Fonction RSSI

Fonction RSSI

Cybersécurité

ZOOM sur RSSI

En matière de cybersécurité, la moindre petite brique compte.
Ce constat est fait par tous les Responsables de la Sécurité des Systèmes d’Information » (RSSI), dont la mission est de garantir un niveau de sécurité optimal et la tâche est ardue. Continue reading

Le PUPA : Outil de résilience à l’heure du COVID-19 ?

Le PUPA : Outil de résilience à l’heure du COVID-19 ?

PUPA PCA

« Plan d’Urgence et de Poursuite des Activités » PUPA et non plus du PCA « Plan de Continuité des Activités »
Cependant la définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l’ancien PCA

Du reste, Les autorités parlent de PUPA : est-ce judicieux ?
Est-ce l’outil  de résilience à l’heure du COVID-19 ?

D’ailleurs, Les banques et compagnies d’assurance doivent avoir un PUPA depuis fin 2014
A cet égard, Dans le décret de 2014, l’ACPR mentionne le PUPA en lieu et place du PCA.
Pourquoi introduire ce concept alors que les praticiens de la continuité sont habitués au PCA

D’autre part, Le « PCA » est victime d’interprétations très nombreuses.

Qu’est-ce donc que le PUPA ? Outil de résilience à l’heure du COVID-19 ?

PUPA : Outil de résilience à l’heure du COVID-19 ?
PUPA vs PCA
Le PUPA, contrairement au PCA n’a pas un passé chargé !

PUPA : « Plan d’Urgence et de Poursuite des Activités » c’est clair et montre bien qu’il y a deux objectifs,
réagir en urgence et poursuivre des activités.
La définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l’ancien PCA :
« Ensemble de mesures, des dispositifs, des ressources et des moyens nécessaires visant à assurer,
selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant,
de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes.
Les derniers mots « et à limiter ses pertes » ont été ajoutés à l’ancienne définition.

Regardons la définition du PUPA de plus près

Il s’agit d’un « ensemble de mesures ».
Ces mesures « visent à assurer » : elles ne « garantissent » pas », de façon temporaire selon un mode dégradé,
suivi du retour à une reprise planifiée, des prestations de services importantes et à limiter ses pertes.

PUPA

Anticiper la perte de production informatique à la suite d’un sinistre et définir une organisation pour limiter le risque Incendies, intempéries, catastrophes naturelles, crises sanitaires, conflits sociaux, arrêts informatiques,
attentats … autant de sinistres qui rappellent que nos organisations sont de plus en plus exposées aux risques.
En d’autres termes, dans une économie mondialisée où l’interdépendance des activités est croissante, les entreprises
et autres collectivités ont à affronter des risques qui menacent leur pérennité si elles n’anticipent pas
et ne se préparent pas à gérer des situations exceptionnelles qui peuvent brutalement interrompre,
partiellement / totalement, leur activité (cf. Covid-19)
En premier lieu, les dirigeants d’entreprise sont concernés par un sinistre potentiel et leur responsabilité
est directement engagée. De leur capacité à identifier et à évaluer les risques, à accroître la robustesse
en durcissant les dispositifs de prévention et de protection, à apporter les réponses appropriées en situation de crise et à engager les actions nécessaires pour un retour rapide à la normale, dépend la pérennité de l’entreprise.

A quels risques l’entreprise ou la collectivité est-elle le plus vulnérable ?
– Quelles sont les activités et les ressources critiques qu’il convient de protéger par un plan de secours ?
– Sous quel délai l’organisation doit-elle être à nouveau opérationnelle pour servir ses clients ?
– Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et préserver les actifs ?
– Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de sécurisation
et de communication ?
– Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en termes de locaux,
de personnels, de ressources techniques, de matériels et d’équipements ?
– Quels effectifs et quels moyens mobiliser pour assurer  la continuité ou la reprise des activités
jusqu’au retour à la normale ?
Le PUPA apporte des réponses concrètes à ces interrogations.
PUPA : Outil à l’heure du COVID-19 ?

 

 Démarche méthodologique

PCA Démarche
PUPA vs PCA PUPA Outil de résilience à l’heure du COVID-19 ?

 

 

 

 

 

 

Contenu du Plan

Le Plan type permet de définir et de décrire :
La cartographie des risques encourus et des vulnérabilités
Les différents impacts pour l’entreprise
La stratégie de continuité retenue avec les délais de reprise visés
L’organisation et les systèmes d’information de secours
– dispositif de gestion de crise
– processus métiers et support couverts
– acteurs de l’entreprise impactés
Les procédures de reprise et de basculement
– sites de repli ou solutions de travail à distance
– aménagement des chaines logistiques d’approvisionnement
– modalités d’hébergement et de repeuplement
– procédures de redémarrage et de retour à la normale
– modalités de fonctionnement dégradé
– plan de communication
– indicateurs de performance et engagements de service
Les procédures de maintien en condition opérationnelle du Plan
– plan de test
– procédures de contrôle qualité
– organisation et structuration des activités de maîtrise des risques
Notre Offre


NOTRE OFFRE

Continuité d’activité (PCA)

Assurer une continuité dans votre activité quel que soit l’incident auquel vous faites face.
De ce fait, votre entreprise n’est alors plus tributaire de son informatique et vos collaborateurs peuvent se consacrer pleinement à leur cœur de métier.

La mise en œuvre permet d’anticiper et de redémarrer dans les meilleurs délais

Pérenne’IT a construit une approche à la fois organisationnelle et technique de la disponibilité.

Avant la mise en place de la brique technologique, Pérenne’IT va étudier avec vous quels sont les critères de disponibilité pour chacun de vos services.
Réflexion faite et à partir de ces éléments nous définirons ensemble les mesures à adopter et réaliserons leur intégration.
PCA Offre

PME: CASB or not CASB ?

PME: CASB or not CASB ?

Cloud Cybersécurité Sécurité

CASB: Vous avez forcément dû en entendre parler mais pas forcément oser demander de quoi il s’agit !

CASB signifie Cloud Access Security Broker

Il s’agit d’un dispositif de sécurité qui se place entre les utilisateurs de services Cloud et les fournisseurs de service.

De plus en plus d’entreprises mettent en œuvre un, voire plusieurs CASB pour lutter contre les dangers du « shadow IT ». Le shadow IT ce sont les applications SAAS (par exemple WeTransfer, Dropbox, …) . Ces applications sont souscrites directement par les utilisateurs et les services. Or le shadow IT est hors de contrôle de la DSI et induit donc des risques majeurs de sécurité pour les entreprises et les utilisateurs.

Le CASB va permettre:

  • de traiter ces risques
  • d’imposer une politique de sécurité
  • de respecter les réglementations, même lorsque les services Cloud sont en dehors du périmètre de contrôle de la DSI

La mise en œuvre pertinente d’un CASB sera granulaire et progressive, afin d’atteindre les objectifs de sécurité sans compromettre la confiance des utilisateurs ni réduire l’efficacité de leur travail.

Selon le Gartner, le CASB peut intégrer 4 types de fonctionnalités

  • La visibilité sur les services utilisés en shadow IT, et les utilisateurs qui y accèdent
  • La sécurité des données pour protéger les données sensibles
  • La protection contre les menaces  accès par des équipements ou utilisateurs non autorisés, depuis des zones géographiques suspectes ou horaires étranges ..
  • Gouvernance: donne de la visibilité sur le respect des contraintes réglementaires, notamment la protection des données personnelles, en IAAS et désormais en SAAS

CASB et PME: L’avis de Pérenne’IT

Incontournables dans les grands comptes, l’adoption d’un CASB dans les PME se développe rapidement aujourd’hui. Les raisons : l’accroissement des risques d’une part et de la démocratisation des solutions d’autres part. En effet la plupart des solutions CASB sont désormais disponibles…  en SAAS !

Pour en savoir plus, vous pouvez consulter le Magic Quadrant de Gartner

Lutte contre les cyberattaques – Le grand chantier de L’Union Européenne

Cyberattaque Cybersécurité

Alors que 2017 a été une année noire pour la sécurité informatique, l’Union Européenne cherche actuellement des solutions pour faire face aux menaces de cyberattaques. 

cyberattaques

 

Une forte inquiétude s’est éveillée au sein du parlement européen car les cyberattaques se multiplient et touchent à la fois les entreprises mais aussi les particuliers et les administrations. Ces attaques se sont accentuées fortement lors de ses dernières années avec le développement des usages numériques et des objets connectés. De plus, beaucoup de responsables politiques prédisent de nouvelles attaques informatiques dans les années futures 

Les cyberattaques en politique  

Durant la campagne présidentielle de 2016 aux Etats Unis les réseaux du gouvernement américain ont été piraté. Il a ensuite été montré que ses piratages venaient de la Russie. Certaines personnalités ont évoqué la possibilité que ces attaques puissent avoir été orchestrées par la Russie pour avantager le candidat Donal Trump.  

