Cybercriminalité : Protéger son système d’information

Protéger ses données et ses programmes contre une attaque

Des dizaines de formes de malware ou logiciels malveillants, en français, existent. Leurs auteurs sont soit des criminels qui ont ajouté de la diversification dans leurs activités dans le but de vous voler, soit des professionnels de grandes entreprises ou d’États dans des buts d’espionnage industriel ou politique.

Le pirate amateur a été relégué aux oubliettes de l’Histoire, tant les protections numériques se sont sophistiquées.

L’ANSSI, L’Agence Nationale de Sécurité des Systèmes d’Information, est l’autorité française en matière de protection des SI. Elle préconise 5 mesures à mettre en place en priorité, par les entreprises, les administrations, les associations et par les particuliers.

1 L’authentification renforcée

L’authentification renforcée par souvent par une double authentification.

Par une application va utiliser plusieurs moyens de vérifier que vous êtes bien autorisé à accéder au système d »information.

Cela passe par un profil et un mot de passe, un captcha, ainsi qu’un code envoyé par SMS ou dans un boîte-aux-lettres, une question dont la réponse n’est connue que de vous seul, ou encore une application sur votre smartphone dédié à la vérification, ou bien une carte numérique qui change de code toutes les dix secondes en harmonie avec le serveur à distance.

Bien entendu, tous les mots de passe et codes divers doivent être uniques pour chaque application et changés régulièrement pour déjouer les pirates qui utilisent des techniques comme la méthode Brute force qui consiste à tester toutes les combinaisons de caractères pour trouver les mots de passe.

2 Un supervision de la sécurité renforcée

Tous les points d’entrée vers votre système d’information doivent être placés sous surveillance, à la fois par des logiciels spécialisés et par des humains qui supervisent les résultats des analyses de ces logiciels.

Toute anomalie doit faire l’objet d’une vérification, pour découvrir si la tentative de pénétration dans le SI est le fait d’une erreur de saisie d’une personne habilitée ou d’une tentative d’intrusion pour nuire.

exemple de logiciels antivirus

Les antivirus font partie de ces logiciels.

3 Des sauvegardes renforcées

Sauvegarder ses programmes et ses données est un processus indispensable.

Il s’agit de dupliquer le système d’information sur des supports extérieurs, sur supports magnétiques amovibles, comme des disques durs externes, des clés USB, selon la quantité d’informations, ou encore des serveurs externes voire dans un espace virtuel sur internet.

Cette dernière recommandation est valable uniquement pour des données non-sensibles uniquement.

Les données sauvegardées sont alors stockées ailleurs que dans le système d’information principal, détachées. Elles sont conservées le temps nécessaire, en autant de supports que nécessaire à une éventuelle restauration.

Restaurer des informations consiste à remplacer celles du système principal, serveur interne ou externe, par celle de la sauvegarde, lorsqu’elles ont disparues ou ont été modifiées par une attaque.

Dans les organisations, sauvegarde et restauration doivent être testées régulièrement pour vérifier le bon fonctionnement de l’une et de l’autre sans attendre d’une véritable attaque. L’idée est de reconstruire système, programmes et données le plus vite possible après une attaque.

4 La criticité et les priorités renforcées

Plus une information est critique pour la survie et le bon fonctionnement du système d’information, plus elle sera prioritaire dans sa protection, dans les moyens mis en œuvre pour s’assurer que tout va bien.

Par exemple, la sauvegarde d’un logiciel que l’on peut se procurer à tout moment auprès d’un fournisseur a un sens dans la mesure où le paramétrage du logiciel est plus ou moins important. Cette sauvegarde sera à faire après chaque changement de paramètre pour avoir toujours la dernière version.

Cependant, ce sont les données qui sont quotidiennement, voire plusieurs fois par jour, à sauvegarder.

Les antivirus et autres logiciels de protection sont aussi à tenir à jour aussi souvent que possible, de façon à se protéger des derniers logiciels malveillants inventés par les hackers.

5 Un dispositif de crise renforcé

La formation et la sensibilisation du personnel interne et intervenants partenaires extérieurs doivent être régulièrement effectuées. L’être humain est le maillon faible de la chaîne de protection des systèmes d’information.

Selon l’urgence et le type d’attaque, les intervenants seront différents. De véritables partenaires avec des contrats, pour une organisation, à la simple localisation d’un dépanneur près de soi, pour un particulier. Tous les cas de figure existent.

La durée d’une intervention, le délai de remise en état d’un système d’information sont, avec la pérennité des intervenants, les principaux critères de choix d’un partenaire.

Bien entendu, un plan de reprise d’activité et un plan de continuité d’activité sont indispensables, coûteux et à tester régulièrement, sans compter une bonne police d’assurance.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Télétravail et cybersécurité : Que faire pour se protéger
Alerte au piratage 1/2
Passage de la douane avec un ordinateur 4/4 : Après le séjour

Indicateurs de sécurité Exemples
Loi n° 2006-64 du 25 mars 2007 sur la Conservation des données
Liste des risques de sécurité informatique

CLIQUEZ ICI POUR VISITER NOS ANNUAIRES DE L’EMPLOI

Télétravail et cybersécurité : Que faire pour se protéger

6 mesures de cyberprotection pour le télétravail

Environ 40% des entreprises ont mis en place le télétravail dans le but de continuer leurs activités tout en respectant les sécurités sanitaires en période de pandémie et pour protéger leurs salariés des contaminations.

Elles sont confrontées à l’ouverture de leur système d’informations à Internet et à la protection des données indispensables à leur bon fonctionnement.

rencontre internationale pour la cybersécurité

Pire, les attaques de pirates, dont les plus courantes sont :

• Le ransomware, ou demande de rançon pour « libérer » les ordinateurs pris en otage en bloquant l’accès des utilisateurs, ou
• Le phishing, ou hameçonnage, qui dérobe les profils et mots de passe, voire des informations qui permettent d’accès aux comptes bancaires données volontairement par les victimes des arnaqueurs qui se font passer pour une institution, une entreprise ou un ami en peine.

Il convient donc pour les entreprises de mettre en place des mesures de protections à commencer par l’information aux risques auprès de leurs salariés.

1 Charte informatique, numérique ou du télétravail

Il s’agit d’un texte, déposé avec le règlement intérieur, et qui informe les salariés de leurs droits et de leurs devoirs, des bonnes pratiques en matière d’utilisation des outils et des matériels informatiques.

risque de casse en télétravail par les animaux

Le refus de respecter cette charte peut être suivi de sanctions pouvant aller jusqu’au licenciement.

2 La protection du matériel emporté

Le télétravail s’effectue à partir d’un ordinateur, d’une tablette ou autre, connecté à Internet. Que ce matériel appartienne à l’entreprise ou non, ce qui est défini dans la charte numérique, implique la mise en place d’un antivirus, payé et choisi par l’entreprise, qui augmente la protection au-delà de l’antivirus gratuit.

3 Un réseau segmenté

Le télétravail commence par le poste de travail à distance, relié à Internet. Puis, côté entreprise ou directement dans le cloud, c’est-à-dire sur des serveurs appartenant à un fournisseur de services, le lien se fait également par Internet pour accéder aux serveurs qui contiennent les données et les programmes utilisés par l’entreprise.

SSL = protégé par chiffrement

Le cloisonnement consiste à séparer physiquement ou par des programmes spécialisés et à usage exclusif des informaticiens de « maison ». De cette façon, un télétravailleur accède uniquement à la partie du système d’informations qui le concerne et lui interdit le reste.

4 Wi-Fi sécurisé

Ça parait tout bête et pourtant il existe des utilisateurs qui passent par une borne wifi libre, par exemple dans des lieux publics ou par la borne de leur voisin. Or, c’est la porte ouverte à l’espionnage de tout ce qu’ils font sur leur terminal.

Pour éviter d’être à plusieurs sur une connexion wi-fi, il suffit de configurer sa box avec un mot de passe, ce qui est toujours recommandé par le fournisseur d’accès à internet qui fournit la box.

5 Un VPN, ou réseau privé via Internet

Ce travail est celui des informaticiens de l’organisation qui définissent une clé de codage et de décodage. Les utilisateurs travaillent à distance sans savoir que toutes les informations qui circulent dans un sens et dans l’autre de la connexion Internet sont chiffrées par ce système.

exemple connexion de son ordinateur au serveur via Internet

C’est comme la création d’un tunnel à travail la toile (web). Durant tout le cheminement dans les nuages (cloud) les informations sont illisibles. C’est quand elles arrivent à destination, à l’entreprise ou chez le télétravailleur, qu’elles sont rendues lisibles grâce à l’algorithme de décryptage.

6 Supervision des échanges

Le service informatique de l’entreprise doit disposer d’outils de supervision de tout ce qui se passe entre la salle serveur et le télétravailleur.

Cela implique un investissement dans ces outils, qui permettent d’enregistrer et d’analyser tous les échanges d’information, de détecter les anomalies, et d’alerter pour prendre des mesures correctives.

