Télétravail et cybersécurité : Que faire pour se protéger

6 mesures de cyberprotection pour le télétravail

Environ 40% des entreprises ont mis en place le télétravail dans le but de continuer leurs activités tout en respectant les sécurités sanitaires en période de pandémie et pour protéger leurs salariés des contaminations.

Elles sont confrontées à l’ouverture de leur système d’informations à Internet et à la protection des données indispensables à leur bon fonctionnement.

rencontre internationale pour la cybersécurité

Pire, les attaques de pirates, dont les plus courantes sont :

• Le ransomware, ou demande de rançon pour « libérer » les ordinateurs pris en otage en bloquant l’accès des utilisateurs, ou
• Le phishing, ou hameçonnage, qui dérobe les profils et mots de passe, voire des informations qui permettent d’accès aux comptes bancaires données volontairement par les victimes des arnaqueurs qui se font passer pour une institution, une entreprise ou un ami en peine.

Il convient donc pour les entreprises de mettre en place des mesures de protections à commencer par l’information aux risques auprès de leurs salariés.

1 Charte informatique, numérique ou du télétravail

Il s’agit d’un texte, déposé avec le règlement intérieur, et qui informe les salariés de leurs droits et de leurs devoirs, des bonnes pratiques en matière d’utilisation des outils et des matériels informatiques.

risque de casse en télétravail par les animaux

Le refus de respecter cette charte peut être suivi de sanctions pouvant aller jusqu’au licenciement.

2 La protection du matériel emporté

Le télétravail s’effectue à partir d’un ordinateur, d’une tablette ou autre, connecté à Internet. Que ce matériel appartienne à l’entreprise ou non, ce qui est défini dans la charte numérique, implique la mise en place d’un antivirus, payé et choisi par l’entreprise, qui augmente la protection au-delà de l’antivirus gratuit.

3 Un réseau segmenté

Le télétravail commence par le poste de travail à distance, relié à Internet. Puis, côté entreprise ou directement dans le cloud, c’est-à-dire sur des serveurs appartenant à un fournisseur de services, le lien se fait également par Internet pour accéder aux serveurs qui contiennent les données et les programmes utilisés par l’entreprise.

SSL = protégé par chiffrement

Le cloisonnement consiste à séparer physiquement ou par des programmes spécialisés et à usage exclusif des informaticiens de « maison ». De cette façon, un télétravailleur accède uniquement à la partie du système d’informations qui le concerne et lui interdit le reste.

4 Wi-Fi sécurisé

Ça parait tout bête et pourtant il existe des utilisateurs qui passent par une borne wifi libre, par exemple dans des lieux publics ou par la borne de leur voisin. Or, c’est la porte ouverte à l’espionnage de tout ce qu’ils font sur leur terminal.

Pour éviter d’être à plusieurs sur une connexion wi-fi, il suffit de configurer sa box avec un mot de passe, ce qui est toujours recommandé par le fournisseur d’accès à internet qui fournit la box.

5 Un VPN, ou réseau privé via Internet

Ce travail est celui des informaticiens de l’organisation qui définissent une clé de codage et de décodage. Les utilisateurs travaillent à distance sans savoir que toutes les informations qui circulent dans un sens et dans l’autre de la connexion Internet sont chiffrées par ce système.

exemple connexion de son ordinateur au serveur via Internet

C’est comme la création d’un tunnel à travail la toile (web). Durant tout le cheminement dans les nuages (cloud) les informations sont illisibles. C’est quand elles arrivent à destination, à l’entreprise ou chez le télétravailleur, qu’elles sont rendues lisibles grâce à l’algorithme de décryptage.

6 Supervision des échanges

Le service informatique de l’entreprise doit disposer d’outils de supervision de tout ce qui se passe entre la salle serveur et le télétravailleur.

Cela implique un investissement dans ces outils, qui permettent d’enregistrer et d’analyser tous les échanges d’information, de détecter les anomalies, et d’alerter pour prendre des mesures correctives.

La sauvegarde est indispensable, bien qu’insuffisante. La remontée d’incidents aux informaticiens et l’analyse des anomalies permettent de détecter toute tentative d’accès à des données protégées par des personnes qui n’en ont pas le droit. Ceci en plus de la détection de pannes sur les câbles et appareils.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

RGPD : Le registre des activités de traitement
Sécurité smartphone : Danger avec les paiements par téléphone
Parefeu : Analyser l’activité du parefeu

Comment reconnaître un mail de phishing ou frauduleux
Sécurité des données : Les 7 points capitaux du comportement responsable
PCA et PRA : L’analyse des enjeux et des besoins

CLIQUEZ ICI POUR VISITER NOS ANNUAIRES DE L’EMPLOI

Installer une nouvelle version du système d’exploitation : Le lotissement

Quels lots dans la migration du système d’exploitation informatique ?

Cet article est la suite de cet article.

La granularité est la décomposition du parc d’une manière géographique, telle que l’inventaire du parc la définit.

Les lots sont plus difficiles à définir, car il s’agit de migrer sans interrompre le fonctionnement ou en l’interrompant le plus brièvement possible.
Par exemple, en effectuant la migration durant les périodes de non-utilisation des serveurs, comme la nuit ou les samedis.

