Outil de résilience à l’heure du COVID-19 ?

Outil de résilience à l’heure du COVID-19 ?

PUPA PCA

Le PUPA : Outil de résilience à l’heure du COVID-19 ?

« Plan d’Urgence et de Poursuite des Activités » PUPA et non plus du PCA « Plan de Continuité des Activités »
Cependant la définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l’ancien PCA

Du reste, Les autorités parlent de PUPA : est-ce judicieux ?
Est-ce l’outil  de résilience à l’heure du COVID-19 ?

D’ailleurs, Les banques et compagnies d’assurance doivent avoir un PUPA depuis fin 2014
A cet égard, Dans le décret de 2014, l’ACPR mentionne le PUPA en lieu et place du PCA.
Pourquoi introduire ce concept alors que les praticiens de la continuité sont habitués au PCA

D’autre part, Le « PCA » est victime d’interprétations très nombreuses.

Qu’est-ce donc que le PUPA ? Outil de résilience à l’heure du COVID-19 ?

PUPA : Outil de résilience à l’heure du COVID-19 ?
PUPA vs PCA
Le PUPA, contrairement au PCA n’a pas un passé chargé !

PUPA : « Plan d’Urgence et de Poursuite des Activités » c’est clair et montre bien qu’il y a deux objectifs,
réagir en urgence et poursuivre des activités.
La définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l’ancien PCA :
« Ensemble de mesures, des dispositifs, des ressources et des moyens nécessaires visant à assurer,
selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant,
de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes.
Les derniers mots « et à limiter ses pertes » ont été ajoutés à l’ancienne définition.

Regardons la définition du PUPA de plus près

Il s’agit d’un « ensemble de mesures ».
Ces mesures « visent à assurer » : elles ne « garantissent » pas », de façon temporaire selon un mode dégradé,
suivi du retour à une reprise planifiée, des prestations de services importantes et à limiter ses pertes.

PUPA

Anticiper la perte de production informatique à la suite d’un sinistre et définir une organisation pour limiter le risque Incendies, intempéries, catastrophes naturelles, crises sanitaires, conflits sociaux, arrêts informatiques,
attentats … autant de sinistres qui rappellent que nos organisations sont de plus en plus exposées aux risques.
En d’autres termes, dans une économie mondialisée où l’interdépendance des activités est croissante, les entreprises
et autres collectivités ont à affronter des risques qui menacent leur pérennité si elles n’anticipent pas
et ne se préparent pas à gérer des situations exceptionnelles qui peuvent brutalement interrompre,
partiellement / totalement, leur activité (cf. Covid-19)
En premier lieu, les dirigeants d’entreprise sont concernés par un sinistre potentiel et leur responsabilité
est directement engagée. De leur capacité à identifier et à évaluer les risques, à accroître la robustesse
en durcissant les dispositifs de prévention et de protection, à apporter les réponses appropriées en situation de crise et à engager les actions nécessaires pour un retour rapide à la normale, dépend la pérennité de l’entreprise.

A quels risques l’entreprise ou la collectivité est-elle le plus vulnérable ?
– Quelles sont les activités et les ressources critiques qu’il convient de protéger par un plan de secours ?
– Sous quel délai l’organisation doit-elle être à nouveau opérationnelle pour servir ses clients ?
– Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et préserver les actifs ?
– Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de sécurisation
et de communication ?
– Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en termes de locaux,
de personnels, de ressources techniques, de matériels et d’équipements ?
– Quels effectifs et quels moyens mobiliser pour assurer  la continuité ou la reprise des activités
jusqu’au retour à la normale ?
Le PUPA apporte des réponses concrètes à ces interrogations.
PUPA : Outil à l’heure du COVID-19 ?

 

 Démarche méthodologique

PCA Démarche
PUPA vs PCA PUPA Outil de résilience à l’heure du COVID-19 ?

