forum iriaf 2012 - les risques émergents "cloud et mobilité"
DESCRIPTION
Présentation du 22 mars 2012 lors du Forum Cybercriminalité organisé par l'IRIAF à NiortTRANSCRIPT
Cybercriminalité, personne n'est à l'abri ! Jeudi 22 Mars 2012 -‐ Niort
Les risques émergents : Cloud et mobilité
Nicolas Caproni
CEIS
Consultant en cybersécurité
Cybercriminalité, personne n’est à l’abri !
Plan de l’intervention
@ Présentation de CEIS @ Retour sur l’Intelligence Economique @ Cloud et sécurité de l’information @ La mobilité « non maîtrisée » @ Conclusion
20/04/13
2
Cybercriminalité, personne n’est à l’abri !
Présentation de CEIS
@ CEIS est une société de conseil en stratégie et en management des risques, créée en 1997 par Olivier Darrason.
@ CEIS est composé de 4 pôles d’activité : ü Management des Risques
ü Etudes et Solutions Stratégiques
ü Innovation 128
ü Affaires Publiques et Communication 20/04/13
3
Cybercriminalité, personne n’est à l’abri !
Présentation de CEIS
@ Une équipe cybersécurité ü 6 consultants avec des profils différents
(technique, généraliste, géostratégique, juriste)
@ Une offre cybersécurité ü Conseil en sécurité des systèmes d’information
ü Market Intelligence
ü Veille cybercriminalité et Black Market
ü Etude stratégiques sur les enjeux du cyberespace
20/04/13
4
Cybercriminalité, personne n’est à l’abri !
L’intelligence économique
@ Définition (imparfaite) @ Quelques idées reçues… @ Respect d’un cadre légal et éthique
20/04/13
5
Collecte, analyse et exploitation de l’information utile
Influence, valorisation et défense de ses intérêts
Protection du patrimoine (savoir- faire, brevets...)
Cybercriminalité, personne n’est à l’abri !
L’intelligence économique
@ Ce que n’est pas l’IE ü Espionnage industriel, un métier…
ü Exemples : les affaires EDF/Greenpeace, Areva…
@ Une démarche de bon sens
@ Une démarche d’entreprise
@ Un des enjeux : la protection des informations stratégiques
20/04/13
6
Cybercriminalité, personne n’est à l’abri !
L’intelligence économique
@ Le Cloud et la mobilité dans tout ça ?
@ Un nouveau vecteur d’attaques contre le patrimoine informationnel des entreprises
@ De nouveaux usages entrainant de nouveaux risques techniques, organisationnels, humains et juridiques
20/04/13
7
Cybercriminalité, personne n’est à l’abri !
Le Cloud Computing @ Définitions : les différents types de Cloud
ü IaaS, PaaS, SaaS… Public, Privé
@ De nombreux acteurs, des opportunités
20/04/13
8
Cybercriminalité, personne n’est à l’abri !
Risques & Cloud
@ Confidentialité des données ? @ Où se trouvent mes données ? @ Les pannes, un risque à ne pas négliger.
ü Exemple : Microsoft, Amazon.
@ Exemples
20/04/13
9
Cybercriminalité, personne n’est à l’abri !
Cloud & souveraineté
@ Le Cloud : enjeu national / européen
@ Des initiatives françaises et européennes
@ Les risques liés au Patriot Act
@ Données personnelles, Cloud et CNIL
20/04/13
10
Cybercriminalité, personne n’est à l’abri !
Quelles solutions ?
@ Evaluer les risques !
@ Classifier les données
@ Bétonner les contrats avec les prestataires
@ Chiffrer et gérer les identités
20/04/13
11
Cybercriminalité, personne n’est à l’abri !
La mobilité
@ Explosion du nombre de smartphones et des tablettes ü 425 millions de smartphones vendus en 2011
ü 100 millions de tablettes en 2012 selon Gartner
@ La mobilité c’est également les traditionnels ordinateurs portables
@ Incontournable aujourd’hui en entreprise 20/04/13
12
Cybercriminalité, personne n’est à l’abri !
La mobilité (2)
@ Hétérogéité des plateformes : iOS, Android, BlackBerry OS, Windows Phone, Symbian, Bada…
@ Facteur de productivité (apprécié des entreprises…)
@ Boom des applications
20/04/13
13
Cybercriminalité, personne n’est à l’abri !
Risques & Mobilité
@ De nouveaux risques ?
@ Vols / pertes => fuite de données ü 1,3 millions de téléphones volés chaque année
@ Cloud ?
@ Rapport de l’ENISA
@ Malwares / applications malveillantes 20/04/13
14
Cybercriminalité, personne n’est à l’abri !
Malwares mobiles
@ Les cybercriminels s’adaptent aux plateformes mobiles
@ Android comme cible principale (appel surtaxé, chevaux de Troie…)
@ Malwares bancaires : Zeus / SpyEye ont leurs versions mobiles
20/04/13
15
Cybercriminalité, personne n’est à l’abri !
Risques & Mobilité
@ Les risques liés à la mobilité pas encore assez pris en compte
@ Pas assez maîtrisés ? Manque de
maturité
@ Imposés par les utilisateurs / VIP
@ BYOD : terminaux personnels dans le monde personnel (2/3 en France)
20/04/13
16
Cybercriminalité, personne n’est à l’abri !
Quelles solutions ?
@ Interdire… impossible
@ Cloisonner les usages perso / perso
@ Sensibiliser les utilisateurs / DSI / VIP
20/04/13
17
Cybercriminalité, personne n’est à l’abri !
Quelles solutions ?
@ Le Mobile Device Management ü Gérer des flottes hétérogènes ü Appliquer la politique de sécurité aux terminaux mobiles
@ Implémenter des règles de sécurité : ü Blocage et suppression des données à distance ü Verrouillage des terminaux par mot de passe (autres que 1234) ü Chiffrer les données
20/04/13
18
Cybercriminalité, personne n’est à l’abri !
Conclusion
@ L’IE dans tout ça ?
@ Une démarche d’entreprise pour sécuriser les informations en situation d’externalisation / mobilité
@ Prendre en compte les nouveaux risques liés aux nouveaux usages
20/04/13
19
Cybercriminalité, personne n’est à l’abri !
Conclusion
@ Classifier les informations !
@ Analyser les risques de l’externalisation / mobilité
@ Les intégrer à la PSSI
20/04/13
20
Cybercriminalité, personne n’est à l’abri !
Conclusion
@ Le Cloud et la mobilité ne sont pas le mal
@ Interdire ne servira à rien
@ Ces nouveaux usages apportent des opportunités à l’entreprise
@ Il est indispensable que la sécurité en prenne compte et s’adapte
20/04/13
21