Cybercriminalité : Protéger son système d’information

Protéger ses données et ses programmes contre une attaque

Des dizaines de formes de malware ou logiciels malveillants, en français, existent. Leurs auteurs sont soit des criminels qui ont ajouté de la diversification dans leurs activités dans le but de vous voler, soit des professionnels de grandes entreprises ou d’États dans des buts d’espionnage industriel ou politique.

Le pirate amateur a été relégué aux oubliettes de l’Histoire, tant les protections numériques se sont sophistiquées.

L’ANSSI, L’Agence Nationale de Sécurité des Systèmes d’Information, est l’autorité française en matière de protection des SI. Elle préconise 5 mesures à mettre en place en priorité, par les entreprises, les administrations, les associations et par les particuliers.

1 L’authentification renforcée

L’authentification renforcée par souvent par une double authentification.

Par une application va utiliser plusieurs moyens de vérifier que vous êtes bien autorisé à accéder au système d »information.

Cela passe par un profil et un mot de passe, un captcha, ainsi qu’un code envoyé par SMS ou dans un boîte-aux-lettres, une question dont la réponse n’est connue que de vous seul, ou encore une application sur votre smartphone dédié à la vérification, ou bien une carte numérique qui change de code toutes les dix secondes en harmonie avec le serveur à distance.

Bien entendu, tous les mots de passe et codes divers doivent être uniques pour chaque application et changés régulièrement pour déjouer les pirates qui utilisent des techniques comme la méthode Brute force qui consiste à tester toutes les combinaisons de caractères pour trouver les mots de passe.

2 Un supervision de la sécurité renforcée

Tous les points d’entrée vers votre système d’information doivent être placés sous surveillance, à la fois par des logiciels spécialisés et par des humains qui supervisent les résultats des analyses de ces logiciels.

Toute anomalie doit faire l’objet d’une vérification, pour découvrir si la tentative de pénétration dans le SI est le fait d’une erreur de saisie d’une personne habilitée ou d’une tentative d’intrusion pour nuire.

exemple de logiciels antivirus

Les antivirus font partie de ces logiciels.

3 Des sauvegardes renforcées

Sauvegarder ses programmes et ses données est un processus indispensable.

Il s’agit de dupliquer le système d’information sur des supports extérieurs, sur supports magnétiques amovibles, comme des disques durs externes, des clés USB, selon la quantité d’informations, ou encore des serveurs externes voire dans un espace virtuel sur internet.

Cette dernière recommandation est valable uniquement pour des données non-sensibles uniquement.

Les données sauvegardées sont alors stockées ailleurs que dans le système d’information principal, détachées. Elles sont conservées le temps nécessaire, en autant de supports que nécessaire à une éventuelle restauration.

Restaurer des informations consiste à remplacer celles du système principal, serveur interne ou externe, par celle de la sauvegarde, lorsqu’elles ont disparues ou ont été modifiées par une attaque.

Dans les organisations, sauvegarde et restauration doivent être testées régulièrement pour vérifier le bon fonctionnement de l’une et de l’autre sans attendre d’une véritable attaque. L’idée est de reconstruire système, programmes et données le plus vite possible après une attaque.

4 La criticité et les priorités renforcées

Plus une information est critique pour la survie et le bon fonctionnement du système d’information, plus elle sera prioritaire dans sa protection, dans les moyens mis en œuvre pour s’assurer que tout va bien.

Par exemple, la sauvegarde d’un logiciel que l’on peut se procurer à tout moment auprès d’un fournisseur a un sens dans la mesure où le paramétrage du logiciel est plus ou moins important. Cette sauvegarde sera à faire après chaque changement de paramètre pour avoir toujours la dernière version.

Cependant, ce sont les données qui sont quotidiennement, voire plusieurs fois par jour, à sauvegarder.

Les antivirus et autres logiciels de protection sont aussi à tenir à jour aussi souvent que possible, de façon à se protéger des derniers logiciels malveillants inventés par les hackers.

