger et en leur inculquant un réflexe d’alerte en cas d’incident • 9. Déployer un système d’enregistrement des dysfonctionnements (mêmes mineurs), et analyser tous les incidents • 10. Ne pas hésiter à porter plainte en cas d’agression • 11. Imaginer le pire et élaborer des plans de crise, des fiches « réflexe » afin d’avoir un début de réponse au cas où… • 12. Évaluer et gérer le dispositif, anticiper les évolutions (techniques, concurrentielles,…) et adapter la protection en conséquence en se conformant aux textes législatifs et réglementaires en vigueur.
Etat des lieux • La qualité et la pertinence des informations possédées ou recueillies par l’entreprise, lui permettent de ménager et renforcer son avantage concurrentiel sur son marché. Toute perte d’information affaiblit la position concurrentielle de l’entreprise. • 80 % des entreprises qui perdent leurs données informatiques font faillite
« EVOLUTION DES METIERS DE LA SECURITE » Résultats de la 4ème enquête du Cercle Européen de la Sécurité par Pierre Luc REFALO - Chargé de mission du Cercle Européen de la Sécurité Etat des lieux
2-Pourquoi protéger son patrimoine informationnel ? • Les données informatiques sont vitales à la survie des entreprises, la perte de celles-ci est très souvent synonyme de catastrophe financière.
Une dépendance faible: Une indisponibilité même de longue durée n’a pas de conséquence grave 2 % Une forte dépendance : Une indisponibilité de 24H a de graves conséquences sur l’activité 75 % Une dépendance modérée : Une indisponibilité jusqu’à 48H est tolérable 23 % Pourquoi protéger son patrimoine informationnel ? • Niveau de dépendance des entreprises vis à vis de l’informatique
Pourquoi protéger son patrimoine informationnel ? • Crash disque, virus, erreur humaine, matériel endommagé, catastrophe naturelle, les principales causes de perte des données sont imprévisibles et incontrôlables. • Néanmoins, trop d'entreprises pensent encore être à l'abri et ne jugent pas nécessaire de sécuriser leur système informatique.
Responsabilité civile et/ou pénale du dirigeant • Parallèlement, la réglementation se durcit et désormais la responsabilité civile et/ou pénale du dirigeant peut être engagée en cas de non mesure de protection de son système d'information. Les dispositions réglementaires et législatives rendent les entreprises responsables des agissements de leurs salariés dans le cadre des NTIC provoquant une obligation minimale de moyens mis en oeuvre. • « L’ouverture des entreprises au réseau Internet a fait apparaître de nouveaux risques juridiques, aggravés par un durcissement législatif en terme de responsabilité. » • Aujourd’hui la responsabilité « physique ou morale »d’un chef d’entreprise peut être engagée en cas de non « mesures techniques et d’organisation appropriées » pour protéger son système d’information contre des risques internes ou externes. • Le dirigeant doit prendre des « précautions utiles ». Il doit bâtir sa politique de sécurité sur des éléments organisationnels et fonctionnels.
Ce que nous dit la loi : • Le code pénal : • Article 323-2 • Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 75000€ d'amende. • Article 323-3 • Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 75000€ d'amende. • Le code de la propriété intellectuelle stipule : • Article L.335-3 : « Est (…) un délit de contrefaçon la violation de l’un des droits de l’auteur du logiciel (…) ». • Article L.122-4 : « Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur (…) est illicite. » • Article L.335-2 : « La contrefaçon en France (…) est punie de 3 ans d’emprisonnement et de 300 000€ d’amende. Comme le stipule l’article 131-38 du nouveau code pénal, ce montant peut être multiplié par 5 dans le cas d’une personne morale et donc atteindre 1.5M€.
