bosjr

Quelle formation cybersécurité pour les agents d'une collectivité et/ou d'une tpe/pme (sensibilisation et/ou expertise) ?
il y a 7 ans par bosjr

La sécurité est l'affaire de tous mais les agents de l'employé aux experts ne sont pas sensibilisés ou informés au même niveau. Les RSSI sont souvent des autodidactes. Beaucoup de formations sont en cours de création. L'ANSSI propose un Label Formation Sécurité. Les Budgets se réduisent. La Cybercriminalité progresse et innove chaque jour. Quelles formations proposez vous ? Quelles formations souhaitez vous ? Ne devons nous pas généraliser un passport cybersécurité en même temps que la charte informatique pour les utilisateurs et de formations de management SSI pour les RSSI ?

Objectif : améliorer la sécurité de leur système d'information ou réduire la surface de risque au niveau humain, technique et juridiqua.

cybersécurité formation utilisateur sensibilisation rssi
4
4

5 réponses

LudovicLhuissier
il y a 7 ans par LudovicLhuissier

Nous sommes 200 dans l'entreprise et avons la chance de pouvoir compter sur un administrateur système et réseau très compétent (formation initiale et continue + veille permanente). Il a donc mis en place toute une batterie de boucliers (pare-feu, anti-virus, mots de passe, séparations physiques de serveurs... et j'en passe car mes propres compétences sont limitées).

Je rejoins @FredericLibaud sur le fait que le maillon faible du système reste l'utilisateur peu, pas ou mal averti et par ailleurs noyé en général (et c'est tant mieux) dans une activité quotidienne très dense. Dernièrement, nous avons subi une cyber-attaque à crypto-virus par mèl et toute la chaîne de sécurité et de sauvegarde des données a bien fonctionné... sauf que deux collègues ont activé le virus par inadvertance ce qui a entraîné le cryptage de données, la plupart sauvegardées et "faciles" à restaurer, mais certaines enregistrées sur des disques non contrôlés par l'administrateur système, contrairement aux consignes de la charte informatique...

Je suis preneur d'une méthode pour maintenir un haut niveau de conscience du risque chez les utilisateurs, que l'on arrive à sensibiliser en cas de problème grave, mais qui oublient très vite les bons réflexes quand le quotidien reprend le dessus. Nous avons pris le parti de communiquer régulièrement sur le sujet mais force est de constater que cela ne suffit pas malheureusement.

5
olivierChaillot
il y a 7 ans par olivierChaillot

la formation, la sensibilisation, la formation encore, l'éducation, ... bref, répéter toujours ... et, de temps en temps, le moins possible, mais il est des fois où l'on a pas le choix ... la sanction ! activer un lien ou utiliser un disque non contrôlé allant à l'encontre des règles connues, pour lesquels on a été formé, éduqué, ... ça s'appelle une faute ... reste à la qualifier ... blâme, grave, lourde, ... et à proportionner la sanction ... mise à pied de x jours ... mise à pied conservatoire ... faire un exemple ? monter le niveau de vigilance collectif ...

je sais, ce n'est pas très populaire ... mais c'est la sécurité collective ...

4
ChristopheFantoni
il y a 7 ans par ChristopheFantoni

J'ai moi-même été "pirate" à un moment donné de ma vie (mais un gentil "pirate" – ce que l’on appelait autrefois un white hat) et il m'arrive, encore aujourd'hui, d'intervenir au sein d'entreprises dans le cadre de leur sensibilisation à la cybersécurité. Et bien, la plupart du temps, ça rentre par une oreille et ça ressort par l'autre. Alors, pour retenir toute l'attention d'un public qui s'en fiche souvent pas mal, pensant que ça n'arrive qu'aux autres, il m'arrive de faire des démonstrations. Car quand ça vous touche, vous, personnellement, les gens ne vous écoutent/regardent plus de la même manière. Parmi les démonstrations possibles, il m'est arrivé de faire sauter des protections de médias, de pénétrer sur des machines locales ou sur des serveurs distants, de dupliquer des cartes d'accès, ou plus simplement de montrer qu'il était assez facile d'usurper l'identité d'une tierce personne. Et je peux vous assurer qu’à ce stade-là, votre interlocuteur vous écoutera avec la plus grande attention, tout en appliquant – à la lettre – toutes vos précieuses recommandations...

81
4
bosjr
il y a 7 ans par bosjr

C'est une bonne méthode : démontrer que c'est possible ou que cela existe sans que l'on s'en doute

Une analyse de risques selon des méthodes et normes connues doivent aboutir à un plan d'actions avec une charte et une politique de sécurité mais pas dans le but qu'elles existent parceque c'est bien mais aussi et surtout comme outils de sensibilisation avec des démonstrations à reproduire ....

