SGDN_OCDIE

1
HRIE
Outil Commun de Diffusion de lintelligence
économique
Protection du patrimoine informationnel
2
Protection du patrimoine informationnel

• 1- Etat des lieux
• 2- Pourquoi protéger son patrimoine
  informationnel
• 3- Retours dexpérience
• 4- Pour aller plus loin Sensibiliser les
  collaborateurs
• Réaliser des audits
• Sécuriser ses données
• Récupérer ses données

3
1-Etat des lieux

• 20 des entreprises déclarent avoir déjà subi
  un sinistre informatique grave entraînant la
  paralysie de lactivité et des pertes importantes
  de données.
• 80 des entreprises ayant perdu leurs données
  font faillite dans les 12 mois qui suivent.

4
Etat des lieux

• 19 jours et 17 000 sont le temps et le coût
  nécessaires à une entreprise pour ressaisir 20 Mo
  de données perdues (HP)
• 85 des tentatives de restauration sur bandes
  échouent

5
Etat des lieux

• La masse de données stockées à travers
  le globe prend continuellement de lampleur, et
  ce , à un rythme exponentiel.
• Lhumanité aurait produit entre 2000 et 2003
  plus dinformations originales quelle nen avait
  créées depuis le début de son histoire.
• Entre 1999 et 2002 lhumanité aurait produit, en
  données, léquivalent de
• - 600 millions dordinateurs,
• - 18 milliards de CD-ROM ou,
• - 8 400 milliards de disquettes. Empilées elles
  atteindraient 24 millions de km de hauteur, soit
  66 fois la distance de la Terre à la Lune !
• 92 de ces nouvelles informations sont stockées
  sur des supports magnétiques, principalement des
  disques durs.
• Aujourdhui ce qui prolifère sur les disques
  durs sont des contenus fixes et non structurés
  quil faut pouvoir conserver, protéger, récupérer
  et distribuer où et quand on en a besoin.
• Source Étude How much information, School of
  Information Management and Systems,
• Université de BERKELEY

6
Incidents subis pas les entreprises en 2005
7
Etat des lieux

• Les 12 clés de la sécurité selon
  lAFNOR daprès le Référentiel de bonnes
  pratiques de lAFNOR - Août 2002
• 1. Admettre que toute entreprise possède des
  informations à protéger (plans de recherche,
  prototypes, plans marketing, stratégie
  commerciale, fichiers clients, contrats
  dassurance,)
• 2. Faire appel à lensemble des capacités de
  lentreprise (chercheurs, logisticiens,
  gestionnaires de personnel, informaticiens,
  juristes, financiers,) pour réaliser
  linventaire des informations sensibles, des
  points faibles, des risques encourus et de leurs
  conséquences
• 3. Exploiter linformation ouverte sur
  lenvironnement dans lequel évolue lentreprise,
  observer le comportement des concurrents,
  partenaires, prestataires de service,
  fournisseurs, pour identifier les menaces
  potentielles
• 4. Sappuyer sur un réseau de fournisseurs de
  confiance pour ceux dentre eux qui partagent ou
  accèdent à des informations sensibles
• 5. Ne pas chercher à tout protéger classifier
  les informations et les locaux en fonction des
  préjudices potentiels et des risques acceptables
• 6. Mettre en place les moyens de protection
  adéquats correspondant au niveau de sensibilité
  des informations ainsi classifiées, sassurer
  quils sont adaptés et, si besoin, recourir à des
  compétences et expertises extérieures

8
Etat des lieux

• 7. Désigner et former des personnes responsables
  de lapplication des mesures de sécurité
• 8. Impliquer le personnel et les partenaires en
  les sensibilisant à la valeur des informations,
  en leur apprenant à les protéger et en leur
  inculquant un réflexe dalerte en cas dincident
• 9. Déployer un système denregistrement des
  dysfonctionnements (mêmes mineurs), et analyser
  tous les incidents
• 10. Ne pas hésiter à porter plainte en cas
  dagression
• 11. Imaginer le pire et élaborer des plans de
  crise, des fiches réflexe afin davoir un
  début de réponse au cas où
• 12. Évaluer et gérer le dispositif, anticiper les
  évolutions (techniques, concurrentielles,) et
  adapter la protection en conséquence en se
  conformant aux textes législatifs et
  réglementaires en vigueur.