La sauvegarde est indispensable, bien qu’insuffisante. La remontée d’incidents aux informaticiens et l’analyse des anomalies permettent de détecter toute tentative d’accès à des données protégées par des personnes qui n’en ont pas le droit. Ceci en plus de la détection de pannes sur les câbles et appareils.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

RGPD : Le registre des activités de traitement
Sécurité smartphone : Danger avec les paiements par téléphone
Parefeu : Analyser l’activité du parefeu

Comment reconnaître un mail de phishing ou frauduleux
Sécurité des données : Les 7 points capitaux du comportement responsable
PCA et PRA : L’analyse des enjeux et des besoins

CLIQUEZ ICI POUR VISITER NOS ANNUAIRES DE L’EMPLOI

Signaler un problème de consommation via SignalConso

SignalConso un site pour signaler une fraude à la consommation

À l’instar des dénonciations aux administrations, il existe un service de la DGCCRF depuis 2019. Il est expérimenté pour les régions Centre-Val de Loire et Auvergne-Rhône-Alpes, avant d’être étendu à l’ensemble du pays.

La Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes, a donné son aval au développement de ce service.

Fonctionnement

Tout consommateur, qui suspecte une fraude, peut la signaler via un formulaire sur ce site

Le site SignalConso transmet ce signalement, dans un premier temps, au commerçant concerné, sans lui préciser le nom du consommateur, sauf si celui-ci souhaite être averti par le commerçant de la rectification de l’anomalie.

Si, par contre, plusieurs signalements pour la même anomalie sont faits ou/et si aucune rectification n’est appliquée alors le signalement est transmis à la DGCCRF, qui envoie des contrôleurs pour enquêter.

Avantages

Ce signalement permet de mieux cibler le travail des enquêteurs de la DGCCRF, en partant du principe que l’anomalie est une erreur et non la volonté de frauder.
Les enquêteurs travaillent moins au hasard et les erreurs corrigées sont éliminées avant leur intervention.

Consommateur et commerçant y gagnent.

Cependant, si le consommateur souhaite donner une suite plus directe qu’un simple avertissement, il doit, comme jusqu’ici, dénoncer sa suspicion de fraude à la DGCCRF, selon l’article L. 112-8 du code des relations entre le public et l’administration.

Source : SignalConso

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Dénoncer une fraude
Dénonciation : Calomnieuse ou non ?
Internet-signalement.gouv.fr : mode d’emploi en images

Élections : Scrutateur 100 pour 100 organisé
Fausses offres d’emploi
Comment réclamer en Europe : un même formulaire pour tous les Européens

Autre Juridique et Sécurité :

Récapitulatif 19 Juridique
Récapitulatif 19 Sécurité

Parlez-moi de vos erreurs en entretien d’embauche

Comment gérer ses erreurs au travail

C’est une des questions pièges d’un entretien d’embauche. Mieux vaut préparer au moins une réponse.

Comment répondre ?

La qualité de votre travail

Y a-t-il dans votre travail des moyens de contrôle pour éviter les erreurs ? Sûrement !

Listez-les ! Vous pourrez vous servir de cette liste dans les entretiens d’embauche, en montrant pourquoi c’est important dans votre métier, que vous êtes parfaitement au courant du comment cela se passe et des conséquences d’une erreur.

Nous parlons ici de savoir-faire. Bien sûr le recruteur va rebondir en vous demandant de citer un exemple d’erreur que vous avez commise.

Cherchez une réponse qui ne soit pas trop pénalisante, même s’il vous demande votre pire erreur.
Enchaînez en disant que vous avez vu pire et racontez en précisant que l’erreur vient d’un (e) collègue.

Le recruteur cherchera, peut-être, à vous déstabiliser en vous incitant à faire part de moments difficiles dans votre carrière.
Ce qu’il veut, ce n’est pas une histoire triste ou un mea culpa, mais quels sont les enseignements que vous avez tirés des erreurs que vous avez commises ou que vous avez vues ou entendues.

L’employeur veut savoir ce qui vous avez fait pour minimiser les conséquences de l’erreur et surtout que vous ne l’avez faite qu’une seule fois.

Le droit à l’erreur

Le droit à l’erreur est exclu de la législation du travail.
Chacun est censé faire son travail sans erreur.

Certaines erreurs se paient cher.
Elles peuvent vous coûter votre place ou la vie ou la santé de quelqu’un.

Le droit à l’erreur n’existe pas sauf chez les chirurgiens et les aiguilleurs du ciel, ainsi que dans de très rares professions, comme les forces de l’ordre.

