Sécurisons vos systèmes d'informations
« Dis-moi Laurent, pourquoi mettre en oeuvre une politique de sécurisation du SI ? »
D’abord, c’est pour définir les bonnes pratiques et la stratégie de ta société, garantir ton activité, apprendre à devenir résilient.
Ensuite, ça t’impose de faire une analyse de risque
Enfin, ca te permet d’évaluer la performance et la maturité de ta politique de sécurité.
La connaissance des mots conduit à la connaissance des choses – Platon
« Dis-moi Laurent, qu’est-ce qu’une étude impact sur la vie privée ? »
Tu détiens des données à caractères personnelles, l’EIVP consiste à analyser le risque induit par le vol de ses données.
Si tu as les numéros de CB : tes clients se feront voler de l’argent
Si tu as le NIR : tes usagers peuvent se faire voler leur identité
Si tu as les adresses mails : tes clients peuvent être victimes de phishing
Si tu as les adresses physiques ou numéros de téléphone : démarchages non sollicités
Et toi tu risques un impact sur ton image de marque, un impact pénal et un impact financier pour manquement à une obligation de sécurité
La connaissance des mots conduit à la connaissance des choses – Platon
« Dis-moi Laurent, je suis soloentrepreneur, je suis une TPE, pourquoi j’investirai dans une de tes prestations ? »
Un escroc aime l’argent facile, une société non préparée est une proie facile.
Si tu n’as plus d’informatique une grande partie de ton activité est bloquée. Tu préfèreras payer un potentiel retour de tes données alors que tu n’as pas voulu investir à garantir ton activité.
Mais bon, c’est quand il est trop tard qu’on se lamente sur son sort.
Je te propose des tickets d’une heure ou d’une demi-journée par carnet de 10 comme ça tu n’as pas besoin de devis et tu as déjà payer.
La connaissance des mots conduit à la connaissance des choses – Platon
« Dis-moi Laurent, C’est quoi ces nouveaux outils qu’on me propose pour remplacer mon antivirus ? »
Si tu parles d’un EDR, Endpoint Dection and Response, c’est un outil complémentaire. L’antivirus travaille sur des signatures, il faut donc connaitre la menace pour la contrer. L’EDR travaille sur le comportement de la machine. Tout nouveau comportement au sein d’une machine est considéré comme une suspicion d’attaque, et une alerte est levée. Le problème est qu’il faut une équipe qui fasse le tri entre le bon grain et l’ivraie, qui sache de ce qui relève d’une attaque et de ce qui est simplement une méconnaissance d’un comportement par la machine.
La connaissance des mots conduit à la connaissance des choses – Platon
« Dis-moi Laurent, lorsque j’utilise une application en mode SaaS, je ne suis plus responsable de la sécurité de mes données ? »
En fait non. Si le fournisseur te doit une sécurisation, il convient que tu t’assures qu’il soit bien au niveau que tu attends. Tu dois vérifier qu’il ne s’agi pas uniquement de mots sur un contrat et qu’il y a des moyens concrets.
La connaissance des mots conduit à la connaissance des choses – Platon
« Dis-moi Laurent, l’utilisateur est-il le maillon faible ou le premier rempart de la sécurité informatique ? »
L’utilisateur informatique, qu’il soit professionnel de l’informatique ou non, est le premier rempart parce qu’il est directement exposé. C’est pour cela qu’il doit être, en permanence sensibilisé aux risques auxquels il est exposé.
Le premier de ces risques est l’escroquerie : les escrocs aiment l’argent facile et moins l’entreprise est prête et plus c’est une proie facile
Le second est le concurrent indélicat qui cherche à se débarrasser de l’entreprise ou de son avance technologique
Le troisième est l’employé qui est en désaccord avec l’entreprise. Désaccord salarial, idéologique ou politique
Le quatrième est lié aux aléas environnementaux de l’entreprise.
Bref, un panel de risques sur lesquels sensibiliser sans fin est une sage précaution.
« Dis-moi Laurent, Pourquoi parles-tu de psychologie en matière de cybersécurité ? »
Parce que nos comportements face à la technologie sont vecteurs d’erreurs et de biais de pensée. L’un des plus usité est : « je n’intéresse personne parce que je suis trop petit. »
Mais un escroc est un homme qui aime l’argent facile et sans risque. Tu as de l’argent, tu n’es pas préparé, tu ne sais pas te défendre, tu es comme le mouton face au loup…Une proie facile et sans risque ?
Alors qu’une grosse boite, elle investi dans sa sécurité et elle a une floppée d’avocat pour trainer l’escroc au tribunal…
Alors tu n’intéresses toujours personne ?
« Dis-moi Laurent, une revue des accès, pour quoi faire ? »
Un employé, un prestataire qui part, ne doit plus avoir accès aux ressources de l’entreprise.
Ceci afin qu’il ne remette pas en cause la sérénité de l’entreprise, qu’il ne fasse pas d’espionnage et ne fasse pas de destruction de données.
Bref afin qu’il ne fasse rien de répréhensible et qu’il parte sans possibilité de se mettre dans une situation délicate juridiquement.
« Dis-moi Laurent, qu’est-ce qui le plus impactant : le vol de données bancaires ou le vol du numéro de sécurité social ? »
C’est une bonne question. Souvent on pense que le vol de données bancaires est plus grave que celui du numéro de sécurité social. Or c’est tout l’inverse.
Pourquoi ?
Une carte bleue, on peut faire opposition. On peut changer de banque. Ce sera inconfortable pendant quelques semaines, voire mois.
Mais le numéro de sécurité social…
Il te désigne toi et personne d’autre. Il t’est attribué à la naissance. Sa construction se base sur des données intangibles :
La connaissance des mots conduit à la connaissance des choses – Platon
« Dis-moi Laurent, quelle différence ça fait d’utiliser un site en HTTP et un en HTTPS ? »
En matière d’utilisation : aucune.
En matière de sécurité : une énorme différence.
Je m’explique : un éditeur de solution de badge de porte met à disposition un site de gestion de badge en HTTP. C’est sympa, mais :
La connaissance des mots conduit à la connaissance des choses – Platon