la place de la ssi dans une démarche d'intelligence economique
DESCRIPTION
Présentation réalisée dans le cadre d'une table ronde du Forum des Télécommunications 2012TRANSCRIPT
CEIS!Management des Risques
La place de la Sécurité des Systèmes d'Information dans une démarche d'Intelligence Économique
Nicolas Caproni, consultant SSI
FORUM DES TÉLÉCOMMUNICATIONS 2012
| 2
Quelques mots sur CEIS A
C’est quoi l’intelligence éonomique ? B
Quel lien avec la SSI ? C
Exemples D
Programme CEIS
Pôle Management des Risques
Un enjeu majeur pour la sécurité économique E
CEI
S –
Pôle
Man
agem
ent d
es R
isqu
es
Conclusion F
CEIS Pôle Management des Risques
CEI
S –
Pôle
Man
agem
ent d
es R
isqu
es
Quelques mots sur CEIS
| 3
A
Activités La vocation de la CEIS est d’assister ses clients publics et privés dans la gestion des risques opérationnels et stratégiques grâce, notamment, à la mise en œuvre d’une démarche de sécurité économique et d’intelligence économique globale. Cette démarche d’intelligence économique se traduit par des missions :
è de veille è d’analyse des risques è d’accompagnement stratégique è de prévention è de lobbying et de communication è de gestion de crise
Offre en cyber-sécurité / lutte contre la cybercriminalité
è Veille cyber-menaces (cybercriminalité et cyber-défense) è Formation / sensibilisation è Analyse de risques SSI
è Market Intelligence (marché de la cyber-sécurité) è Audit technique et organisationnel
CEIS est une société de conseil en stratégie et en management des risques, créée en 1997 par Olivier Darrason. L’équipe CEIS compte aujourd’hui 80 consultants salariés : • une compétence mét ier (ve i l le , communication, analyse financière, cyber-sécurité…) • une spécialisation sectorielle dans les métiers des clients : défense, agro-alimentaire, biotechnologies, transport… Un réseau international La société s’appuie sur un réseau internat ional de correspondants et d’experts. Elle dispose par ailleurs de plusieurs bureaux et filiales à l’étranger (Bruxelles, Pékin, Kiev, Moscou, Astana, Abu Dhabi).
Table Ronde “Sécurité du Sytème d’Information, Intelligence
Economique et Cybercrimes”
CEI
S –
Pôle
Man
agem
ent d
es R
isqu
es
C’est quoi l’intelligence économique ?
| 4
B
Petite définition ➔ Beaucoup de définitions « L’intelligence économique est l’ensemble des activités coordonnées de collecte, de traitement et de diffusion de l’information utile aux acteurs économiques en vue de son exploitation. » ➔ Une définition imparfaite…
➔ Ambiguïté du terme « intelligence »
➔ Respect du cadre légal et éthique Collecte, analyse et exploitation de
l’information utile Aide à la décision, aide à la définition de la stratégie, maîtrise des risques. Protection de l’information Assurer la protection du patrimoine matériel (biens, données, produits...) et immatériel (savoir-faire, brevets, réseaux de d is t r ibu t ion . . . ) de l’entreprise. Influence Valoriser et défendre ses intérêts.
Collecte, analyse et exploitation de l’information utile
Influence, valorisation et défense de ses intérêts
Protection du patrimoine (savoir- faire, brevets...)
Idées reçues… L’IE n’est pas un métier L’IE n’est pas un marché L’IE n’est pas de l’espionnage économique
Table Ronde “Sécurité du Sytème d’Information, Intelligence
Economique et Cybercrimes”
CEI
S –
Pôle
Man
agem
ent d
es R
isqu
es
Quel lien avec la SSI ?
| 5
C
La Sécurité des Systèmes d’Information « C’est l’ensemble des méthodes et des techniques utilisées pour protéger et prévenir des menaces visant le SI de l’entreprise. L’objectif est d’assurer la disponibilite, l’intégrite et la confidentialité des SI. » ➔ Une démarche pas forcément technique
➔ Le pilier défensif d’une démarche d’intelligence économique
➔ Veille et protection de l’information Les systèmes d’information sont devenus plus qu’une fonction « support » Indispensables au fonctionnement des entreprises et des Etats Les informations stratégiques et le patrimoine immatériel de l’entreprise sont stockés sur le SI de l’entreprise
Des menaces variées et qui évoluent quotidiennement ➔ Défaillance technique (panne, évènements climatiques…) ➔ Fuites d’informations stratégiques ou à caractère personnel ➔ Cybersquatting ➔ Défiguration de sites Internet ➔ Déni de service distribué ➔ Social Engineering ➔ Malwares
Un risque majeur Un vecteur de déstabilisation Un vecteur d’espionnage Un vecteur de sabotages
Provenance des menaces ? ➔ Interne / Externe ?
➔ Hackers ?
➔ Etats ?
➔ Hacktivistes (Anonymous… ?)
Table Ronde “Sécurité du Sytème d’Information, Intelligence
Economique et Cybercrimes”
CEI
S –
Pôle
Man
agem
ent d
es R
isqu
es
Exemples
| 6
D
Table Ronde “Sécurité du Sytème d’Information, Intelligence
Economique et Cybercrimes”
CEI
S –
Pôle
Man
agem
ent d
es R
isqu
es
Un enjeu majeur pour la sécurité économique
| 7
E
La SSI doit être une priorité pour défendre l’entreprise ➔ Protéger les informations sensibles de l’entreprise et de l’Etat
➔ Adopter des bonnes pratiques de sécurité
➔ Sécurité économique (déplacement professionnel, stagiaire, transports…)
➔ Sécurité informatique (mots de passe, patch management, chiffrement…) Faire prendre conscience aux dirigeants, aux salariés et à tous les utilisateurs des risques liés à la sécurité des systèmes d’information La sécurité est l’affaire de TOUS. En entreprise comme en tant que citoyen. Une responsabilité régalienne ? Quel rôle pour l’Etat ?
➔ ANSSI
➔ Cyber Défense
Une démarche SSI Anticiper : veille vulnérabilités, veille cyber-menaces P r é v e n i r : s e n s i b i l i s e r , communiquer… Détecter : les intrusions, les attaques, les tentatives de déstabilisation via Internet… Protéger : les antimalwares, le chiffrement, le filtrage… Réagir : contrer les menaces, plans de réaction, équipe CSIRT…
Classifier l’information
Contrôle d’accès
Surveiller et protéger les
données Sensibiliser
Contrôler et auditer
Table Ronde “Sécurité du Sytème d’Information, Intelligence
Economique et Cybercrimes”
CEI
S –
Pôle
Man
agem
ent d
es R
isqu
es
Conclusion
| 8
F
➜ L’intelligence économique n’est ni un métier ni un concept
➜ L’IE est une démarche collective et collaborative d’entreprise : défensive et offensive
➜ La SSI est indispensable au sein d’une démarche d’IE
➜ Il s’agit de protéger le patrimoine informationnel de l’entreprise ➜ Des menaces variées qui évoluent très rapidement : les cyber-attaques
sont devenues un vecteur d’attaque majeur contre les entreprises
➜ La France a encore du retard à rattraper à ce niveau
➜ La SSI est l’affaire de TOUS
CEIS!L’intelligence de l’information
Nicolas Caproni Consultant en sécurité des systèmes d’information E-mail : [email protected]
@ncaproni Site Web : http://www.ceis.eu/ Blog personnel : http://www.cyber-securite.fr/