9
Etat des lieux

• La qualité et la pertinence des informations
  possédées ou recueillies par lentreprise, lui
  permettent de ménager et renforcer son avantage
  concurrentiel sur son marché. Toute perte
  dinformation affaiblit la position
  concurrentielle de lentreprise.
• 80 des entreprises qui perdent leurs données
  informatiques font faillite

10
Etat des lieux

• EVOLUTION DES METIERS DE LA SECURITE
• Résultats de la 4ème enquête du Cercle Européen
  de la Sécurité
• par Pierre Luc REFALO - Chargé de mission du
  Cercle Européen de la Sécurité

11
2-Pourquoi protéger son patrimoine informationnel
?

• Les données informatiques sont vitales à la
  survie des entreprises, la perte de celles-ci est
  très souvent synonyme de catastrophe financière.

12
Pourquoi protéger son patrimoine informationnel ?

• Niveau de dépendance des entreprises vis à vis de
  linformatique

13
Pourquoi protéger son patrimoine informationnel ?

• Crash disque, virus, erreur humaine, matériel
  endommagé, catastrophe naturelle, les principales
  causes de perte des données sont imprévisibles et
  incontrôlables.
• Néanmoins, trop d'entreprises pensent encore être
  à l'abri et ne jugent pas nécessaire de sécuriser
  leur système informatique.

14
Figure 1 sinistres déclarés pour l'année 2003
15
Figure 2 cause des pertes de données pour
l'année 2003
16
Responsabilité civile et/ou pénale du dirigeant

• Parallèlement, la réglementation se durcit et
  désormais la responsabilité civile et/ou pénale
  du dirigeant peut être engagée en cas de non
  mesure de protection de son système
  d'information. Les dispositions réglementaires et
  législatives rendent les entreprises responsables
  des agissements de leurs salariés dans le cadre
  des NTIC provoquant une obligation minimale de
  moyens mis en oeuvre.
•  Louverture des entreprises au réseau Internet
  a fait apparaître de nouveaux risques juridiques,
  aggravés par un durcissement législatif en terme
  de responsabilité. 
• Aujourdhui la responsabilité  physique ou
  morale dun chef dentreprise peut être engagée
  en cas de non  mesures techniques et
  dorganisation appropriées  pour protéger son
  système dinformation contre des risques internes
  ou externes.
• Le dirigeant doit prendre des  précautions
  utiles . Il doit bâtir sa politique de sécurité
  sur des éléments organisationnels et
  fonctionnels.

17
Ce que nous dit la loi 

• Le code pénal
• Article 323-2
• Le fait d'entraver ou de fausser le
  fonctionnement d'un système de traitement
  automatisé de données est puni de trois ans
  d'emprisonnement et de 75000 d'amende.
• Article 323-3
• Le fait d'introduire frauduleusement des données
  dans un système de traitement automatisé ou de
  supprimer ou de modifier frauduleusement les
  données qu'il contient est puni de trois ans
  d'emprisonnement et de 75000 d'amende.
• Le code de la propriété intellectuelle stipule
• Article L.335-3  Est () un délit de
  contrefaçon la violation de lun des droits de
  lauteur du logiciel () .
• Article L.122-4  Toute représentation ou
  reproduction intégrale ou partielle faite sans le
  consentement de lauteur () est illicite. 
• Article L.335-2  La contrefaçon en France ()
  est punie de 3 ans demprisonnement et de 300
  000 damende. Comme le stipule larticle 131-38
  du nouveau code pénal, ce montant peut être
  multiplié par 5 dans le cas dune personne morale
  et donc atteindre 1.5M.

18
Ce que nous dit la loi

• De nombreux ouvrages traitent ce sujet et
  mentionnent les textes de loi, à titre dexemple
  
• Droit de lintelligence économique, Maître
  Thibault du Manoir de Juaye
• Guide juridique de lInternet et du commerce
  électronique, Pierre Breese
• Linfo guerre, stratégies de
  contre-intelligence économique pour les
  entreprises, Philippe Guichardaz, Pascal Lointier
  et Philippe Rosé
• Du renseignement à lintelligence économique,
  Bernard
• Besson et Jean-Claude Possin
• Déstabilisation dentreprises, Philippe
  laurier

19
Ce que nous dit la loi

• Livre blanc Nouveaux enjeux, nouvelles
  responsabilités du chef dentreprise en matière
  de sécurité informatique , rédigé par Maître
  Olivier Itéanu et préfacé par Renaud Dutreil

20
Différentes sources

• Rapport de mission du Député Pierre Lasbordes sur
  la sécurité des SI
• Etudes du CLUSIF, CIGREF, IHEDN, MEDEF, CGPME,
  INHES, DCSSI/SGDN.

21
3-Retour dexpérience - Cas 1

• Une société darchitectes a subi un sinistre
  important pour son parc informatique.
• En effet, tous ses serveurs et postes de travail
  ont été dérobés.
• Grâce à une solution de sauvegarde sécurisée et
  antivol de ses données, lentreprise a pu
  redémarrer son activité rapidement
• Dans le cas contraire, elle aurait
  vraisemblablement subi des dommages financiers et
  commerciaux importants pour reconstituer ses
  archives et vis-à-vis de ses clients
• Sources témoignage écrit de cette société

22
3-Retour dexpérience - Cas 2

• Le CEO de lune première banque mondiale gère une
  partie de ses dossiers sur une clé USB protégée
  (données entièrement encryptées AES256
  matériel).
• Cette clé navigue entre son PC de bureau sous
  Windows XP et son PC personnel, une station de
  travail à son domicile.
• Au retour dun long déplacement et sous la
  fatigue du décalage horaire, il rentre plusieurs
  fois, par erreur, une mauvaise passphrase (mot de
  passe/raccourci de la clé privé dencryptage). La
  protection de sa clé USB verrouille celle-ci en
  ne proposant plus quune remise à zéro de la clé
  après un formatage de cette dernière.

23
3-Retour dexpérience - Cas 2

• La banque contacte une société de récupération de
  données pour tenter de récupérer les précieux
  fichiers concernant des dossiers sensibles
  dactualités.
• Les travaux de laboratoires permettent daccéder
  à la zone de données et passer la protection
  daccès à ces dernières, néanmoins elles restent
  encryptées et non exploitables.
• La société de récupération de données propose
  alors dinvestiguer lun des PC sur lequel la clé
  était utilisée. En effet, le système
  dexploitation Windows XP est très  bavard  en
  fichiers temporaires cachés liés à son activité
  et entres autres toutes les versions
  chronologiques des données enregistrées dans des
  fichiers Word, Excel sa technologie et
  savoir-faire peut récupérer les fichiers
  recherchés par son client.

24
3-Retour dexpérience - Cas 2

• Une opération de copie du disque dur du PC du CEO
  est organisée avant une analyse dans le
  laboratoire de la société de récupération de
  données. De nombreux fichiers sont reconstitués,
  analysés et récupérés. Le client est satisfait,
  il va pouvoir utiliser de nouveau la plupart de
  ses dossiers.
• Conclusions  la protection des données est
  efficace voir irréversible, le maillon faible
  restant le facteur humain. En effet, les données
  peuvent ne pas être perdues pour tout le monde, y
  compris sur lordinateur sur lequel elles sont
  générées qui sera un jour revendu au poids à un
  broker à la fin de la période de financement de
  ladite machine.

25
3-Retour dexpérience - Cas 3

• Au sein dun grand groupe industriel européen, le
  CFO travaille, en toute discrétion, sur un projet
  de fusion avec son principal concurrent de
  premier plan sur le marché mondial. Il demande à
  léquipe informatique dintégrer dans la salle
  blanche informatique du siège un volume de
  données anonyme sur un nouveau disque dur  à
  part . Le groupe fusionne, des réorganisations
  apparaissent et quelques mois plus tard un
  évènement arrive. Le CFO ne voit plus sur le
  réseau son volume de données anonymes et protégé
  au sein de la salle informatique. Renseignements
  pris auprès de la nouvelle équipe informatique,
  résultante de la réorganisation, personne nest
  au courant de ce disque dur anonyme et de son
  volume de données sensibles et toujours
  dactualité.

