Audit en sécurité informatique : Liste des risques

Risques physiques

• Incendie ;
• Dégât des eaux, crue ;
• Pollution ;
• Accidents majeurs.

Risques naturels

• Phénomène climatique ;
• Phénomène sismique, volcanique ;
• Phénomène météorologique.

Perte de services essentiels

• Défaillance de la climatisation ;
• Perte d’alimentation énergétique ;
• Perte des moyens de télécommunication.

Rayonnements

• Rayonnements électromagnétiques ;
• Rayonnements thermiques.

Compromission des informations et des fonctions

• Interception de signaux parasites compromettants ;
• Espionnage à distance ;
• Ecoute passive ;
• Vol de supports ;
• Vol de documents ;
• Vol de matériels ;
• Divulgation interne ;
• Divulgation externe ;
• Piégeage du matériel ;
• Utilisation illicite du matériel ;
• Abus de droit ;
• Usurpation de droit ;
• Fraude ;
• Altération du logiciel ;
• Copie frauduleuse du logiciel ;
• Utilisation de logiciels contrefaits ou copiés ;
• Altération des données ;
• Utilisation de données personnelles dans autorisation ;
• Traitement de données personnelles nos déclarés
• Atteinte à la disponibilité du personnel.

Défaillances techniques

• Panne du matériel ;
• Dysfonctionnement du matériel ;
• Saturation du matériel ;
• Dysfonctionnement logiciel ;
• Atteinte à la maintenabilité du SI.

Agressions Physiques, Erreurs

• Destruction des matériels ;
• Reniement d’actions ;
• Erreurs de saisie ;
• Erreur d’utilisation.

Comment empêcher Android de sauvegarder automatiquement nos données personnelles ?

N’avez-vous jamais remarqué que lorsque vous entrez-vos identifiants Google dans un nouvel appareil Android, ce dernier retrouvait automatiquement certaines de vos informations personnelles, notamment vos contacts. Pourtant, vous n’avez jamais rien fait pour, et pour cause puisque cette option est activée par défaut. Ce qui signifie que vous pouvez également la désactiver. La plupart des utilisateurs la conservent néanmoins activée pour des raisons de praticité.

Les données automatiquement sauvegardées par Google

Au sein de son OS, Google a intégré un outil du nom d’Android Backup Service qui sauvegarde certaines données liées aux services que vous utilisez. Ces données sont les suivantes :

• Contacts qui sont sauvegardés au sein de Google Contacts. Vous pouvez ainsi les retrouver sur tous vos appareils et même sur votre PC en vous connectant simplement à votre compte.
• Emails qui sont sauvegardés au sein de Gmail
• Documents, ce qui vous permet d’ailleurs d’éditer vos documents sauvegardés dans le cloud à partir de n’importe lequel de vos appareils
• Calendriers
• Chrome : vos favoris et votre historique de navigation sont synchronisés avec votre compte. Idem pour vos mots de passe si vous avez activé la fonction Smart Lock
• Hangouts : vos conversations sont sauvegardées
• Google Play Store : les applications que vous avez téléchargées sont automatiquement sauvegardées. Vous pouvez ensuite les retrouvez dans l’onglet « Mes applications » de la boutique. C’est très pratique lorsque vous changez de smartphone car vous n’avez pas besoin de les rechercher une par une, en outre, les applications achetées sont également sauvegardées
• Vos photos et vidéos, à condition d’utiliser l’application Google Photos et d’avoir activé la sauvegarde automatique de vos médias
• Certaines données d’applications

Comment empêcher Google de sauvegarder vos données

Vous n’êtes pas ravis à l’idée que Google en sache autant sur vous et vous souhaiteriez que certaines de vos données ne soient pas sauvegardées ? Et bien rassurez-vous, c’est possible et en quelques clics. Il vous suffit pour cela de :

• Vous rendre dans le menu Paramètres > Personnel > Comptes de votre smartphone
• Sélectionner votre compte Google
• Décocher toutes les données que vous ne voulez pas que Google sauvegarde

Et pour aller plus loin, n’hésitez pas à jeter un œil à notre tutoriel comment préserver sa vie privée sur Android.

Les données non sauvegardées par Google

Les données listées ci-dessous ne sont pas sauvegardées par Google. Pour éviter de les perdre en changeant de smartphone, il faudra donc utiliser une application tierce mais nous y viendrons après.