1
ChristopheFantoni
il y a 7 ans par ChristopheFantoni

En règle générale, pendant ces démonstrations, je fais de la vulgarisation, c'est-à-dire que j’explique simplement des notions parfois complexes (ex. : algorithme de cryptage, algorithme de hashage, etc.) tout en mettant à la portée des utilisateurs les outils dont je me sers. Il en résulte une réelle sensibilisation – c'est-à-dire le but recherché –, car l’auditoire prend tout de suite conscience, qu’en réalité, tout le monde peut être un pirate en puissance. D’ailleurs, les derniers chiffres de la cyberdélinquance tendent à le prouver, étant donné qu’il n’y a jamais eu autant de piratage de cartes bancaires, ni autant de vols de voiture sans la moindre violence (le car-jacking, c'est-à-dire le vol AVEC violence, étant devenu aujourd’hui quasi anecdotique). On peut donc remercier l’électronique grand public de simplifier autant la vie des cyberdélinquants d’aujourd’hui…

103
4
FredericLibaud
il y a 7 ans par FredericLibaud

Bonjour,

La Cybersécurité est un vaste sujet dans la thématique du Numérique et de la Transition sous-jacente.

La formation initiale et/ou continue est extrêmement importante et pas que sur ce sujet spécifique d'ailleurs.

La labellisation est un avantage indéniable dans la reconnaissance qualitative d'un produit et/ou d'un service.

Les Collectivités/PME/TPE on intérêts à faire appel à des structures à proximités pour différentes raisons que je ne détaillerais pas ici. Les entreprises du secteur du numérique pour 97% d'entre-elles on moins de 50 salariés et pour 92% moins de 20.

Le passeport numérique pour les TPE est mort-né, remplacé par le programme Transition Numérique qui a bien du mal à vivre aussi.

Tandis que les dirigeants on du mal à appréhender le numérique, la Transition qui en découle et que dans la plupart des cas, n'y on pas d'intérêts.

En matière de cybersécurité, le maillon faible est l'homme et il s'agit avant tout chose d'une question de bon sens. Avec la mise en application de processus organisationnel avant de parler technique. D'ailleurs il faut laisser la technique aux techniciens, à charge pour ces derniers de se mettre à la porté des usagers.

La formation doit donc passer par les usages, la/les compétence(s) d'usage.

3
bosjr
il y a 7 ans par bosjr

Quels moyens avez vous mis en place pour sensibiliser l'homme ?

1
FredericLibaud
il y a 7 ans par FredericLibaud

Bonsoir,

Il s'agit surtout de faire passer des messages et dans ce cas il y un adage que j'utilise "il vaut mieux s'adresser au bon dieu qu'a ses saint" !

1
FredericLibaud
il y a 7 ans par FredericLibaud

Bonsoir,

Pour revenir au sujet de la Cybersécurité un certain nombre d'acteurs institutionnel comme l'ANSSI dirigé par Guillaume Poupard, mènent des actions majeurs vers les TPE/PME mais, aussi les collectivités.

On ne peu que recommander les ressources diffusées par ses acteurs dont le Guide des bonnes pratiques de l’informatique co-édité par l'ANSSI et la CGPME. Auquel c'est associé tout naturellement CINOV - IT, syndicat des TPE/PME du numérique, puisque nous sommes via notre fédération, le CINOV affilié à la CGPME.

L'ANSSI d'ailleurs déploie en région un référent, tout comme CINOV - IT et les acteurs intéressés par ces thématiques se fédèrent autour d'actions communes.

2
bosjr
il y a 7 ans par bosjr

L'ANSSI est un grand et important acteur mais combien connaissent ses publications comme ce bon guide et qui sont de bons supports de sensibilisation. 

www.ssi.gouv.fr/entreprise/bonnes-pratiques/

Mais comment les mettre en pratique dans votre collectivité et entreprise, initier, suivre, évaluer ces actions et les reconduire.

Il y a aussi la démarche cyberédu pour inclure la cybersécurité dans les formations :

www.ssi.gouv.fr/entreprise/formations/cyberedu...

En fait une affaire d'homme de bonne volonté prenant conscience de l'existence possible voire avéré des risques.

Le référent en Région est une bonne chose mais il faut encore plus de proximité et ce collaboration, de confiance avec les acteurs de la sécurité.

Vous avez aussi le CLUSIR Aquitaine dont j'ai été un des fondateurs et président le temps de mon activité et d'autres CLUSIRs régionaux et le CLUSIF.

Beaucoup d'entreprises proposent des produits, des solutions, des formations mais alors pourquoi peu semblent en prendre conscience ...sauf lors d'un incident ... et comment ceux qui doivent nous protéger arrivent à être trop souvent piratés (Orange, yahoo, ovh, ...)

Oui il faut sensibiliser en masse mais comment ?

Peu de conducteurs de voitures conduisent sans permis !