 

 

 

 

 

 

Contenu du Plan

Le Plan type permet de définir et de décrire :
La cartographie des risques encourus et des vulnérabilités
Les différents impacts pour l’entreprise
La stratégie de continuité retenue avec les délais de reprise visés
L’organisation et les systèmes d’information de secours
– dispositif de gestion de crise
– processus métiers et support couverts
– acteurs de l’entreprise impactés
Les procédures de reprise et de basculement
– sites de repli ou solutions de travail à distance
– aménagement des chaines logistiques d’approvisionnement
– modalités d’hébergement et de repeuplement
– procédures de redémarrage et de retour à la normale
– modalités de fonctionnement dégradé
– plan de communication
– indicateurs de performance et engagements de service
Les procédures de maintien en condition opérationnelle du Plan
– plan de test
– procédures de contrôle qualité
– organisation et structuration des activités de maîtrise des risques
Notre Offre


NOTRE OFFRE

Continuité d’activité (PCA)

Assurer une continuité dans votre activité quel que soit l’incident auquel vous faites face.
De ce fait, votre entreprise n’est alors plus tributaire de son informatique et vos collaborateurs peuvent se consacrer pleinement à leur cœur de métier.

La mise en œuvre permet d’anticiper et de redémarrer dans les meilleurs délais

Pérenne’IT a construit une approche à la fois organisationnelle et technique de la disponibilité.

Avant la mise en place de la brique technologique, Pérenne’IT va étudier avec vous quels sont les critères de disponibilité pour chacun de vos services.
Réflexion faite et à partir de ces éléments nous définirons ensemble les mesures à adopter et réaliserons leur intégration.
PCA Offre

Encore du chemin à parcourir entre salariés et hygiène numérique

Cyberattaque Cybersécurité perenne-it

Malgré la forte prise de conscience des entreprises sur la question de sécurité informatique, les comportements laxistes sont toujours majoritaires chez les salariés et l’ hygiène numérique n’est pas encore sûre.

hygiène numérique

La mise en place d’outils modernes a certes amélioré la productivité mais les comportements des salariés restent risqués. Pourtant, la prise de conscience de ces risques est forte. Beaucoup de salariés concèdent avoir des pratiques à risque, notamment le partage de mot de passe, la connexion à des hotspots ouverts, l’utilisation du même mot de passe pour différents comptes ou encore le fait de noter ses mots de passe sur un papier.

L’amélioration de l’ hygiène numérique deviens une priorité

Plus de la moitié des entreprises de taille intermédiaire sont victimes de cyberattaques à la suite de négligences de la part de salariés. La première cause de cette situation est le manque de formation des collaborateurs aux bonnes pratiques informatiques.

Les dirigeants de TPE et PME comprennent l’enjeu de la cybersécurité mais il est encore difficile pour certains de transformer cette prise de conscience en actes. La sécurité informatique doit faire part entière à la stratégie de l’entreprise à long terme plutôt que de constituer des actions ponctuelles. Le second défi est de trouver les talents qui accompagneront l’entreprise dans cette démarche. Au-delà de l’aspect financier c’est sur l’humain que repose cet enjeu majeur pour les entreprises. En effet, ce sont les salariés qui, en appliquant les bonnes pratiques, sécuriseront le système d’information de leur entreprise.

Le rôle de la formation

C’est pourquoi la formation joue un rôle prépondérant dans un projet de sécurisation de SI. Avec des formations adaptées, les employés auront les armes pour assurer une bonne hygiène numérique au sein de l’entreprise. Petit à petit il faut réussir à faire changer leurs habitudes et éviter les comportements à risque. Cela peut s’articuler en webinars, en MOOCS ou en formation directe avec un DSI. L’objectif étant toujours d’impacter sur le comportement numérique des salariés au quotidien. L’humain incarne la première cause d’intrusion de logiciels malveillants en entreprise, une fois les employés avertis, une grande partie du problème que représente la cybersécurité sera résolu.

Lancement du premier kit de sensibilisation de cybermalveillance.gouv.fr

Cyberattaque Cybersécurité Sécurité

Le jeudi 14 juin, la plateforme cybermalveillance.gouv inaugurait la publication de son premier kit de sensibilisation sur la sécurité informatique. Composé de fiches et de vidéos, le kit cherche à communiquer sur les bonnes pratiques concernant divers sujets informatiques qui présentent des risques.

cybermalveillance

Les cyberattaques réussissent souvent à infiltrer les entreprises à cause de l’ignorance des salariés envers la cybersécurité. C’est pourquoi cybermalveillance.gouv à décider d’énumérer les bonnes pratiques dans toutes les situations à risque en commençant par ce premier volet.

L’enjeu principal est de diffuser le message aux TPE et PME qui n’ont en majorité pas encore mis en place de politique de cybersécurité. Le rôle de cette plateforme est donc d’accompagner ces entreprises dans le développement d’une stratégie de sécurité numérique. Des entreprises que l’Anssi ne peut pas suivre, faute d’une structure adaptée. Cybermalveillance.gouv met à disposition avec ce kit un large panel de documents pédagogiques donnant des conseils sur la marche à suivre en cas d’attaque et des conseils de prévention sur plusieurs domaines aux entreprises et organisations qui le souhaitent.

Un kit qui a pour but de sensibiliser

Les sujets abordés que la plateforme a élaboré avec différents partenaires ont été divisés en plusieurs axes pour couvrir quatre grandes thématiques. Ces dernières sont : l’hameçonnage, la gestion des mots de passe, la sécurité des appareils mobiles et la séparation des usages privés et professionnels. Chacun de ces thèmes est développé à l’aide de fiches et d’une vidéo.

L’ensemble des documents a été placé sous licence ouverte, ce qui permet aux utilisateurs de les adapter selon leurs besoins.

Ce kit est une première étape pour cybermalveillance.gouv dans l’accomplissement d’une de ses missions de départ : sensibiliser les citoyens. Des mises à jour seront proposées de façon régulière sur le site pour aborder de nouvelles thématiques.

Atteindre la bonne cible avec le bon message

La demande pour ce type de documentation semble présente : 4700 entreprises se sont inscrites pour télécharger le kit dont la majorité sont des structures de moins de 250 employés. Le fait que ce kit soit élaboré par cybermalveillance.gouv est un gage de qualité, il réponds ainsi pleinement à sa cible car il l’a connait bien.

Le message est grand public mais porte tout de même la patte de l’Anssi qui apporte la confiance aux entreprises. Ce kit représente une ressource précieuse pour les RSSI et les organisations qui souhaitent sensibiliser leurs employés.

La sécurité physique, indispensable à la conformité au RGPD

perenne-it RGPD Sécurité

Les organisations placent la protection des données en haut de la liste de leurs préoccupations à quelques semaines de la mise œuvre du RGPD. La majorité de ces organisations ne pensent pas suffisamment à la sécurité physique de leurs systèmes d’information. Elles s’exposent donc au risque d’enfreindre le RGPD, et exposent les données de leurs clients et fournisseurs au vol. 

sécurité physique ordinateur

Plusieurs types de données

Pour appliquer une politique de RGPD, il est important d’évaluer quel type de données l’entreprise traite afin d’ajuster le plus efficacement possible les préconisations.  

Il existe donc deux types de données à caractère personnel auxquelles le RGPD s’applique : 

  • Données personnelles : Celles-ci comprennent les données comme les adresses mail ou postales ainsi que les informations permettant de s’identifier en ligne comme les adresses IP. 
  • Données personnelles sensibles : Les données personnelles sensibles concernent les informations à caractère intime comme l’origine ethnique, les opinions politiques, la religion ou encore les données sur la santé. Les entreprises doivent en général justifier l’utilisation de telles données puisqu’il ne s’agit pas de données personnelles « normales ». 

