PCA / PRA : Etes vous sur d’être assuré pour votre ACTIVITE

Dirigeants !!

Vous êtes assuré pour vos locaux, votre activité professionnelle, vos salariés, votre parcs de véhicule, vos serveurs informatiques…. mais pas pour la remise en route de votre activité en cas de sinistre….Et ne dites pas : « Un incendie ou un dégât des eaux, cela n’arrive qu’aux autres« 

Exemples : (Et je pourrais afficher des pages entières de sinistres)

http://france3-regions.francetvinfo.fr/auvergne-rhone-alpes/puy-de-dome/clermont-ferrand/aubiere-incendie-entreprise-zone-industrielle-1178829.html

http://www.courrier-picard.fr/archive/recup%3A%252Fregion%252Fgamaches-intermarche-totalement-detruit-par-un-incendie-ia201b0n819480

http://www.larepublique77.fr/2016/07/20/incendie-dammarie-les-lys-intermarche-entre-colere-et-indignation/

Voici une explication succincte d’un PRA (Plan de Reprise d’Activité ) / PCA (Plan de Continuité d’Activité) :

http://www.commentcamarche.net/faq/16688-pra-et-pca

La mise en place d’un PCA / PRA ne prend que quelques jours et permet aux dirigeants et salariés de dormir tranquille quelque-soit  les incidents qui pourraient se produire…

Alors, n’hésitez pas à me contacter Contact@stephaneseban.com afin de faire au préalable une évaluation de vos risques..

Conférence sur la Sécurité Informatique des PME à Niort

OCSG Informatique vous propose de participer à la conférence sur la Sécurité Informatique des PME, Le 17 Avril 2013 à Niort.

 Inscrivez-vous dès maintenant ! 

 

Alerte de sécurité sur les bases de données Oracle 11g

Une alerte a été lancée par un expert en sécurité travaillant pour AppSec Inc. (Société spécialisée dans la sécurisation des bases de données) concernant une faille de sécurité sur la version 11g 1 & 2 d’Oracle Database.

Cette faille a un impact sur l’authentification des mots de passe et permet, à un « informaticien chevronné » ayant récupéré un identifiant et le nom de la base de données, de trouver le mot de passe associé via une attaque par force brute.

Pour comprendre cette faille et y remédier, vous trouverez ci-joint quelques articles explicatifs :

En français :
Les bases de données Oracle simples à hacker
Ou en Anglais :
http://e-university.wisdomjobs.com/oracle-11g/chapter-336-282/database-security.html
http://www.commitdba.com/blog2/dbaspeak/are-your-oracle-11g-databases-secure.html

Les articles ci dessus permettent de revoir la configuration de vos bases Oracle et  d’activer certains paramètres au démarrage de la base de données (entre autre le « FAILED_LOGIN_ATTEMPTS » et le « SEC_CASE_ SENTITIVE_LOGON »). Ou de restreindre les connexions  (plage d’adresses IP exclue ou autorisée…)

Les risques d’utilisation des Smartphones, Tablettes ou Portables en dehors de l’Entreprise

De plus en plus, les outils mobiles sont utilisés pour travailler en dehors du bureau : Consulter un devis sur Smartphone dans le train, préparer une réunion sur Tablette à l’hôtel, consulter ses mails de l’Entreprise avant un rendez vous….

Toutes ces données confidentielles doivent être protégées. Pour cela, il est nécessaire de mettre en place des règles et outils permettant une sécurité optimum, tout en privilégiant l’utilisation de ces outils de communication.

Voici un résumé des principes et règles à adopter :

1 – Adopter une attitude sécuritaire en fonction du lieu de consultation de ces informations.

Lors d’une utilisation des outils portables dans des lieux publics, il est recommandé de ne jamais les abandonner sans protections :

            – Pour les Smartphones, il existe des applications permettant de les verrouiller voir même de les désactiver à distance en cas de vol, de les géo-localiser etc…

           – Pour des ordinateurs portables ou tablettes, verrouiller sa session dés que l’on s’absente et raccorder les à un élément fixe (table, siège, poteau…) via un câble de protection .

Il est aussi recommandé de vérifier si aucune personne ne peut voir les données de l’écran (ou même des dossiers papiers). Il est ainsi fortement déconseillé de consulter des données sensibles dans les halles de gare, ou cafés et restaurants.

 2 – N’hésitez pas à crypter les données sensibles.

Enfin, le cryptage des données est indispensable dés l’utilisation d’informations professionnelles (Contacts clients, données comptables ou financières, devis clients….). Il peut être activé par le Smartphone  (comme pour le Blackberry, par exemple), ou rajouté à celui-ci, via une application complémentaire.

Suivant un récent article de la société Proofpoint, société spécialisée dans des outils de sécurisation de messagerie, des solutions simples existent pour mettre en place le chiffrement des données sensibles sur tous les Smartphones.

(Retrouver  l’article en cliquant sur le lien suivant : http://experts-it.fr/2011/09/01/le-cryptage-mobile-pour-une-meilleure-productivite-et-une-securite-renforcee/)

3 – Sécuriser l’accès aux données de l’entreprise.

Les smartphones ayant des navigateurs internet, il devient facile de se connecter aux données de sa société via les applications webs. Les Smartphones sont donc utilisés comme des ordinateurs portables. De plus, travailler de chez soi, via son réseau wifi personnel est maintenant chose courante.