1
FredericLibaud
il y a 7 ans par FredericLibaud

Exacte !!

On peu cependant passer le permis mais, être un jeune conducteur...

2
bosjr
il y a 7 ans par bosjr

Vaut mieux être jeune avec le permis, une voiture entretenue mais c'est vrai que là il manque la formation tout le long de la vie et parfois l'expérience

1
JeromeA
il y a 7 ans par JeromeA

Bonjour, 

j'ai vu une solution très intéressante chez plusieurs clients qui intervient en premier lieu sur la sensibilisation des utilisateurs en entreprise (selon des règles interne) et qui peut par ce biais également permettre de repérer d'éventuels "utilisateurs" qui souhaiteraient nuire à l'entreprise (vol de données par exemple)

cela peut être une piste pour ce côté "sensibilisation" de l'utilisateur et donc la réduction des risques liés à la non attention ou négligence dont ils peuvent parfois faire preuve (et pas besoins de repasser tous les 3 mois par une formation)

de mémoire cette solution s'appelle observer ou observit, désolé je ne me rappelle pas du nom exact, j'étais en stage.

j'espère malgré tout que l'information vous sera utile de savoir qu'un outil existe pour cette problématique liée aux utilisateurs

Bonne journée

1
bosjr
il y a 7 ans par bosjr

Il n'y a pas que des utilisateurs souhaitant nuire et j'espère qu'ils soient le moins nombreux possibles ...

Que pensez vous du principe "Responsabiliser mais pour cela former et sensibiliser avant ..."

2
JeromeA
il y a 7 ans par JeromeA

Bonjour, 

pour ma part, j'ai trouvé cette option intéressante car la sensibilisation/Formation/éducation se fait automatiquement et dans la durée, maintenant je suis un "jeune" qui ne connait pas encore toutes les solutions possibles, mais lorsque l'on voit nos amis, notre famille en privée, c'est déjà une chose qui fait peur !! les informations qui peuvent être mises sur le web, dans les réseaux sociaux, le fait de cliquer sur un lien d'un mail inconnu, le fait de tout conserver sur un mobile au risque de le perdre... il y a tellement de chose que j'ai trouvé cette outil intéressant pour l'entreprise ou je l'ai vu. L'utilisateur qui voulait copier un fichier "critique" recevait un message, lorsqu'il voulait faire un extract d'information du CRM, il recevait un message, lorsqu'il télécharge un outil et qu'il cherche a l'installer, etc.. toutes ces activités qui peuvent paraître "sans importance" pour l'utilisateur mais qui peuvent être un risque pour l'entreprise. 

Je ne suis pas rentré dans le détail, lors d'un stage on voit plein de chose, mais j'ai pensé que cette information pouvait être intéressante dans le sujet abordé, comme me disait mon client, une Histoire comme il y a eu a la MGP n'aurait pas eu lieu avec cet outil et les règles que le client a activé (ou créé)

Responsabiliser par la formation, c'est un budget et ce doit être répétitif, comme me disait le client "l'humain est la seule machine ou le Patch n'a aucune valeur dans la durée" d'ou le choix de son investissement.

Bonne journée et Bonnes Fêtes.

2
bosjr
il y a 7 ans par bosjr

Bonjour,

Merci pour ce complément de témoignage 

Avez vous le nom du produit et des références ?

C'est vrai qu'il faut pense au grand public ou à l'ensemble des employés qui sont de plus des usagers, clients ou simples internautes qui se connectent aux organismes et entreprises même si elles sont bien protégées. Il faut généraliser les actions de sensibilisation et de formation.

Un bon exemple : www.hack-academy.fr/ la Hack Academy mais présenter d'autres scénarios

Société Conscio propose aussi une solution intéressante
 www.conscio-technologies.com/sensiwave-sensibil...

La sécurité et la formations en général n'est pas un cout mais un investissement avec un ROI  à plus ou moins long terme.

La sécurité doit-être inclus dès l'amont des projets, à la conception des objets et des publications mais pour cela il ne faut pas promouvoir le développement rapide et prendre conscience qu'il faut ajouter un délai supplémentaire pour la formation, la prise compte de la sécurité dans la qualité ..ainsi on ne traite plus les conséquences mais les causes ...

1
JeromeA
il y a 7 ans par JeromeA

Oui je l'ai recherché afin d'être plus précis sur mon post, c'est ObserveIT (www.observeit.com)je viens de retrouver le nom et un article d'ailleurs www.lelezard.com/communique-12260172.html

moi je l'ai vu durant mon stage dans un Ministère (désolé je ne peux pas dire le nom) et je sais qu'il avait trouvé la solution à travers une entreprise qui gère des données de patients hospitalier. 

Je suis d'accord avec vous sur le fait que la sécurité est un investissement mais cela n'est pas encore pris comme tel par toutes les entreprises, il suffit de voir le nombre de problèmes déclarés en 2016. 

Je vous remercie pour les échanges

Bonne journée

2
JeromeA
il y a 7 ans par JeromeA

j'ai regardé la solution Conscio, intéressant. Nous ne sommes pas dans la même approche de ce que j'ai pu lire, avec cette solution on va plus mettre en place des scénarios ou campagne que nous allons promouvoir auprès des utilisateurs pour qu'ils acquièrent les bons réflexes. c'est vraiment une solution orienté "formation/sensibilisation" par l'apprentissage, ObserveIT à l'air d'une solution plus orienté sur "l'application" avec si nécessaire des explications par messages. mais je vais regarder plus en profondeur, je n'aimes pas émettre d'avis quand je ne connais pas la solution plus que le simple fait d'avoir lu en diagonale... 

2
bosjr
il y a 7 ans par bosjr

Le problème c'est un produit non européen  d'ou la question de la conformité aux lois européennes 

Ce serait bien qu'il est un produit équivalent labellisée par l'ANSSI.

Avez vous comparer avec d'autres produits ?

Maintenant si c'est un ministère qi l'utilise, il est possible qu'il est une certification en cours

1
JeromeA
il y a 7 ans par JeromeA

je ne sais pas vous répondre sur ce point, je sais que j'avais parlé de la partie "enregistrement" et que l'on m'a expliqué que cette outil était validé par la CNIL car l'enregistrement n'est pas continu et n'intervient que sur le déclenchement d'alerte (et selon ce que l'on défini comme règles en interne) 

je pense que comme beaucoup d'éditeurs, ils doivent avoir un représentant en France, je vais chercher l'information, peut être pourraient ils renseigner sur ces points... beaucoup d'éditeurs "non Européen" Checkpoint, Fortinet, etc... sont présents dans les administrations et grands comptes, je ne pense pas que cela soit un "réel" soucis. 

Mais ayant un peu de temps, je vais creuser, même pour ma culture personnel, ce sera des informations "intéressantes"

Bonne journée

2
bosjr
il y a 7 ans par bosjr

Bonjour,

On trouve les produits qualifiés, pas encore assez nombreux, sur le site de l'ANSSI ici :

www.ssi.gouv.fr/entreprise/qualifications/prod...

Pour les prestataires qualifiés ou en cours de qualification :

www.ssi.gouv.fr/administration/qualifications/...

Pour les produits certifiés CSPN :

www.ssi.gouv.fr/entreprise/produits-certifies/...

Il y a le choix mais de quoi perdre son latin SSI

Et pour les formations voir www.ssi.gouv.fr/entreprise/formations/

2
JeromeA
il y a 7 ans par JeromeA

Bonjour, 

oui je connais quelques un de ces produits comme Primx, Stonesoft, etc... ce sont des offres de sécurité, il n'y a aucun de ces produits qui interviennent pour faire comprendre et/ou sensibiliser l'utilisateur vis à vis de ces erreurs en interne (accès cloud ou fileshare, copie de fichier etc...). PrimX fait du chiffrage (Disque, fichier, etc...) Stonesoft Firewall NG / IPS etc... solutions qui sont déjà présentes dans beaucoup d'entreprise qui ont d'ailleurs pour certaines, fait la une dans la presse en 2016 (Yahoo, DCNS, MGP, etc...) ou les problèmes n'ont pas forcément été des problèmes d'attaques techniques (Malware, Virus, etc...) mais plutôt des erreurs humaines (copie de fichier sur un PC, envie de nuisance etc...) 

mais déjà l'ANSSI montre et pousse auprès des entreprises, que ce soit de la PME ou du grand compte (on le voit par les reportages, publications, etc... dans des journaux qui ne sont pas forcément "spécialisé") les problématiques de Cybersécurité, ce qui au vu de ce que j'ai pu lire ou entendre est une grande avancé par rapport a il y a quelques années, mais comme vous disiez il y a énormément de choix, de solutions et je pense que ce ne doit pas toujours être les meilleurs ou les moins chers (mais je ne suis pas encore un expert sur toutes les solutions)

sinon j'ai creusé un peu et j'ai vu donc que la solution était distribué dans toute l'Europe, en France, l'on trouve cette solution chez Infinigate un distributeur de produit de sécurité. J'ai aussi vu sur le site, tout un tas d'information concernant les conformités (PCI, HIPAA, ISO27001, etc...)

Voila, à la vitesse ou cela va, il va y avoir de nouvelles solutions , je regarde pas mal en ce moment ce qu'ils appellent le machine learning et tout ce qui est détection et gestion d'attaques/réponse à incident...

Je vous souhaite de très bonnes fêtes de fin d'année 

2

Vous aimez Skiller?

Rejoignez la communauté.