• Les SMS, il est néanmoins possible de sauvegarder ses SMS sur Android en utilisant une application
• Google Authentificator : pour des raisons de sécurité, les données d’authentification Google en deux étapes ne sont pas sauvegardées
• Réglages : les paramètres personnalisés de de votre smartphone ne sont pas sauvegardés
• Bluetooth : Android ne synchronise pas les périphériques Bluetooth appairés vers votre smartphone

Comment sauvegarder toutes ses données personnelles

Bien que Google ne le permette pas par défaut, il est tout à fait possible de sauvegarder toutes les données de votre smartphone Android à l’aide de notre précédent tutoriel. Certaines de vos données iront directement sur votre support externe, d’autres seront sauvegardées en ligne afin de pouvoir ensuite être réintégrées à votre nouveau smartphone si votre but est de sauvegarder vos données pour les retrouver sur un nouvel appareil.

N’oubliez pas non plus de jeter un œil à notre sélection d’applications pour sauvegarder ses données personnelles. Certaines nécessiteront que votre téléphone soit rooté, d’autres non, et elles vous permettront de sauvegarder toutes vos applications et pas seulement les données.

Un guide pour aider les entreprises face à #Facebook ou #Twitter

Facebook, Twitter, LinkedIn, Viadeo: les réseaux sociaux n’ont plus secret pour des millions de Français. Les entreprises, elles, ne sont pas forcément à l’aise avec la question. Ces outils, qui sont souvent à la limite des sphères privées et publiques, induisent de nouveaux risques pour les sociétés: se faire dénigrer sur la Toile, se faire usurper son identité, ou voir des salariés, par des conversations sur les réseaux professionnels livrer, sans s’en rendre compte, des informations confidentielles. Pour aider les chefs d’entreprise, le Medef vient d’éditer un guide sur le sujet, intitulé «réseaux sociaux et entreprises, quels enjeux juridiques». Le petit livret est très didactique puisque le premier chapitre consiste à expliquer… ce qu’est un réseau social.

«On s’est rendu compte que les entreprises avaient en la matière des pratiques très différentes. Certaines encouragent leurs salariés à communiquer sur les réseaux sociaux, mais sans fixer aucun cadre. Dans d’autres, la communication est beaucoup plus contrôlée. Certaines ont déjà mené des actions de sensibilisation auprès de leurs salariés, dont une avec une pièce de théâtre», explique-t-on au Medef, où un groupe de travail avait été constitué pour rédiger le guide. D’après une étude du cabinet Proskauer, la manière forte est aussi de mise. 29% des 120 grandes entreprises internationales interrogées ont bloqué l’accès à Twitter, Facebook et autres réseaux sur le lieu de travail, et 27% en contrôlent l’utilisation. A vrai dire, ce sont les PME qui sont le plus «en retard»: elles n’ont souvent pas le temps de se pencher sur la question, ni les moyens de monter des cellules de veille. Le guide est donc là pour les sensibiliser.

Sur ces réseaux, les règles de droit classique – code du travail, code civil, code de la propriété intellectuelle etc… – s’appliquent. Mais il existe également des dispositifs spécifiques. Et tout cela s’entremêle. Le poids d’une charte sur l’utilisation des réseaux sociaux par les salariés ne sera pas le même si cette charte est inscrite dans le règlement intérieur, ou pas. Les salariés ont le droit de parler sur les réseaux de l’organisation et du fonctionnement de l’entreprise, à condition que leurs propos ne soient pas injurieux. L’entreprise elle-même doit évidemment respecter les règles de droit à l’image lorsqu’elle publie sur ces réseaux. Bref, un guide n’est pas de trop dans ce maquis!

Lien pour télécharger le guide

Conseils pour assurer la sécurité numérique des nomades

#Identification et authentification fortes de l’utilisateur

Ce n’est pas l’outil qui doit être tracé, mais l’individu qui s’en sert. « Il s’agit d’identifier et d’authentifier, avec la plus grande attention, l’ayant-droit aux ressources de l’organisation », indique Gérard Peliks, expert et enseignant en sécurité de l’information. Première étape : l’identifiant ou login. Seconde phase : l’authentifiant, autrement dit la preuve de l’identité de l’utilisateur. « Le plus fiable est la combinaison de deux paramètres : ce que l’on a (par exemple une calculatrice, un token usb…) et ce que l’on sait (un code pin). En attendant les solutions de biométrie multimodale… », précise Gérard Peliks.

#Intégrité et confidentialité des transactions

Les échanges entre l’organisation et le collaborateur nomade doivent être sécurisés dans leur confidentialité et leur intégrité. « Il s’agit de créer un tunnel chiffrant dont les deux extrémités sont mutuellement identifiées », souligne Gérard Peliks. Les virtual private networks (VPN) ou réseaux privés virtuels (RPV) garantissent la confidentialité des données transmises, donc vulnérables, sur Internet. La signature électronique peut en garantir l’intégrité. Ce qu’on appelle le protocole de « tunnellisation » ou d’encapsulation consiste à chiffrer les transmissions entre le poste nomade et l’Intranet de l’organisation.

#Chiffrement des données sur disque

En cas de perte ou de vol d’un PC, ou d’un téléphone portable, la confidentialité des informations contenues n’est plus assurée, si elles sont stockées en clair. « On ne perd pas seulement l’objet, mais des données, avec tout ce que cela peut entraîner comme risque d’image, de réputation et même de conséquences juridiques », pointe Gérard Peliks. Tout l’enjeu est donc de rendre illisibles les informations contenues dans l’appareil, si on ne possède pas les clefs pour les déchiffrer. « Le chiffrement de fichiers, de partitions, voire même de l’intégralité du disque, permet de sécuriser les contenus sensibles », explique-t-il.

#Destruction des fichiers

Quand il s’agit d’éliminer un fichier, la touche « delete » et le vidage de la corbeille ne détruisent rien mais se contentent de cacher le document. Et des outils de récupération permettent de pister les anciennes données. Pour effacer définitivement, ou « massicoter » les contenus, il convient d’utiliser des méthodes de suppression sécurisée. « En utilisant des utilitaires de destruction, on s’assure que les fichiers sont réellement passés à la « déchiqueteuse », préservant ainsi leur confidentialité », indique Gérard Peliks.

#Sensibilisation des collaborateurs

Dans un contexte de dématérialisation généralisée, tous les collaborateurs sont potentiellement amenés à travailler un jour en mode nomade, ou avec des collègues en télétravail. D’où l’importance de sensibiliser l’ensemble des collaborateurs de l’organisation aux processus de sécurité. « Dès le début de la collaboration, mais aussi tout au long de la vie du collaborateur dans l’organisation, les règles de sécurité et de confidentialité doivent être rappelées », insiste Gérard Peliks. En plus de faire signer une charte sur l’utilisation du réseau, l’organisation doit communiquer sur les conséquences juridiques de tout manquement au règlement intérieur.

Le site Internet d’une entreprise peut-il être contrôlé à distance par la Cnil ?

Oui. Depuis la loi du 17 mars 2014 relative à la consommation, la Commission nationale de l’informatique et des libertés (Cnil) a la possibilité de procéder à des contrôles en ligne, sur internet.

Ils permettent de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi informatique et libertés. Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur seront opposables.

Voici 320 millions de mots de passe … à éviter pour votre cybersécurité !

Les 5 règles essentielles pour se protéger de la Cybercriminalité que les PME doivent absolument respecter

Des PME de plus en plus touchées par la cybercriminalité

Les PME n’ont pas toujours conscience d’être devenues les cibles de prédilection des pirates informatiques, et pourtant celles-ci concentrent désormais près de 80 % des attaques en France ! Un chiffre en constante augmentation qui démontre un changement de stratégie de la part des «hackers» et «crackers» qui ciblent les petites structures du fait de leur sécurité souvent défaillante.

Cette montée de la cybercriminalité concerne surtout le vol de données numériques (les fichiers clients, les coordonnées bancaires ou les contrats) qui sont ensuite revendues au plus offrant sur le marché noir. On note également des cas d’espionnages économiques, d’escroqueries financières ou de sabotages des sites de commerce en ligne.

Cibler une PME peut aussi être un moyen de s’attaquer à un plus gros poisson, dans le cadre d’une attaque de long terme. Puisqu’en infiltrant le réseau de cette petite structure, il devient plus facile de pénétrer par la suite dans celui d’un grand groupe dont elle est le sous-traitant.

Une problématique sérieuse d’autant que les entreprises victimes de cyberattaques font face à de sévères répercussions en termes de pertes économiques et d’impact sur l’image de marque. Ce risque peut néanmoins être réduit en appliquant quelques bonnes pratiques.

Les règles essentielles pour bien protéger votre entreprise

1. Sensibiliser les employés de l’entreprise

Il est recommandé d’organiser une campagne de sensibilisation pour informer les employés sur le danger bien réel de la cybercriminalité en insistant sur la nécessité de :

• choisir des mots de passe d’au moins 12 ou 14 caractères mélangeant chiffres et lettres,
• effectuer des sauvegardes fréquentes sur des supports externes ou une plateforme cloud,
• adopter un usage prudent des messageries électroniques et des systèmes de paiement.

2. Sécuriser l’ensemble des accès Internet

L’entreprise doit protéger tous les accès Internet (y compris les accès Wi-Fi) qui sont les principaux points d’entrée des pirates. De plus en plus de sociétés choisissent d’ailleurs d’installer un réseau privé virtuel (VPN) comprenant un seul et unique point d’échange sécurisé avec Internet.

3. Uniformiser les logiciels et les maintenir à jour

Pour faire face aux nouvelles techniques d’attaques, il faut régulièrement mettre à jour les logiciels installés sur votre parc, dont les dernières versions doivent toujours être téléchargées sur les sites officiels des éditeurs. Une démarche qui peut être simplifiée en uniformisant le parc informatique avec un système d’exploitation et un logiciel de protection unique pour l’ensemble des appareils.

4. Redoubler de vigilance avec les appareils mobiles

Il convient de faire preuve d’une vigilance particulière avec tous les appareils mobiles (smartphones et tablettes tactiles) qui sont généralement beaucoup moins sécurisés que les ordinateurs fixes, car chaque machine constitue une porte d’entrée potentielle pour les attaques informatiques.

5. Adopter une politique de sécurité informatique

L’entreprise doit enfin mettre en place une politique de sécurité informatique précisant clairement les responsabilités de chacun et les procédures prévues en cas d’attaque, afin que les équipes ne soient pas prises au dépourvu et puissent reprendre l’activité le plus rapidement possible… [Lire la suite]

#Conseils clé pour #se protéger contre la #cybercriminalité

La cybercriminalité est souvent médiatisée lorsque d’énormes failles de sécurité sont révélées et que les dommages sont significatifs pour les entreprises touchées. L’attaque massive organisée par des pirates informatiques russes il y a quelques semaines à une échelle mondiale en est un très bel et marquant exemple, avec plus de 1,2 milliard de mots de passe volés.

Mais les hackers ne se limitent pas aux attaques massives, et des petites brèches de sécurité d’apparence anodines peuvent pourtant s’avérer avoir de lourdes conséquences, tant pour les grandes entreprises que pour les plus petites organisations possédant des données sensibles ou à forte valeur ajoutée.

Ne perdez pas votre temps à anticiper, sachez surtout détecter les failles et limiter les dégâts
La meilleure chose qu’un directeur informatique ou un responsable de la sécurité puisse faire pour protéger son entreprise est de comprendre et d’accepter l’impossibilité de maintenir les attaquants à l’écart. Tout le monde est tôt ou tard victime d’une faille de sécurité. Le plus important est de savoir dans quel délai vous la détecterez et dans quelle mesure vous pourrez limiter les dommages. Il convient de mettre l’accent sur la réduction du risque dans les domaines clés et la surveillance des événements au niveau du pare-feu pour détecter le plus rapidement possible l’intrusion d’un attaquant et la tentative de vol de données. Toute autre action ne reviendra qu’à reproduire des stratégies qui ont déjà montré leurs limites dans le passé, pour un coût encore plus élevé.

Axez votre stratégie de sécurité sur l’identité et les données, et non plus l’infrastructure
Le mode de pensée centré sur le réseau et les appareils est de plus en plus délaissé en faveur d’une sécurité axée sur l’identité et les données.