Ce que nous dit la loi : • De nombreux ouvrages traitent ce sujet et mentionnent les textes de loi, à titre d’exemple : Droit de l’intelligence économique, Maître Thibault du Manoir de Juaye Guide juridique de l’Internet et du commerce électronique, Pierre Breese L’info guerre, stratégies de contre-intelligence économique pour les entreprises, Philippe Guichardaz, Pascal Lointier et Philippe Rosé Du renseignement à l’intelligence économique, Bernard Besson et Jean-Claude Possin Déstabilisation d’entreprises, Philippe laurier
Ce que nous dit la loi : • Livre blanc «Nouveaux enjeux, nouvelles responsabilités du chef d’entreprise en matière de sécurité informatique », rédigé par Maître Olivier Itéanu et préfacé par Renaud Dutreil
Différentes sources • Rapport de mission du Député Pierre Lasbordes sur la sécurité des SI • Etudes du CLUSIF, CIGREF, IHEDN, MEDEF, CGPME, INHES, DCSSI/SGDN….
3-Retour d’expérience - Cas 1 • Une société d’architectes a subi un sinistre important pour son parc informatique. • En effet, tous ses serveurs et postes de travail ont été dérobés. • Grâce à une solution de sauvegarde sécurisée et antivol de ses données, l’entreprise a pu redémarrer son activité rapidement • Dans le cas contraire, elle aurait vraisemblablement subi des dommages financiers et commerciaux importants pour reconstituer ses archives et vis-à-vis de ses clients • Sources : témoignage écrit de cette société
3-Retour d’expérience - Cas 2 • Le CEO de l’une première banque mondiale gère une partie de ses dossiers sur une clé USB protégée (données entièrement encryptées – AES256 matériel). • Cette clé navigue entre son PC de bureau sous Windows XP et son PC personnel, une station de travail à son domicile. • Au retour d’un long déplacement et sous la fatigue du décalage horaire, il rentre plusieurs fois, par erreur, une mauvaise passphrase (mot de passe/raccourci de la clé privé d’encryptage). La protection de sa clé USB verrouille celle-ci en ne proposant plus qu’une remise à zéro de la clé après un formatage de cette dernière.
3-Retour d’expérience - Cas 2 • La banque contacte une société de récupération de données pour tenter de récupérer les précieux fichiers concernant des dossiers sensibles d’actualités. • Les travaux de laboratoires permettent d’accéder à la zone de données et passer la protection d’accès à ces dernières, néanmoins elles restent encryptées et non exploitables. • La société de récupération de données propose alors d’investiguer l’un des PC sur lequel la clé était utilisée. En effet, le système d’exploitation Windows XP est très « bavard » en fichiers temporaires cachés liés à son activité et entres autres toutes les versions chronologiques des données enregistrées dans des fichiers Word, Excel… sa technologie et savoir-faire peut récupérer les fichiers recherchés par son client.
3-Retour d’expérience - Cas 2 • Une opération de copie du disque dur du PC du CEO est organisée avant une analyse dans le laboratoire de la société de récupération de données. De nombreux fichiers sont reconstitués, analysés et récupérés. Le client est satisfait, il va pouvoir utiliser de nouveau la plupart de ses dossiers. • Conclusions : la protection des données est efficace voir irréversible, le maillon faible restant le facteur humain. En effet, les données peuvent ne pas être perdues pour tout le monde, y compris sur l’ordinateur sur lequel elles sont générées qui sera un jour revendu au poids à un broker à la fin de la période de financement de ladite machine.
3-Retour d’expérience - Cas 3 • Au sein d’un grand groupe industriel européen, le CFO travaille, en toute discrétion, sur un projet de fusion avec son principal concurrent de premier plan sur le marché mondial. Il demande à l’équipe informatique d’intégrer dans la salle blanche informatique du siège un volume de données anonyme sur un nouveau disque dur « à part ». Le groupe fusionne, des réorganisations apparaissent et quelques mois plus tard un évènement arrive. Le CFO ne voit plus sur le réseau son volume de données anonymes et protégé au sein de la salle informatique. Renseignements pris auprès de la nouvelle équipe informatique, résultante de la réorganisation, personne n’est au courant de ce disque dur anonyme et de son volume de données sensibles et toujours d’actualité.
