Evaluation financière d’un incident de sécurité
Posted by Jean-Marc Boursat in Security on October 25th, 2009
Cet article est une synthèse de la conférence organisée par le Clusif le 15 Octobre 2009.
28% des entreprises effectuent une évaluation financière des incidents de sécurité d’après le dernier rapport “Menaces informatiques et Pratiques de sécurité en France”. Contrairement à d’autres pays, les entreprises françaises ne sont pas obligées de déclarer les incidents de sécurité qui pourraient impacter leurs clients ou fournisseurs. Par conséquent, il y a très peu de communications sur le sujet et encore moins de statistiques fiables. Au USA, le rapport annuel 2008 de l’IC3 (Internet Crime Complaint Center) fait état d’une perte globale (tous incidents rapportés) de 264,6 Millions de Dollars en 2008. Le CSI (Computer Security Institute) donne quelques chiffres dans son rapport d’enquête 2008 en prévenant que seulement une petite partie des sondés ont bien voulu donner des chiffres : “the most expensive kind of incident on average was financial fraud, with an average reported cost of $463,100, followed by dealing with “bot” computers within the organization’s network, reported to cost an average of $345,600 per respondent. As a point of interest, dealing with loss of either proprietary information or loss of customer and employee confidential data averaged at approximately $241,000 and $268,000, respectively.”
Pourquoi faire une évaluation financière d’un incident de sécurité ? La sécurité informatique n’est pas une finalité mais elle a un coût. Ce coût doit être comparé avec les estimations de pertes financières effectuées lors d’une analyse de risque. Les évaluations financières des incidents (avérés) de sécurité permettent de confirmer ou corriger les estimations (démarche RoSI orienté incident). De façon plus pragmatique, un RSSI doit justifier ses investissements et l’évaluation financière d’un incident peut aider à débloquer des budgets. Enfin, si le sinistre est assuré, l’évaluation financière fait parti du processus d’indemnisation.
L’évaluation doit prendre en compte les dommages “directs” sur le matériel et les données, et les dommages “indirects” sur le fonctionnement de l’entreprise. En général, ce sont les dommages “indirects” qui sont les plus importants et les plus difficiles à évaluer. Dans le cas d’un incident de sécurité logique (intrusion, infection virale, …), l’évaluation est complexe et les participants à cette conférence ne sont pas reparti avec une formule toute faite.
Ce que je retiens des débats est que l’évaluation financière doit être pragmatique et justifiée. Elle englobe 4 parties :
- l’évaluation des coûts de reconstitution matérielle (remplacement des équipements, des infrastructures, des bâtiments, …)
La technologie évoluant très vite selon la fameuse loi de Moore, l’évaluation doit prendre en compte la valeur de remplacement des équipements perdus, à capacité égale (CPU, Disque, …) - l’évaluation des coûts de restauration des données et/ou programmes
Ces coûts dépendent fortement des moyens de sauvegarde mise en oeuvre. Dans le cas d’un incident entraînant une obligation de fournir des traces, la recherche des données peut coûter très cher si le système d’information n’est pas outillé pour le faire. - l’évaluation des coûts métiers (impact sur le chiffre d’affaire de l’entreprise)
Ce sont les coûts les plus difficiles à évaluer. Les assureurs se focalisent sur l’évaluation de la perte de chiffre d’affaire. Ces pertes doivent être justifiables, basées sur les chiffres de l’entreprise et de son secteur d’activité. Dans le cas d’un incident de sécurité portant atteinte à l’image de la société, il est proposé de s’intéresser à l’évolution de la part de marché de l’entreprise pour estimer la part de la clientèle qui s’est reporté sur la concurrence. - l’évaluation des coûts de traitement de l’incident (main d’oeuvre supplémentaire, location, frais juridique, …)
Selon l’incident, les 4 parties de l’évaluation ne seront pas obligatoirement concernées. Par exemple, un incident virale ne nécessite pas de remplacer le contenu d’un datacenter. Autre exemple, une intrusion ayant entrainée une divulgation de données confidentielles devra être évaluée en prenant en comptes les coûts métiers et les coûts de traitement.
La même méthode peut être utilisé lors d’une phase d’estimation financière de l’occurrence des risques lors d’une analyse de risques. Dans ce cas, l’exercice est encore plus difficile car de nombreuses variables inconnues rentreront dans les équations, et certaines valeurs vont dériver dans le temps. C’est certainement pour cette raison que les normes ou guides (ISO27005 par exemple) ne donnent pas de recettes miracles, tout en préconisant de faire ces estimations.
