clusir drôme ardèche - sécuriser l'information dans les pme - bonnes pratiques
DESCRIPTION
Présentation réalisée lors du Club de Sécurité Informatique Drôme Ardèche (Clusir 26/07) du 25 avril 2013 au Pôle NumériqueTRANSCRIPT
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
SECURITE DE L’INFORMATION ET TPE / PME
Une approche pragmatique et opérationnelle
24 avril 2013 Sécurité de l’information TPE / PME
Une approche théorique complexe compliquée
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Long, lourd, onéreux, inadapté
Donc peu appliquée 24 avril 2013 Sécurité de l’information TPE / PME
Une connaissance empirique à exploiter et à valoriser
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Emergence de pratiques• Expérience humaine• Forgée par les contraintes opérationnelles• Éprouvée par le temps et les évènements
• Révélatrice d’une réalité opérationnelle
• Principes fondateurs d’une sécurité robuste et efficace
24 avril 2013 Sécurité de l’information TPE / PME
Inverser l’approche
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• S’appuyer sur l’existant pour construire la politique
• Le mieux accepté• Issu de l’expérience opérationnel
• Le moindre effort
24 avril 2013 Sécurité de l’information TPE / PME
Structure de « l’étude »
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Axes d’observation– Architecture– Usages
• Typologie– Minimaliste– classique
24 avril 2013 Sécurité de l’information TPE / PME
Architecture
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Box– Accès internet et messagerie– Plutôt portable– Tout embarqué
• Routeur– Serveur– Accès distant
24 avril 2013 Sécurité de l’information TPE / PME
Usages
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• « Pack office »– Internet, messagerie, bureautique,
• « pack metier »– Logiciel métier– Communications spécifiques (pilotage de
machine, transferts de fichiers, plans, …)
24 avril 2013 Sécurité de l’information TPE / PME
Situations
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
OFFICE METIER
BOX
ROUTEUR
24 avril 2013 Sécurité de l’information TPE / PME
• Extrême variabilitéELLES REMPLISSENT LEUR OFFICE
Interventions non traumatisantes
Présents
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Sauvegardes• Contrôle d’accès• Antivirus
MECONNAISSANCE
24 avril 2013 Sécurité de l’information TPE / PME
Les grands absents
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• La charte informatique• La fiche de suivi matériel• Procédures d’accueil et de départ• Test de restauration des sauvegardes• Check list préventive
INCONSCIENCE
24 avril 2013 Sécurité de l’information TPE / PME
Les erreurs
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• DAF = DSI (voire rssi)• La charte– Recopiée– Prestataire info
• Mauvaise évaluation du PRA (ou absence)
• pas de mots de passe, mots de passes partagés, sauvegarde aléatoire,
24 avril 2013 Sécurité de l’information TPE / PME
La charte informatique
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Contrat• Encadre et fixe les limites• Outils de sensibilisation• Protège l’employeur• Sécurise en organisant• Évolutif
• Un document spécifique et non transférable
• Définir les sanctions• Informer sur les moyens de contrôle• Ne pas s’opposer au droit
• Ne peut se faire sans une analyse des usages et des risques
24 avril 2013 Sécurité de l’information TPE / PME
D’une sécurité efficace à une sécurité efficiente
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Questions initiales• Un peu d’organisation• Les indicateurs• Les choix techniques• Quelques outils complémentaires
24 avril 2013 Sécurité de l’information TPE / PME
Les questions initiales
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Qu’est ce qui est important pour moi (criticité des données ou des services)
• Qu’est ce qui ne doit pas être divulgué• Qu’est ce qui ne doit pas être perdu• Est-ce que je peux remonter mes données– En combien de temps– Est-ce que j’en suis sur
• Quels sont mes vrais besoins de disponibilité• Qui a le droit d’accéder à quoi (en interne, en externe)
24 avril 2013 Sécurité de l’information TPE / PME
Organisation
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
• Cloisonner les visiteurs• Classer les informations• Un peu de documentation pratique– Schémas; plan de sauvegarde; mots de passe;
règles d’usage• Classifier les informations• Contrôler les points d’entrée
24 avril 2013 Sécurité de l’information TPE / PME
Indicateurs
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Subjectifs• Compréhension de la SSI• Rapports de disfonctionnement• Indice de satisfaction• Facilité sélective d’accès aux ressourcesObjectifs• Application des procédures de sauvegarde• Apparition d’extension d’arborescence• Affichage de mots de passe• Révision des règlements• Rapports antivirus et logs
24 avril 2013 Sécurité de l’information TPE / PME
Clés pour les meilleurs choix techniques
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Simplicité d’emploiSolutions éprouvées et connuesAcceptabilité des contraintesCompréhension du produitParamétrabilitéContrôle sur l’administration distante
24 avril 2013 Sécurité de l’information TPE / PME
Solutions complémentaires
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
CryptographieContrôle des portsMachine de décontamination
Formation / Sensibilisation (« une bonne journée de formation contribue fortement à la fiabilité du système »)
Sécurité de l’information TPE / PME 24 avril 2013
Bonnes pratiques élémentaires
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
Discrétion pendant le travail extérieurContrôler les médias entrantsLocal informatique fermé, rangé et dédiéAnalyse des logs
Sécurité de l’information TPE / PME 24 avril 2013
24 avril 2013
Bonnes pratiques supplémentaires
Antenne Drôme-Ardèche du CLUSIR Rhône -Alpes
CryptographieAnalyse des logs
Sécurité de l’information TPE / PME