Attention, le travail du dimanche est réglementé et souvent impossible sans autorisation.

Décomposition par lots

Pour les lots, vous avez le choix :

• soit décomposer le parc local de telle façon que le service soit toujours possible, selon le principe de migrer une partie du parc puis une autre, etc. jusqu’à la migration complète du lieu,
• soit de procéder plutôt par service et de migrer, par exemple, tous les serveurs de messagerie, puis tous les serveurs d’impression, etc.

Vraisemblablement, ce sera un mixte des deux, car certains serveurs sont centralisés alors que d’autres sont locaux.

Ordre de migration

Le lotissement consiste aussi à définir l’ordre de migration.

• Messagerie, impression, serveurs de données, etc. ou
• service juridique, service client, service logistique, etc. et
• un mixte de tout ça avec un mélange de géographie.

La continuité de service

L’important est d’assurer ses arrières, c’est-à-dire en l’occurrence d’avoir toujours un service qui fonctionne.

Est-ce que pour cela, vous avez besoin de passer par du matériel transitoire, l’ajout provisoire ou définitive de solution de continuité, localement ou à distance ?

Si votre organisation a une solution de repli en cas de sinistre, c’est peut-être l’occasion de vérifier son bon fonctionnement.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

10 risques quand une baie de serveurs est installée hors d’une salle informatique
Service en informatique pas dans la restauration
Conduire le changement

Le MTBF ou temps moyen entre 2 pannes : Second critère de choix après le TCO ou coût total de possession
Différences entre PRA et PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités
BYOD ou AVEC : Définition et limites

Autres Informatique et Management :

Récapitulatif 19 Informatique
Récapitulatif 19 Management

Récapitulatif 15 Sécurité

Depuis le dernier récapitulatif, début juillet 2015, j’ai écrit 77 nouveaux articles, toutes catégories confondues. Le rythme d’écriture reste autour de 3 articles par semaine.

Si vous souhaitez me faire part de sujets à traiter, que vous désirez voir développer, contactez-moi : phgarin@gmail.com

Tous les liens sont regroupés dans la page : Sécurité

Les articles :

Extincteurs : Mode d’emploi
Extincteurs : Comment les distinguer ?
Les 4 classes de feux

Sécurité des données en entreprise : Les 12 bons réflexes
PCA ou Plan de Continuité d’Activité : Par quoi commencer pour en établir un ?
PCA et PRA : L’analyse des enjeux et des besoins
Sécurité des données : Les 7 points capitaux du comportement responsable

Deux-roues : Comment se protéger efficacement
Quelles normes pour les équipements de sécurité des deux-roues motorisés ?
Produits chimiques : Les 9 symboles de danger

Monoxyde de carbone : quoi, où, les dangers
Comment éviter les intoxications au monoxyde de carbone
Agir en cas d’intoxication au monoxyde de carbone

En complément :

Activités dangereuses et prévention associée (Code du Travail Art. R.237-7 AL.1)

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

Autres Sécurité :

Récapitulatifs Sécurité :

  1      3      5      6      7      8      10      12      14  

Tous les billets de cette catégorie sont listés dans la page Sécurité de la page Autres catégories

Sans oublier les sondages

Récapitulatif 15 Organisation

Depuis le dernier récapitulatif, début juillet 2015, j’ai écrit 77 nouveaux articles, toutes catégories confondues. Le rythme d’écriture reste autour de 3 articles par semaine.

Si vous souhaitez me faire part de sujets à traiter, que vous désirez voir développer, contactez-moi : phgarin@gmail.com

Tous les liens sont regroupés dans la page : Organisation

Les articles:

Description des besoins : La Méthode DIC

Gérer les insatisfactions des clients
La relation commerciale : source d’insatisfactions
Insatisfaction client : Les causes financières

Productivité: Une seule action à la fois
Efficacité : Tenez compte de vos préférences au travail
Productivité : Travaillez tous les jours, sans exception

Efficacité : 30 jours pour une nouvelle habitude
Efficacité : Agir régulièrement pour se sentir bien
Productivité : La force de la volonté est limitée

Productivité : le coeur et l’esprit en harmonie
Productivité : Ignorez les « mange temps »
Les bases de la productivité 2/4 : Les habitudes

En complément :

PCA ou Plan de Continuité d’Activité : Par quoi commencer pour en établir un ?
PCA et PRA : L’analyse des enjeux et des besoins

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

Autres Organisation :

Récapitulatifs Organisation :

 1    2    3    4    5    6    7    8    10    11    12    14 

Tous les billets de cette catégorie sont listés dans la page Organisation

Sans oublier les sondages

PCA et PRA : L’analyse des enjeux et des besoins

Pour mettre en place un PCA, Plan de Continuité d’Activité ou un PRA, Plan de Reprise d’Activité, il faut décrire les besoins et les enjeux pour l’entreprise.

Chaque entreprise, même au sein d’une même branche, a des besoins et des enjeux différents des autres entreprises.

Certes, elles ont des points communs : par exemple, les entreprises de distribution alimentaire ont besoin d’avoir au moins une caisse enregistreuse en bon état de marche en permanence. Toutefois les enjeux sont différents selon qu’il s’agisse d’une boulangerie ou d’une épicerie, sans parler des grandes surfaces qui disposent de nombreuses caisses.

