Post on 09-May-2015
description
1
Trusted Hub Luxembourg - Gouvernance systémique des risques pour l'excellence
opérationnelle
2
opérationnelle
22 avril 2014
« Des end users à la recherche »
Ministère de l’Économie
3
Agenda:
1. Constat
2. Approche
4
3. Quelques exemples
Constat
1. L’importance de la sécurité
2. L’évolution des facteurs de risques
3. Nos principes et objectifs
5
• Complexité de la sécurité• Sans sécurité pas de confiance• Sans confiance pas de commerce
6
L'évolution des menaces• De « I love you » à « Flame »• Du « geek » au « deep pockets »
7
Les vulnérabilités• Les vulnérabilités zero-day• Les aspects humains
8
Les sous-traitants• La qualité des services
9
La convergence• vers la monoculture des systèmes
10
La connectivité• Internet des choses• Un seul Internet
11
Les défis de la sécurité de l'information
12
La sécurité de l’information ne doit être considérée ni comme un défi individuel pour l’entreprise, ni comme un objectif inatteignable pour des raisons de complexité ou de coût.
Les principes du ministère au niveau de la sécurité
• « Empowerment »,• répondre aux besoins des entreprises,• approche collective, mais contextualisée,• synergies, mutualisation
13
• synergies, mutualisation• ce qui est nécessaire - proportionnel• ce qui est économiquement justifiable• dans un cadre juridique adapté
Le objectifs du ministère
• démocratiser la sécurité,• Promouvoir la création de réseaux,• la sécurité comme infrastructure,
• créer un avantage concurrentiel
14
• créer un avantage concurrentiel
Approche :
1. Le grand public
2. La gestion de la sécurité
3. La veille et la réaction sur incidents
15
Le grand public
• Les bons réflexes• L’éducation• Les campagnes
16
La gestion de la sécurité
Mesures de sécurité• comportementales• organisationnelles• techniques
17
La gestion de la sécurité
L’analyse des risques• réduire l’effort et la complexité
• contextualiser• adapter aux besoins
18
• adapter aux besoins• proportionnelle et nécessaire• dynamique
La gestion de la sécurité
L’analyse des risques au service de la gouvernance
• souple• proportionnelle• adaptée
19
• adaptée• comparable• autorise l’agrégation
Veille et réaction sur incidents
• Observatoire des menaces• Plate-forme d’échange - IOC
• Observatoire des vulnérabilités• Alertes et informations
• Indicateurs de santé• Honeypots
20
• Honeypots• BGPranking
Veille et réaction sur incidents
Compétences réactives• Formations• Gagner la confiance• Aider en cas d’incidents• Promotion de CERTs sectoriels
21
• Promotion de CERTs sectoriels
Quelques exemples:
• www.beesecure.lu
• www.bee.lu
• www.cases.lu
• my.cases.lu
22
• my.cases.lu
• www.circl.lu
• bgpranking.circl.lu
• map.circl.lu
• Dynamic Malware Analysis Platform
• …
Francois.Thill@eco.etat.lu
23