5 Un dispositif de crise renforcé

La formation et la sensibilisation du personnel interne et intervenants partenaires extérieurs doivent être régulièrement effectuées. L’être humain est le maillon faible de la chaîne de protection des systèmes d’information.

Selon l’urgence et le type d’attaque, les intervenants seront différents. De véritables partenaires avec des contrats, pour une organisation, à la simple localisation d’un dépanneur près de soi, pour un particulier. Tous les cas de figure existent.

La durée d’une intervention, le délai de remise en état d’un système d’information sont, avec la pérennité des intervenants, les principaux critères de choix d’un partenaire.

Bien entendu, un plan de reprise d’activité et un plan de continuité d’activité sont indispensables, coûteux et à tester régulièrement, sans compter une bonne police d’assurance.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Télétravail et cybersécurité : Que faire pour se protéger
Alerte au piratage 1/2
Passage de la douane avec un ordinateur 4/4 : Après le séjour

Indicateurs de sécurité Exemples
Loi n° 2006-64 du 25 mars 2007 sur la Conservation des données
Liste des risques de sécurité informatique

CLIQUEZ ICI POUR VISITER NOS ANNUAIRES DE L’EMPLOI

Compétences numériques : Sécurité informatique

Le summum des problèmes vient des autres. Déjà, résoudre des problèmes numériques nécessite certaines compétences.

La sécurité sert à prévenir des attaques de toutes sortes que, par jeu ou par malveillance, menacent l’intégrité de vos données, de vos applications et de vos matériels informatiques.

Pourtant, certaines règles simples permettent de se protéger et de résoudre des problèmes liés à la sécurité informatique. C’est l’occasion d’augmenter ses chances en utilisant le CV européen pour montrer son savoir-faire.

Voici une grille pour découvrir comment vous vous en sortez.

Utilisateur élémentaire

• Je peux prendre des mesures simples pour protéger mes appareils (par ex. en utilisant des anti-virus ou des mots de passe).
• Je sais que l’information disponible en ligne en ligne n’est pas toujours fiable.
• Je sais que mon identité numérique (identifiant et mot de passe) peuvent être volés.
• Je sais que je ne dois pas dévoiler d’information privée en ligne.
• Je sais qu’une utilisation intensive des technologies numériques peut nuire à ma santé.
• Je prends des mesures simples pour économiser l’énergie.

Utilisateur indépendant

• J’ai installé des programmes pour sécuriser le(s) appareil(s) que j‘utilise pour accéder à l’Internet (par ex. anti-virus ou pare-feu).
• J’exécute et mets à jour régulièrement ces programmes.
• J’utilise différents mots de passe pour accéder aux équipements, appareils et services numériques ; je le modifie périodiquement.
• Je sais identifier les sites web ou les courriels qui peuvent être utilisés à des fins frauduleuses (scam).
• Je sais reconnaître un courriel de filoutage (phishing).
• Je peux configurer mon identité numérique en ligne et conserver la trace de mon empreinte numérique.
• Je suis conscient des risques pour la santé associés à l’utilisation des technologies numériques (par ex. ergonomie, risqué de dépendance).
• Je suis conscient de l’impact, positif et négatif, de la technologie sur l’environnement.

Utilisateur expérimenté

• Je vérifie régulièrement la configuration et les systèmes de sécurité de mes appareils et/ou des applications que j’utilise.
• Je sais comment réagir si mon ordinateur est infecté par un virus.
• Je peux configurer ou modifier le pare-feu et les paramètres de sécurité de mes appareils numériques.
• Je peux encrypter des courriels ou des fichiers.
• Je peux filtrer les pourriels (spams).
• Je fais une utilisation raisonnable des technologies de l’information et de la communication, afin d’éviter les problèmes de santé (physique ou psychologique).
• J’ai un avis éclairé sur l’impact des technologies numériques sur la vie quotidienne, la consommation en ligne et l’environnement.