Plaie d’argent n’est pas mortelle

Un bon entrepreneur aura inclus dans ses prix de ventes, un montant ou un pourcentage pour les frais internes, erreurs ou mauvaise qualité de ses produits et/ou services inclus, ainsi que le service après-vente.

Vous avez le sens des responsabilités.
C’est une qualité recherchée par les employeurs.

Que faites-vous quand vous remarquez une anomalie ?

Vous vous tordez les bras, paniquée ou en pleurs, en criant Mon Dieu, Mon Dieu ?
Ou vous prenez les choses en main, trouvez une solution immédiate, tirez profit de la situation pour montrer ce qu’il faut éviter de faire et ce qu’il faut faire ?

Préparez vos réponses et partagez-les avec moi, s’il vous plait :

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Les 6 erreurs humaines d’après Cicéron
Faute avouée à demi pardonnée
Cerveau droit ou cerveau gauche : trouver vos points faibles et vos points forts

Management de projet informatique : 9 erreurs les plus courantes du Chef de projet
Point faible, Axe de progrès, Faiblesse, Entretien d’embauche
Formulaires Qualité

Autres Emploi :

Récapitulatif 17 Emploi

La compatibilité en informatique, c’est quoi ?

La compatibilité des programmes et des données

On parle de compatibilité entre deux choses lorsqu’elles vont bien ensemble.

Les logiciels que l’on utilise sont :

• issus d’un développement spécifique réalisé par le service informatique de l’entreprise ou par soi-même, ou
• disponibles sur le marché sous forme de licences que l’on peut installer par un simple téléchargement ou directement dans son navigateur Internet.

compatibilités sanguines

Les versions de progiciels

Ces derniers sont aussi appelés progiciels, pour « produits logiciels ». L’exemple le plus connu et le plus répandu est la bureautique, c’est-à-dire le traitement de texte en premier et quelques autres : tableur, etc.

Les progiciels sont aussi plus complexes, comme la messagerie, la comptabilité, la paie ou les progiciels de gestion intégré ou PGI, ERP en anglais.

Les fournissent de ces progiciels ajoutent des fonctionnalités dans leurs programmes, corrigent les anomalies et comblent des failles de sécurité, au travers de nouvelles versions de leurs produits.

La compatibilité permet de travailler sur des fichiers créés dans d’anciennes versions, ce qui permet d’utiliser la dernière version sans perdre d’informations, sauf pour les informations créées uniquement grâce à la dernière version.

Ceci implique que le retour à une version précédente est impossible sauf à perdre les nouveautés et avec le risque de perdre des données.

Les changements de progiciels

Dès qu’un changement de logiciel a lieu, il faut que l’entreprise reprenne les informations et les rende « compatibles » avec le nouveau logiciel.

Pour cela, des programmes de transfert sont développés pour effectuer les transformations des données pour les rendre utilisables par le nouveau progiciel.

Ces programmes doivent reprendre tous les fichiers de l’ancien logiciel, un par un, vers le nouveau.

C’est indispensable lorsqu’une entreprise décide de passer d’un développement spécifique vers un progiciel ou l’inverse ou, lorsque les deux logiciels utilisent des systèmes différents ou encore des codifications différentes.

Par exemple, une date avec l’année sur 2 positions va devenir une date avec l’année sur 4 positions. Selon le cas « 30 » va devenir « 1930 » ou « 2030 ».

Autre exemple, les données d’un fichier accessible sous Unix sont inaccessibles ou incompatibles avec celles d’un fichier accessible sous Windows 10 ou SAP, et réciproquement. Impossibles à lire et à stocker, donc à utiliser.

Les changements dans les développements spécifiques.

Lorsqu’une activité dans une entreprise est unique dans son domaine, il est très difficile de trouver un progiciel sur le marché ou d’en trouver un qui prenne en compte le fonctionnement de l’entreprise.

Là, soit l’entreprise s’adapte au progiciel, soit elle adapte le progiciel à ses façons de faire, soit elle développe tous ses programmes-maison.

Les données sont, par définition, toujours compatibles, puisqu’il n’y a pas de versions issues du marché et en provenance d’un fournisseur externe.