L’analyse des besoins et l’analyse des enjeux sont deux analyses qui vont de pair pour définir la criticité et l’impact d’un dysfonctionnement du système d’information sur le fonctionnement de l’organisation.

L’analyse des besoins

L’analyse des besoins permet de découper l’organisation en plusieurs principaux processus métiers, par exemple vente au comptoir, stockage, fabrication, comptabilité, site internet de e-commerce, etc.

Pour chacun d’eux, l’analyse des besoins informatiques par la méthode DIC, permet de lister les éléments de l’infrastructure informatique et les besoins en informatisation des processus fonctionnels, selon les critères de disponibilité, d’intégrité et de confidentialité du système d’information.

L’analyse des enjeux

L’analyse des enjeux permet de :

Définir les scénarii de risques. Par exemple : épidémie de grippe parmi le personnel, impossibilité de connexion à Internet, piratage de données clients,

D’évaluer l’impact de chaque scénario sur le fonctionnement de l’entreprise. Par exemple : Production en baisse, perte du CA ou non conversion d’un prospect en client.

Besoins et enjeux ensemble

La convergence des besoins en informatique (physique) et informatisation (données et programmes) avec les enjeux pour les dirigeants de l’entreprise et les responsables de service, va associer :

Chaque besoin DIC aux éléments concernés de l’infrastructure informatique et des applications

Chaque enjeu pour l’organisation à des besoins de sécurisation de ces mêmes éléments du système d’information

En résultat, on obtient pour chaque élément de l’infrastructure informatique et de télécommunication, un degré de criticité, plus ou moins important selon les enjeux pour le bon fonctionnement de l’organisation.

C’est alors que la phase suivante de la définition d’un PCA ou/et d’un PRA peut démarrer : L’audit des vulnérabilités

Philippe Garin, plus de 20 ans de management en entreprise

Pour des conseils en sécurisation de votre système d’informations, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Lexique informatique
Identification Exigence de conservation des données
Choix par évaluation de projet

Vérification des comptabilités informatisées (code des impôts)
Open space : des solutions matérielles
Démission d’un salarié = fuite d’informations : Comment s’en prémunir

Autres Informatique, Management, Organisation et Sécurité :

Récapitulatif 14 Informatique
Récapitulatif 14 Management
Récapitulatif 14 Organisation
Récapitulatif 14 Sécurité

PCA ou Plan de Continuité d’Activité : Par quoi commencer pour en établir un ?

Comment démarrer un PCA ?

En tant que Responsable de la Sécurité Informatique ou équivalent, c’est à vous que votre entreprise demande d’établir un PCA, un Plan de Continuité d’Activité.

Brusquement, une inondation est venue bloquer l’accès aux locaux, ou bien une entreprise voisine a eu une coupure de courant ou d’accès à Internet alors qu’elle utilise le Cloud et votre chef d’établissement s’inquiète de ce qui pourrait arriver dans son entreprise.

Lorsqu’un projet de cette envergure se déclenche, c’est un peu la panique à bord : Par quoi commencer ?

Commencer par faire comprendre aux décideurs que ce processus est un processus de longue haleine, bien que vous ayez des idées qui vous viennent immédiatement à l’esprit.

Bien qu’il existe des normes de sécurité ISO pour plusieurs sujets et diverses méthodes, chaque processus de développement du manuel PCA, en tant que tel, est différent d’une entreprise à l’autre en raison des besoins parfois très différents,  ainsi que je l’explique dans cet article.

PCA et PRA : même combat ?

Certaines mesures peuvent être communes entre un PCA et un PRA, bien qu’elles soient généralement différentes.

La plupart des mesures d’un PCA sont préventives et d’une action immédiate en cas d’indisponibilité de tout ou partie du système d’information alors que celles d’un PRA sont curatives et de plus grandes ampleurs en cas de sinistre.

Première ébauche

Une première ébauche par étape est décrite dans cet autre article : c’est une démarche par étape que je vous propose et qui est universelle; C’est ce qu’il y a de plus standard.

Je vous recommande d’être le plus pragmatique possible. Cherchez les questions et vous trouverez facilement les réponses, puis vous établirez la liste des mesures à prendre ainsi que leurs coûts et délais de mise en place.

Premières questions

Tout d’abord, quel est le secteur d’activité de cet établissement ?

Les besoins sont différents d’un secteur à l’autre.

Par exemple, si vous travaillez avec des produits dans l’ultra froid ou si vous proposez uniquement des services à vos clients, les besoins de protections et de mesures de continuité d’activité sont complètement différentes.

Quels sont l’environnement et la position géographique de l’établissement ?

Les conditions sismiques et météorologiques influent sur les risques à couvrir. Trop chaud, trop froid, trop humide, trop sec, trop remuant, trop loin de tout, etc.

Que se passerait-il, si … ? ou que s’est-il passé quand … ?

Futur ou Passé, votre expérience et celles des autres du même secteur professionnel ou secteur géographique, va vous donner l’occasion de trouver les bonnes questions.

