background preloader

Bonnes pratiques

Facebook Twitter

La gestion du risque en entreprise s'applique à l'informatique. Crédit Photo: D.R L'AMRAE et le cabinet d'avocats Fidal ont réalisé un travail sur la gestion du risque juridique des entreprises. Si la démarche est applicable au risque juridique informatique, ce domaine précis n'est pas explicitement abordé. L'Association pour le Management des Risques et des Assurances en Entreprises (AMRAE) a travaillé avec le cabinet d'avocats Fidal pour publier un guide de la « gestion du risque juridique dans l'entreprise ».

Ce guide et le travail associé, qui a duré deux ans, ont été présentés le 4 décembre 2012. Il s'agit du premier guide de la nouvelle collection « Dialoguer » éditée par l'AMRAE. L'ouvrage commence par la méthode d'identification et d'analyse des risques de type juridiques. Cependant, la méthode présentée s'applique tout à fait à l'analyse du risque juridique informatique. La gestion du risque, c'est aussi le cas échéant une acceptation du dit risque voire l'externalisation de la prise de risque par le recours à des assurances. Le club R2GS débat de la supervision de la sécurité informatique. Crédit Photo: D.R Le club R2GS a organisé des Assises du domaine cyberdéfense et du SIEM le 5 décembre à Paris. Les systèmes de supervision des événements de sécurité informatique doivent être convenablement utilisés pour atteindre leurs objectifs de sécurisation. « Les premiers SIEM datent d'une vingtaine d'années mais, très lourds, ils ont souvent entraîné des désillusions » a constaté Gérard Gaudin, président du club R2GS (Club de réflexion et de recherche en gestion opérationnelle de la sécurité), en ouvrant les Assises du Domaine CyberDéfense et SIEM le 5 décembre 2012 au Mercure Porte de Versailles à Paris.

Or les nouvelles menaces rendent plus indispensables encore qu'auparavant une démarche à base de SIEM, pourvu qu'ils soient bien utilisés. Les SIEM (Security Information and Event Management) ont pour mission de corréler des événements informatiques (généralement des logs serveurs ou applicatifs) pour détecter des incidents de sécurité informatique. Détecter les attaques furtives. Conseils aux « cybernuls » pour éviter de se faire « cyberespionner » Tribune Pour la première fois de ma vie, j’ai effectué une recherche pour trouver un « bed and breakfast ». Depuis, les pubs sur le sujet abondent sur les pages ou les vidéos que je consulte. Me voilà confronté à l’effrayante réalité : malgré moi, je suis « cyberespionné ».

Pourtant, j’ai désactivé mon compte Facebook – trop chronophage et tellement 2007. Je m’efforce également de mal remplir tout ce qui ressemble à un formulaire d’inscription. Et je prends même soin d’épouiller régulièrement mes navigateurs internet de leurs cookies. Comment un nul en informatique comme moi peut-il échapper à la sombre coalition de « Big Brother » et « Big Business » ?

Je me suis donc adressé à des geeks. Noyez-vous dans la masse Jérémie Zimmermann est cofondateur et porte-parole de l’organisation citoyenne La Quadrature du Net. . « Globalement, il faut essayer d’apprendre la technologie et de ne pas subir. . « Pour commencer, vous pouvez installer Tor. Arrêtez de vous gaver de cookies Facile. Introduction-à-une-meilleure-sécurité-informatique. Sécurité des Systèmes d’Information, rôle et responsabilité de l’Etat. La qualité des stratégies de sécurité des entreprises surévaluées ? La confiance institutionnelle dans la sécurité peut cacher des mesures tout sauf efficaces dans la protection des données. Les risques continuent d'augmenter alors que les entreprises n'évoluent pas toujours pour prévenir la perte de données. De nombreuses entreprises sont confiantes dans l'efficacité de leur sécurité, mais certains facteurs hors de leur contrôle accroissent le risque comme, par exemple, la diminution des budgets, l'augmentation des incidents et les nouvelles technologies non sécurisées.