26
3-Retour dexpérience - Cas 3

• Au sein dun grand groupe industriel européen, le
  CFO travaille, en toute discrétion, sur un projet
  de fusion avec son principal concurrent de
  premier plan sur le marché mondial. Il demande à
  léquipe informatique dintégrer dans la salle
  blanche informatique du siège un volume de
  données anonyme sur un nouveau disque dur  à
  part . Le groupe fusionne, des réorganisations
  apparaissent et quelques mois plus tard un
  évènement arrive. Le CFO ne voit plus sur le
  réseau son volume de données anonymes et protégé
  au sein de la salle informatique. Renseignements
  pris auprès de la nouvelle équipe informatique,
  résultante de la réorganisation, personne nest
  au courant de ce disque dur anonyme et de son
  volume de données sensibles et toujours
  dactualité.

27
3-Retour dexpérience - Cas 3

• Les différentes recherches et investigations vont
  faire apparaître que ce disque dur était monté
  physiquement dans une baie de disques durs où se
  situait tout le système RAID5 des serveurs de
  lentreprise.
• Ce même stockage de données RAID5 tombé en panne
  la veille. Léquipe informatique ayant tenté de
  changer plusieurs disques sur la baie avant de
  lancer la reconstruction du système RAID5. Dans
  ces changements de disques durs, le fameux disque
  dur du CFO a été pris pour un disque de  spare 
  (de rechange) et donc débranché et ainsi devenu
  inaccessible à son utilisation.

28
3-Retour dexpérience - Cas 3

• Nous avons dû intervenir sur le système RAID5
  pour récupérer les données, fort heureusement sa
  reconstruction logique navait pu aboutir. Nous
  avons également traité le disque dur du CFO qui
  avait subit des dégâts sur le plan logique.
• Conclusions  le meilleur système informatique
  redondant ne peut rien contre les facteurs
  humains, conséquences de réorganisations non
  contrôlées, de consignes inexistantes, de
  (mauvaises) protections par ignorance.

29
4-Pour aller plus loin

• Réaliser des audits de sécurité informationnelle
• Comprendre et maîtriser les enjeux de la
  protection de linformation stratégique,
  identifier les risques, les menaces, les moyens
  de protection informationnelle et de riposte

30
Sensibiliser les collaborateurs

• Comprendre la notion dinformation stratégique
• Identifier les menaces et les risques
• Appréhender les processus et les moyens de
  protection de linformation stratégique et de
  riposte

31
Sensibiliser les collaborateurs

• Linformation stratégique, quest-ce cest ?
• Les moyens de diffusion de linformation
• Le travail collaboratif et le partage de
  linformation (les pôles de compétitivité, la
  co-pétition, les moyens)
• Les risques informationnels (rumeurs, image...)
• Le dispositif et la méthode dintelligence
  économique chinois
• Les risques managériaux (technologiques, clients,
  fournisseurs, partenaires, concurrents)
• La lutte contre le pillage de linformation
  stratégique (lespionnage industriel et
  économique, les moyens, la concurrence déloyale,
  la contrefaçon)
• Les conséquences dappropriation de linformation
  stratégique (la déstabilisation, la
  désorganisation)
• Mettre en place une politique de sécurité
  informationnelle (moyens, expertises,
  organisation..)
• Les ripostes (sécurité informatique, protection
  des données, organisation, recherche de preuves
  informatiques et électroniques)
• Présentation de cas concrets et retours
  dexpérience

32
4-Pour aller plus loin

• DATABASE-BANK se positionne comme leader et
  répond aux attentes stratégiques des entreprises
  en terme de mise en place de règles automatisant
  la gestion des informations, leur sécurité ainsi
  que leur déplacement sur des supports de stockage
  garantissant à tout stade de vie le meilleur
  rapport coût/qualité de service.
• DATABASE-BANK offre
• Une solution dappliance innovante, unique sur le
  marché mondial de la sauvegarde sécurisée interne
  et externe, remplaçant tout autre système de
  sauvegarde
• Une offre globale qui intègre logiciels et
  matériels de sauvegarde / télé sauvegarde (WooXo
  Backup), sécurité des informations (Netwoco /
  Sophos) et gestion de parc informatique
  (Gestparc)
• Une offre de services évolutive

33
4-Pour aller plus loin

• www.recuperation-de-donnees.fr
• www.crime-informatique.com
• www.sauvegarde.fr