Utilisez des méthodes de brainstorming ou remue-méninges ou autres Méthodes et outils de résolution de problèmes.

Philippe Garin, plus de 20 ans manager en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Définitions de PRA et de PCA
PCA : des besoins très différents
Redémarrer après une panne

Conditions pour restaurer ses données
Schéma général d’un PRA
Protection de la salle informatique : Les mesures

Autres Informatique, Management, Organisation, Sécurité :

Récapitulatif 14 Informatique
Récapitulatif 14 Management
Récapitulatif 14 Organisation
Récapitulatif 14 Sécurité

Description des besoins : La Méthode DIC

Méthode DIC de description des besoins

Pour tout projet informatique, il est indispensable de bien décrire les besoins afin de trouver la solution, achat, développement ou un mixte des deux, qui va répondre aux besoins.

Encore faut-il que les besoins soient bien décris et compris.

La méthode DIC est une aide à la rédaction des besoins informatiques :

DIC = Disponibilité, Intégrité, Confidentialité

Où

Disponibilité

C’est la qualité d’une ressource informatique à être utilisable à la demande.

La disponibilité permet aux utilisateurs, selon leur niveau d’autorisation, d’accéder aux ressources du système d’information, tant informatiques (réseau, imprimante, etc.) que des informations (fichiers, programmes, etc.) et aux moments qu’ils ont choisis.

La disponibilité suppose la suppression de toute panne ou la mise en place de relais en cas de panne : PCA et PRA

Intégrité

C’est la qualité d’une ressource informatique à résister à l’altération, à la destruction par accident ou malveillance. C’est l’assurance que les données sont inchangées durant le transport ou dans le fichier d’origine.

Exemples : L’intégrité des données permet de s’assurer que les données d’un tableau de bord de pilotage sont correctes et bien issues des bases de données que l’on souhaite.

Confidentialité

C’est la qualité d’une ressource informatique à être connue uniquement par les personnes autorisées

Seules les personnes autorisées ont accès à l’information d’origine ou transmise au destinataire.

Les deux techniques les plus utilisées sont l’accès par mot de passe et le chiffrement des données avec clé de décryptage connue seulement de l’émetteur et du récepteur (messagerie, accès à distance, etc.)

Finalité de la méthode DIC

Le principe de la méthode DIC est de poser les questions relatives à la disponibilité, à l’intégrité et à la confidentialité d’un point de vue purement informatique.

Le champ d’application de cette méthode est large.

D’un côté, la description des besoins fonctionnels est indépendante de la description des besoins DIC. Tous les projets qui touchent à l’informatique ou/et au système d’information sont concernés, quel que soit de domaine fonctionnel de l’entreprise.

De l’autre, la description des besoins par la méthode DIC permet de rédiger des cahiers des charges pour des logiciels ou progiciels, des études de risques et de sécurité informatique (physique) et de systèmes d’information (immatériel).

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Lexique informatique
Identification Exigence de conservation des données
Choix par évaluation de projet

Vérification des comptabilités informatisées (code des impôts)
Open space : des solutions matérielles
Démission d’un salarié = fuite d’informations : Comment s’en prémunir

Autres Informatique, Management, Organisation et Sécurité :

Récapitulatif 14 Informatique
Récapitulatif 14 Management
Récapitulatif 14 Organisation
Récapitulatif 14 Sécurité

Salle informatique : Les autres équipements utiles

Les autres équipements dans la salle informatique

La salle informatique contient d’autres équipements que les dispositifs anti-incendie, la climatisation, l’électricité ou les armoires de brassage et les câblages.

Sommaire :

Les mesures de protection de la salle informatique

1. Porte spéciale
2. Dispositif anti-incendie
3. Climatisation
4. Électricité
5. Armoires, câblage, serveurs
6. Divers autres équipements

A prévoir dans la salle informatique

• Table et chaises pour les personnes habilitées à pénétrer dans la salle informatique et qui ont à y travailler
• Meubles à roulettes pour éviter la production d’électricité statique, contenant des appareils de réparation et outillage, tournevis, pinces, câblage de brassage, bracelets antistatiques à mettre pour toute intervention, ventouse pour soulever les plaques du faux-plancher, etc.
• Thermomètre et hygromètre
• Détecteur de radiation, éventuellement
• Extincteurs manuels, à utiliser uniquement sur tout départ de feu en dehors des équipements informatiques ou électrique, inutiles avec un bon système anti-incendie
• Plan des équipements présents dans la salle informatique avec numérotations
• Cahier papier sr lequel chaque intervenant dans la salle informatique doit donner la date et l’heure d’arrivée et de départ, le nom des personnes présentes dans la salle et le motif de leur présence
• Liste des personnes habilitées à pénétrer dans la salle informatique

A exclure de la salle informatique

• Poubelle, celle-ci doit être impérativement à l’extérieur pour éviter la présence de déchets inflammables
• Stockage de papier et de matériels de remplacement
• Supports de stockage des sauvegardes, à mettre dans une armoire ignifugée dans une autre salle protégée elle aussi et suffisamment éloignée pour qu’un incendie dans une des salles ne puisse endommager l’autre salle
• Caméras de surveillance, braquées sur l’extérieur de la porte informatique ou sur la partie extérieure de la climatisation
• Salle contenant les équipements de surveillance à distance de la salle informatique, console des alarmes par exemple
• Documentations et procédures de redémarrage des équipements de la salle informatique, regroupées dans un classeur du PRA, Plan de Reprise d’Activité, accessible par les personnes habilitées à réinstaller les équipements et les données sauvegardées
• Appareils de programmation des badges ou cartes magnétiques

Ces listes contiennent des exemples pour vous inspirer dans l’aménagement de votre propre salle informatique.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Parefeu : Documenter les responsabilités et les procédures
L’origine du Wifi
Durée d’archivage des documents

Qu’appelle-t-on une faille 0-day ?
Messagerie Comment choisir Fonctionnalités
Moyens mnémotechniques de création de mots de passe

Autres Informatique, Management et Sécurité :

Récapitulatif 12 Informatique
Récapitulatif 12 Management
Récapitulatif 12 Sécurité

PCA Plan de continuité d’activité : des besoins très différents

Le PCA est unique et personnalisé

Le Plan de Continuité d’Activité pour une entreprise ou une organisation est obligatoirement unique et personnalisé.
Même les entreprises d’un même secteur professionnel, avec un établissement dans la même zone géographique, de même taille et avec des produits similaires ont chacune des PCA différents.

Chaque entreprise a ses priorités, ce qui est important pour une entreprise peut être différent de ce qui est important pour une autre entreprise.

Exemple, pour une entreprise de distribution

C’est le client qui passe à la caisse, dépose ses produits, ses produits sont enregistrés, figurent sur la facture et le client part après avoir payé sa facture.

Dans un tel cas de figure, le plan de continuité, comme le PRA ou Plan de Reprise d’Activité, doivent répondre immédiatement en cas de sinistre,

• soit par une solution informatique de secours qui prend le relais immédiatement et automatiquement,
• soit par une procédure dégradée, c’est-à-dire que la facture est faite manuellement, quitte à créer une procédure pour saisir manuellement (au lieu de la caisse enregistreuse) la sortie de stock, le prix de chaque produit, le montant de la facture, le mode de paiement, etc.

Exemple, pour une entreprise qui fabrique des produits sur mesure

Lorsque les produits sont de très haute technicité, l’entreprise a besoin impérativement de pouvoir établir des devis avec tous les documents techniques en pièces jointes issus de calculs mathématiques compliqués et longs, et de dessins techniques de CAO (Conception assistée par ordinateur).

Il est évident que, dans un tel environnement, la sécurité par des disques en RAID 1 doit être mis en place sur les machines de calcul, qu’un SAN soit mis en place pour les sauvegardes et qu’au moins une machine de même puissance soit disponible en permanence en guise de machine de remplacement.

RAID 1

Le RAID 1 est la duplication immédiate et automatique d’un disque interne d’un ordinateur sur un autre disque, de telle façon qu’il existe toujours une version non endommagée des données en cas de problème physique sur l’un des deux disques. Il s’agit d’une solution de sécurité du poste de travail.

SAN

Le SAN est un système qui permet aussi une duplication du disque dur d’un PC, sur un disque externe, placé généralement dans une salle informatique. Le SAN permet la duplication de disques durs de plusieurs PC d’un réseau informatique local.

Les mesures propres à chacun

Selon les priorités que l’entreprise définit et le budget que la Direction accorde, les mesures de protection et de continuité de l’activité sont différentes.

Elles seront différentes aussi en raison de l’évaluation des risques auxquels l’organisation est soumise.

Si la rigueur et la fermeté manquent dans l’application des mesures préventives de sécurité, alors le risque de pannes, de casses, de vol augmentera d’autant.

• Sans charte informatique, tous les abus sont possibles.
• Sans contrat d’assurance, les coûts seront augmentés.
• Sans réunion d’information pour le personnel, les consignes seront moins prises au sérieux.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Sauvegarde : Premiers pas vers la Reprise d’Activité (PRA)
Pare-feu : Documenter les responsabilités et les procédures
Sécurité informatique : 1 milliard de dollars volé

Liste de mesures de sécurité informatique
Menace – Vulnérabilité – Risque
Redémarrer après une panne : 74% des entreprises sont mal préparées

Autres Sécurité et Informatique :

Récapitulatif 12 Informatique
Récapitulatif 12 Sécurité

Poste de travail vacant : Pallier aux causes extérieures

La vacance du poste de travail : Pallier aux causes extérieures

En dehors de la maladie, d’un accident et même du décès d’un (e) salarié (e), d’autres causes extérieures peuvent rendre un poste vacant.

Plus précisément, si les premières causes rendre un seul poste vacant, sauf épidémie, les causes extérieures génèrent une interruption d’activité de plusieurs postes de travail, jusqu’à la totalité de l’entreprise.

Il convient alors de préparer un plan de continuité de l’activité.

Sommaire :

La vacance du poste de travail : Les causes
Poste de travail vacant : Les besoins PRÉVISIBLES de transition
Poste de travail vacant : Les besoins de transition des causes IMPRÉVISIBLES
Exemples de mesures de transition en cas de poste vacant
La vacance du poste de travail : Pallier aux causes extérieures

Il s’agit, pour chaque cause potentielle d’interruption, de lister les mesures, dans le détail, de façon à permettre le fonctionnement du poste de travail dans les meilleures conditions, sachant que celles-ci sont, de toute façon, dégradées par rapport au fonctionnement habituel du poste et de l’entreprise.

Exemple en cas de mouvements sociaux

grève, blocus, enlèvement de cadres, prise en otage des locaux, etc. :

• Déplacer l’activité sur un autre établissement, délocaliser le personnel ou/et les outils de travail
• Embaucher, à titre provisoire des remplaçants aux personnes indisponibles
• Etc.

Exemple en cas de panne matérielle

du poste de travail ou qui empêche le bon fonctionnement du poste de travail :

• Mettre en place une climatisation, un générateur d’électricité, un stock de pièces détachées de remplacement
• Passer des accords avec des fournisseurs pour des livraisons expresses de matériels ou/et de matières premières

Ne confondez pas Plan de continuité de l’activité ou PCA avec Plan de reprise d’activité ou PRA.

Le premier a pour objectif de faire en sorte que l’activité de l’entreprise continue, malgré une situation dégradée.

Le second a pour objectif de relancer l’activité interrompue de l’entreprise suite à un sinistre.

Dans le premier cas, l’information (papier, informatisée) et les flux physiques (produits, services) continue à être actifs alors que dans le second, il y a interruption, puis reprise des informations perdues et de l’activité perdue d’avant le sinistre et durant le sinistre, jusqu’à reprise complète de l’activité.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Conflit entre salarié et employeur : Les intervenants
Différences entre PRA et PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités
H1N1 Définitions de PRA et de PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités

Redémarrer après une panne : 74% des entreprises sont mal préparées
Comment structurer une entreprise ou une organisation
10 domaines d’analyse et d’activités stratégiques internes dans une entreprise

Autres Management et Organisation :

Récapitulatif 11 Management
Récapitulatif 11 Organisation
Récapitulatif 11 Emploi

Redémarrer après une panne : 74% des entreprises sont mal préparées

Le plan de reprise d’activité est inexistant ou inefficace pour 74% des entreprises européennes

redémarrer

C’est ce que révèle une étude d‘EMC, portant sur 1750 entreprises. Les sociétés européennes ne sont pas prêtes à redémarrer en cas de panne. Certains peuvent même disparaître à la suite d’une défaillance, faute de s’y être préparé, ou même d’y avoir sérieusement envisagé.

Les 3/4 des entreprises interrogées pensent être en mesure de redémarrer leurs activités facilement après une panne informatique.

Les pannes les plus fréquentes sont

• Les pannes matérielles (61%)
• Les coupures de courant (42%)
• La corruption de données (35%)

A cause des pannes déjà intervenus, plus de 50% des entreprises sondées déclarent avoir perdu des données.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Sauvegarde : Premiers pas vers la Reprise d’Activité (PRA)
Sauvegarde : Comment les données sont-elles sauvegardées ?
Conditions pour restaurer ses données

Les paramètres de la maturité des systèmes d’information
Menace – Vulnérabilité – Risque
Différences entre PRA et PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités

Autres Informatique et Sécurité :

Récapitulatif 4-1 Informatique
Récapitulatif 7 Informatique
Récapitulatif 7 Sécurité

Tous les articles de ces catégories sont listés dans la page Informatique et la page Sécurité de la page Autres catégories

Conditions pour restaurer ses données

Lorsque l’on subit un sinistre, même limité à un seul fichier perdu ou inaccessible, la copie du support de sauvegarde vers le disque dur, sensé contenir le fichier perdu, s’appelle une restauration.

La Reprise d’activité commence donc par la sauvegarde qui permet d’effectuer une restauration des données.

Et encore, faut-il avoir répondu à certaines conditions :

1. Le système et le programme qui a permis la sauvegarde est-il toujours opérationnel ?
    
2. Existe-il toujours un lecteur qui accepte de lire le support de sauvegarde ?
   Ex : les données sont sur une bonne vieille disquette, mais le lecteur ne lit que des DVD !
    
3. La donnée a-t-elle été correctement et entièrement sauvegardée ?
    
4. Si la donnée  est répartie sur plusieurs supports, sont-ils tous là ?
   Et dans quel ordre devront-ils être introduits dans le lecteur ?
    
5. Le support de sauvegarde a-t-il conservé les données en bon état ?
   Lumière, chaleur, radiation, poussière, froid, humidité, oxydation, sont tous des phénomènes qui endommagent les supports de sauvegarde.
    
6. Le mode de fonctionnement du logiciel de restauration est-il oublié ?
   Sa documentation, son fournisseur existent-ils encore ?
    
7. Le support de sauvegarde est-il accessible ?
   Mis à la banque, la banque est fermée.
   Mis dans votre tiroir, celui-ci a brûlé en même temps que votre table.
   Mis dans un coffre ignifuge, les pompiers vous interdisent l’accès au bâtiment !
    
8. Votre ordinateur, votre tablette, votre PM3 ou PM4, votre appareil photo, votre téléphone, sont-ils toujours disponibles sur le marché pour vous permettre d’acheter le matériel de remplacement et d’utiliser la même version de système et la même version du logiciel de sauvegarde que sur votre appareil qui vient de vous lâcher ?
    