3-Retour d’expérience - Cas 3 • Au sein d’un grand groupe industriel européen, le CFO travaille, en toute discrétion, sur un projet de fusion avec son principal concurrent de premier plan sur le marché mondial. Il demande à l’équipe informatique d’intégrer dans la salle blanche informatique du siège un volume de données anonyme sur un nouveau disque dur « à part ». Le groupe fusionne, des réorganisations apparaissent et quelques mois plus tard un évènement arrive. Le CFO ne voit plus sur le réseau son volume de données anonymes et protégé au sein de la salle informatique. Renseignements pris auprès de la nouvelle équipe informatique, résultante de la réorganisation, personne n’est au courant de ce disque dur anonyme et de son volume de données sensibles et toujours d’actualité.
3-Retour d’expérience - Cas 3 • Les différentes recherches et investigations vont faire apparaître que ce disque dur était monté physiquement dans une baie de disques durs où se situait tout le système RAID5 des serveurs de l’entreprise. • Ce même stockage de données RAID5 tombé en panne la veille. L’équipe informatique ayant tenté de changer plusieurs disques sur la baie avant de lancer la reconstruction du système RAID5. Dans ces changements de disques durs, le fameux disque dur du CFO a été pris pour un disque de « spare » (de rechange) et donc débranché et ainsi devenu inaccessible à son utilisation.
3-Retour d’expérience - Cas 3 • Nous avons dû intervenir sur le système RAID5 pour récupérer les données, fort heureusement sa reconstruction logique n’avait pu aboutir. Nous avons également traité le disque dur du CFO qui avait subit des dégâts sur le plan logique. • Conclusions : le meilleur système informatique redondant ne peut rien contre les facteurs humains, conséquences de réorganisations non contrôlées, de consignes inexistantes, de (mauvaises) protections par ignorance.
4-Pour aller plus loin • Réaliser des audits de sécurité informationnelle • Comprendre et maîtriser les enjeux de la protection de l’information stratégique, identifier les risques, les menaces, les moyens de protection informationnelle et de riposte
Sensibiliser les collaborateurs • Comprendre la notion d’information stratégique • Identifier les menaces et les risques • Appréhender les processus et les moyens de protection de l’information stratégique et de riposte
Sensibiliser les collaborateurs • L’information stratégique, qu’est-ce c’est ? • Les moyens de diffusion de l’information • Le travail collaboratif et le partage de l’information (les pôles de compétitivité, la co-pétition, les moyens…) • Les risques informationnels (rumeurs, image...) • Le dispositif et la méthode d’intelligence économique chinois • Les risques managériaux (technologiques, clients, fournisseurs, partenaires, concurrents…) • La lutte contre le pillage de l’information stratégique (l’espionnage industriel et économique, les moyens, la concurrence déloyale, la contrefaçon…) • Les conséquences d’appropriation de l’information stratégique (la déstabilisation, la désorganisation…) • Mettre en place une politique de sécurité informationnelle (moyens, expertises, organisation..) • Les ripostes (sécurité informatique, protection des données, organisation, recherche de preuves informatiques et électroniques…) • Présentation de cas concrets et retours d’expérience
4-Pour aller plus loin DATABASE-BANK se positionne comme leader et répond aux attentes stratégiques des entreprises en terme de mise en place de règles automatisant la gestion des informations, leur sécurité ainsi que leur déplacement sur des supports de stockage garantissant à tout stade de vie le meilleur rapport coût/qualité de service. DATABASE-BANK offre : • Une solution d’appliance innovante, unique sur le marché mondial de la sauvegarde sécurisée interne et externe, remplaçant tout autre système de sauvegarde • Une offre globale qui intègre logiciels et matériels de sauvegarde / télé sauvegarde (WooXo Backup), sécurité des informations (Netwoco / Sophos) et gestion de parc informatique (Gestparc) • Une offre de services évolutive
4-Pour aller plus loin • www.recuperation-de-donnees.fr • www.crime-informatique.com • www.sauvegarde.fr