Source : Europass

Les niveaux de compétences des 5 domaines du numérique :

1. Traitement de l’information
2. Création de contenu
3. Communication
4. Résolution de problème
5. Sécurité

Pour vous aider à autoévaluer votre propre niveau, cliquer sur les liens pour accéder aux grilles

Philippe Garin, plus de 20 ans de management en entreprise

Pour un accompagnement personnalisé, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Internet : Naviguer en toute sécurité
L’audit des vulnérabilités
Méthodes et outils de résolution de problèmes

Sécurité des données : Les 7 points capitaux du comportement responsable
Liste des acteurs de la Sécurité
Enlèvement d’enfant : Des mesures simples de protection

Autres Emploi, Informatique et Sécurité :

Récapitulatif 16 Emploi
Récapitulatif 16 Informatique
Récapitulatif 16 Sécurité

Charte informatique : Le Garant ou Officier de sécurité

Le Garant de la Charte informatique

L’introduction d’une charte informatique dans une entreprise nécessite une réflexion qui va plus loin que son contenu, car elle impacte l’organisation et le fonctionnement de l’entreprise.

C’est la raison pour laquelle la rédaction d’une charte est de la responsabilité de la Direction, patron en tête.

Toutes les conséquences de cette introduction et de chaque phrase dans la charte doivent être analysées de façon à ne laisser qu’une seule interprétation possible. Les termes choisis doivent être compréhensibles même par du personnel maîtrisant peu le français.

La charte doit être signée par tout le personnel, y compris ceux qui n’ont pas accès aux ressources informatiques. En effet, il est probable, qu’occasionnellement, ils aient à s’en servir : Remplacement d’un chef ou d’un collègue malade, besoin d’accéder à titre privé, promotion ou nomination à un autre poste, etc.

La charte informatique décrit les droits et les devoirs des informaticiens et des utilisateurs.

Ces derniers, par ignorance ou/et par méfiance, veulent avoir le plus de liberté possible dans l’usage des outils et des matériels informatiques, alors que les premiers se doivent de préserver le bon fonctionnement de l’informatique et du système d’information. C’est parfois incompatible, d’où l’utilité de la charte.

C’est là qu’intervient le Garant de la charte, appelé aussi Officier de sécurité selon les entreprises

Qui est le Garant de la charte ?

Un Garant de la charte sera nommé parmi les volontaires, issu d’un service indépendant du service informatique.

La mise en place d’un Garant a pour but de rassurer les utilisateurs qui craignent toujours que les actes des informaticiens dépassent le contenu de la charte. De savoir que cette personne, est volontaire, il en faut toujours une, permet de rassurer.

Il est préférable qu’il ne soit pas un représentant du personnel pour garantir à la Direction, sa neutralité. Son nom est donc divulgué à l’ensemble du personnel. Son rôle et les modalités de sa nomination, ainsi que ses droits et devoirs, moyens et limites d’action sont dans la charte, mais pas son nom.

S’il n’est pas indispensable qu’il est une culture informatique ou juridique, il faut néanmoins qu’il soit capable d’appréhender ces questions et de juger du respect ou non de la charte par tous.

Le rôle du Garant de la charte

Le rôle principal du Garant de la charte est de vérifier que le service informatique respecte la charte, notamment les administrateurs du réseau, et que les droits et devoirs indiqués dans la charte soient respectés par tous.

Le Garant de la charte vérifie et conserve les formulaires d’acceptation de la charte signés par les salariés.

Un utilisateur peut s’adresser au Garant de la charte lorsqu’il soupçonne un non-respect de la charte, et réciproquement.

Le Garant de la charte sert de modérateur en cas de conflit entre un utilisateur et la Direction ou/et le SI. Il est le témoin en remplacement d’un salarié absent ou d’un salarié récalcitrant, par exemple.

Avant de mettre en place ce rôle, il faut convenir qu’il a un droit de consultation, de supervision, de conseil et aussi d’alerte de l’inspection du travail en cas d’abus.

Ce Garant de la charte est aussi celui qui doit informer tout collaborateur occasionnel des règles à respecter, avec ou sans le responsable de ces collaborateurs, stagiaire, sous-traitants, visiteurs, etc.

C’est donc lui qui organise les réunions de rappel des règles, deux fois par an par exemple, à l’ensemble du personnel, par petits groupes pour ne pas désorganiser les services.

Le Garant ou la Garante n’a aucun pouvoir de décision.

Il rédige un rapport annuel, remis à la Direction. Ce rapport fait l’objet d’une communication interne, dont la forme est conforme aux pratiques de communication interne de l’entreprise, de telle façon que tous les personnels puissent consulter le rapport.

Ce rapport doit contenir les incidents reconnus comme étant non conformes à la charte, et omettant tout ce qui pourrait permettre d’identifier les personnes concernées, de façon à respecter lui-même la loi sur l’Informatique et les Libertés.

Les moyens du Garant de la charte

Le Garant de la charte dispose d’un crédit temps, comme un représentant du personnel, pour exercer cette activité et sans autre compensation, dans le seul but d’être le gardien de la charte.

Il participe à toutes les réunions ayant pour objet la rédaction de la charte, qu’il doit connaître la charte sur le bout des doigts.

C’est à lui que s’adresse la Direction et les utilisateurs pour demander avis sur les changements à apporter à la charte.

Le Garant de la charte est habilité à réclamer des modifications de la charte, permanentes ou temporaires, sans être décisionnaire puisque le contenu reste de la responsabilité de la Direction. À celle-ci de jouer le jeu et de ne pas créer un rôle fantoche.

Le Garant de la charte a, par ailleurs, l’autorisation de pénétrer dans les locaux réservés au personnel informatique de façon à ce que les informaticiens ne puissent pas se réunir pour effectuer des tâches contraires à la charte d’une manière cachée.

À contrario, les actions de supervision, d’actions de sécurité, restent du ressort du service informatique et sont exécutées sans autorisation préalable ni même d’information auprès du Garant de la charte. Chacun son boulot.

Philippe Garin, plus de 20 de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Sommaire d’une charte informatique
Surveillance en entreprise : caméra, micro et charte informatique
Sécurité des données : Les 7 points capitaux du comportement responsable

Keylogger : Espionnage facile de votre PC
Démission d’un salarié = fuite d’informations : Comment s’en prémunir
Filtrage Internet : Pas de brimade des salariés

Autres Informatique, Management et Sécurité :

Récapitulatif 15 Informatique
Récapitulatif 15 Management
Récapitulatif 15 Sécurité

Fonction de développeur

Le développeur est la nouvelle désignation pour la notion d’Analyste Programmeur.

Il donne l’illusion d’être plus complet bien qu’en fait, c’est la même chose.

Voici une description de la fonction de développeur informatique :

Fonction générale

• Assure le bon fonctionnement et le développement de l’informatique avec, pour le développement, un accent prononcé sur
  • la progression,
  • la simplification au maximum des systèmes déjà existants,
  • la banalisation de l’informatique au niveau utilisateur et leur permettre une utilisation parfaite de l’instrument informatique

Fonctions détaillées

A – Prise en compte des demandes

• Voir avec l’utilisateur le degré d’urgence de sa demande et contacter d’autres utilisateurs pour la leur soumettre
• Effectue l’analyse préliminaire avec la collecte d’informations : modèles d’états, modes de calculs, etc.
• Recherche éventuelle d’un progiciel auprès des éditeurs ou des distributeurs : coûts, délais, modalités
• Propose un délai (approximatif) pour la mise en place

B – Rôle d’information

• Informe les utilisateurs des possibilités des systèmes d’information et lui suggérer des améliorations
• Informe la hiérarchie sur les travaux en cours

C – Autres responsabilités

• Assure la sécurité informatique avec les sauvegardes et le caractère confidentiel de l’informatique
• Assure les contacts avec les fournisseurs
• Établi l’inventaire des supports externes et du parc
• Gère les fournitures informatiques
• S’informe continuellement des développements à venir des matériels et des versions logicielles

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Les rôles du manager Que fait un manager
Critères quantitatifs et qualitatifs de primes pour les commerciaux
Méthode d’aide à la conception des nouveaux métiers informatiques ou pas

Composition d’une équipe de projet : juniors et seniors
Développement ou Programmation base de l’informatique
Enregistrement et repérage des modifications apportées dans les programmes

Autres Informatique :

Récapitulatif 5 Informatique

Comment reconnaître mon propre comportement de fuite au travail

22 signes pour reconnaître mon propre comportement de fuite au travail

Qui n’a jamais repoussé jusqu’au dernier moment l’exécution d’une tâche sous le prétexte qu’il y a d’autres urgences à mener ou qui n’a jamais tenté de passer la main et laisser faire un autre pour ne pas avoir à le faire soi-même ?

Quand ça marche, quel plaisir de se dire que le travail s’est fait de lui-même !

Un tel comportement montre simplement que vous faites votre travail dans le stress, sous la pression du temps, avec le risque de faire des erreurs ; bref que vous avez un mauvais sentiment malgré le plaisir immédiat initial.

Quelles sont les tâches que vous devriez avoir terminées ou avoir commencées depuis longtemps ?

Pour quelles raisons ne vous y êtes pas encore mis ?

Ces questions sont désagréables car le travail à effectuer l’est pour vous

Dans la liste suivante, notez les comportements que vous pratiquez :

Je commence par

1. Ranger mon bureau
2. Fumer une cigarette (cigare, pipe), pour les fumeurs
3. Boire une tasse de café (thé, un verre d’eau, etc.)
    
4. Exécuter une autre tâche en retard
5. Faire un tour dans les couloirs ou dans les bureaux sans but précis
6. Exécuter un travail routinier
    
7. Lire un journal (magazine, etc.), parce ce que être informé est important dans mon travail
8. Revenir sur un travail déjà exécuté, au cas où il resterait une erreur
9. Essayer de déléguer une tâche à un autre
    
10. Engager une conversation avec un collaborateur, un chef, un client, un ami, la famille etc.
11. Repousser le travail pour dégager du temps libre
12. Mener à bien une action à titre privé
     
13. Demander encore plus d’informations que celles que je dispose déjà
14. Visiter un contact important (client, vendeur, etc.)
15. Téléphoner à ceux que je n’ai pu avoir une fois précédente, peut-être arriverais-je enfin à leur parler
     
16. Me déplacer, voyager
17. Prendre des congés
18. Remarquer que je n’ai plus assez de temps disponible pour exécuter le travail
     
19. Constater que le collaborateur qu’il faut pour le travail précédent est absent
20. Demander s’il n’y a pas d’autres tâches plus urgentes
21. Me dire que le système informatique ne fonctionne pas comme il le faudrait
22. Me dire que je ne suis pas la bonne personne pour exécuter la tâche

Vous êtes-vous reconnu ?

Qu’allez-vous faire maintenant ?

Qu’est-ce qui peut vous aider à changer ces habitudes ou tentatives de fuite dans le travail qui vous génèrent du stress et des risques d’erreur ?

Dressez une liste des mesures à prendre et mettez en pratique celle qui est la plus appropriée au moment où vous remarquer l’un des comportements de la liste à votre travail.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Envoyer

Δ

En complément :

Analyse de mes habitudes de travail
Problèmes fréquemment rencontrés au cours de réunions
Quelles sont les pauses raisonnables qui m’aident dans mon travail

Conseils pour l’utilisation du téléphone fixe au travail
Les événements susceptibles de faire augmenter le stress durant une urgence
Stress technologique : comment le maîtriser

Autres Organisations :

Récapitulatif 3 Organisation
Récapitulatif 5 Organisation