« Dis-moi Laurent, c’est quoi le temps de rattrapage d’activité durant indisponibilité ? »
C’est relativement simple : j’ai une équipe de trois personnes qui peut exécuter, lorsqu’elle est au complet, 1500 taches par jour. Cette équipe reçoit 1300 taches par jour. Elle a donc une capacité à prendre de 200 taches. Si le process est arrété 3 jours, il y a au matin du 4ème jour : 3900 taches en attentes plus les 1300 qui tomberont dans la journée. Il faudra donc une vingtaine de jour avant de retrouver des journées de travail normal sans ajout de personnel ou extension de la plage de travail.
Business Impact Analysis
« Dis-moi Laurent, qu’est-ce que le business impact analysis ? C’est comme la gestion des risques ? »
Non ! c’est une évaluation de la capacité et du temps pendant lesquels une entreprise peut survivre à la perte de tout ou partie de ses moyens.
Le BIA, business impact analysis, va évaluer, pour chaque process, le process duquel il dépend et de celui dépendant de lui. L’impact d’un arrêt de ce process en évaluant : l’impossibilité de travailler des collaborateurs, le nombre de collaborateurs impactés. On évaluera ensuite le temps nécessaire à la reprise d’activité normale (rattrapage activité durant indisponibilité)
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Rançon: payer ou pas?
« Dis-moi Laurent, pourquoi je ne dois pas négocier avec les hackers en cas de ransomware ? »
D’abord on ne négocie pas avec un couteau sous la gorge, on se laisse faire.
Ensuite, on ne finance pas les terroristes.
Et puis, qui prouve que le négociateur rendra l’accès aux données.
Et encore, même s’il redonne l’accès aux données, ne gardera-t-il pas un accès au système ?
Et enfin ne réattaquera-t-il pas ? Si on paye une fois, on paye x fois.
Bref en cas de ransomware, on se remet au travail pour créer quelque chose de plus sécuriser.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
PME et risque cyber
« Dis-moi Laurent, pourquoi dois-je me préoccuper du risque cyber, je ne suis pas une entreprise du CAC40 ? »
Pour au moins 3 raisons :
- Tu peux être un dégât collatéral : une attaque massive pour cacher la cible réelle des pirates
- Tu peux subir une attaque par ricochet : tu n’es pas visé mais un de tes fournisseurs ou prestataire l’est et par contrecoup tu subis les dégâts
- Tu peux être visée par une attaque massive de récupération de fonds : les ransomware réclament environs 10 millions d’euros, mais si tu prends contact avec les hakers, tu peux négocier. Je te le déconseille.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
RSSI
« Dis-moi Laurent, c’est quoi un RSSI à temps partagé ? »
Un Responsable de la Sécurisation des Systèmes d’Information est la personne qui fera l’analyse de tes risques informatiques, construira les plans de continuité d’activité, les plans de reprise d’activité et les plans de secours afin de survivre à une crise. Il s’occupera de la sensibilisation des utilisateurs et assurera le contrôle des prestations.
Il te permettra donc de travailler sans te préoccuper des effets néfastes d’une panne ou d’un attaque cyber.
Il fera de la veille techno afin que ton système reste résiliant.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Fortifications ?
« Dis-moi Laurent, faut-il vraiment construire un château autour de notre informatique ? »
La résistance d’une chaine se mesure à son maillon le plus faible.
Sais-tu quel est le maillon le plus faible de l’informatique ?
Non !
L’utilisateur.
Alors toutes les défenses du monde ne servent à rien tant que l’utilisateur est persuadé d’être à l’abri d’une attaque informatique.
L’important n’est pas de savoir si on va être attaqué, mais si on est prêt à survivre à une attaque.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
TPE / PME à risques
« Dis-moi Laurent, la dernièrement tu m’as démontré que les TPE/PME étaient les plus à risques ; alors que faire ? »
Tout d’abord, il faut savoir que 80% des attaques viennent d’une erreur humaine. Pour contrer cela il faut sensibiliser. Il faut que l’utilisateur de l’informatique de l’entreprise ou de l’association se sente un partenaire de la sécurité. Surtout en France.
Ben oui, le gaulois réfractaire, plus, tu lui mets de barrières et, plus, il pense que c’est un défi qu’il faut vaincre. Je me rappelle, dans les années 60-70, un constructeur automobile a voulu tester un système d’antidémarrage si la ceinture de sécurité n’était pas enclenchée : Allemagne 100% de réussite, Angleterre 100% de réussite, USA 80% de réussite, France : en moins de deux minutes le véhicule partait avec le conducteur non attaché. La ceinture avait attachée avant que le conducteur ne s’assoie…
Il faut donc que l’utilisateur se sente impliqué dans la sécurité car il ne s’agit pas seulement de mesures techniques ou organisationnelles, ni de sujets d’expert mais de l’affaire de tous pour que les sociétés survivent à une attaque ou un accident industriel.
Et n’oubliez pas, la sécurité absolue n’existe pas.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Si (Rudyard Kipling)
Si tu peux voir détruit l’ouvrage de ta vie
Et sans dire un seul mot te mettre à rebâtir,
Ou perdre d’un seul coup…
« Dis-moi Laurent, pourquoi tu déclames du Rudyard Kipling ? »
Parce que c’est le sort qui attend tout utilisateur informatique. Moi, y compris. Il faut donc être prêt à voir son informatique brûler par l’action d’escroc cherchant à te soutirer de l’argent. Alors plutôt que de maudire la terre entière, si tu es prêt…Tu regardes le travail de l’escroc, tu fini de casser ton informatique et tu recommences tout depuis le début.
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Sécurité des contrats
« Dis-moi Laurent, pourquoi mon contrat avec mon prestataire doit être précis ? »
Je prends un exemple, mon contrat stipule une sauvegarde journalière sans précision, mon hébergeur n’est pas obligé d’externaliser mes sauvegardes. Si la salle brûle, mes sauvegardes brûlent aussi. Et il ne me reste que les yeux pour pleurer. (Cf. OVH)
Si j’oublie de dire à mon hébergeur que les données doivent être conservée en Europe, le système cloud peut envoyer mes données sur d’autres continents avec le risque de voir certaines juridictions prendre la propriété de mes données. (Cf. CloudAct)
BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent
Phishing (toujours)
« Dis-moi Laurent, si je sais: détecter un mail frauduleux, me comporter intelligement sur le web, ne pas utiliser de supports externes inconnus sur mon pc et que je maintiens mes logiciels à jour, je ne risque rien ? »
Alors tu diminue grandement la capacité de nuisance des hakers, si en plus tu a des sauvegardes régulières, tu t’abrites des incidents divers et variés. Mais as-tu penser l’aspect juridique de ton système d’information? As-tu penser à tes droits et devoirs en cas de pertes d’informations? Connais-tu les systèmes de déclaations tant auprès des services de police que de la CNIL? Sais-tu si tu es sujet à la NIS2?
Tu connais le RGPD, la loi Informatique et Liberté! Mais connais-tu la loi Godeffrain, ou la Loi de Confiance en l’Economie Numérique, la propriété intellectuelle, la loi de programmation militaire, la loi de Protection du potentiel scientifique et technique et intelligence économique, les différents codes qui interagissent avec l’utilisation informatique?
Faisons donc un point sur l’aspect légal de ton utilisation informatique.
Et n’oublies pas: Nul n’est censé ignorer la loi! (Nemo censetur ignorare legem)