La sécurité physique toujours aussi importante

Il faut également savoir que le RGPD s’applique non seulement sur le traitement de données personnelles en format numérique mais aussi en format physique. Il est donc important de s’attarder sur la question de la sécurisation du matériel physique en entreprise et pourquoi celle-ci est si importante à l’heure du RGPD. 

Après les cyberattaques, la perte physique constitue la plus importante source de violations de données. Tous les jours, c’est plus de 5 millions d’enregistrements de données qui sont perdus ou volés. En sachant cela, plus d’un tiers des entreprises n’ont aucune politique de sécurité physique en place pour protéger les ordinateurs portables, les appareils mobiles etc… 

En prenant connaissance du montant des amendes potentielles prévues par le RGPD, de la mobilité du personnel croissante et de la popularité du partage de bureau, sécuriser les ordinateurs portables et les appareils mobiles semble indispensable au bureau comme ailleurs. Le simple fait de verrouiller un appareil est un moyen simple et efficace e se protéger contre le vol. 

La sécurité physique est encore impliquée dans de nombreuses violations de sécurité, elle est donc indispensable à l’heure actuelle du RGPD et ne doit pas être ignorée. 

Bientôt le web sans mot de passe ?

Cybersécurité perenne-it Sécurité

Le W3C et la FIDO Alliance se sont mis d’accord sur les caractéristiques techniques d’une API libre (interface de programmation d’application) appelée WebAuthn. Cet outil pourrait avoir un impact considérable sur la manière dont les internautes naviguent sur internet puisqu’il promet de remplacer le mot de passe textuel à entrer au clavier par des intermédiaires biométriques (capteur d’empreinte, reconnaissance faciale). 

mot de passe

A l’heure où les smartphones sont quasiment tous équipés de capteur d’empreinte ou de reconnaissance faciale (iPhone X), sur le web il est toujours demandé de rentrer des mots de passe pour s’identifier. Pourquoi est-ce le cas ? Cela fait quelque temps que FIDO Alliance qui regroupe les géants de l’informatique (Google, Microsoft, Mozilla etc) se penche sur la question dans le but de mettre en place une nouvelle façon de s’identifier en ligne. 

WebAuthn, le futur du web sans mot de passe

La FIDO Alliance a donc développé une API sous le nom de WebAuthn dont la mission est de trouver une alternative plus sécurisée aux traditionnels mots de passe. Une application qui serait à la fois plus sûre pour les internautes mais également plus libre, de façon à ce que n’importe quelle société ou développeur puisse l’utiliser pour son site web ou ses services en ligne. L’application a été soumise au W3C et depuis peu, elle est disponible sur Firefox. De plus, elle sera disponible d’ici quelques mois sur Chrome et Edge, pas d’informations concernant Safari. 

S’identifier à l’aide du capteur d’empreinte de son smartphone 

Ce nouveau procédé repose donc sur un système authentificateur physique. Il peut aussi bien s’agir d’un dongle USB, que d’un capteur d’empreinte digitale ou encore d’un système de reconnaissance faciale. Il suffira donc de poser son doigt sur le lecteur d’empreinte digitale de son smartphone pour s’identifier. 

En plus d’éviter aux internautes d’avoir à rentrer leurs mots de passe constamment, WebAuthn permet de sécuriser davantage les comptes de ces derniers. En effet, ainsi le site web ne stockera aucun mot de passe. Pirater le compte d’un utilisateur sera donc bien plus compliqué qu’auparavant via un système de phising. 

Nouvelle solution, nouvelles limites 

La solution de WebAuthn nécessite que l’utilisateur soit systématiquement équipé d’un appareil physique pour s’identifier. Du coup que faut-il faire quand on s’est fait voler cet appareil ? Une autre question se pose alors : est-il plus facile de se faire voler son mot de passe ou son téléphone ? A chaque nouvelle solution son lot de contraintes.