La France a également été touchée par ce genre d’attaque notamment lors de l’élection présidentielle de 2017 avec le piratage de certaines boîtes mails des cadres du mouvement “En Marche!”  le mouvement du candidat Emmanuel Macron. Ces attaques proviendraient de pays étrangers. On peut noter que le Monténégro a aussi été victime de fuite de données et d’hameçonnage durant les élections parlementaires de 2016.  

La présence régulière des hackers dans les campagnes électorales inquiète et montre l’urgence de trouver des mesures pour lutter contre les cyberattaques. L’ancien président de la commission européenne Jean Claude Junker avait déjà alerté l’Europe en disant “les cyberattaques sont parfois plus dangereuses pour la stabilité des démocraties et des économies que les fusils et les chars”. Aujourd’hui il y a une véritable prise de conscience de la part de la commission européenne pour répondre à la menace, de plus qu’il y a les élections européennes en mai 2019.

Ce qui va changer – Les mesures prisent   

La commission européenne a rédigé avec les Etats membres, un ensemble de lignes directrices communes sur la manière de protéger l’intégralité du cycle électoral contre les cyberattaques. Ce travail a permis de réaliser des actions concrètes à l’intention des autorités nationales en matière de protection contre les menaces informatiques. Ces mesures peuvent être prises par les organisations de cybersécurité et les organismes de gestion électorale pour sécuriser la technologie lors des élections. La commission européenne encourage maintenant les Etats membres à en faire pleinement usage.  

La commission européenne veut également lutter contre les menaces visant le comportement des électeurs en période électorale. Pour cela, des décisions ont été prises contre la désinformation et la manipulation comportementale afin que les réseaux sociaux ne puissent devenir une arme contre les démocraties.   

La plus pressante de ces résolutions est un code de bonnes pratiques que les plateformes internet doivent adopter. L’objectif étant de restreindre les possibilités de ciblage des publicités politiques. Ce code a également pour but de favoriser la transparence en matière de contenus sponsorisés.  

Il existe aussi des initiatives au niveau national dans lesquelles des Etats prennent des mesures en vue des prochaines élections. On peut relever également un vrai dialogue entre l’Union Européenne et les Etats-Unis ce qui permet une belle coopération entre les deux continents pour faire évoluer la sécurité informatique.  

L’objectif aujourd’hui est d’accélérer la lutte contre les cyberattaques afin que les pouvoirs publics ainsi que les autres acteurs soient de mieux en mieux préparés aux risques. 

 

Encore du chemin à parcourir entre salariés et hygiène numérique

Cyberattaque Cybersécurité perenne-it

Malgré la forte prise de conscience des entreprises sur la question de sécurité informatique, les comportements laxistes sont toujours majoritaires chez les salariés et l’ hygiène numérique n’est pas encore sûre.

hygiène numérique

La mise en place d’outils modernes a certes amélioré la productivité mais les comportements des salariés restent risqués. Pourtant, la prise de conscience de ces risques est forte. Beaucoup de salariés concèdent avoir des pratiques à risque, notamment le partage de mot de passe, la connexion à des hotspots ouverts, l’utilisation du même mot de passe pour différents comptes ou encore le fait de noter ses mots de passe sur un papier.

L’amélioration de l’ hygiène numérique deviens une priorité

Plus de la moitié des entreprises de taille intermédiaire sont victimes de cyberattaques à la suite de négligences de la part de salariés. La première cause de cette situation est le manque de formation des collaborateurs aux bonnes pratiques informatiques.

Les dirigeants de TPE et PME comprennent l’enjeu de la cybersécurité mais il est encore difficile pour certains de transformer cette prise de conscience en actes. La sécurité informatique doit faire part entière à la stratégie de l’entreprise à long terme plutôt que de constituer des actions ponctuelles. Le second défi est de trouver les talents qui accompagneront l’entreprise dans cette démarche. Au-delà de l’aspect financier c’est sur l’humain que repose cet enjeu majeur pour les entreprises. En effet, ce sont les salariés qui, en appliquant les bonnes pratiques, sécuriseront le système d’information de leur entreprise.

Le rôle de la formation

C’est pourquoi la formation joue un rôle prépondérant dans un projet de sécurisation de SI. Avec des formations adaptées, les employés auront les armes pour assurer une bonne hygiène numérique au sein de l’entreprise. Petit à petit il faut réussir à faire changer leurs habitudes et éviter les comportements à risque. Cela peut s’articuler en webinars, en MOOCS ou en formation directe avec un DSI. L’objectif étant toujours d’impacter sur le comportement numérique des salariés au quotidien. L’humain incarne la première cause d’intrusion de logiciels malveillants en entreprise, une fois les employés avertis, une grande partie du problème que représente la cybersécurité sera résolu.