L'étude Global State of Information Technology réalisée par différentes publications sur la sécurité a demandé à des responsables de différents secteurs leur opinion sur les mesures et pratiques de sécurité de leur entreprise. Des apparences trompeuses… Les stratégies efficaces requièrent une évaluation correcte du business Les dépenses de sécurité ont augmenté lorsque l'économie était au plus bas mais elles n'ont pas évolué avec les besoins. Votre patron a le droit de lire vos e-mails pros... et persos | Rue89 Eco. Le secret des correspondances doit être respecté, dit la Cour de cassation. Mais en cas de doute, un courriel, même intitulé « Vacances en Grèce », peut être contrôlé. Vous pensez peut-être que vos courriels professionnels ou strictement persos, hébergés sur le service de messagerie de votre boulot, vous appartiennent.

En réalité, votre patron peut les ouvrir à certaines conditions. Est-il possible de limiter cette intrusion ? Un licenciement annulé chez Nikon Tout commence par une question : qui peut pénétrer dans votre ordinateur de travail ? L’entreprise reprochait à un chef de département un certain nombre de carences qu’elle souhaitait invoquer à l’appui de son licenciement. L’idée était mauvaise. Depuis, la jurisprudence s’est étendue aux courriels et a aussi affiné sa position et précisé les contours du sanctuaire personnel du salarié : « Personnel » dans l’objet de l’e-mail Reste qu’il n’est pas toujours facile de faire la distinction entre messages professionnels et personnels.

Cybersécurité : l'ANSSI estime que les sociétés n'ont plus d'excuses. Depuis sa création en 2009, l'Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié des recommandations relatives à la sécurité de GNU/Linux et des flux réseau (IPsec), avancé des conseils en cas d'attaques par déni de service et listé des démarches à suivre en cas d'intrusion sur un système d'information.

L'agence a également publié un guide sur la cyber-sécurité des systèmes industriels. 40 règles pour sécuriser un système d'information Avec l'ouverture des Assises de la sécurité, qui se déroulent du 3 au 6 octobre 2012 à Monaco, l'ANSSI a diffusé un guide (.pdf) d’hygiène informatique en entreprise regroupant "quelques recommandations simples" pour sécuriser efficacement les systèmes d’information et leurs données. Ces conseils, au nombre de 40, sont susceptibles d'évoluer, dans la mesure où l'agence a lancé un appel à commentaires sur le guide. C'est le message qu'a ainsi martelé le directeur de l'ANSSI, Patrick Pailloux, à l'ouverture des Assises 2012.

Sécurité IT : l'ANSSI "carrément contre" le BYOD. Le BYOD est un sujet qui crispe le directeur général de l’ANSSI. Patrick Pailloux n’hésite à prendre à rebrousse-poil une série d’éditeurs de solutions de sécurité présents aux Assises de la sécurité IT de Monaco. Alors que des fournisseurs de solutions comme Dell/SonicWall, McAfee, Symantec ou des opérateurs comme Orange Business Services ou des intégrateurs comme Sogeti mettent l’accent sur la tendance BYOD (« Bring your Own Business ») et tentent d’évangéliser les responsables de sécurité informatique dans le cadre d’ateliers. Comment définir le BYOD ? C’est le fait d’accéder aux informations de l’entreprise par des outils informatiques personnels. Un phénomène lié à la « consumérisation de l’IT » ou comment les technologies adoptées par le grand public pénètrent dans les enceintes des entreprises.

L’avis de Patrick Pailloux sur la problématique BYOD est tranché : il faut absolument l’écarter. C’est un « non mais » pour être précis. « Je n’ai rien contre la technologie des tablettes. La CNIL fait de la pédagogie pratique sur YouTube. "Il y a un problème entre la chaise et le clavier". Cette expression bien connue des initiés en informatique signifie que l'utilisateur est souvent à l'origine du problème et non l'ordinateur ou le programme. L'usager n'a en effet pas toujours connaissance des bonnes pratiques à appliquer, en particulier lorsqu'il navigue sur le web, ce qui finit toujours par lui causer des ennuis. Parce que la sécurité informatique est l'affaire de tous, la Commission nationale de l'informatique et des libertés propose depuis cette année des didacticiels en vidéo pour enseigner aux Français comment éviter certaines des erreurs les plus grossières.

Mots de passe, surf, achats en ligne, virus, spam, phishing... les sujets ne manquent pas. Pour consulter toutes les vidéos de la CNIL sur le sujet, une chaîne YouTube est à disposition.