Cybercriminalité : Protéger son système d’information

Protéger ses données et ses programmes contre une attaque

Des dizaines de formes de malware ou logiciels malveillants, en français, existent. Leurs auteurs sont soit des criminels qui ont ajouté de la diversification dans leurs activités dans le but de vous voler, soit des professionnels de grandes entreprises ou d’États dans des buts d’espionnage industriel ou politique.

Le pirate amateur a été relégué aux oubliettes de l’Histoire, tant les protections numériques se sont sophistiquées.

L’ANSSI, L’Agence Nationale de Sécurité des Systèmes d’Information, est l’autorité française en matière de protection des SI. Elle préconise 5 mesures à mettre en place en priorité, par les entreprises, les administrations, les associations et par les particuliers.

1 L’authentification renforcée

L’authentification renforcée par souvent par une double authentification.

Par une application va utiliser plusieurs moyens de vérifier que vous êtes bien autorisé à accéder au système d »information.

Cela passe par un profil et un mot de passe, un captcha, ainsi qu’un code envoyé par SMS ou dans un boîte-aux-lettres, une question dont la réponse n’est connue que de vous seul, ou encore une application sur votre smartphone dédié à la vérification, ou bien une carte numérique qui change de code toutes les dix secondes en harmonie avec le serveur à distance.

Bien entendu, tous les mots de passe et codes divers doivent être uniques pour chaque application et changés régulièrement pour déjouer les pirates qui utilisent des techniques comme la méthode Brute force qui consiste à tester toutes les combinaisons de caractères pour trouver les mots de passe.

2 Un supervision de la sécurité renforcée

Tous les points d’entrée vers votre système d’information doivent être placés sous surveillance, à la fois par des logiciels spécialisés et par des humains qui supervisent les résultats des analyses de ces logiciels.

Toute anomalie doit faire l’objet d’une vérification, pour découvrir si la tentative de pénétration dans le SI est le fait d’une erreur de saisie d’une personne habilitée ou d’une tentative d’intrusion pour nuire.

exemple de logiciels antivirus

Les antivirus font partie de ces logiciels.

3 Des sauvegardes renforcées

Sauvegarder ses programmes et ses données est un processus indispensable.

Il s’agit de dupliquer le système d’information sur des supports extérieurs, sur supports magnétiques amovibles, comme des disques durs externes, des clés USB, selon la quantité d’informations, ou encore des serveurs externes voire dans un espace virtuel sur internet.

Cette dernière recommandation est valable uniquement pour des données non-sensibles uniquement.

Les données sauvegardées sont alors stockées ailleurs que dans le système d’information principal, détachées. Elles sont conservées le temps nécessaire, en autant de supports que nécessaire à une éventuelle restauration.

Restaurer des informations consiste à remplacer celles du système principal, serveur interne ou externe, par celle de la sauvegarde, lorsqu’elles ont disparues ou ont été modifiées par une attaque.

Dans les organisations, sauvegarde et restauration doivent être testées régulièrement pour vérifier le bon fonctionnement de l’une et de l’autre sans attendre d’une véritable attaque. L’idée est de reconstruire système, programmes et données le plus vite possible après une attaque.

4 La criticité et les priorités renforcées

Plus une information est critique pour la survie et le bon fonctionnement du système d’information, plus elle sera prioritaire dans sa protection, dans les moyens mis en œuvre pour s’assurer que tout va bien.

Par exemple, la sauvegarde d’un logiciel que l’on peut se procurer à tout moment auprès d’un fournisseur a un sens dans la mesure où le paramétrage du logiciel est plus ou moins important. Cette sauvegarde sera à faire après chaque changement de paramètre pour avoir toujours la dernière version.

Cependant, ce sont les données qui sont quotidiennement, voire plusieurs fois par jour, à sauvegarder.

Les antivirus et autres logiciels de protection sont aussi à tenir à jour aussi souvent que possible, de façon à se protéger des derniers logiciels malveillants inventés par les hackers.

5 Un dispositif de crise renforcé

La formation et la sensibilisation du personnel interne et intervenants partenaires extérieurs doivent être régulièrement effectuées. L’être humain est le maillon faible de la chaîne de protection des systèmes d’information.

Selon l’urgence et le type d’attaque, les intervenants seront différents. De véritables partenaires avec des contrats, pour une organisation, à la simple localisation d’un dépanneur près de soi, pour un particulier. Tous les cas de figure existent.

La durée d’une intervention, le délai de remise en état d’un système d’information sont, avec la pérennité des intervenants, les principaux critères de choix d’un partenaire.

Bien entendu, un plan de reprise d’activité et un plan de continuité d’activité sont indispensables, coûteux et à tester régulièrement, sans compter une bonne police d’assurance.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Télétravail et cybersécurité : Que faire pour se protéger
Alerte au piratage 1/2
Passage de la douane avec un ordinateur 4/4 : Après le séjour

Indicateurs de sécurité Exemples
Loi n° 2006-64 du 25 mars 2007 sur la Conservation des données
Liste des risques de sécurité informatique

CLIQUEZ ICI POUR VISITER NOS ANNUAIRES DE L’EMPLOI

Les niveaux de classification de la Défense nationale

Secret-Défense et les autres

Mata Hari

Les infractions spécifiques prévues et réprimées par les articles 413-9 et suivants du code pénal ne couvrent que les faits relatifs à des informations ou supports protégés au titre du secret de la défense nationale.

L’article 3 du décret n° 98-608 du 17 juillet 1998 définit trois niveaux de classification :

1. Le niveau Très Secret-Défense est réservé aux informations ou supports protégés dont la divulgation est de nature à nuire très gravement à la défense nationale et qui concernent les priorités gouvernementales en matière de défense ;
    
2. Le niveau Secret-Défense est réservé aux informations ou supports protégés dont la divulgation est de nature à nuire gravement à la défense nationale ;
    
3. Le niveau Confidentiel-Défense est réservé aux informations ou supports protégés dont la divulgation est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d’un secret de la défense nationale classifié au niveau Très Secret-Défense ou Secret-Défense.

La décision de classifier une information ou un support est un acte important, par les contraintes qu’il induit en matière de mesures de protection, et par les conséquences judiciaires qu’il peut entraîner, ainsi qu’il a été rappelé plus haut.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Sécurité des données : Les 7 points capitaux du comportement responsable
Enlèvement d’enfant : Des actions pour les protéger
Grooming : Attention les jeunes !

Emigrer ou immigrer : Quand on change de pays pour y vivre
Le Pacte Défense Cyber : 550 postes créés
Vol de documents légalisé ? Non, sauf

Autres Sécurité :

Récapitulatif 18 Sécurité

Activités dangereuses et prévention associée (Code du Travail Art. R.237-7 AL.1)

Activités dangereuses & prévention associée (Code du Travail Art. R.237-7 AL.1)

La loi définie les activités considérées comme dangereuses.
Les voici, avec les mesures de prévention à prendre pour éviter tout accident.

Que cette liste vous serve de check-list !

Selon les entreprises, certaines activités sont sans objet.

EPI = équipements individuels de protection

Phases d’activités dangereuses	Mesures de prévention
Accès au chantier & circulation		Sans objet
Parcours	Plan de circulation
Issues de secours	Consignes et plans d’évacuation
Stationnement	Accès au parking du site
Chargement/déchargement	Accès au quai de déchargement du site
Autre (préciser) :
Outillage portatif :		Sans objet
Perceuses, meuleuses, scies circulaires, …	Conformité du matériel
Chalumeau	Permis de feu
	Extincteur, RIA
	Vérification visuelle générale du matériel avant utilisation
Autre (préciser) :
Ambiance physique :		Sans objet
Bruit, poussière, éclairage, …	EPI : Masque, casque auditif, lunettes, …
Chaleur, froid, …	EPI : Vêtements de protection
Chocs, écrasement, coupures	EPI : Casque, chaussures de sécurité, gants de manutention, …
Humide, glissante	EPI : Chaussures antidérapantes
Risque sanitaire (hygiène)	EPI : Gants,, lunettes, blouse, local aéré
Risque d’asphyxie et/ou d’explosion	Dégazage, ARI, Travail en équipe, contrôle atmosphère
Travaux en hauteur	Échafaudage, plateforme élévatrice, …
Accès aux toitures, combles, …	EPI : Chaussures antidérapantes
Accès aux ateliers	Balisage
	Garde corps (filets, barrières, ligne d vie, harnais, …)
Autre (préciser) :
Utilisation de produits chimiques et/ou gaz		Sans objet
Inflammables	Interdiction de fumer
	Permis de feu
	Extincteurs
Nocifs, toxiques, irritants	EPI : Gants, lunettes, vêtements spéciaux
	Étiquetage des produits
Risque d’anoxie	Stockage adapté (rétentions, armoires spécifiques, quantité limitée au poste, …)
	Système de détection du taux d’ O2 ambiant
Autre (préciser) :
Manutention :		Sans objet
Palan, table élévatrice, monte-charge, …	Autorisation d’utilisation nominative
	Permis pontier
Chariot élévateur	Autorisation de conduite
Manuelle (charges lourdes)	EPI : Ceinture des maintiens des lombaires
	Chaussures de sécurité, gants, …
Autre (préciser) :
Raccordement ou intervention sur le réseau :		Sans objet
Gaz	Consignation
	Permis de feu
	Dégazage & Contrôle atmosphère
Autre (préciser) :
Électricité : Ligne enterrée	Consignation
Électricité : Ligne apparente	Habilitation électrique Symbole d’habilitation : hiv, B2, BR, BC
Électricité : Armoire électrique	Outillage adapté
Électricité : Sous tension	Schéma des installations électriques
	EPI : Lunettes, gants, chaussures, casque avec vision, … Le tout : isolants
Autre (préciser) :
Autres risques constatés lors de l’inspection préalable		Sans objet