9. Vous y connaissez-vous suffisamment pour vous débrouiller par vous-même alors que votre informaticien maison, votre voisin, votre collègue, celui qui « sait » est parti en vacances à l’autre bout du monde ou a quitté l’entreprise ?
   Plus les logiciels utilisés sont complexes et plus les procédures de restauration sont aussi complexes.
    
10. Les données sont sauvegardées sur Internet.
    Votre ligne de télécommunication a-t-elle été reconstruite ?
    A-t-elle un débit suffisant pour la restauration ?
     
11. Vous faut-il tout restaurer alors que vous n’avez besoin que d’un seul fichier ?
    Et sur lequel des nombreux supports se trouve-t-il donc ?
     
12. La sauvegarde incrémentale s’est parfaitement déroulée.
     
13. Il faut reprendre la dernière sauvegarde intégrale et toutes les sauvegardes incrémentales qui ont eu lieu depuis, les restaurer les unes après les autres dans l’ordre pour reconstituer les données perdues ou endommagées.
     
14. Tous les supports sont-ils là, numérotés, documentés, accessibles, en bon état ?
     
15. Le virus qui a endommagé vos données, se trouve-t-il aussi sur la dernière sauvegarde ? La précédente  ?
    De quand date la dernière sauvegarde intacte et avec des données pas trop anciennes pour être exploitables ?

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Sauvegarde : Premiers pas vers la Reprise d’Activité (PRA)
Sauvegarde : Comment les données sont-elles sauvegardées ?
Les règles d’or de la sauvegarde

Schéma général d’un Plan de Reprise d’Activité
H1N1 Définitions de PRA et de PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités
Différences entre PRA et PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités

Autres Sécurité :

Récapitulatif 5 Sécurité
Récapitulatif 7 Sécurité

Tous les articles de cette catégorie sont listés dans la page Sécurité de la page Autres catégories

Sauvegarde : Premiers pas vers la Reprise d’Activité (PRA)

Le Plan de Reprise d’Activité commence par la sauvegarde

Un constat : beaucoup de données ne sont pas sauvegardées

Les particuliers sont les plus mauvais élèves.
Les entreprises sont guère meilleures : plus elles sont petites et plus elles sont mal à l’aise avec la sauvegarde.

A part ceux qui ont déjà eu une perte partielle ou totale de leurs données et qui se sont procurés un disque dur externe pour effectuer leurs sauvegardes, les particuliers sont extraordinairement mal équipés, mal informés et souvent très négligents.

Ils s’imaginent que les données étant présentes sur le disque dur de leur PC, elles seront toujours accessibles, puisqu’ils ont mis, du moins les plus avertis, un antivirus qui protège donc leurs données.

Jusqu’au jour où ils se rendent compte qu’ils ne peuvent plus ouvrir un fichier, puis deux, puis une application et quand il s’agit d’un fichier ou d’un programme de leur système, Windows, Internet ou Lecteur de musique, alors et seulement alors, ils se préoccupent des sauvegardes, mais un peu tard.

Une TPE, une PME, se donnent un peu plus de mal, car leur entreprise utilise des logiciels de gestion qu’un particulier n’utilise pas.
Comme la disparition ou un dysfonctionnement d’un ordinateur ou d’un logiciel, ou l’indisponibilité d’une donnée, alors ils s’équipent de logiciels de sauvegarde et d’un système physique de sauvegarde, disque dur externe ou second ordinateur en réseau avec le premier.

La tentation est de gagner du temps, alors seule une partie des données est sauvegardée : les fichiers, et parfois aussi les programmes.

Cela est insuffisant !

A quoi cela vous sert d’avoir sauvegarder toutes vos données, si pour y accéder il faut un mot de passe et que vous avez omis de le sauvegarder tous les mots de passe de votre système ?

Et vos mails ? Sont-ils aussi sauvegardés ?

Et votre site web, il est sur un serveur dédié. Très bien, et si l’hébergeur subissait un sinistre ? Il a sa sauvegarde.
Combien de temps lui faut-il pour restaurer et remettre votre site en ligne ?

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Sauvegarde : Comment les données sont-elles sauvegardées ?
Conditions pour restaurer ses données
Schéma général d’un Plan de Reprise d’Activité

Sauvegarde : Un pirate détruit 4800 sites
Indicateurs de sécurité Exemples
Parefeu ou firewall : Définition

Autres Sécurité :

Récapitulatif 5 Sécurité
Récapitulatif 7 Sécurité

Tous les articles de cette catégorie sont listés dans la page Sécurité de la page Autres catégories

Différences entre PRA et PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités

Différences entre PRA et PCA

Le PCA, Plan de Continuité d’Activités

Mes mesures présentes dans un PCA font état d’une escalade. Par exemple, en fonction du nombre de personnes touchées par la grippe. Plus le motif de l’interruption de l’activité est important et plus les mesures à prendre par le responsable deviennent importantes et coûteuses. Voici quelques exemples.

La première étape

consiste à faire faire le travail d’un absent par ses collègues.

