Qu'avez vous mis en place comme plan pour sécuriser votre patrimoine informationnelle ?
il y a 8 ans par olivierChaillot

Merci de vos contributions qui démontrent qu'il n'existe pas une solution duplicable partout ... par contre il me semble pouvoir faire ressortir quelques règles :
1-faire un inventaire du patrimoine informationnelle pour savoir ce qu'il faut protéger ! ce qui implique une hiérarchisation et l'identification de ce qui est important +/- ..., la connaissance de la nature (stratégique, tactique, ...) des supports (cerveaux, papier, numérique, ...) des délais (ce qui est important aujourd'hui ne le sera peut être plus demain ...
2-concevoir des règles d'accès au patrimoine ... et les faire respecter
3-agir sur l'environnement et là, il semble y avoir 3 leviers :
a) les locaux
b) les procédures
c) L'Humain
ai-je bien synthétiser vos commentaires ?

Je ne voulais pas répondre le premier :-)
D'un point de vue professionnel, je conseille aux entreprises de considérer leurs informations (numériques ou pas) comme des actifs.
La notion de patrimoine informationnel repose donc sur la définition d'un PCD (d'une politique de conservation des données qui va définir leurs valeurs, leurs "sensibilités" et leur durée de conservation) et d'une PSPI (politique de sécurité des données qui va définir les droits d'utilisation, de diffusion et et autorisation d'accès)
La politique de sauvegarde s'appuiera sur ces 2 politiques.
Apres, même si c'est le B-A-BA une sauvegarde, n'est pas une archive ni une simple copie. Elle est contrôlé systématiquement y compris la partie restauration.
Je connais de nombreuses sociétés qui ont découvert un peu tard que leurs sauvegardes étaient corrompues, qu'ils n'avaient plus de lecteur compatible,...
A titre personnel, c'est (beaucoup souple) j'ai une sauvegarde (annuelle !!!) des mes petites affaires. Mes fichiers sensibles sont eux chiffrés et synchronisés sur un NAS et un second PC (et imprimé dans un classeur). J'archive les années N-1 sur CD rom après ma déclaration d'impôt.
Serai je un peu parano?

Dans le cas d'une sécurisation des données d'entreprise, voilà ce que j'ai fait pour ma société actuelle :
Définir un cadre général avec les métiers et la direction, pour constituer :
- les éléments à sécuriser
- la fréquence de rétention
- la durée de conservation minimale
- Les durées d'archivages
C'est un minimum, mais on peut aller plus loin en fonction des besoins et du secteur, par exemple le temps de restauration, les scénarios de risques, les dépendances du système, la consistance, les temps d'indisponibilité admissible, etc. Un hôpital n'aura pas les mêmes contraintes qu'une industrie ou d'un artisan (ni les mêmes moyens d'ailleurs)

Parenthèse : j'invite ceux qui ont des PCA/PRA en projet à lire ce guide :
www.economie.gouv.fr/files/hfds-guide-pca-plan-...

À partir de là tu peux réaliser un audit pour voir si tu atteins les objectifs minimaux.
Si tu n'y réponds pas, il faut "négocier" pour faire évoluer les moyens/ressources/procédures pour y répondre, ou revoir les objectifs à la baisse.

Il est important de constituer les éléments suivants :
- Un plan de sauvegarde
- Un processus de restauration
- Une stratégie d'archivage
- Un PCA (voir un PRA)
- un plan de maintenance

Cela permet d'écrire et de partager par les acteurs :
- les objectifs
- les moyens
- Et les cas d'utilisations
- les procédures opérationnelles

Après j'ai tendance à ne pas avoir qu'une seule corde à mon arc, aucun dispositif n'est infaillible, et on ne peut pas avoir pensé à tous les cas !

Par exemple :
Dans le cas de mon plan de restauration, en fonction de l'ampleur de la restauration je ne vais pas m'orienter sur les mêmes moyens :
- Un utilisateur à malencontreusement perdu quelques fichiers on l'orientera pour qu'il utilise un système de restauration utilisateur ou métiers: Type "cliché instantanées" pour des fichiers basique, suivi de version pour une ged, ou bien outils gestion de versions logiciel pour des dev...
- Si la perte est massive on utilisera plutôt une restauration d'une "sauvegarde classique".
- Si l'ensemble du système est détruit, on s'orientera vers une restauration de type stockage.
- Si l'incident n'a pas été détecté rapidement on se tournera vers une archive
- etc...


Voilà pour quelques pistes non exhaustives, le sujet est vaste...

On est sur Google Apps au boulot pour tout ce qui est gestion de projets et administratif. Et on a nos repos sur un Gitlab privé accessible uniquement en local pour nos sources.

La sécurisation, c'est toujours un rapport risque/investissement. Pour moi, on a un bon équilibre.

Bonjour,

En matière de Cybersécurité (Infosec) le maillon faible c'est l'homme et cela couvre également les problématiques d'Intelligence Economique (IE).

Frédéric Libaud, Expert en Numérique, Référent pour la région ouest de CINOV - IT
www.libaudfrederic.fr | blog.libaudfrederic.fr | www.cinov-it.fr

Mes données partageables à la disposition de tous sur Internet (cf linuxvillage.org, et bentovillage.me), et garder les autres dans des systèmes GNU/Linux, sur plusieurs ordinateurs, avec des mots de passe solides (le tatouage de mon chien, et je change de chien régulièrement… non c'est pour rire ! mais j'ai de bons mots de passe, j'en change de temps en temps, et je maintiens mes systèmes à jour).

Si on veut être particulièrement sécurisé (en entreprise, pour protéger des données très sensibles…), on peut utiliser CentOS, Redhat, avec SELinux, plus pare-feux, IDS…

ISO 27001, si tu connais, c'est bien. Si tu l'appliques c'est mieux. Ton cher dévoué Lead Auditor au sein de Great-X !