De façon permanente, chaque entreprise se doit d’assurer :

• la conformité du matériel utilisé ;
• la formation et sensibilisation aux risques du personnel (et donc les habilitations requises).

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Travail du dimanche : que dit la loi
Faute grave : Définition juridique
Friday Wear ou Le vendredi relax

Kompetenz : la compétence allemande
Menace – Vulnérabilité – Risque
Smartphone : Autodestruction dans 5 secondes

Autres Juridique, Management et Sécurité :

Récapitulatif 14 Juridique
Récapitulatif 14 Management
Récapitulatif 14 Sécurité

Salle informatique : Les autres équipements utiles

Les autres équipements dans la salle informatique

La salle informatique contient d’autres équipements que les dispositifs anti-incendie, la climatisation, l’électricité ou les armoires de brassage et les câblages.

Sommaire :

Les mesures de protection de la salle informatique

1. Porte spéciale
2. Dispositif anti-incendie
3. Climatisation
4. Électricité
5. Armoires, câblage, serveurs
6. Divers autres équipements

A prévoir dans la salle informatique

• Table et chaises pour les personnes habilitées à pénétrer dans la salle informatique et qui ont à y travailler
• Meubles à roulettes pour éviter la production d’électricité statique, contenant des appareils de réparation et outillage, tournevis, pinces, câblage de brassage, bracelets antistatiques à mettre pour toute intervention, ventouse pour soulever les plaques du faux-plancher, etc.
• Thermomètre et hygromètre
• Détecteur de radiation, éventuellement
• Extincteurs manuels, à utiliser uniquement sur tout départ de feu en dehors des équipements informatiques ou électrique, inutiles avec un bon système anti-incendie
• Plan des équipements présents dans la salle informatique avec numérotations
• Cahier papier sr lequel chaque intervenant dans la salle informatique doit donner la date et l’heure d’arrivée et de départ, le nom des personnes présentes dans la salle et le motif de leur présence
• Liste des personnes habilitées à pénétrer dans la salle informatique

A exclure de la salle informatique

• Poubelle, celle-ci doit être impérativement à l’extérieur pour éviter la présence de déchets inflammables
• Stockage de papier et de matériels de remplacement
• Supports de stockage des sauvegardes, à mettre dans une armoire ignifugée dans une autre salle protégée elle aussi et suffisamment éloignée pour qu’un incendie dans une des salles ne puisse endommager l’autre salle
• Caméras de surveillance, braquées sur l’extérieur de la porte informatique ou sur la partie extérieure de la climatisation
• Salle contenant les équipements de surveillance à distance de la salle informatique, console des alarmes par exemple
• Documentations et procédures de redémarrage des équipements de la salle informatique, regroupées dans un classeur du PRA, Plan de Reprise d’Activité, accessible par les personnes habilitées à réinstaller les équipements et les données sauvegardées
• Appareils de programmation des badges ou cartes magnétiques

Ces listes contiennent des exemples pour vous inspirer dans l’aménagement de votre propre salle informatique.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Parefeu : Documenter les responsabilités et les procédures
L’origine du Wifi
Durée d’archivage des documents

Qu’appelle-t-on une faille 0-day ?
Messagerie Comment choisir Fonctionnalités
Moyens mnémotechniques de création de mots de passe

Autres Informatique, Management et Sécurité :

Récapitulatif 12 Informatique
Récapitulatif 12 Management
Récapitulatif 12 Sécurité