En conclusion, l’évaluation et plus encore, l’estimation financière d’un incident de sécurité est complexe et cette complexité entraîne même certaines sociétés a ne pas faire l’exercice. Je reste cependant convaincu que l’évaluation financière est un moyen de communication auprès de sa direction pour obtenir des moyens. Mais le plus important reste la prévention des incidents de sécurité, et comme la prévention ne peut être infaillible, il faut être en mesure de détecter l’occurrence d’un incident de sécurité. Est ce toujours le cas ?
(14 votes)
Loading ...Retours sur le SSTIC 2009
Posted by Jean-Marc Boursat in Security on June 6th, 2009
Le Symposium sur la Sécurité des Technologies de l’Information et de la Communication (SSTIC) est un événement important pour la communauté sécurité francophone. L’édition 2009 a regroupé 440 personnes du 4 au 6 Juin dans un amphi de l’université de Rennes. Le détail des conférences est sur le site du SSTIC; l’objet de cet article n’est pas de décrire ou paraphraser les conférences, mais d’essayer de faire un lien entre les présentations parfois très techniques ou du domaine de la recherche avec les problèmes que nous rencontrons régulièrement en tant que consultants sécurité.
(8 votes) Loading ...Le 4 juin prochain, Devoteam participe à CA Expo et vous y invite !
Posted by Pascal de Nervo in Event, Green IT, IT Methods & Process, IT Service Management, Infrastructures, Security on May 27th, 2009
Le 4 juin 2009, Devoteam s’invite à CA Expo !
Dans le cadre de notre partenariat avec CA, nos équipes participeront le 4 juin prochain, au CNIT, Espace Darwin, à cette journée dédiée à l’écosystème CA, sur le thème de l’innovation et de la maîtrise des infrastructures informatiques :
- Gouvernance,
- Gestion des risques,
- Virtualisation,
- Performance,
- Automatisation,
- Saas,
- Green IT.
Les interventions reposeront principalement sur des témoignages d’utilisateurs et d’experts des problématiques attachées aux solutions CA. A noter, en ouverture de cette journée, les interventions de Nathalie Kosciusko Morizet, Secrétaire d’Etat à la Prospective et au Développement de l’économie numérique auprès du Premier Ministre et Yves Coppens, paléoanthropologue.
La journée se découpera en :
- Sessions plénières (2)
- Parcours thématiques (4)
- Ateliers (30)
- Zone d’exposition
Devoteam, sponsor de l’événement, participera à trois ateliers sur les thématiques suivantes :
- Data Center : prêts pour industrialiser ?
=> intervenant : Frédéric Ceitlin
- Performance et disponibilité : comment tendre vers une vue unifiée ?
=> Intervenant : Cyril Bouillot
- CMDB/CMS, le pivot de la gestion des services
=> Intervenant : Hubert de Langautier
Nos experts seront également présents sur le stand Devoteam, dans le hall d’exposition.
Les inscriptions se font directementent ligne. Venez nombreux !
Plus d’info sur cette journée : www.caexpo2009.fr
Contacts Devoteam : philippine.de.reilhac@devoteam.com, eric.daisay@devoteam.com
(6 votes) Loading ...15 raisons pour lesquelles Conficker n’est pas une vraie révolution virale
Posted by Philippe VIALLE in Security on April 2nd, 2009
Comme régulièrement dans l’histoire informatique, il semble que la presse se soit emparée d’une alerte, parmi tant d’autres pourtant : l’affaire « virus Conficker », présentée quelque peu comme la dernière terreur du monde numérique.
Commençons par le bruit médiatique.
Google renvoie presque 20 millions de résultats pour la recherche du mot « conficker », ce chiffre parle tout seul. On notera d’ailleurs que certaines structures n’ont pas hésité à acheter le mot clef « conficker », et des sites internet tels www.downadup.org , www.webroot.fr , www.pctools.com ou encore www.mcafeestore.com apparaissent dans les liens « commerciaux » des réponses Google, c’est à dire en tête des résultats !
On remarquera aussi l’apparition de certains domaines un peu plus étranges comme www.conficker.com , resté pendant au moins 2 mois dans les 10 premières réponses Google.
Ce site, en plus d’accorder visiblement une relative importance à la publicité (Google Adwords), ne fait que relayer partiellement des informations sur Conficker, et renvoie sur une société de services assez obscure. Il peut également être intéressant de s’interroger sur l’enregistrement du nom de domaine conficker.com : il semble que l’organisme référencé soit quelque peu opaque ( http://www.domaincrawler.com/domains/view/conficker.com « Domains by proxy », une branche de GoDaddy, spécialisée dans les services Internet sous anonymat) et il en est de même avec le domaine www.digitalperfections.com : http://www.domaincrawler.com/domains/view/digitalperfections.com/
Pourquoi rester anonyme pour relayer (partiellement) une information déjà si diffusée ?
(8 votes) Loading ...Sécurisation des frontaux Web RIA/RDA
Posted by Pierre-Antoine Blondel in Security, Web applications on March 10th, 2009
La problématique de sécurisation des frontaux Web dits “RIA” ou “RDA” (Rich Internet Application ou Rich Desktop Application) entre dans le scope des préoccupations des utilisateurs. Le domaine bancaire est à ce jour l’un des plus attentif aux apports potentiels de ce type de technologie, mais s’attache encore à traiter ses failles de sécurité sur le ton de l’étude ou du Proof of concept.
La maturité opérationnelle n’est donc pas encore atteinte du moins pour envisager sereinement une généralisation significative de ces solutions. Les analyses de risque prennent en compte les différents cas d’utilisation et menaces possibles aux seins du SI bancaire :
- Portails et sites transactionnels bancaires sensibles (exemple : banque en ligne particuliers, professionnels et entreprises)
- Portails et sites vitrines internet peu sensibles
- Applicatifs transactionnels intranet (ou extranet) sensibles
- Applicatifs transactionnels intranet (ou extranet) peu sensibles (site d’information, ..)
et les confrontent aux menaces externes et internes les plus envisagées, parmi lesquelles :
- Phishing, troyens bancaires,
- Fraude internet,
- Denis de service (botnet,..)
- Altération du contenu
- Fraude interne
- Vol de données
Une qualification des risques en termes de probabilité d’occurrence, et de technicité nécessaires à l’exploitation sont les deux sujets les plus envisagés. Ils sont le généralement traités sous forme de recommandations visant au minimum les thèmes suivants :
- Interdits
- Bonnes pratiques
- Contre-mesures et solutions de contournement (outils, configuration, choix de mise en oeuvre, administration.)
- Mesures organisationnelles (formation, sensibilisation, procédure, cloisonnement des responsabilités, …)
La cartographie des attaques potentielles est déjà constituée : elle en identifie au moins deux nouvelles que sont le Cross Site Scripting (XSS) et le Cross Site Request Forgery (CSRF).
(10 votes) Loading ...Livre Blanc Supervision de la Sécurité (Le monde du SIM)
Posted by Yann Fareau in Security on February 23rd, 2009
La supervision de la sécurité est un vaste sujet.
En 2004, avec un ancien collegue (David Bizeul), nous avions rédigé un Livre Blanc sur le concept de la gestion des informations de sécurité (Security Information Management).
Les principes évoqués restent d’actualité plusieurs années après.
Par contre, la gestion des informations de sécurité s’est structurée et industrialisée… En particulier les chapitres sur les sources d’informations et l’organisation à mettre en place seraient à compléter
Bonne lecture
Pour le télécharger, cliquez ici : livre-blanc-securite-monde-du-sim
(5 votes) Loading ...StormWorm fait des petits, les signatures antivirales non
Posted by Philippe VIALLE in Security, Telecom, Networks&Media on February 18th, 2009
Comme d’habitude dans le monde de la virologie, les évènements du calendrier civil sont une aubaine et surtout un prétexte rêvé, à la propagation de parasites de tout genre.
Le code malveillant Storm Worm, est certainement un cas d’école dans ce domaine, et il n’est plus à présenter. Cela fait 2 ans qu’il fait parler de lui (tempête d’Europe en janvier 2007, d’où le nom) ! Il aura un peu tout fait, exploré même : Saint Valentin, jour de l’an, fausse alerte de sécurité, codec vidéo, divers logiciels comme des jeux, fausses informations choc, etc… Sans oublier des techniques innovantes comme les “fast flux”.
On retiendra de Storm Worm sa longévité, sa diversité d’attaques, et ses nombreuses variantes, ainsi que et surtout leur rythme effréné de parution. Il a mené la vie dure aux antivirus. Trend Micro l’avoue à demi-mot ici par exemple :
http://emea.trendmicro.com/emea/about/news/pr/be/article/20080201155058.html
La presse grand public en parle aussi :
Et on peut citer enfin des docteurs virus, qui expliquent les problématiques amenées par Storm Worm, ainsi que les tendances virales actuelles :
Il semble pourtant que le réseau BotNet, monté et entretenu avec Storm Worm, soit au moins en cours d’extinction.
Mais il a un fils, un successeur… au moins aussi perfectionné que lui, sinon plus : Waledac.
(7 votes) Loading ...Des sites douteux mieux classés que les officiels dans votre moteur de recherche favori ?
