« Dis-moi Laurent, je suis une association, le RGPD ne me concerne pas ? »
Et bien si, car tu as des adhérents. Pour la bonne marche de ton association tu as leurs noms, prénoms, adresse, adresses mail, numéro de télephone et peut être bien d’autres choses.
Ceci représente des données à caractère personnel.
Il te faut donc:

• Un registre de traitement des données
• Un responsable des données personnelles. Je te conseille de nommer ton secrétaire.
• Un process pour gérer le droit de requete de tes utilisateurs. Ce process conprend le droit a être informé des données en possession de l’association, le droit de modification et le droit de suppression.
• Un process pour gérer la purge des données qui ne devraient plus être connues de l’association
• Un process de revue des process
• Un process en cas de fuite de données
• Un cahier des requêtes
  Pour t’accompagner, j’offre un kit RGPD aux associations avec les process pré-remplis. Pour ceux qui souhaiteraient un accompagnement au prix de cent euros pour les associations.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

« Dis-moi Laurent, Comment évalue-t-on les vulnérabilités ? »
Pour ma part, je regarde les matériels et leurs maintenances, les logiciels et leurs mises à jour, les dispositifs physiques et logiques de protection. Une fois ceci répertorié, j’évalue la menace pouvant toucher chacun des éléments.
Mais il y a aussi des outils et une veille régulière sur les alertes de vulnérabilité.
Pour les outils concernant les application, je citerai ceux utilisant OWASP.

« Dis-moi Laurent, Pourquoi me parler de sécurité informatique alors que je suis si petit que personne ne trouvera intérêt à m’attaquer ? »
Parce que la sécurité informatique ne concerne pas que les attaques, mais aussi la défaillance de ton prestataire informatique, la défaillance de ton matériel et en plus les attaques de masses où tu seras une victime parce que tu sera au mauvais endroit au mauvais moment.
Si tu es sûr de ne te faire éclabousser par aucune de ces circonstances alors continue heureux et tranquille à rêver à la cagnotte du loto.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

« Dis-moi Laurent, si j’ai un message microsoft sur l’écran avec un numéro de téléphone à contacter, que dois-je faire ? »
Tu arrêtes le navigateur et tu oublies le numéro. En effet, les correspondants de ce numéro te demanderont l’autorisation de se connecter à ton ordinateur au prétexte de réparer ton installation. En réalité, ils mettront en place tous les éléments pour ponctionner tes informations et faire des opérations bancaires à ta place.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

« Dis-moi Laurent, ça sert à quoi un business impact analysis ? »
C’est simple, c’est la première brique permettant d’évaluer les risques, leurs impacts et le ressources à mettre en œuvre pour réduire les risques ou les accepter.
C’est la rampe de lancement de la maitrise des risques et qui aboutira aux plans de secours, plans de continuité d’activité et plans de reprises d’activité.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

« Dis-moi Laurent, c’est quoi le temps de rattrapage d’activité durant indisponibilité ? »
C’est relativement simple : j’ai une équipe de trois personnes qui peut exécuter, lorsqu’elle est au complet, 1500 taches par jour. Cette équipe reçoit 1300 taches par jour. Elle a donc une capacité à prendre de 200 taches. Si le process est arrété 3 jours, il y a au matin du 4ème jour : 3900 taches en attentes plus les 1300 qui tomberont dans la journée. Il faudra donc une vingtaine de jour avant de retrouver des journées de travail normal sans ajout de personnel ou extension de la plage de travail.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

« Dis-moi Laurent, qu’est-ce que le business impact analysis ? C’est comme la gestion des risques ? »
Non ! c’est une évaluation de la capacité et du temps pendant lesquels une entreprise peut survivre à la perte de tout ou partie de ses moyens.
Le BIA, business impact analysis, va évaluer, pour chaque process, le process duquel il dépend et de celui dépendant de lui. L’impact d’un arrêt de ce process en évaluant : l’impossibilité de travailler des collaborateurs, le nombre de collaborateurs impactés. On évaluera ensuite le temps nécessaire à la reprise d’activité normale (rattrapage activité durant indisponibilité)

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

« Dis-moi Laurent, pourquoi je ne dois pas négocier avec les hackers en cas de ransomware ? »
D’abord on ne négocie pas avec un couteau sous la gorge, on se laisse faire.
Ensuite, on ne finance pas les terroristes.
Et puis, qui prouve que le négociateur rendra l’accès aux données.
Et encore, même s’il redonne l’accès aux données, ne gardera-t-il pas un accès au système ?
Et enfin ne réattaquera-t-il pas ? Si on paye une fois, on paye x fois.
Bref en cas de ransomware, on se remet au travail pour créer quelque chose de plus sécuriser.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

« Dis-moi Laurent, pourquoi dois-je me préoccuper du risque cyber, je ne suis pas une entreprise du CAC40 ? »
Pour au moins 3 raisons :

• Tu peux être un dégât collatéral : une attaque massive pour cacher la cible réelle des pirates
• Tu peux subir une attaque par ricochet : tu n’es pas visé mais un de tes fournisseurs ou prestataire l’est et par contrecoup tu subis les dégâts
• Tu peux être visée par une attaque massive de récupération de fonds : les ransomware réclament environs 10 millions d’euros, mais si tu prends contact avec les hakers, tu peux négocier. Je te le déconseille.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

« Dis-moi Laurent, c’est quoi un RSSI à temps partagé ? »
Un Responsable de la Sécurisation des Systèmes d’Information est la personne qui fera l’analyse de tes risques informatiques, construira les plans de continuité d’activité, les plans de reprise d’activité et les plans de secours afin de survivre à une crise. Il s’occupera de la sensibilisation des utilisateurs et assurera le contrôle des prestations.
Il te permettra donc de travailler sans te préoccuper des effets néfastes d’une panne ou d’un attaque cyber.
Il fera de la veille techno afin que ton système reste résiliant.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent