Viau Sylvain

25
05-12-2007 Institute Canadienne 1 Sécurité des courriels Où débuter mais surtout Où terminer et de façon sécuritaire Présenté à Montréal Présenté à Montréal Hôtel Intercontinental Hôtel Intercontinental 5 décembre 2007 5 décembre 2007

description

 

Transcript of Viau Sylvain

Page 1: Viau Sylvain

05-12-2007 Institute Canadienne 1

Sécurité des courrielsOù débuter

mais surtout Où terminer et de façon sécuritaire

Présenté à Montréal Présenté à Montréal

Hôtel IntercontinentalHôtel Intercontinental

5 décembre 20075 décembre 2007

Page 2: Viau Sylvain

05-12-2007 Institute Canadienne 2

 

 

Depuis l’arriver des technologies de Depuis l’arriver des technologies de collaborations et de leur insertion dans les collaborations et de leur insertion dans les processus d’affaires de première ligne, le courriel processus d’affaires de première ligne, le courriel a su se tailler une place de choix. a su se tailler une place de choix.

Il est maintenant non seulement utilisé pour les Il est maintenant non seulement utilisé pour les échanges de correspondance aussi bien pour échanges de correspondance aussi bien pour l’interne que de l’externe, mais aussi il et est l’interne que de l’externe, mais aussi il et est maintenant devenu partie intégrante des maintenant devenu partie intégrante des applications transactionnel et de gestion des applications transactionnel et de gestion des accès.accès.

Introduction

Page 3: Viau Sylvain

05-12-2007 Institute Canadienne 3

Selon le programme

• Stratégies de gestion (Centralisé)• Faciliter le repérage (Outils de recherche)• Preuves (Cadre Légal)• Délais (1-24 mois) • Intégrité (Signature)• Confidentialité (Cryptographie)• Sauvegarde et archivage(2,5,7 ans)• Politique d’utilisation (Guide utile)

Page 4: Viau Sylvain

05-12-2007 Institute Canadienne 4

Sylvain Viau TP, CD, pm, CISA, BSI

Président D’ISACA MontréalEx-Officio de l’Association de Sécurité de l’information du Montréal Métropolitain (ASIMM).

President of ISACA MontrealEx-Officio of the Association of Security in Information for the Montreal Metropolitan (ASIMM)

Conseiller en sécurité de l’information depuis plus de 9 ans, Sylvain Viau est spécialisé dans le développement et la pratique de la continuité des affaires. Il est aussi reconnu pour son expertise dans l’évaluation de conformité en sécurité de l’information pour les grandes entreprises, banques canadiennes et agences gouvernementales. Il a aussi servi dans la Force Régulière et œuvre présentement avec la Réserve Primaire de l'Armée Canadienne pour un total de plus de 30 ans en génie des télécommunications, Guerre Électronique, sécurité physique et de l’information.

Security consultant for more than 9 years, Sylvain Viau is specialized in the development of business continuity practices. He is also well recognized for it’s expertise in security conformity by multi-national corporations, canadian banks and government agencies. He also served in the Regular Forces and still active in the Primary Reserve with 30 years of combine service in telecommunication engineering, Electronic Warfare, information and physical security.

Courriel / e-mail : [email protected] / mobile : (514) 704-8400

Page 5: Viau Sylvain

05-12-2007 Institute Canadienne 5

Page 6: Viau Sylvain

05-12-2007 Institute Canadienne 6

Page 7: Viau Sylvain

05-12-2007 Institute Canadienne 7

Acronyme

• DSS (Digital Signature Standards)

• E-Privacy• IBE (Identity-Based Encryption)

• HTTPS (Hyperlink Transfer Protocols (secure))

• MIME (Multipurpose Internet Mail Extension)

• S/MIME• PGP (Pretty Good Privacy)

• SSL (Socket Security Layer)

• VPN (Virtual Private network)

Page 8: Viau Sylvain

05-12-2007 Institute Canadienne 8

Découvertes 9 avril 2006• - Le cyberespace : à vos risques et périls -Ce futur imaginé il y a 20 ans dans les laboratoires

de quelques visionnaires est aujourd’hui à la portée de tous les doigts. À la vitesse de la lumière, en faisant fi des distances, anonyme, un réseau de connexions unique dans l’histoire de l’humanité fait maintenant office de continent virtuel. Dans le cybermonde, il y a un milliard d’ordinateurs, dont les conversations en mode numérique sont devenues l’espace de jeu et d’affaires de la planète entière.

Passeport pour se rendre dans le cyberespace : un simple ordinateur. C’est la clé d’entrée dans un territoire virtuel impossible à délimiter, dans lequel se paient les factures, se mobilisent les ONG, se communiquent les dernières nouvelles de la famille, s’ébauchent des banques de données médicales universelles et se complètent les rapports d’impôts, avec en prime, le numéro d’assurance sociale, clé de voûte de l’identité légale des citoyens.

Dans le cyberespace circulent, chaque jour, 60 milliards de courriels et un trillion de dollars; on y trouve, en consultation libre, l'équivalent de 400 milliards de livres. Mais si les avantages offerts par le cyberespace sont fabuleux, les périls y sont aussi de plus en plus nombreux. Et ils commencent à la maison.

Journaliste: Mario Masson Réalisatrice: Jeannita Richard

Page 9: Viau Sylvain

05-12-2007 Institute Canadienne 9

Rôle du courriel

•Le courriel est devenu une des applications les plus critique d’affaire.

– Communication– Livraison de document de travail et sensible– Programmation d’activités– Contacts– Archives et records

Page 10: Viau Sylvain

05-12-2007 Institute Canadienne 10

Coté sombre du Courriel

•Litiges – Scandale des commandites– Imperial Tobacco– Vérification des identités

L’admissibilité des courriels à titre d’évidence par L’admissibilité des courriels à titre d’évidence par la cours ne cesse d’augmenté pour les litiges entre la cours ne cesse d’augmenté pour les litiges entre

employés, employeur et organisations.employés, employeur et organisations.

Page 11: Viau Sylvain

05-12-2007 Institute Canadienne 11

Risques externe à la sécurité des courriels

•Interception– Les chances d’interception sont faible mais peut être

ciblé sur une organisation.

•Viruses -Pourriel– En 2003, le coût de perte en productivité planétaire

était estimés a - $1.8 Trillons (US) (PriceWaterhouseCoopers)

– En 2002, 70% des PME en Angleterre étaient infectées par un virus, causant des pertes (Monétaire, productivité, d’information etc..(McAfee).

Les risques internes pause un problème similaire mais Les risques internes pause un problème similaire mais ce dernier est souvent négligé. ce dernier est souvent négligé.

Page 12: Viau Sylvain

05-12-2007 Institute Canadienne 12

Risques interne à la sécurité des courriels

• Employés mécontent ou non sensibilisé– Expose des informations sensibles

Impact sur:La réputationProductivité

• Erreur

Page 13: Viau Sylvain

05-12-2007 Institute Canadienne 13

Risques interne à la sécurité des courriels

•Utilisation du courriel corporatif peu être couteux, tacher la réputation et avoir des retomber légales. :

– 30% des employées font suivre des courriel personnel à partir de l’entreprise (NFO Worldwide, 1999)

– 64% RX ou TX des courriel d’agression (NFO Worldwide, 1999)

– 36% TX des courriel racisme, sexiste ou pornographique (Computer weekly, 2001)

– $12,000 par jours de perte de productivité (organisation avec 5000 employées * 30mins par jours) (Web White & Pearson)

Page 14: Viau Sylvain

05-12-2007 Institute Canadienne 14

Diminuer les risques

•Sensibilisation (Politique)

•Surveillance (Détection)

•Technologique (Protection)

–Garde barrière–Anti-virus –Anti-Spam–Cryptographie –Surveillance –Sauvegarde

La technologie est aussi efficace que son maitre.La technologie est aussi efficace que son maitre.

Page 15: Viau Sylvain

05-12-2007 Institute Canadienne 15

Politique d’utilisation

• Protection des droits.Employées et Employeurs ont leurs droit respectifs

• Relation de travail ‘Big Brother’

• Législatif et de conformitéSox ISO etc…

Page 16: Viau Sylvain

05-12-2007 Institute Canadienne 16

Profil d’un Fraudeur Cybernétique

• Intelligent, patient, attentif• Position de confiance• 75% Hommes 25% Femmes• Bon citoyen• Travailleur stable • Sans précédent judiciaire• Très bonne connaissance de

l’environnement visé

Page 17: Viau Sylvain

05-12-2007 Institute Canadienne 17

Recommandations

• Réduire l’imputabilité de l’entreprise– Politique – Sensibilisation

• Maintenir une infrastructure adéquate– Protection du périmètre (Physique, Logique et Informatique)

– Composante fiable et redondante– Sauvegarde et archivage– Cryptographie (Applicatif et de réseau)

• Surveillance continuel des activités

Page 18: Viau Sylvain

05-12-2007 Institute Canadienne 18

Comment reconnaître failles dans Comment reconnaître failles dans nos courriels ?nos courriels ?

Page 19: Viau Sylvain

05-12-2007 Institute Canadienne 19

Modèle de base pour assurer la sécurité des courriels

Supervision

Protection

Virus

Zero-Hour Anti-Virus

Détection

Pourriel

Réputation Dynamique

Conformité

et Règles

Analyse de sécurité Digitale

Courriel

Sécurisé

Analyse du contenu

réseautique

Analyse

• Défend contre les menaces externe entrante

• Prévient la perte d’information

• En code les information sensible

• Analyse les infrastructures utilisés par le courriel

• Fait la gestion touchant la livraison du courriel

Centre de Réponse aux Attaques Cybernétique (CRAC)

Page 20: Viau Sylvain

05-12-2007 Institute Canadienne 20

Points à questionner

• Sauvegarde ( Corporative et Encodé)• Location des courriels (Local ou réseau)• Filtres (Virus)• Surveillance (Dynamique)

• Penser(Confidentialité, Intégrité, Accessibilité)

Page 21: Viau Sylvain

05-12-2007 Institute Canadienne 21

Em

ail

Gestion

Rapport

Supervision

Audit

HIPAA*

Sarbanes-Oxley

Politique corporative

GLBA*

Do

cum

ents

Mes

g.

inst

an

tan

és

VO

IP

Ap

pli

cati

on

s

Services IBE

Fournisseur IBE

Usagers Authentification

POLITIQUE et CONFORMITÉ CONSOLE DE GESTION

Mo

bil

eServices

Gestion des plateformes privées

*Health Insurance Portability and Accountability Act

* Gramm-Leach-Bliley Act

Page 22: Viau Sylvain

05-12-2007 Institute Canadienne 22

Selon le programme

• Stratégies de gestion (Centralisé)• Faciliter le repérage (Outils de recherche)• Preuves (Cadre Légal)• Délais (1-24 mois) • Intégrité (Signature)• Confidentialité (Cryptographie)• Sauvegarde et archivage(2,5,7 ans)• Politique d’utilisation (Guide utile)

Page 23: Viau Sylvain

05-12-2007 Institute Canadienne 23

Questions

Page 24: Viau Sylvain

05-12-2007 Institute Canadienne 24

Digital Signature Standard (DSS)

Page 25: Viau Sylvain

05-12-2007 Institute Canadienne 25

Il ne vous reste qu’à suivre la route