« Dis-moi Laurent, c’est quoi la différence entre un plan de continuité d’activité et un plan de reprise d’activité ? »
En fait c’est simple, le plan de continuité d’activité est un plan permettant à l’organisation de l’entreprise de faire face à un aléa sans interrompre son activité.
Le plan de reprise d’activité est un plan permettant de repartir après un accident industriel.
Par exemple :
Tu es hébergé chez OVH Strasbourg, malheureusement le datacenter brule. Tu n’as pas souscrit à l’externalisation des sauvegardes. Ton système d’information et tes données sont irrémédiablement perdus. Avec un PRA, tu aurais un plan B chez un autre hébergeur avec tes données exportées et une perte minime en temps d’arrêt.
PCA
« Dis-moi Laurent, c’est quoi un plan de continuité d’activité ? »
C’est ce qui va te permettre de survivre. Une fois que l’on a étudié l’ensemble de tes risques, on va remédier les plus critiques en diminuant au maximum l’impact ou la survenue du risque. Bien évidemment il est des choses sur lesquels nous n’avons pas de maitrise : incendie de l’hébergeur, crue centennale, effraction, calamités, pandémie, etc…
Mais pour chaque élément que nous ne maitrisons pas, nous prévoyons une solution de contournement afin d’être le moins longtemps à l’arrêt et pouvoir refaire entrer de l’argent dans notre entreprise.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
« Dis-moi Laurent, si j’achète un logiciel et que je l’installe tout seul, je n’ai aucun risque ? »
En fait, si tu l’installes sur ton PC, oui. Si tu l’installes sur un serveur pour qu’il soit accessible aux utilisateurs de ton informatique, je réponds non. Tu auras besoin de support pour s’assurer :
- Que ton serveur est en capacité de le recevoir.
- Que le logiciel n’oblitère pas la sécurité des autres logiciels présents sur ton serveur.
- Que le logiciel ne sera pas une porte d’entrée pour une fuite de données
Et, quelques temps plus tard, tu auras besoin que j’audit l’évolution de la menace qui pèse sur ton logiciel et les autres hébergés dans ton système d’information.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Maintien en condition de sécurité
« Dis-moi Laurent, comment je sais si mes équipements sont au niveau de sécurité optimal ? »
Connais-tu la technologie embarquée ?
Connais-tu les menaces liées à ses technologies ?
Ben non, sinon je ne te poserai pas la question.
Alors je te propose : j’audit tes équipements, leur niveau de sécurisation. Je fais une veille technologique sur les menaces potentielles et les contremesures. Je te propose des solutions à mettre en œuvre.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Parlons rançon
« Dis-moi Laurent, j’ai reçu le mail d’une organisation qui me demande 10000$ pour ne pas mettre en ligne les informations volées à mon insu. Ma responsabilité pénale est-elle engagée en cas d’utilisation frauduleuse de ces données ? »
Cela dépend. Avais-tu fait une évaluation préalable des risques liés à la gestion de données personnelles ?
Avais-tu réalisé des actions de sécurisation de ces données ? Le vol résulte-t-il d’une action délibérée ?
Si tu réponds non à au moins une des questions, tu es pénalement responsable au titre de la complicité.
Parlons-en tranquillement.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Parlons données personnelles
« Dis-moi Laurent, dois-je être conforme au RGPD ? »
Utilises-tu des fichiers de traitement automatisé de l’information ?
Euh… ?
C’est un fichier numérique détenant des informations permettant la désignation d’une personne physique.
Genre… ?
Fichier du personnel (excel, bdd ou autre), fichiers clients privés, annuaire de mail.
Ben oui… !
Alors, il faut que l’on évalue l’ampleur des informations et les mesures à mettre en place qui vont de la simple déclaration à la mise en place de procédures complexes, mais auditables, et d’indicateurs de performances de ces procédures.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Phishing (encore)
« Dis-moi Laurent, dois-je être sensibilisé à la sécurité informatique ? »
« Ce matin, un p’tit mail
A tué mes fichiers
C’était un p’tit mail qui
C’était un p’tit mail qui
Ce matin, un p’tit mail
A tué mes fichiers
C’était un p’tit mail qui avait un malware »
Alors pour les bonnes pratiques, pensez à la sensibilisation de vos collaborateurs, partenaires et associés.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Phishing (suite)
« Dis-moi, laurent, comment détecter un mail frauduleux ? »
Heu là, comme on dit dans la Sarthe.
Première étape : est-ce un correspondant connu ? Oui, l’objet du mail est-il en cohérence avec les échanges habituels ?
Deuxième étape : Est-ce une administration ou une autorité ? Oui, faire « répondre à » et vérifier les propriétés du domaine de l’expéditeur
Troisième étape : Le mail contient-il un lien web ? Oui : utilisez de préférence le lien enregistré dans les favoris.
Quatrième étape : L’objet du mail est-il attendu ? Oui, alors survoler le texte
Cinquième étape : Le français est-il correct ? Oui, il y a de grande chance pour que ce soit sain
Si vous répondu non à toutes les étapes, jeter le à la poubelle et vider cette dernière.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Phishing
« Dis-moi, laurent, que penses-tu des URLs dans les mails ? »
Si c’est l’url de sa banque, de son magasin en ligne préféré, d’une administration, il faut utiliser le lien que l’on a enregistré dans ses favoris.
Si on a un doute :
- Faire « répondre à » histoire de voir les propriétés de l’adresse de retour
- Passer la souris sur le lien pour vérifier l’URL
- Partir se faire dorer la pilule sur sa serviette de bain
Bref, si pour le impôts, par exemple, vous avez un mail ou une url en .net, .ru, .toto vous détruisez le mail.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Certificat suite
« Dis-moi, Laurent, la semaine dernière tu m’a parlé du certificat. Ca veut dire quoi quand mon navigateur m’alerte sur le certificat d’un site ? »
Soit le certificat est périmé, soit le certificat ne provient pas d’une autorité reconnue. Cela laisse présager d’un site à l’abandon ou d’un site fait en quatrième vitesse pour récupérer des données frauduleusement.
S’il s’agit d’un site commerçant, ne surtout pas payer en ligne.
Dans tous les cas ; arrêtez le navigateur et supprimez les cookies.
A moins bien sûr que l’utilisation de votre carte de crédit par un tiers vous laisse de marbre.