SENSIBILISATION MOYEN DE PRVENTION PAR EXCELLENCE CONTRE LES
SENSIBILISATION - MOYEN DE PRÉVENTION PAR EXCELLENCE CONTRE LES NOUVELLES MENACES CONFERENCE 03/05/2017
. . Présentation
DATAPROTECT est une société marocaine spécialisé en sécurité des systèmes d’information, fondé en 2009 par des experts ayant mené plusieurs projets de conseil et d’intégration de solutions de sécurisation au Maroc et à l’étranger. . DATAPROTECT appui son offre sur une vision unifiée de la sécurité de l’information en s’appuyant sur un réservoir de compétences pointue en sécurité. . PRESENTATION DATAPROTECT
PRESENTATION DATAPROTECT Nos activités sont organisées autour de 5 pôles AU DI T& T RA . & CHE ENT HER M REC LOPPE E DÉV • Gestion de la conformité PCI DSS (PCI PRO) • Gestion de la conformité Loi DCP (PRO DATA) • Sensibilisation des utilisateurs . ANC E EG INT CO N SE IL ION GER Solution de gestion de traçabilité des accès Gestion des comptes à haut privilèges Solution de gestion des logs Solutions de chiffrement, authentification forte, pare-feu applicatif, … Audit de sécurité organisationnel Audit de sécurité technique (intrusion, …) Certification PCI DSS / PA DSS Certification ISO 27001, ISO 22301 PCA/ PRI Une sécurité unifiée Un interlocuteur unique INFO • • • FORMATION • • Management en sécurité Sécurité technique Gestion des risques Sécurité liée aux produits • Security Operations Center (24/7) certifié ISO 27001 • Position de 150 m 2 • 9 clients à date d’aujourd’hui
PRESENTATION DATAPROTECT . § Présence: Maroc, Afrique Subsaharienne, Moyen Orient, France § 70% du CA à l’export § + de 310 Clients satisfaits § 85 Collaborateurs § Clients: Ministères/Banques/Assurances/ Administrations publiques, … § 2015: 32 Millions MAD de CA § 2016: 66 Millions MAD de CA . Faits et chiffres (2017)
PRESENTATION DATAPROTECT . Nos certifications et accréditations .
. . De l’importance de la Sensibilisation à la sécurité
SENSIBILISATION SECURITE Procédure. Humain . Technologie La sécurité ce n’est pas que la technologie
SENSIBILISATION SECURITE La sensibilisation en général « Rendre quelqu'un, un groupe sensible, réceptif à quelque chose pour lequel il ne manifestait pas d'intérêt. » Larousse . SENSIBILISATION. FORMATION COMMUNICATION Changer les habitudes Acquérir des compétences S’adresse à l’intellect Quelles compétences veut -on qu’il obtienne? S’adresse surtout aux émotions Quel comportement veut-on renforcer ou modifier? Informer S’adresse à l’intellect Quel message veut-on transmettre?
SENSIBILISATION SECURITE La sensibilisation au cœur de la sécurité Apports d’un programme efficace de sensibilisation à la sécurité de l’information … Exigence normative et réglementaire . 02 03 04 ISO 27001 “ Cl 7. 3, A 7. 2. 2“, ISO 22301 “Cl 7. 3“; PCI-DSS “Cl. 12. 6 “, DNSSI “ Cl. RH-PDT- FORM » , … Inculquer les bonnes pratiques et Changer les habitudes collaborateurs au sein du SI Fédérer le personnel autour de la démarche sécurité et obtenir leur implication Contribue à la diffusion et à l’implémentation des politiques, directives et procédure internes de sécurité . 01
SENSIBILISATION SECURITE La sensibilisation au cœur de la sécurité Apports d’un programme efficace de sensibilisation à la sécurité de l’information … . 05 Contribue à traiter le problème de la résistance au changement. 06 Corriger des failles de sécurité latentes et atténuer le risque « La plupart des problèmes informatiques se trouvent entre le clavier et la chaise. » Klaus Klages. 07 Un employé non sensibilisé représente une menace potentielle Tenir le personnel à niveau face à l’évolution rapide des menaces « La force d’un groupe s’évalue à celui de son membre le plus faible. » ; Théorie de la meute de loup. 08
SENSIBILISATION SECURITE Faiblesses des programmes traditionnels de sensibilisation à la sécurité Probème Cible/Message Souvent, un même message pour tout le personnel Difficultés à réunir tout le monde § Tendance à la mobilité § Mobilité de plus en plus forte du personnel. § Problèmes de mobilisation Supports non attractifs Difficultés à évaluer § Non implication des équipes de com‘ § Manque d’outils pour évaluation et amélioration Contenu peu engageant Manque d‘itération Charge de travil § Contenus n‘attirent souvent pas l‘intérêt du collaborateur § Actions de sensibilisation ponctuelles et au cas par cas § Charge de travail du RSSI limite le nombre de sessions Coûts et budgétisation § Coûts directs/indirects de sessions répétées § . Légitimité du budget Pédagogie limitée § RSSI non pédagigue à la base
SENSIBILISATION SECURITE Nécessité de se tourner vers des solutions adaptées et innovantes S’appuyer sur les outils de mobilité et de collaboration . Smartphones, Tablettes, Skype Entreprise, Webinaires, … S’appuyer sur les outils de diffusion en place. Portail Intranet, Journal de la sécurité, Pages dédiées à la sécurité, … A l’ère du multimédia, s’appuyer sur le multimédia Vidéos, Musique, diffusion d’images, Ecrans de diffusion, … S’appuyer sur les media sociaux Page Facebook, Twitter, Messages Whatsap, … Les plateformes e-learning
. . Plateforme SENSIPRO
SENSIBILISATION SECURITE SENSIPRO de DATAPROTECT – Plateforme de sensibilisation en ligne made in Morocco Plus de 50 en mode Saas Quiz et jeux. Thématiques Orientée campagnes de sensibilisation 100% Sécurité . Notifications et rappels au utilisateurs Retour d’expérience d’experts en sécurité et de Com’ Catalogue ciblés selon les profils d’employé Contenus ludiques, engageants et évolutifs Plateforme trilingue (FR, Darija, ENG)
SENSIBILISATION SECURITE SENSIPRO de DATAPROTECT – Plateforme de sensibilisation en ligne made in Morocco Système de recompenses attractif Appui à Flexibilité la conformité . et mobilité Contenus personnalisables à la demande . Simplicité d’imports d’utilisateurs Tableaux de bord et mesurage d’efficacité Sécurité et étanchéité des données clients Réduction des coûts
SENSIBILISATION SECURITE q Protection des données de cartes bancaires (PCI-DSS) q Ingénierie sociale et fraudes q Vie privée et données personnels q Principes de développement sécurisé q Protection du matériel Informatique q Usage prudent d’Internet . q Phishing q Vie privée et données personnelles q Sécurité des terminaux mobiles q Continuité d’activités q Travail à distance q Réseaux sociaux q Logiciels malveillants q Messagerie sécurisée q Destruction des documents q Protection des locaux q Protection des informations secrètes d’authentification q Etc…. q Sauvegarde des données . SENSIPRO de DATAPROTECT – Quelques unes des thématiques traitées
SENSIBILISATION SECURITE SENSIPRO de DATAPROTECT – Public ciblé PROFIL ADMINISTRATEUR IT PROFIL UTILISATEUR FINAL q Fait partie des cibles privilégiées des pirates informatiques lorsqu’il s’introduit au sein d’un réseau q Est souvent mal informé des politiques de sécurité en vigueur. q Est généralement resistant au changement PROFIL DEVELOPPEUR q Son attention est généralement sucitée par un langage technique PROFIL MANAGER q Constitue une opportunité de sécurisation des logiciels internes dès leur conception q Détient généralement les informations les plus sensibles de l’organisme q A généralement accès au code source des logiciels internes q Se déplace et a de plus en plus recours aux outils de travail à distance q Son attention est généralement sucité par un langage technique q Est décideur et son soutien à la demarche de sécurité est primordial . q Détient des droits d’accès à haut privilèges au sein du SI q Constitue souvent le maillon faible de la chaîne de sécurité de l’information
. MERCI POUR VOTRE ATTENTION . 34
- Slides: 19