La question de @PascalW porte sur les actions curatives ... mais peut-être faites vous de la prévention ? Que faites vous pour ne pas avoir à payer de rançon ? Avez vous mis en place des procédures ? De la sensibilisation ? Un plan de continuation ? ...
Comment protégez-vous les informations sensibles dans votre entreprise ? A la maison ?

intelligence economique sécurité stratégie
7
2

7 réponses

il y a 3 ans par olivierChaillot
Merci de vos contributions qui démontrent qu'il n'existe pas une solution duplicable partout ... par contre il me semble pouvoir faire ressortir quelques règles :
1-faire un inventaire du patrimoine informationnelle pour savoir ce qu'il faut protéger ! ce qui implique une hiérarchisation et l'identification de ce qui est important +/- ..., la connaissance de la nature (stratégique, tactique, ...) des supports (cerveaux, papier, numérique, ...) des délais (ce qui est important aujourd'hui ne le sera peut être plus demain ...
2-concevoir des règles d'accès au patrimoine ... et les faire respecter
3-agir sur l'environnement et là, il semble y avoir 3 leviers :
a) les locaux
b) les procédures
c) L'Humain
ai-je bien synthétiser vos commentaires ?
5
il y a 3 ans par JoyceMarkoll
Je crois que oui, et de plus il s'agit aussi de diversifier les types de stockage des sauvegardes, comme par exemple, d'autres disques durs, du cloud, des bandes… Si toutes les sauvegardes restent sur place, en cas d'incendie il ne reste rien. Si tout est sur le cloud et que l'hébergeur aie le ou les serveurs de stockage qui flanchent, il ne reste rien non plus. Donc il vaut mieux penser à ne pas mettre toutes ses données sur les mêmes lieux de stockage. (œufs, paniers…)
1
il y a 3 ans par PascalW
Je ne voulais pas répondre le premier :-)
D'un point de vue professionnel, je conseille aux entreprises de considérer leurs informations (numériques ou pas) comme des actifs.
La notion de patrimoine informationnel repose donc sur la définition d'un PCD (d'une politique de conservation des données qui va définir leurs valeurs, leurs "sensibilités" et leur durée de conservation) et d'une PSPI (politique de sécurité des données qui va définir les droits d'utilisation, de diffusion et et autorisation d'accès)
La politique de sauvegarde s'appuiera sur ces 2 politiques.
Apres, même si c'est le B-A-BA une sauvegarde, n'est pas une archive ni une simple copie. Elle est contrôlé systématiquement y compris la partie restauration.
Je connais de nombreuses sociétés qui ont découvert un peu tard que leurs sauvegardes étaient corrompues, qu'ils n'avaient plus de lecteur compatible,...
A titre personnel, c'est (beaucoup souple) j'ai une sauvegarde (annuelle !!!) des mes petites affaires. Mes fichiers sensibles sont eux chiffrés et synchronisés sur un NAS et un second PC (et imprimé dans un classeur). J'archive les années N-1 sur CD rom après ma déclaration d'impôt.
Serai je un peu parano?
3
il y a 3 ans par Stephane31
Dans le cas d'une sécurisation des données d'entreprise, voilà ce que j'ai fait pour ma société actuelle :
Définir un cadre général avec les métiers et la direction, pour constituer :
- les éléments à sécuriser
- la fréquence de rétention
- la durée de conservation minimale
- Les durées d'archivages
C'est un minimum, mais on peut aller plus loin en fonction des besoins et du secteur, par exemple le temps de restauration, les scénarios de risques, les dépendances du système, la consistance, les temps d'indisponibilité admissible, etc. Un hôpital n'aura pas les mêmes contraintes qu'une industrie ou d'un artisan (ni les mêmes moyens d'ailleurs)

Parenthèse : j'invite ceux qui ont des PCA/PRA en projet à lire ce guide :
www.economie.gouv.fr/files/hfds-guide-pca-plan-...

