« Dis-moi Laurent, c’est quoi une menace ? »
La menace c’est tous les éléments qui surveillent mes vulnérabilités et qui guettent le bon moment pour mener une attaque.
Les citrouilles, les sorcières, Belzébuth mènent le sabbat duquel sortiront codes malveillants, hackers, dysfonctionnements divers etc.
Lorsqu’une menace profite d’une vulnérabilité, alors nous parlerons d’attaque.
Vulnérabilité
« Dis-moi Laurent, c’est quoi une vulnérabilité ? »
J’ai une pièce, un bien à l’intérieur et des ouvertures non protègées. Ce sont ces ouvertures qui forment les vulnérabilités de la pièce.
En informatique, une vulnérabilité est ce qui va permettre à une action malveillante de mettre en péril tout ou partie de votre système d’information.
Je vous parlerai la semaine prochaine de la menace.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
CNIL et RGPD
« Dis-moi Laurent, qu’elle est la différence entre CNIL et RGPD ? »
Ce sont deux postures réglementaires complémentaire. La CNIL, instituée par la loi 78-17 de juillet 1978, vise la protection des informations personnelles tant dans les fichiers papiers que les traitements automatisés et se base sur la déclaration des traitements.
Le RGPD est une posture européenne permettant à chaque personne d’avoir un accès aux collectes de données personnelles, de les faire modifier mais pas de les faire supprimer. Elle vise à imposer aux entreprises une mise en sécurité de ces données et à informer toute personne qui relève de sa collecte de l’objectif et de la durée de conservation de la donnée.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
PCA vs PRA
« Dis-moi Laurent, c’est quoi la différence entre un plan de continuité d’activité et un plan de reprise d’activité ? »
En fait c’est simple, le plan de continuité d’activité est un plan permettant à l’organisation de l’entreprise de faire face à un aléa sans interrompre son activité.
Le plan de reprise d’activité est un plan permettant de repartir après un accident industriel.
Par exemple :
Tu es hébergé chez OVH Strasbourg, malheureusement le datacenter brule. Tu n’as pas souscrit à l’externalisation des sauvegardes. Ton système d’information et tes données sont irrémédiablement perdus. Avec un PRA, tu aurais un plan B chez un autre hébergeur avec tes données exportées et une perte minime en temps d’arrêt.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
PCA
« Dis-moi Laurent, c’est quoi un plan de continuité d’activité ? »
C’est ce qui va te permettre de survivre. Une fois que l’on a étudié l’ensemble de tes risques, on va remédier les plus critiques en diminuant au maximum l’impact ou la survenue du risque. Bien évidemment il est des choses sur lesquels nous n’avons pas de maitrise : incendie de l’hébergeur, crue centennale, effraction, calamités, pandémie, etc…
Mais pour chaque élément que nous ne maitrisons pas, nous prévoyons une solution de contournement afin d’être le moins longtemps à l’arrêt et pouvoir refaire entrer de l’argent dans notre entreprise.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
« Dis-moi Laurent, si j’achète un logiciel et que je l’installe tout seul, je n’ai aucun risque ? »
En fait, si tu l’installes sur ton PC, oui. Si tu l’installes sur un serveur pour qu’il soit accessible aux utilisateurs de ton informatique, je réponds non. Tu auras besoin de support pour s’assurer :
- Que ton serveur est en capacité de le recevoir.
- Que le logiciel n’oblitère pas la sécurité des autres logiciels présents sur ton serveur.
- Que le logiciel ne sera pas une porte d’entrée pour une fuite de données
Et, quelques temps plus tard, tu auras besoin que j’audit l’évolution de la menace qui pèse sur ton logiciel et les autres hébergés dans ton système d’information.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Maintien en condition de sécurité
« Dis-moi Laurent, comment je sais si mes équipements sont au niveau de sécurité optimal ? »
Connais-tu la technologie embarquée ?
Connais-tu les menaces liées à ses technologies ?
Ben non, sinon je ne te poserai pas la question.
Alors je te propose : j’audit tes équipements, leur niveau de sécurisation. Je fais une veille technologique sur les menaces potentielles et les contremesures. Je te propose des solutions à mettre en œuvre.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Parlons rançon
« Dis-moi Laurent, j’ai reçu le mail d’une organisation qui me demande 10000$ pour ne pas mettre en ligne les informations volées à mon insu. Ma responsabilité pénale est-elle engagée en cas d’utilisation frauduleuse de ces données ? »
Cela dépend. Avais-tu fait une évaluation préalable des risques liés à la gestion de données personnelles ?
Avais-tu réalisé des actions de sécurisation de ces données ? Le vol résulte-t-il d’une action délibérée ?
Si tu réponds non à au moins une des questions, tu es pénalement responsable au titre de la complicité.
Parlons-en tranquillement.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Parlons données personnelles
« Dis-moi Laurent, dois-je être conforme au RGPD ? »
Utilises-tu des fichiers de traitement automatisé de l’information ?
Euh… ?
C’est un fichier numérique détenant des informations permettant la désignation d’une personne physique.
Genre… ?
Fichier du personnel (excel, bdd ou autre), fichiers clients privés, annuaire de mail.
Ben oui… !
Alors, il faut que l’on évalue l’ampleur des informations et les mesures à mettre en place qui vont de la simple déclaration à la mise en place de procédures complexes, mais auditables, et d’indicateurs de performances de ces procédures.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Phishing (encore)
« Dis-moi Laurent, dois-je être sensibilisé à la sécurité informatique ? »
« Ce matin, un p’tit mail
A tué mes fichiers
C’était un p’tit mail qui
C’était un p’tit mail qui
Ce matin, un p’tit mail
A tué mes fichiers
C’était un p’tit mail qui avait un malware »
Alors pour les bonnes pratiques, pensez à la sensibilisation de vos collaborateurs, partenaires et associés.