« Dis-moi Laurent, faut-il vraiment construire un château autour de notre informatique ? »
La résistance d’une chaine se mesure à son maillon le plus faible.
Sais-tu quel est le maillon le plus faible de l’informatique ?
Non !
L’utilisateur.
Alors toutes les défenses du monde ne servent à rien tant que l’utilisateur est persuadé d’être à l’abri d’une attaque informatique.
L’important n’est pas de savoir si on va être attaqué, mais si on est prêt à survivre à une attaque.
TPE / PME à risques
« Dis-moi Laurent, la dernièrement tu m’as démontré que les TPE/PME étaient les plus à risques ; alors que faire ? »
Tout d’abord, il faut savoir que 80% des attaques viennent d’une erreur humaine. Pour contrer cela il faut sensibiliser. Il faut que l’utilisateur de l’informatique de l’entreprise ou de l’association se sente un partenaire de la sécurité. Surtout en France.
Ben oui, le gaulois réfractaire, plus, tu lui mets de barrières et, plus, il pense que c’est un défi qu’il faut vaincre. Je me rappelle, dans les années 60-70, un constructeur automobile a voulu tester un système d’antidémarrage si la ceinture de sécurité n’était pas enclenchée : Allemagne 100% de réussite, Angleterre 100% de réussite, USA 80% de réussite, France : en moins de deux minutes le véhicule partait avec le conducteur non attaché. La ceinture avait attachée avant que le conducteur ne s’assoie…
Il faut donc que l’utilisateur se sente impliqué dans la sécurité car il ne s’agit pas seulement de mesures techniques ou organisationnelles, ni de sujets d’expert mais de l’affaire de tous pour que les sociétés survivent à une attaque ou un accident industriel.
Et n’oubliez pas, la sécurité absolue n’existe pas.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Si (Rudyard Kipling)
Si tu peux voir détruit l’ouvrage de ta vie
Et sans dire un seul mot te mettre à rebâtir,
Ou perdre d’un seul coup…
« Dis-moi Laurent, pourquoi tu déclames du Rudyard Kipling ? »
Parce que c’est le sort qui attend tout utilisateur informatique. Moi, y compris. Il faut donc être prêt à voir son informatique brûler par l’action d’escroc cherchant à te soutirer de l’argent. Alors plutôt que de maudire la terre entière, si tu es prêt…Tu regardes le travail de l’escroc, tu fini de casser ton informatique et tu recommences tout depuis le début.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Sécurité des contrats
« Dis-moi Laurent, pourquoi mon contrat avec mon prestataire doit être précis ? »
Je prends un exemple, mon contrat stipule une sauvegarde journalière sans précision, mon hébergeur n’est pas obligé d’externaliser mes sauvegardes. Si la salle brûle, mes sauvegardes brûlent aussi. Et il ne me reste que les yeux pour pleurer. (Cf. OVH)
Si j’oublie de dire à mon hébergeur que les données doivent être conservée en Europe, le système cloud peut envoyer mes données sur d’autres continents avec le risque de voir certaines juridictions prendre la propriété de mes données. (Cf. CloudAct)
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Phishing (toujours)
« Dis-moi Laurent, si je sais: détecter un mail frauduleux, me comporter intelligement sur le web, ne pas utiliser de supports externes inconnus sur mon pc et que je maintiens mes logiciels à jour, je ne risque rien ? »
Alors tu diminue grandement la capacité de nuisance des hakers, si en plus tu a des sauvegardes régulières, tu t’abrites des incidents divers et variés. Mais as-tu penser l’aspect juridique de ton système d’information? As-tu penser à tes droits et devoirs en cas de pertes d’informations? Connais-tu les systèmes de déclaations tant auprès des services de police que de la CNIL? Sais-tu si tu es sujet à la NIS2?
Tu connais le RGPD, la loi Informatique et Liberté! Mais connais-tu la loi Godeffrain, ou la Loi de Confiance en l’Economie Numérique, la propriété intellectuelle, la loi de programmation militaire, la loi de Protection du potentiel scientifique et technique et intelligence économique, les différents codes qui interagissent avec l’utilisation informatique?
Faisons donc un point sur l’aspect légal de ton utilisation informatique.
Et n’oublies pas: Nul n’est censé ignorer la loi! (Nemo censetur ignorare legem)
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Hacker
« Dis-moi Laurent, c’est quoi ces histoires avec Lokbit ? Et quel intérêt aurait un hacker à me pirater ? »
Si je prends l’exemple récent de Thales. LockBit a publié, en début d’année, sur le Darkweb des données lui appartenant. Plusieurs intérêts : d’abord, il prouve que ses menaces sont suivies d’actions. Ensuite, LockBit étant une officine russe, dans le contexte, toute atteinte à un industriel occidental est bon à prendre. Dernier intérêt : l’argent. Aujourd’hui l’activité des hackers rapporte plus que le trafic de drogue ou la prostitution, les risques en moins.
Pour revenir sur l’attaque, ce n’est pas Thales qui a été piraté, mais un de ses clients. A travers lui, les pirates sont remontés jusqu’à la plateforme d’échange entre Thales et le client. Ils ont donc pris des données qui techniquement n’appartenaient plus vraiment à Thales.
Cependant, si le client avait été bien sécurisé, Lockbit n’aurait même pas mis un pied dans la porte.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Antivol?
« Dis-moi Laurent, pourquoi mettre un antivol à mon PC ? »
Pour empêcher le vol de matériel par opportunisme. D’accord, si la personne a prévu de voler ton poste spécifiquement pour avoir accès à tes données, un bon coupe câble et ton pc s’envole. L’avantage, c’est que vis-à-vis des forces de l’ordre, il y a effraction et donc ta responsabilité est désengagée. Un pc sans câble antivol, c’est comme laisser sa voiture moteur tournant devant la boulangerie le temps de prendre sa baguette. Si quelqu’un va faire un tour avec et tue un piéton, tu es complice par manquement à une obligation de sécurité. En l’occurrence laisser sa voiture à la disposition de n’importe qui.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Menace
« Dis-moi Laurent, c’est quoi une menace ? »
La menace c’est tous les éléments qui surveillent mes vulnérabilités et qui guettent le bon moment pour mener une attaque.
Les citrouilles, les sorcières, Belzébuth mènent le sabbat duquel sortiront codes malveillants, hackers, dysfonctionnements divers etc.
Lorsqu’une menace profite d’une vulnérabilité, alors nous parlerons d’attaque.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Vulnérabilité
« Dis-moi Laurent, c’est quoi une vulnérabilité ? »
J’ai une pièce, un bien à l’intérieur et des ouvertures non protègées. Ce sont ces ouvertures qui forment les vulnérabilités de la pièce.
En informatique, une vulnérabilité est ce qui va permettre à une action malveillante de mettre en péril tout ou partie de votre système d’information.
Je vous parlerai la semaine prochaine de la menace.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
CNIL et RGPD
« Dis-moi Laurent, qu’elle est la différence entre CNIL et RGPD ? »
Ce sont deux postures réglementaires complémentaire. La CNIL, instituée par la loi 78-17 de juillet 1978, vise la protection des informations personnelles tant dans les fichiers papiers que les traitements automatisés et se base sur la déclaration des traitements.
Le RGPD est une posture européenne permettant à chaque personne d’avoir un accès aux collectes de données personnelles, de les faire modifier mais pas de les faire supprimer. Elle vise à imposer aux entreprises une mise en sécurité de ces données et à informer toute personne qui relève de sa collecte de l’objectif et de la durée de conservation de la donnée.