La méthode la plus simple pour utiliser tous ces modes de connexion en toute sécurité (Smartphone, ordinateurs portables… de chez soi ou d’une borne Wifi Publique) est la mise en place de Token  de type RSA SecurID…

N’hésitez pas à me consulter par mail à l’adresse suivante Contact@stephaneseban.com pour plus d’informations sur ces outils de sécurisation des données et des accès.

Les sept points clés pour une externalisation réussie de son Plan de Continuité d’Activité (PCA)

Toute entreprise se doit de mettre en place un plan de Continuité d’Activité (PCA) afin de se prémunir de risques tels que :

  • Les pannes matériels (Serveurs, switch, routeurs…)
  • Les pertes de données ou données inaccessibles (Base de données cassées…)
  • Les dégâts des eaux ayant pour conséquences la destruction de l’ensemble du matériel Informatique,
  • Les incendies,
  • Les vols de matériels,
  • Etc…

Chacun des risques cités ci-dessus sont susceptibles d’arrêter partiellement voir totalement l’activité d’une entreprise.

L’objectif d’un PCA est la remise en route de l’ensemble des outils et données informatiques stratégiques de l’entreprise.

Sept recommandations nécessaires à la mise en place d’un PCA de qualité :

1 – Multiplier les fournisseurs.

Il faut différencier les actions de « création du PCA » et « son exécution »  (en cas de sinistre, par exemple). Il convient de donner la réalisation du PCA (c.-à-d. la rédaction et les tests) à un fournisseur, et l’exécution de celui-ci à de multiples fournisseurs.

Par exemple, les fournisseurs de matériels doivent être multiples  – pour s’assurer de la livraison dans un temps le plus court possible de l’ensemble des composants physiques (Serveurs, Ordinateurs fixes & portables, Routeurs, Switch, cablage…) – afin de prévenir leurs possibles défaillances.

2 – Mettre de la distance entre l’entreprise et les données sauvegardées.

La séparation d’au moins 2 Km est conseillé entre l’entreprise et les sauvegardes. Il convient aussi de s’assurer de l’accessibilité du site de sauvegarde. Doubler les sauvegardes sur deux sites est aussi une sécurité supplémentaire.

3 – Identifier les applications et données critiques ainsi que les délais acceptables de remise en route.

4 – Opter pour une réplication des applications.

La solution logicielle la plus efficace dans la constitution d’un PCA est la réplication des applications : Cela consiste à avoir une copie exacte des serveurs & applications sur un site délocalisé.

5 – Réaliser des tests réguliers et complets.

Il est recommandé d’effectuer, au minimum, un test complet par an et de l’évaluer via les indicateurs standards (Recovery Time Objective, Recovery Point Objective,

6 – Associer tous les acteurs de l’entreprise à la réalisation du PCA.

Les utilisateurs fonctionnels sont aussi importants que les informaticiens, car ils sont garant de la validité du PCA via leurs connaissances, recommandations et tests de validité.

7 – Faire évoluer le PCA en temps réel.

Un Plan de Continuité d’Activité n’est valide que si il est revu régulièrement, c-a-d de 1 à 3 fois par an, suivant la taille du système d’Information.

Les entreprises négligent trop souvent l’importance de la Sécurité de l’Information (Mars 2011)

Suivant un rapport récent du Cofondateur et Président d’I-Tracing ( Société de Conseil spécialisée dans la manipulation des données sensibles) , les entreprises françaises ne se sentent pas concernées par la sécurisation de leurs systèmes d’Informations sous prétexte que « mettre en place une protection efficace engendre des coûts ».

Mais comme le souligne ce rapport,
« L’altération, le vol et la destruction des informations ont des conséquences financières non négligeables. » Et « lorsqu’un sinistre se produit, l’entreprise s’emploie à le réparer… sans en supprimer les causes … Or, la sécurité est globale ; la sécurité physique bien sûr est indispensable, mais il ne faut pas oublier pour autant la sécurité applicative, la sécurité des bases de données, la sécurité des procédures et du comportement des informaticiens, etc. »

Cependant, la sécurité « n’est pas toujours une affaire d’argent. C’est le plus souvent une question de motivation stratégique et de priorité, au plus haut niveau de l’organisation ! »

Et le rapport conclu de la manière suivante :

Heureusement, l’application des réglementations comme Sarbanes-Oxley, ont rendu obligatoire la mise en œuvre de procédures.

L’objectif est d’identifier et de cartographier les emplacements contenant des données sensibles (bases de données, systèmes CRM, ERP financiers et comptables, données de géolocalisation, données d’usage d’Internet et télécoms, etc.) au sein du système d’information. On vérifie, teste, mesure et analyse le niveau de sécurité et de protection des données et des accès. Il faut en effet collecter, corréler, analyser et paramétrer les données provenant du système d’information et des réseaux pour assurer une meilleure protection des équipements, certes, mais aussi des données et des procédures… en un mot de toute l’entreprise. La sécurisation et la mise en conformité légale sont établies à partir du constat effectué. Le résultat est une meilleure défense de l’entreprise, de ses clients et des utilisateurs. Il faut une protection pensée en amont, avant d’être attaqué ou volé. En un mot, une défense préventive. ».

(Retrouver le rapport complet à l’adresse suivante http://www.mag-securs.com/Communiqués/tabid/65/id/28278/Securite-le-reveil-peut-etre-brutal.aspx)

Formé aux normes Sarbanes Oxley depuis 2001 et responsable de la sécurité de plusieurs PME (Filiales d’OTIS) pendant 7 années, je suis à même de vous apporter mes compétences sur la mise en place de ces normes de sécurité à moindre coût. Retrouver toutes les informations sur mon site à l’adresse suivante : www.stephaneseban.com