Désormais, tenter de protéger l’infrastructure de l’entreprise n’apparaît plus comme une solution gagnante. Avec l’usage croissant de l’informatique mobile et du Cloud computing, cette tâche s’avère souvent trop complexe et n’est plus entièrement maîtrisée par le personnel informatique et de sécurité. En revanche, le personnel chargé de la sécurité réfléchit de plus en plus à la protection des données transférées d’un endroit à un autre, y compris dans le cloud, et à l’acquisition d’une meilleure connaissance de l’identité des individus qui ont accès à ces données. Néanmoins, suis-je certain de savoir qui accède actuellement à notre base de données de patients ? Est-il normal que ce salarié ouvre ce fichier de données clients ? Ces décisions sont de plus en plus complétées par l’introduction d’un contexte du type : dois-je permettre à ce salarié d’accéder à ces données sensibles alors qu’il est en vacances dans le Sud et qu’il se connecte depuis sa tablette dans un cybercafé ? Il s’agit là d’une façon plus intelligente (et efficace) d’appréhender les risques du comportement surveillé, en répondant aux problèmes de sécurité fondamentaux liés aux utilisateurs privilégiés, aux attaques internes et aux menaces persistantes avancées.

Ne misez pas tout sur la technologie, sensibilisez vos collaborateurs car ils sont les véhicules de vos données !
Il est toujours possible d’améliorer l’éducation – bien que je sois convaincu qu’il faille en changer le ton pour passer du « ne faites pas ceci » au « comme vous le ferez de toute façon, voici comment procéder pour éviter de prendre des risques ». Le pouvoir dans le monde de l’informatique professionnelle a changé de mains : il n’est plus dévolu au service IT autoritaire et centralisé, avec le personnel qui lui est associé, mais relève désormais des dirigeants de l’entreprise et des responsables métiers. Aujourd’hui plus que jamais, l’utilisateur de l’entreprise décide lui-même de la technologie à employer et de la façon de procéder. Dans ce contexte, l’éducation doit être recentrée sur les conseils et le choix de solutions sûres pour cesser de s’apparenter à une liste d’actions à éviter, qui sera de toute façon rarement respectée.

Comment créer sa charte Informatique ? (ANSSI)

1. L’OBJECTIF

La charte d’utilisation des moyens informatiques a pour finalité de contribuer à la préservation de la sécurité du système d’information de l’entité et fait de l’utilisateur un acteur essentiel à la réalisation de cet objectif…[lire la suite]

2. DES DÉFINITIONS CLAIRES ET PRÉCISES

Définir les termes clés du document permet de limiter leur interprétation juridique (administrateur, messagerie électronique, moyens d’authentification, système d’information, utilisateur, etc.)…[lire la suite]

3. L’OBJET ET SA PORTÉE

La charte doit rappeler ce sur quoi elle porte. Notamment, elle doit exprimer de manière explicite qu’elle a pour objet de préciser les droits et devoirs de l’utilisateur…[lire la suite]

4. LES USAGES

De nombreuses questions sont à envisager lorsque l’entité souhaite fixer les règles d’usage de son système d’information. L’entité met-elle à disposition une messagerie professionnelle ?…[lire la suite]

5. DÉFINIR LES DEVOIRS DE L’UTILISATEUR

Outre les obligations générales qu’il est bon de rappeler, les devoirs de l’utilisateur découlent directement des usages autorisés définis en amont…[lire la suite]

6. LES MESURES DE CONTRÔLE

Les mesures de contrôle que l’entité peut mettre en place peuvent être étendues, pourvu qu’elles aient fait l’objet d’une information préalable des utilisateurs (via la charte) et qu’elles soient conformes au droit en vigueur…[lire la suite]

7. LES SANCTIONS

La charte informatique étant un document de portée juridique, elle permettra de fonder les sanctions à l’encontre d’un utilisateur qui ne l’aurait pas respectée. Il est impératif de prévoir une échelle des sanctions disciplinaires…[lire la suite]

8. S’ASSURER DE L’OPPOSABILITÉ DE LA CHARTE

L’opposabilité de la charte nécessite également son acceptation par les utilisateurs (signature de la charte ou annexe au contrat de travail)…[lire la suite]
[Consultez le guide complet de l’ANSSI]

Tous les combien doit-on changer son mot de passe ?

• Vous constatez quelque chose d’anormal associé à votre compte ;
• Vous perdez ou lorsque vous est volé un appareil dans lequel ont été cochés l’enregistrement des mots de passe réseau ou dans les navigateurs ;
• Le fournisseur de service vous avertit s’être fait pirater son système informatique (encore faut-il qu’il l’ait équipé de sondes de détection d’intrusion et de détecteurs de fuites de données).