Lorsque le logiciel fait l’objet d’améliorations, celles-ci sont intégrées au fur et à mesure des besoins, au rythme de l’entreprise.
Les modifications mineures sont intégrées directement.
Les modifications majeures se font de telle façon que les données restent compatibles avec les nouveautés.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Etapes de la qualification d’un logiciel
Limites et réalités du partenariat pour un développement informatique spécifique
Lois de programmation des ordinateurs

Check-list pour l’achat de progiciel
Les étapes du développement d’application
Enregistrement et repérage des modifications apportées dans les programmes

Autres Informatique et Sécurité :

Récapitulatif 17 Informatique
Récapitulatif 17 Sécurité

Productivité : Un résultat rapidement

Faites ce qui permet d’avoir un résultat le plus rapidement

Plus vite le résultat de votre action apparaît, plus vite vous en jugerez la qualité et les conséquences.

La meilleure préparation possible est insuffisante dans la mise à l’épreuve du résultat obtenu. C’est un phénomène qui augmente avec la complexité de la tâche, du service ou du produit résultant de cette tâche.

Sommaire :

1. Principe de Pareto ou principe des 80-20
2. Si être productif signifie être égoïste, alors soyez égoïste
3. Ce n’est pas une question de temps, c’est une question d’énergie
4. Démarrez seulement lorsque vous êtes vraiment prêt
5. Laissez-vous guider par sa paresse permet de trouver le chemin le plus facile
6. Faites ce qui permet d’avoir un résultat le plus rapidement
7. Ralentissez quand vous pensez qu’il faut le faire
8. Finissez rapidement, souvent, sans rechercher la perfection

Par exemple, le nombre d’anomalies dans un programme croît avec le nombre de lignes du programme. Les grandes compagnies de logiciel ont beau investir des millions dans le développement, elles investissent aussi des millions dans les tests de fiabilité de leurs programmes. Malgré cela, les pirates découvrent en permanence des failles dans ces systèmes.

Principe du prototype

Les industries connaissent bien le principe d’avoir un prototype avant de lancer une production en série. Plus vite le prototype existera et plus vite il sera possible de mettre au point le produit, les outils, les méthodes de fabrication et de commercialisation de ce produit.

Bannissez la procrastination, qui, bien que les conditions de lancement de l’action soient réunies, vous tergiversez encore à démarrer. Attendre par crainte de faire mal est contre-productif dans la mesure où il est alors impossible d’apprendre de ses erreurs, sous réserve qu’il y a bien une erreur dans le résultat de l’action.

Les actions de corrections et le retour à la réflexion et à la préparation, le lancement d’une action avec un résultat le plus rapide possible, forment ensemble un cycle. Plus ce cycle sera court et plus vite, vous obtiendrez un résultat fiable. Vous augmentez ainsi votre productivité.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Workaholic ou Bourreau de travail : du burnout au karōshi mortel
Déléguer ET contrôler, sinon gare aux conséquences !
Lâcher-prise vs relaxation

Concentrez vous sur les choses importantes plutôt que de rester concentré
Efficacité : Abandonnez votre vie privée au vestiaire de votre entreprise
Efficacité : Ne surfez plus avec votre smartphone, tablette ou PC

Autres Organisation :

Récapitulatif 12 Organisation

Formulaires Qualité

Qu’un Service Qualité existe ou non dans une entreprise, il est indispensable d’avoir de la documentation à disposition pour effectuer son travail.

Lorsqu’il s’agit d’informations en provenance de l’extérieur de l’entreprise, cela s’appelle de la veille. Souvent associée à un qualificatif, comme une veille technologique ou veille concurrentielle.

Nous parlerons ici des informations en provenance de l’intérieur de l’entreprise.

En effet, chacun produit de l’information, dont l’origine est son propre travail ou le travail des autres.

Voici 3 exemples de Formulaires Qualité avec les informations qu’il faut récolter au MINIMUM :

Anomalie de fonctionnement, appelée aussi Non conformité :

Produit ou Fonction,

Description de l’anomalie,

Détectée le     /    /     par ……………….,

Analysée par ………………,

Description de(s) la(les) mesure(s) corrective(s), par……………….

Documentation ou Complément à la documentation standard :

Domaine (marketing, bureau d’études, production, informatique, etc.),

Fonction ou Processus,

Description,

Rédigée ou modifiée le     /    /     par ……………….,

Visée par……………….

Demande de développement spécifique :

Domaine (marketing, bureau d’études, production, informatique, etc.),

Fonction ou Processus,

Description,

Rédigée le     /    /     par ……………….,

Visée par……………….

Analysée par ………………,

Description de(s) la(les) réponse(s), par……………….

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Quelles sont les caractéristiques de la Qualité
La Qualité vue par Juran et Crosby
Présentation 1 Modèles

Le Kaizen : Difficile à mettre en place ?
Incompétence ou 10 conseils pour faire face aux critiques
Échelles de notations financières

Autres Organisation :

Récapitulatif 1 Organisation