À partir de là tu peux réaliser un audit pour voir si tu atteins les objectifs minimaux.
Si tu n'y réponds pas, il faut "négocier" pour faire évoluer les moyens/ressources/procédures pour y répondre, ou revoir les objectifs à la baisse.

Il est important de constituer les éléments suivants :
- Un plan de sauvegarde
- Un processus de restauration
- Une stratégie d'archivage
- Un PCA (voir un PRA)
- un plan de maintenance

Cela permet d'écrire et de partager par les acteurs :
- les objectifs
- les moyens
- Et les cas d'utilisations
- les procédures opérationnelles

Après j'ai tendance à ne pas avoir qu'une seule corde à mon arc, aucun dispositif n'est infaillible, et on ne peut pas avoir pensé à tous les cas !

Par exemple :
Dans le cas de mon plan de restauration, en fonction de l'ampleur de la restauration je ne vais pas m'orienter sur les mêmes moyens :
- Un utilisateur à malencontreusement perdu quelques fichiers on l'orientera pour qu'il utilise un système de restauration utilisateur ou métiers: Type "cliché instantanées" pour des fichiers basique, suivi de version pour une ged, ou bien outils gestion de versions logiciel pour des dev...
- Si la perte est massive on utilisera plutôt une restauration d'une "sauvegarde classique".
- Si l'ensemble du système est détruit, on s'orientera vers une restauration de type stockage.
- Si l'incident n'a pas été détecté rapidement on se tournera vers une archive
- etc...


Voilà pour quelques pistes non exhaustives, le sujet est vaste...
3
il y a 3 ans par Julien
On est sur Google Apps au boulot pour tout ce qui est gestion de projets et administratif. Et on a nos repos sur un Gitlab privé accessible uniquement en local pour nos sources.

La sécurisation, c'est toujours un rapport risque/investissement. Pour moi, on a un bon équilibre.
2
il y a 3 ans par JoyceMarkoll
Bonjour Julien,
> Et on a nos repos sur un Gitlab privé accessible uniquement en local pour nos sources.

œufs, paniers…
1
il y a 3 ans par Julien
Redondance de disques et snapshots... ha un moment on peut pas faire beaucoup plus.
1
il y a 3 ans par FredericLibaud
Bonjour,

En matière de Cybersécurité (Infosec) le maillon faible c'est l'homme et cela couvre également les problématiques d'Intelligence Economique (IE).

Frédéric Libaud, Expert en Numérique, Référent pour la région ouest de CINOV - IT
www.libaudfrederic.fr | blog.libaudfrederic.fr | www.cinov-it.fr
2
il y a 3 ans par JoyceMarkoll
Mes données partageables à la disposition de tous sur Internet (cf linuxvillage.org, et bentovillage.me), et garder les autres dans des systèmes GNU/Linux, sur plusieurs ordinateurs, avec des mots de passe solides (le tatouage de mon chien, et je change de chien régulièrement… non c'est pour rire ! mais j'ai de bons mots de passe, j'en change de temps en temps, et je maintiens mes systèmes à jour).

Si on veut être particulièrement sécurisé (en entreprise, pour protéger des données très sensibles…), on peut utiliser CentOS, Redhat, avec SELinux, plus pare-feux, IDS…
2
il y a 3 ans par olivierChaillot
Je suis d'accord avec toi, le chien, bien préparé, c'est super bon ! j'ai eu l'occasion de goûter plusieurs fois avec des copains dont c'est la culture de manger du chien ... franchement !!!+++ !!! et si en plus ça permet d'avoir des mots de passe +++ !!
2
il y a 3 ans par JoyceMarkoll
> franchement !!!+++ !!! et si en plus ça permet d'avoir des mots de passe +++ !!

LOL !
1
il y a 3 ans par ThierryBRICK
ISO 27001, si tu connais, c'est bien. Si tu l'appliques c'est mieux. Ton cher dévoué Lead Auditor au sein de Great-X !
1

Vous aimez Skiller?

Rejoignez la communauté.