WIFI Public

« Dis-moi Laurent, quel est le risque d’utiliser un réseau WIFI publique ? »
Si tu n’utilises pas un VPN tu as le risque que tes données en transit soient interceptées par quelqu’un d’indélicat. Si ta société est dans le viseur d’une attaque et même si tu utilises un VPN, il y a un instant, où, tes credentials sont exposées. Donc visibles à quelqu’un qui guette ta connexion. Il en est de même pour l’utilisation de chargeurs publiques car l’usb-c sert autant à charger qu’à transférer des données. D’ailleurs une alerte a été lancée sur les systèmes de chargement de smartphone en libre-service. Et oui,des petits malins ont trouvé le moyen d’accéder au système des smartphones.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Fuites de données 2024

« Dis-moi Laurent, avec l’actualité sur les attaques sur les prestataires de tiers payant, j’ai l’impression que le web est de plus en plus un far-west ? »
En fait, ce n’est pas que le nombre d’attaques augmente, enfin si, un peu…, mais c’est surtout que les moyens de détection s’améliorent.
Ce qui est dommage, c’est qu’encore une fois c’est en réaction et non proactif.
Il y a aussi le fait que les entreprises sont, aujourd’hui, obligées de communiquer autour de ces incidents.
La menace n’a pas réellement évolué, elle n’est pas encore suffisamment prise en compte. Mais ce n’est pas parce qu’on refuse de la voir qu’elle n’est pas là.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Risque homme clef

« Dis-moi Laurent, embarques-tu, dans tes analyses de risques, celui de l’homme clef ? »
Bien sûr, s’il ne concerne pas le dirigeant, il concerne un intervenant sur lequel repose tout ou partie du système d’informations. L’homme dont l’absence peut amener une situation de blocage voir d’arrêt de la production. Car on connais tous ce technicien de la DSI quiest là depuis des années. Il fait partie des meubles. Il a construit le SI, ou du moins, il connait le moindre recoin du SI. Celui sur lequel tout le monde compte. Celui qui fait de la doc que personne ne lit parce qu’on sait que si on lui demande de dépanner ce sera fait en moins de 5 minutes. En fonction de la société, je propose des solutions pragmatiques et audible par la hiérarchie.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Phishing toujours

« Dis-moi Laurent, la sécurité informatique il y a juste besoin de savoir reconnaitre un mail de phishing et d’avoir des bons mots de passe ! »
Ok…Tu es comptable.
Oui.
Tu reçois un mail de ton fournisseur avec un changement de RIB, que fais-tu ?
Je mets à jour mes outils de paiement.
Ok…Tu ne vérifies pas que ton fournisseur a réellement changé de banque ? Donc tu paies et ton fournisseur te poursuit pour défaut de paiement. C’est aussi ça la sécurité informatique.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

HTTPS erreur de certificat

« Dis-moi Laurent, dans mon entreprise et seulement dans son réseau, l’accès à une application web déclenche une alerte de sécurité sur le certificat. Le prestataire me dit que tout va bien. Dit-il vrai ? »
Oui et non.
Oui on peut vérifier que le certificat est bien valide et bien signé par une autorité certificatrice. Le souci vient bien souvent de la manière dont on accède à l’application. Si au lieu d’utiliser une URL publique de type https://www.entreprise.fr, on utilise une URL de type https://serveur/app, on obtiens une alerte de sécurité si le certificat est prévu uniquement pour entreprise.fr
Cela peut engendrer certains dysfonctionnements dans l’application.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Sécurité informatique? Vous avez dit sécurité informatique

« Dis-moi Laurent, c’est quoi la sécurité informatique ? »
OOOh, j’vais t’dire.
Tu vois la sécurité informatique, c’est l’art de survivre à une perte informatique, c’est l’art de la résilience à cette chute. Mais c’est un art qui se prépare, qui s’entretient, qui se réfléchi. On n’attend pas la panne, la défaillance, l’attaque, ON L’AN.TI.CI.PE, on prépare des procédures de secours, on prépare des échappatoires. Voilà ce que c’est.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Charte informatique

« Dis-moi Laurent, pourquoi ma charte informatique doit-elle, aussi, être signée par mes prestataires ? »
Si tes prestataires utilisent ton réseau informatique et tes matériels, ils sont à mettre à la même enseigne que tes personnels. En effet, s’ils font des actions illicites, tu en subiras les conséquences et tu seras responsable en tant que chef d’entreprise.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

RGPD et associations

« Dis-moi Laurent, je suis une association, le RGPD ne me concerne pas ? »
Et bien si, car tu as des adhérents. Pour la bonne marche de ton association tu as leurs noms, prénoms, adresse, adresses mail, numéro de télephone et peut être bien d’autres choses.
Ceci représente des données à caractère personnel.
Il te faut donc:

  • Un registre de traitement des données
  • Un responsable des données personnelles. Je te conseille de nommer ton secrétaire.
  • Un process pour gérer le droit de requete de tes utilisateurs. Ce process conprend le droit a être informé des données en possession de l’association, le droit de modification et le droit de suppression.
  • Un process pour gérer la purge des données qui ne devraient plus être connues de l’association
  • Un process de revue des process
  • Un process en cas de fuite de données
  • Un cahier des requêtes
    Pour t’accompagner, j’offre un kit RGPD aux associations avec les process pré-remplis. Pour ceux qui souhaiteraient un accompagnement au prix de cent euros pour les associations.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Vulnérabilités

« Dis-moi Laurent, Comment évalue-t-on les vulnérabilités ? »
Pour ma part, je regarde les matériels et leurs maintenances, les logiciels et leurs mises à jour, les dispositifs physiques et logiques de protection. Une fois ceci répertorié, j’évalue la menace pouvant toucher chacun des éléments.
Mais il y a aussi des outils et une veille régulière sur les alertes de vulnérabilité.
Pour les outils concernant les application, je citerai ceux utilisant OWASP.

Syndrome de l’invisible

« Dis-moi Laurent, Pourquoi me parler de sécurité informatique alors que je suis si petit que personne ne trouvera intérêt à m’attaquer ? »
Parce que la sécurité informatique ne concerne pas que les attaques, mais aussi la défaillance de ton prestataire informatique, la défaillance de ton matériel et en plus les attaques de masses où tu seras une victime parce que tu sera au mauvais endroit au mauvais moment.
Si tu es sûr de ne te faire éclabousser par aucune de ces circonstances alors continue heureux et tranquille à rêver à la cagnotte du loto.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent