Sécurités

Backups

La première des sécurités, c'est la sauvegarde. Sauvegardes des données, sauvegardes des applications, sauvegardes des configurations, la liste est non exhaustive et dépend du contexte fonctionnel. Il y a des règles peu souvent employées sauf par ceux qui ont connu une défaillance de stockage, comme la 3-2-1: 3 copies, 2 supports différents et 1 sauvegarde hors site d'exploitation. Le panel de possibilité va de la procédure dédiée et spécifique jusqu'au progiciel intégrant planification et matériel. Seule l'analyse de l'existant répond au questionnement. Ce point est essentiel dans le PCA/PRA. Ne pas trop compter sur les Cie d'Assurances pour couvrir les risques.

  • Audit de l'existant
  • Préconisations
La théorie voudrait que ceux qui préconisent, n'installent pas, et ceux qui installent, n'assurent pas le recettage.

PCA / PRA

Devraient être rendus obligatoires par les assurances faute d'une non-couverture des risques !

  • PCA: Plan de Continuité d'Activité (le + cher)
  • PRA: Plan de Reprise d'Activité (le - cher)
  • Tests des procédures avec mise en condition.
Suite à l'incendie dans les locaux d'OVH Strasbourg (10/03/2021) aucun de mes clientsSaaS n'a eu d'interruption de service et aucun de mes clients IaaS / PaaS n'a perdu de données. 5 serveurs impactés, 3 définitivement perdus. Le client le plus “touché” a redémarré dans la matinée de l'incendie. Les réplicas ou backups étaient “aussi” sur les sites alternatifs de Gravelines ou Roubaix. Mes interventions ont surtout consistés à vérifier en détail l'état fonctionnel des serveurs opérationnels et par la suite, un retour à la structure nominale grâce aux process mis en place.

Sécurités

L'usage anormal de l'outil informatique mis à la disposition d'un employé est sanctionné par la loi (Prud'hommes, Cour de Cassation, Cour d'Appel) jusqu'au licenciement sans indemnité (rare, mais vrai). La charte Informatique est obligatoire pour informer l'employé de l'usage autorisé ! Les déclarations CNIL et le RGPD ne sont pas à prendre à la légère et reste de la responsabilité juridique de la société en cas de manquements, jusqu'à 4% du CA annuel ! de mémoire. +138M€ d'amende en France en 2020.

  • Analyse des risques, impact d'un ransomware ⇒ PRA ?
  • Analyse Cyber-résilience.
  • Cryptographie en entreprise ? Documents confidentiels ?
  • Anti-virus, anti-spams, choix et déploiement.
  • Formation et sensibilisation aux risques.
  • Traçabilité et filtrage des accès Internet. Obligation légale d'avertir les utilisateurs
  • Charte Informatique (règles et bon comportement, portée juridique)
  • Déclarations CNIL / Gestion RGPD. Une forme de sécurité si l'on considère ce que cela peut coûter !

Mots de Passe

Une politique de mot de passe doit exister en entreprise. Et cette politique est valable pour tous. Il est à la charge du service Informatique de s'assurer que cette politique est respectée et de signaler les manquements. cf. l'usage “anormal” de l'outil informatique. Autre info, la Direction Informatique doit s'assurer de posséder la liste exhaustive et à jour de TOUS les mots de passe qui ne concernent pas l'utilisateur final, matériel et logiciel. Il va sans dire que cette liste est manuscrite, car la version numérique de type XLS est une denrée des plus appréciée par tout hacker qui se respecte…

  • Ouverture aux outils du marché, ie: KeePass