La seconde étape

consiste à faire faire le travail par les absents non malades mais coincés chez eux pour garder leurs enfants ou parce qu’ils n’ont plus de moyens de transport. Dans ce cas, le télétravail semble une option intéressante. L’absence du personnel indisponible peut aussi être compensé par du personnel extérieur dans la mesure où il est qualifié et où lui-même est disponible.

La troisième étape

est la réduction du travail, c’est-à-dire de la production ou des services, qui ne peuvent plus être assurés par le personnel disponible, même issu d’autres services.

La quatrième et dernière étape

consiste à cesser temporairement l’activité, en prévenant ses partenaires, clients et fournisseurs. Dans tous les cas, une cellule de crise gère ces indicateurs et prend les décisions qui conviennent, tant pour l’escalade des étapes que pour la désescalade et le retour à la normale.

Le PRA, Plan de Reprise d’Activités

Pour un PRA, il s’agit d’une cessation immédiate et brutale de l’activité de l’entreprise suite à un sinistre. Un conflit social qui empêche d’accéder au lieu de travail est aussi assimilé à un sinistre.Une évaluation préalable doit permettre de connaître la durée maximale supportable par l’entreprise de l’arrêt de son système d’informations. Pas plus de quelques poignées de seconde dans le cas d’un magasin avec des caisses enregistreuses.

Un PRA est coûteux en fonction des mesures à prendre.

Le téléphone portableprésente l’avantage d’être indépendant des moyens présents en entreprise. Si le standard téléphonique tombe en panne, le téléphone portable prend le relais.

La redondance de matérielsinformatiques est une bonne mesure, quand l’entreprise a les moyens de mettre en place le doublement des dispositifs physiques : serveurs, switchs.

Les protections contre les coupures électriques, la foudre sont aussi au catalogue des mesures.

Cependant, il reste des domaines difficiles à mettre en œuvre : deuxième salle informatique dans un lieu suffisamment éloigné du premier en cas de gros sinistre (incendie, conflit social, etc.), accès aux réseaux publics de téléphonie et d’Internet, câblage dans les locaux, groupe électrogène.

Pour ces gros investissements en infrastructure, il est possible de faire appel à des sociétés spécialisées, qui mutualisent leurs moyens entre plusieurs clients. Elles proposent aussi, parfois, des locaux pour héberger le personnel dont les activités sont indispensables à la survie de l’entreprise. L’hébergement du personnel et des systèmes d’informations dure ce que dure la résolution du conflit, la réparation ou la reconstruction de l’infrastructure de l’entreprise.

Plus cette durée est longue, plus le risque de disparition de l’entreprise est important.
Attention, cela suppose que le temps entre la dernière sauvegarde des données et des programmes de l’entreprise et le moment du sinistre soit le plus court possible.

La première tâche du personnel sera de reconstituer les données perdues, à condition que les supports qui permettent de les créer existent encore, c’est-à-dire que le papier, chèque, courrier, etc. ne soient pas détruits ou inaccessibles dans le sinistre.

Le PCA, comme le PRA, doivent impérativement être testés, testés et re-testés, à froid avant la crise. Des adaptations sont indispensables au cours du temps car les systèmes d’information et le personnel au sein d’une entreprise évoluent en permanence.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

H1N1 Définitions de PRA et de PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités
Moyens de protection d’accès à mon PC
Les règles d’or de la sauvegarde

Schéma général d’un Plan de Reprise d’Activité
PCA et PRA : L’analyse des enjeux et des besoins
PCA ou Plan de Continuité d’Activité : Par quoi commencer pour en établir un ?

Autres Sécurité :

Récapitulatif 5 Sécurité

H1N1 Définitions de PRA et de PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités

Définitions de PRA et de PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités

Ces deux acronymes se ressemblent et pourtant l’un ET l’autre sont très importants pour la survie d’une entreprise.

Un Plan de Reprise d’Activités ou PRA

est un ensemble de mesures qui permettraient à une entreprise de reprendre son activité après un sinistre.
Le mot sinistre est ici à prendre dans le sens donné par les compagnies d’assurances.
Un sinistre peut ainsi être une grosse panne qui paralyse un système d’information au-delà du supportable, et donc pas seulement un incendie.

Un Plan de Continuité d’Activité ou PCA

est un ensemble de mesures qui permettraient à un entreprise de poursuivre son activité pendant un sinistre.

La différence est notable car, dans ce dernier cas, l’entreprise ne cesse pas son activité.
Elle est contrainte, pour la totalité ou pour une partie de son activité, de faire travailler différemment de son fonctionnement habituel.

C’est pourquoi, les mesures à prendre en cas de pandémie de grippe H1N1 font partie d’un PCA et non pas d’un PRA.

Toutefois, elles peuvent aussi être dans le catalogue des mesures d’un PRA.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Différences entre PRA et PCA, Plan de Reprise d’Activités et Plan de Continuité d’Activités
Les règles d’or de la sauvegarde
Schéma général d’un Plan de Reprise d’Activité

Menace – Vulnérabilité – Risque
Liste des risques de sécurité informatique
Vaccination : Le calendrier de 10 vaccins

Autres Sécurité :

Récapitulatif 3 Sécurité
Récapitulatif 5 Sécurité