Charte informatique

« Dis-moi Laurent, Pourquoi dois-je avoir une charte informatique ? »
Tu n’y es tenu que si tu as des employés qui utilisent des moyens informatiques appartenant à l’entreprise.
Elle doit être visée par les employés mais aussi par tous ceux qui accèdent à ton réseau. Donc les prestataires aussi.
Parce que tes employés peuvent commettre, par mégarde, des infractions dont tu es pénalement responsable si tu ne mets pas en œuvre une charte informatique.
Cette dernière est déposée à la DREETS et au greffe du tribunal des Prud’Hommes.
Parlons-en ensemble.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Fuite de données

« Dis-moi Laurent, si des sociétés comme CAFPI se font voler leurs données ! Que puis-je faire, moi, qui n’ait pas leurs moyens ? »
Effectivement la sécurité absolue n’existe pas. Mais si tu as mis des moyens en place pour sécuriser au mieux en fonction de tes possibilités, tu es, pénalement, non responsable.
Mon offre c’est de t’aider à survivre à un accident industriel, ou une attaque et de ne pas te retrouver sur le banc des accusés parce que tu n’as pas pris en compte la menace.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

RGPD

« Dis-moi Laurent, Dois-je mettre en œuvre le RGPD ? »
Tu travailles en B2B ou en B2C ? En B2B, ce n’est pas forcément utile. Mais si tu fais du B2C, c’est indispensable.
En quoi cela consiste-t-il ?
Définir les éléments que tu collectes, ce à quoi ils te servent, combien de temps tu les gardes dans ton système d’information, les processus que tu mets en œuvre afin de les protéger.
Tu mets en place un registre RGP que tu tiens à disposition de tes clients
Au dela de ça, les clients ont le droit:

  • d’être informer sur les données personnelles détenues
  • de les faire modifier
  • de les faire supprimer si une obligation légale n’impose pas que tu les conserves un certains temps. Cas des employés sortant où tu garde leurs données de paie durant 4ans (3+1).

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Cloud et incendie DataCenter

« Dis-moi Laurent, pourquoi l’incendie d’un datacenter à Paris bloque le cloud AZURE ? »
Parce que contrairement aux promesses des commerciaux, le cloud n’est pas éthéré mais s’appuie sur une infrastructure physique. Alors quand un datacenter s’arrête, à cause d’un incendie dans une zone électrique suit à une rupture de canalisation d’eau, la partie du cloud hébergée dans ce datacenter est impactée pendant plus ou moins longtemps.
Accident de GlobalSwitch Clichy le 28/04, impact sur la plaque Azure Europe est9.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

WIFI Public

« Dis-moi Laurent, quel est le risque d’utiliser un réseau WIFI publique ? »
Si tu n’utilises pas un VPN tu as le risque que tes données en transit soient interceptées par quelqu’un d’indélicat. Si ta société est dans le viseur d’une attaque et même si tu utilises un VPN, il y a un instant, où, tes credentials sont exposées. Donc visibles à quelqu’un qui guette ta connexion. Il en est de même pour l’utilisation de chargeurs publiques car l’usb-c sert autant à charger qu’à transférer des données. D’ailleurs une alerte a été lancée sur les systèmes de chargement de smartphone en libre-service. Et oui,des petits malins ont trouvé le moyen d’accéder au système des smartphones.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Fuites de données 2024

« Dis-moi Laurent, avec l’actualité sur les attaques sur les prestataires de tiers payant, j’ai l’impression que le web est de plus en plus un far-west ? »
En fait, ce n’est pas que le nombre d’attaques augmente, enfin si, un peu…, mais c’est surtout que les moyens de détection s’améliorent.
Ce qui est dommage, c’est qu’encore une fois c’est en réaction et non proactif.
Il y a aussi le fait que les entreprises sont, aujourd’hui, obligées de communiquer autour de ces incidents.
La menace n’a pas réellement évolué, elle n’est pas encore suffisamment prise en compte. Mais ce n’est pas parce qu’on refuse de la voir qu’elle n’est pas là.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Risque homme clef

« Dis-moi Laurent, embarques-tu, dans tes analyses de risques, celui de l’homme clef ? »
Bien sûr, s’il ne concerne pas le dirigeant, il concerne un intervenant sur lequel repose tout ou partie du système d’informations. L’homme dont l’absence peut amener une situation de blocage voir d’arrêt de la production. Car on connais tous ce technicien de la DSI quiest là depuis des années. Il fait partie des meubles. Il a construit le SI, ou du moins, il connait le moindre recoin du SI. Celui sur lequel tout le monde compte. Celui qui fait de la doc que personne ne lit parce qu’on sait que si on lui demande de dépanner ce sera fait en moins de 5 minutes. En fonction de la société, je propose des solutions pragmatiques et audible par la hiérarchie.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Phishing toujours

« Dis-moi Laurent, la sécurité informatique il y a juste besoin de savoir reconnaitre un mail de phishing et d’avoir des bons mots de passe ! »
Ok…Tu es comptable.
Oui.
Tu reçois un mail de ton fournisseur avec un changement de RIB, que fais-tu ?
Je mets à jour mes outils de paiement.
Ok…Tu ne vérifies pas que ton fournisseur a réellement changé de banque ? Donc tu paies et ton fournisseur te poursuit pour défaut de paiement. C’est aussi ça la sécurité informatique.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

HTTPS erreur de certificat

« Dis-moi Laurent, dans mon entreprise et seulement dans son réseau, l’accès à une application web déclenche une alerte de sécurité sur le certificat. Le prestataire me dit que tout va bien. Dit-il vrai ? »
Oui et non.
Oui on peut vérifier que le certificat est bien valide et bien signé par une autorité certificatrice. Le souci vient bien souvent de la manière dont on accède à l’application. Si au lieu d’utiliser une URL publique de type https://www.entreprise.fr, on utilise une URL de type https://serveur/app, on obtiens une alerte de sécurité si le certificat est prévu uniquement pour entreprise.fr
Cela peut engendrer certains dysfonctionnements dans l’application.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Sécurité informatique? Vous avez dit sécurité informatique

« Dis-moi Laurent, c’est quoi la sécurité informatique ? »
OOOh, j’vais t’dire.
Tu vois la sécurité informatique, c’est l’art de survivre à une perte informatique, c’est l’art de la résilience à cette chute. Mais c’est un art qui se prépare, qui s’entretient, qui se réfléchi. On n’attend pas la panne, la défaillance, l’attaque, ON L’AN.TI.CI.PE, on prépare des procédures de secours, on prépare des échappatoires. Voilà ce que c’est.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon