J'espère ici des réponses des Skilleurs et Skilleuses professionnels certes, mais pas forcément professionnels de l'informatique, AU CONTRAIRE ! En tant que professionnels non informaticiens, quels sont vos points de vue ? :-)
Merci par avance !
Quelle est votre vision de la sécurité informatique ?
il y a 8 ans
par
JoyceMarkoll
Bonjour, pour préciser un petit peu ma question, avez-vous une stratégie pour assurer la sécurité de votre informatique ? Et par rapport à votre usage des outils numériques, tous types confondus, quelles sont vos attentes et votre approche dans ce domaine, s'agissant de votre usage, dans le cadre de l'utilisation de votre matériel ?
informatique outils numeriques sécurité
3
2
5 réponses
Bonjour,
Personnellement j'englobe beaucoup d'éléments dans la sécurité informatique.
Une politique de sécurité du système d'information est la somme des mesures cohérentes mises en œuvre en adéquation avec le contexte de l'entreprise. Le contexte étant la stratégie de l'entreprise, ses métiers, ses moyens, son secteur et ses obligations.
Tu proposes une politique de sécurité reprenant l'ensemble des mesures se déclinant horizontalement et verticalement :
- D'une part du matériel, jusqu'a l'information de l'utilisateur (ou le côté humain ou social) en la matière.
- Et d'autre part en fonction des secteurs/métiers de l'entreprise qui n'auront pas forcément des contraintes équivalentes.
Après cela peut englober beaucoup d'éléments et concerner tous les éléments du SI:
- menace externe (virus, spam, etc.)
- menace interne (vol d'information, etc.)
- stratégie de sécurité des comptes
- mesures de cryptages
- Accès interne/externe
- Surveillance active et passive
- Control opérationnel
- Stratégie de mise à jour
- Stratégie de sauvegarde
- Niveau d'équipement du matériel
- PRA/PCA
- Gestion de l'information sensible
- etc.
Si je reprends ta question, je n'ai pas d'attente particulière sur le sujet, si ce n'est qu'il faut être le plus éclairant possible. En faisant une analyse des risques et des bonnes pratiques et les mettre en face de la stratégie et des objectifs opérationnels. Après c'est une question de choix et de moyen. Par exemple et de manière simple pour un PRA il faudrait poser le problème suivant : Dans le cas d'un risque x, impliquant une perte de prod d'une durée y et pour les métiers z à un instant t est-ce que le risque est acceptable ou accepté ?
- Sois non et tu proposes un plan qui réponde à la contrainte et qui permet de maitriser la durée d'arrêt ou le cas. Et plus tu voudras te rapprocher de 0 plus les mesures seront couteuses.
- Sois l'entreprise accepte le risque, car elle n'en a pas forcément les moyens, ou considère que l’environnement n'est pas stratégique par exemple.
Personnellement j'englobe beaucoup d'éléments dans la sécurité informatique.
Une politique de sécurité du système d'information est la somme des mesures cohérentes mises en œuvre en adéquation avec le contexte de l'entreprise. Le contexte étant la stratégie de l'entreprise, ses métiers, ses moyens, son secteur et ses obligations.
Tu proposes une politique de sécurité reprenant l'ensemble des mesures se déclinant horizontalement et verticalement :
- D'une part du matériel, jusqu'a l'information de l'utilisateur (ou le côté humain ou social) en la matière.
- Et d'autre part en fonction des secteurs/métiers de l'entreprise qui n'auront pas forcément des contraintes équivalentes.
Après cela peut englober beaucoup d'éléments et concerner tous les éléments du SI:
- menace externe (virus, spam, etc.)
- menace interne (vol d'information, etc.)
- stratégie de sécurité des comptes
- mesures de cryptages
- Accès interne/externe
- Surveillance active et passive
- Control opérationnel
- Stratégie de mise à jour
- Stratégie de sauvegarde
- Niveau d'équipement du matériel
- PRA/PCA
- Gestion de l'information sensible
- etc.
Si je reprends ta question, je n'ai pas d'attente particulière sur le sujet, si ce n'est qu'il faut être le plus éclairant possible. En faisant une analyse des risques et des bonnes pratiques et les mettre en face de la stratégie et des objectifs opérationnels. Après c'est une question de choix et de moyen. Par exemple et de manière simple pour un PRA il faudrait poser le problème suivant : Dans le cas d'un risque x, impliquant une perte de prod d'une durée y et pour les métiers z à un instant t est-ce que le risque est acceptable ou accepté ?
- Sois non et tu proposes un plan qui réponde à la contrainte et qui permet de maitriser la durée d'arrêt ou le cas. Et plus tu voudras te rapprocher de 0 plus les mesures seront couteuses.
- Sois l'entreprise accepte le risque, car elle n'en a pas forcément les moyens, ou considère que l’environnement n'est pas stratégique par exemple.
Bonjour,
Dans le cadre des entreprises il y a effectivement des besoins particuliers et des bonnes pratiques à mettre en œuvre, pour éviter par exemple, que l'entreprise se retrouve dans des situations aussi absurdes que celle-ci: mots de passe de TV5 Monde.
Ok. Maintenant, hormis dans les entreprises où un service informatique (interne ou externe) est dédié à la gestion des systèmes d'information, tous les professionnels utilisent un ordinateur, une tablette, un smartphone, des objets connectés divers. Alors pour toi-même : quelle est ton approche en ce domaine ?
/merci de ta réponse très fournie sur les types de menaces à considérer ;
/j'ai modifié légèrement ma question car je souhaite recevoir des réponses plus personnelles. :-)
Dans le cadre des entreprises il y a effectivement des besoins particuliers et des bonnes pratiques à mettre en œuvre, pour éviter par exemple, que l'entreprise se retrouve dans des situations aussi absurdes que celle-ci: mots de passe de TV5 Monde.
Ok. Maintenant, hormis dans les entreprises où un service informatique (interne ou externe) est dédié à la gestion des systèmes d'information, tous les professionnels utilisent un ordinateur, une tablette, un smartphone, des objets connectés divers. Alors pour toi-même : quelle est ton approche en ce domaine ?
/merci de ta réponse très fournie sur les types de menaces à considérer ;
/j'ai modifié légèrement ma question car je souhaite recevoir des réponses plus personnelles. :-)
@JoyceMarkoll je n'ai pas assez de recul sur les objets connectés, les tablettes, etc...
Concernant les ordinateurs personnels par contre, je mettrais en avant quelques bonnes pratiques sans être exhaustifs :
- Avoir une sauvegarde fiable et pérenne (ne pas faire confiance à une clé usb), et consolider avec une technologie de clichée instantanées ou équivalent.
- Limiter l'utilisation des comptes Administrateur uniquement à l'installation des applications et utiliser un compte normal pour une utilisation courante ( c'est plus de 90% des menaces éliminé ).
- Ne pas désactiver les systèmes de sécurité intégrée...
- Faire régulièrement les mises à jour de sécurité de son système et ses logiciels (9% de risque en moins)
- Ne pas faire confiance à son antivirus, restez méfiant.
- Pour les pourriels, dans le doute on supprime et on ne clique pas sur des liens bancaires/e-commerce. Quand un mail suspect provient d'une connaissance, on appelle directement.
- Lire les messages et réfléchir, ne pas paniquer inutilement beaucoup de pièges utilise les peurs des gens pour se propager.
Concernant les ordinateurs personnels par contre, je mettrais en avant quelques bonnes pratiques sans être exhaustifs :
- Avoir une sauvegarde fiable et pérenne (ne pas faire confiance à une clé usb), et consolider avec une technologie de clichée instantanées ou équivalent.
- Limiter l'utilisation des comptes Administrateur uniquement à l'installation des applications et utiliser un compte normal pour une utilisation courante ( c'est plus de 90% des menaces éliminé ).
- Ne pas désactiver les systèmes de sécurité intégrée...
- Faire régulièrement les mises à jour de sécurité de son système et ses logiciels (9% de risque en moins)
- Ne pas faire confiance à son antivirus, restez méfiant.
- Pour les pourriels, dans le doute on supprime et on ne clique pas sur des liens bancaires/e-commerce. Quand un mail suspect provient d'une connaissance, on appelle directement.
- Lire les messages et réfléchir, ne pas paniquer inutilement beaucoup de pièges utilise les peurs des gens pour se propager.
Bonjour,
A mon niveau je distingue 2 aspects avec des attentes très différents:
Sur mes professionnels, j'ai principalement de la confidentialité et de la pérennité. Cela englobe beaucoup d'éléments tant au niveau de mon poste de travail, que mon smartphone de mes possibilités d'accès distant (bureau virtuel, webmail, applis métiers externes, ...) et de l'ensemble de l'infrastructure autour. J'ai assez peu de prise sur la globalité techniquement. Le confort n'est clairement pas une préoccupation. Par contre, j'ai les droits strictement necessaires pour mon activité et quand cela l'exige je peut avoir un autre "compte à pouvoir" pour réaliser des actes techniques clairement identifiés sur des environnements précis. Ce compte "à pouvoir" ne me permet pas de faire de la bureautique par exemple ou d'utiliser la messagerie. (cela fait parti des contraintes que l'on s'impose pour de SOX en particulier).
De même j'ai un compte de test pour "bidouiller" dans un environnement hors production.
Tout est très cloisonné et quand on arrive de l'univers PMe tout à chacun peut avoir des droits d'administrateur et se servir d'un serveur comme d'un poste de travail, on trouve cela très lourd mais les enjeux ne sont pas les mêmes. Ca à l'air un peu exagéré mais je l'ai déjà vu (et j'espère que cela ne se pratique plus).
Depuis 5 ans, j'interviens sur des "très gros réseaux" (env. 2000 BdD, 2000 serveurs, MS, 8000 unix/linux et 45 000 postes de travail) a impose des restrictions que n'ont pas les parcs de taille plus "humainement abordable".
Avant j'intervenais sur ces parcs moins "monstrueux" avec la "macro-stratégie" suivante:
- premièrement mettre en sécurité le SI contre les "évènements globaux" (incendie, vol,...): cette première phase visait à déterminer ce qui était indispensable à protéger pour l'entreprise (ne serait ce pour fournir des documents aux assureurs) donc sauvegarde (avec sortie des bandes des locaux de l'entreprise par le patron, protection électrique du matériel sensibles, protection physique des accès,...)
- Deuxièmement garantir la continuité et plan de reprise: mise en place de redondance, de différents "dispositif de Fail-over", monitoring des évènements systèmes, etc...
- Troisièmement un premiere niveau de sécurité contre la malveillance avec l'arsenal usuel d'antivirus sur les serveurs, la définition de DMZ ou à contrario de haut confidentialité, VLAN, de pare-feu, proxy (parfois avec filtrage des sites),....
- Dernier niveau, les utilisateurs et les applications. Outre les antivirus sur les postes de travail, les postes eux meme étaient le plus standards possibles (pour industrialisé les réinstallations), la sensibilisation des utilisateurs (sur les mots de passe, sur le fonctionnement de l'antivirus,...), la maitrise des installations des produits logiciels et beaucoup de patience pour expliquer pourquoi il ne sont plus administrateur de leurs postes (en général je laissais l'UAC pour que les gens est un warning en cas d'installation non sollicitée)
A titre privé, ma stratégie est plus simple:
J'ai des sauvegarde sur disque USB de mes petites affaires, j'ai un antivirus dont je maitrise le fonctionnement un parefeu et je contrôle régulièrement les logs des mon Wifi.
Pour les périphériques Android (Smartphones et tablettes), je contrôle les processus de temps en temps, j'ai créé un profil sur mon Smartphone qui demande le code pin et désactive le wifi quand je ne suis plus chez moi (la localisation est aussi activée uniquement quand j'en ai besoin). J'ai un compte Google spécifique pour ces périphériques et je n'ai aucun document personnel dessus.
Que ce soit professionnellement ou à titre privé, j'ai toujours la même approche sur la question des données: Je les classe en 3 grandes catégories:
public, privé et sensible. Chaque catégorie implique des traitements spécifiques pour leur conservation et leur traitement: les données publics ne sont pas spécialement protéger (j'ai quand même une sauvegarde) les données privés ne sont pas partagés en dehors de ceux que cela concerne et les derniers ne sont manipulés que depuis le seul appareil dont le maitrise vraiment le fonctionnement : mon PC.
J'ai un PC portable qui peut contenir des données mais elles sont alors chiffrés.
A mon niveau je distingue 2 aspects avec des attentes très différents:
Sur mes professionnels, j'ai principalement de la confidentialité et de la pérennité. Cela englobe beaucoup d'éléments tant au niveau de mon poste de travail, que mon smartphone de mes possibilités d'accès distant (bureau virtuel, webmail, applis métiers externes, ...) et de l'ensemble de l'infrastructure autour. J'ai assez peu de prise sur la globalité techniquement. Le confort n'est clairement pas une préoccupation. Par contre, j'ai les droits strictement necessaires pour mon activité et quand cela l'exige je peut avoir un autre "compte à pouvoir" pour réaliser des actes techniques clairement identifiés sur des environnements précis. Ce compte "à pouvoir" ne me permet pas de faire de la bureautique par exemple ou d'utiliser la messagerie. (cela fait parti des contraintes que l'on s'impose pour de SOX en particulier).
De même j'ai un compte de test pour "bidouiller" dans un environnement hors production.
Tout est très cloisonné et quand on arrive de l'univers PMe tout à chacun peut avoir des droits d'administrateur et se servir d'un serveur comme d'un poste de travail, on trouve cela très lourd mais les enjeux ne sont pas les mêmes. Ca à l'air un peu exagéré mais je l'ai déjà vu (et j'espère que cela ne se pratique plus).
Depuis 5 ans, j'interviens sur des "très gros réseaux" (env. 2000 BdD, 2000 serveurs, MS, 8000 unix/linux et 45 000 postes de travail) a impose des restrictions que n'ont pas les parcs de taille plus "humainement abordable".
Avant j'intervenais sur ces parcs moins "monstrueux" avec la "macro-stratégie" suivante:
- premièrement mettre en sécurité le SI contre les "évènements globaux" (incendie, vol,...): cette première phase visait à déterminer ce qui était indispensable à protéger pour l'entreprise (ne serait ce pour fournir des documents aux assureurs) donc sauvegarde (avec sortie des bandes des locaux de l'entreprise par le patron, protection électrique du matériel sensibles, protection physique des accès,...)
- Deuxièmement garantir la continuité et plan de reprise: mise en place de redondance, de différents "dispositif de Fail-over", monitoring des évènements systèmes, etc...
- Troisièmement un premiere niveau de sécurité contre la malveillance avec l'arsenal usuel d'antivirus sur les serveurs, la définition de DMZ ou à contrario de haut confidentialité, VLAN, de pare-feu, proxy (parfois avec filtrage des sites),....
- Dernier niveau, les utilisateurs et les applications. Outre les antivirus sur les postes de travail, les postes eux meme étaient le plus standards possibles (pour industrialisé les réinstallations), la sensibilisation des utilisateurs (sur les mots de passe, sur le fonctionnement de l'antivirus,...), la maitrise des installations des produits logiciels et beaucoup de patience pour expliquer pourquoi il ne sont plus administrateur de leurs postes (en général je laissais l'UAC pour que les gens est un warning en cas d'installation non sollicitée)
A titre privé, ma stratégie est plus simple:
J'ai des sauvegarde sur disque USB de mes petites affaires, j'ai un antivirus dont je maitrise le fonctionnement un parefeu et je contrôle régulièrement les logs des mon Wifi.