Posted by Philippe VIALLE in Security on December 21st, 2008
INTRODUCTION
« Tu ne trouves pas ce que tu cherches ? demande à ton ami Google » . Qui n’a jamais entendu cette phrase, au moins dans les milieux professionnels informatisés ?
Google est un outil à la puissance connue et reconnue. Mais on lui associe aussi l’image de « l’ami » de nos divers besoins de recherche d’information.
De surcroit, « ami » signifie implicitement « digne de confiance » . Google est-il alors digne de confiance ? Les experts pourraient se plonger dans les détails des engagements de confidentialité que l’entreprise a pu publier, par rapport à ses différentes technologies.
Ces grands débats ne sont pas l’objet du présent article. La problématique principale est que la plupart des utilisateurs répondraient certainement : « oui, puisque tout le monde le connaît et l’utilise » .
Par ailleurs, il semble que les utilisateurs aient en tête que les premiers résultats Google, pour une requête donnée, sont censés être les plus pertinents. La fameuse bataille du référencement entre sites n’y est certainement pas étrangère. Il est d’ailleurs dit que très peu de personnes vont au delà des 10 premiers résultats, et encore moins au delà du cinquantième.
Compte tenu de ces éléments, la question suivante paraît presque rhétorique : « pour une recherche internet courante, les internautes considèrent-ils qu’un site bien classé dans les résultats de leur « ami » Google, est forcément digne de confiance par conséquence » ?
D’ailleurs, n’oublions pas que Google se veut rassurant sur le plan sécurité, via notamment sa politique officielle, le programme « SafeBrowsing » (cf. section Références), ainsi que ses équipes internes dont la réputation n’est plus à faire.
Et pourtant, voici une brève démonstration des dangers possibles cachés derrière les réponses « les plus pertinentes » de Google, comme « messenger », « winrar », « internet explorer », etc.
Il s’agit ici de considérer des requêtes Google très simples, courantes, voire populaires au point d’être dans les 10 premières des statistiques du moteur (en France notamment, source Google Insights for Trends, voir section Références).
NB : Les résultats Google indiqués ici sont ceux constatés en date de rédaction de cet article, le 15 décembre 2008. Cependant, la constatation initiale de la présence dans les résultats Google, des sites douteux exposés ici, date du 1er décembre 2008.
(8 votes) Loading ...Enfin de quoi booster la SOA : les Appliances SOA
Posted by Servais Bonazebi in Infrastructures, Security on December 19th, 2008
Un REX sur ma mission aux USA.
Bientôt une décennie d’existence, tout le monde en parle mais très peu en font vraiment : voilà l’étrange situation de la SOA – le pattern d’architecture d’entreprise basé sur des services faiblement liés, réutilisables et surtout basés sur des standards ouverts. La SOA porte les promesses d’une modernisation en profondeur des systèmes d’information en les rendant plus flexibles. De cette flexibilité est attendue l’amélioration de la réactivité des entreprises pour adresser des nouvelles situations à l’avantage de l’entreprise.
(7 votes) Loading ...La sécusphère à l’école …
Posted by Jean-Marc Boursat in Security on November 23rd, 2008
Une Sécusphère spéciale a été organisée le 17 Novembre 2008 conjointement entre l’ESIEA et Devoteam. Cet événement a réuni une soixantaine de participants, majoritairement des étudiants.
(4 votes) Loading ...-
-
You are currently browsing the archives for the Security category.
-
Tags
2.0 audit business intelligence byod Capacité Catalogue de Services Cloud computing cobit Collaboration Convergence dlp ECM Google Governance Government 2.0 Green IT Hadopi HP IaaS Information 2.0 Information Management Infrastructure innovation Internet ISO 31000 ITIL IT Service Management mobility PaaS Piracy poste de travail prediction Process Project Management Risk Management Saas Security social media B2B spam SSTIC telecom telecom security vdi virtualisation Vision All categories (27)
Business application (10)
Cloud computing (5)
Event (14)
Green IT (7)
Information Management (13)
Infrastructures (32)
Internet (10)
IT Methods & Process (10)
IT Service Management (13)
Security (61)
Telecom, Networks&Media (56)
Web applications (8)
WP Cumulus Flash tag cloud requires Flash Player 9 or better.
Archives
Recent Comments
- Green IT on 5 clés pour lancer une démarche Green IT dans votre entreprise
- Rachid OURKHOU on Comment tirer parti de la virtualisation du poste de travail ?
- DSL bestellen on Mobile Internet Devices Expansion
- Nicole Turbé-Suetens on compte rendu présentation GSDAYS “Télétravail” du 30/11/2010
- Claire Toussaint on H@ckRAM, J’ai la mémoire qui flanche…