Pour les périphériques Android (Smartphones et tablettes), je contrôle les processus de temps en temps, j'ai créé un profil sur mon Smartphone qui demande le code pin et désactive le wifi quand je ne suis plus chez moi (la localisation est aussi activée uniquement quand j'en ai besoin). J'ai un compte Google spécifique pour ces périphériques et je n'ai aucun document personnel dessus.
Que ce soit professionnellement ou à titre privé, j'ai toujours la même approche sur la question des données: Je les classe en 3 grandes catégories:
public, privé et sensible. Chaque catégorie implique des traitements spécifiques pour leur conservation et leur traitement: les données publics ne sont pas spécialement protéger (j'ai quand même une sauvegarde) les données privés ne sont pas partagés en dehors de ceux que cela concerne et les derniers ne sont manipulés que depuis le seul appareil dont le maitrise vraiment le fonctionnement : mon PC.
J'ai un PC portable qui peut contenir des données mais elles sont alors chiffrés.
> Que ce soit professionnellement ou à titre privé, j'ai toujours la même approche sur la question des données: Je les classe en 3 grandes catégories: public, privé et sensible
C'est quelque chose que je fais aussi, mais sans avoir jamais pensé à l'ajouter à une liste des stratégies de la sécurité informatique. Merci pour l'idée !
C'est quelque chose que je fais aussi, mais sans avoir jamais pensé à l'ajouter à une liste des stratégies de la sécurité informatique. Merci pour l'idée !
Bonjour,
La sécurité informatique n'est qu'une petite composante de la vrai problématique.
On pourrait plutôt parlé de Cybersécurité terme consacré et plus approprié.
Toutefois, il y a tout un tas d'aspects liés, comme celle de l'infrastructure et de la qualité de son fonctionnement, de la protection des données en fonction de sa criticité déjà évoqué dans les autres réponses mais, aussi de l'Intelligence Économique ou de l'Information Stratégique.
Le numérique (digital) peu s'avérer un formidable outil apportant de nombreux gains de productivité. Toutefois, comme tout outil il y a des risques à l'utiliser, il faut donc que l'usager soit dans la mesure du possible au fait de ceux-ci. Sache comment y répondre au d'un point de vue conceptuelle ou fonctionnelle.
De nombreuses entreprises aujourd'hui se font rançonnées, piratées, ... de façon toute bête comme "l'escroquerie au président". Alors que des moyens... simples existent et que ce sont avant tout une question d'organisation et pas d'outils.
Frédéric Libaud, Expert en Numérique, Référent pour la région ouest de CINOV - IT
www.libaudfrederic.fr | blog.libaudfrederic.fr | www.cinov-it.fr
La sécurité informatique n'est qu'une petite composante de la vrai problématique.
On pourrait plutôt parlé de Cybersécurité terme consacré et plus approprié.
Toutefois, il y a tout un tas d'aspects liés, comme celle de l'infrastructure et de la qualité de son fonctionnement, de la protection des données en fonction de sa criticité déjà évoqué dans les autres réponses mais, aussi de l'Intelligence Économique ou de l'Information Stratégique.
Le numérique (digital) peu s'avérer un formidable outil apportant de nombreux gains de productivité. Toutefois, comme tout outil il y a des risques à l'utiliser, il faut donc que l'usager soit dans la mesure du possible au fait de ceux-ci. Sache comment y répondre au d'un point de vue conceptuelle ou fonctionnelle.
De nombreuses entreprises aujourd'hui se font rançonnées, piratées, ... de façon toute bête comme "l'escroquerie au président". Alors que des moyens... simples existent et que ce sont avant tout une question d'organisation et pas d'outils.
Frédéric Libaud, Expert en Numérique, Référent pour la région ouest de CINOV - IT
www.libaudfrederic.fr | blog.libaudfrederic.fr | www.cinov-it.fr
Bonjour FredericLibaud,
Merci, mais… tu as énoncé des généralités, or j'ai demandé des retours très personnalisés sur la manière toute personnelle d'aborder les choses. Que considères-tu protéger, quand tu penses "sécurité" pour tout ce qui touche à ton informatique toute personnelle ?
Merci, mais… tu as énoncé des généralités, or j'ai demandé des retours très personnalisés sur la manière toute personnelle d'aborder les choses. Que considères-tu protéger, quand tu penses "sécurité" pour tout ce qui touche à ton informatique toute personnelle ?
Bonjour JoyMarkoll,
J'ai développé des pratiques qui permettent de ne pas avoir trop de soucis. Et ce entre autre sur la gestion des mots de passes. C'est tout bête mais, c'est un des basiques !
Car l'utilisation d'un gestionnaire sécurisé est nécessaire et même indispensable quand on gère de multiples accès.
Ce qui me permets de ne pas subir certains risques évoqués.
La sauvegarde est également une composante essentielle... elle fait partie du PRI (Plan de Reprise Informatique) composante du PRA (Plan de Reprise d'Activité) de toute entreprises.
Mais tout cela n'est qu'une question d'usage comme je l'écrit ici : bit.ly/1p30pCe.
Frédéric Libaud, Expert en Numérique, Référent pour la région ouest de CINOV - IT
www.libaudfrederic.fr | blog.libaudfrederic.fr | www.cinov-it.fr
J'ai développé des pratiques qui permettent de ne pas avoir trop de soucis. Et ce entre autre sur la gestion des mots de passes. C'est tout bête mais, c'est un des basiques !
Car l'utilisation d'un gestionnaire sécurisé est nécessaire et même indispensable quand on gère de multiples accès.
Ce qui me permets de ne pas subir certains risques évoqués.
La sauvegarde est également une composante essentielle... elle fait partie du PRI (Plan de Reprise Informatique) composante du PRA (Plan de Reprise d'Activité) de toute entreprises.
Mais tout cela n'est qu'une question d'usage comme je l'écrit ici : bit.ly/1p30pCe.
Frédéric Libaud, Expert en Numérique, Référent pour la région ouest de CINOV - IT
www.libaudfrederic.fr | blog.libaudfrederic.fr | www.cinov-it.fr
La sécurité informatique devrait être renforcée pour éviter la répétition des attaques informatiques internationales.
Toutefois l’amélioration de la sécurité de l’internet ne devrait pas déboucher à la perturbation de l’expérience des utilisateurs.
Les versions complètes de l’antivirus devraient être gratuites afin que chaque internaute puisse protéger ses données personnelles dans les clouds et dans les terminaux.
La configuration d’un VPN sur les terminaux réduira aussi le risque du piratage : www.vpnmag.fr
Bonjour @magnpv il y a des versions complètes d'anti virus gratuits, mais ce n'est pas magique, ce sont des programmes, qui ont besoin d'être renseignés sur des signatures virales pour fonctionner, alors que chaque jour il y a des milliers de nouveaux malware (des virus mais pas que) qui sont écrits. “Toutefois l’amélioration de la sécurité de l’internet ne devrait pas déboucher à la perturbation de l’expérience des utilisateurs.” cela ne veut rien dire, désolée. Internet est un réseau d'ordinateurs interconnectés. Ce sont les passerelles et les ordinateurs qui ont besoin d'être renforcés. Tant que la majeure partie des ordinateurs tournera sous Windows et tant que les administrateurs n'auront pas une politique renforcée des mots de passe, et des droits et des permissions, le chaos continuera certainement.
(Je n'ai pas parlé de GNU/Linux ni des Free/Open/NetBSD dans ce message, pour ne pas m'étendre trop longuement).
Note que si tu te crées un Live CD Kasperski avec les indications données par la firme de sécurité, et que tu le lances pour faire une recherche virale et une désinfection, cela prend de nombreuses heures (le temps de récupérer les signatures virales, de lancer le scan et de le laisser tourner). La dernière fois que j'en ai utilisé un, il y avaient dans la mise à jour des informations plus de 8 milliards de signatures virales. ;-)