Étiquette : Formation

Sécurité, Service

Gestion de crise et exercices

Définitions

Une crise est une situation anormale, venant perturber le fonctionnement habituel d’une organisation, pouvant aller jusqu’à la mettre en péril. Elle nécessite des réactions adaptées de la part des décideurs afin de revenir à une situation nominale, dans les meilleures conditions.

Alors même que la crise dépasse les capacités d’organisation et nécessite des mesures exceptionnelles en interne ou en faisant appel à des tiers, elle est bien souvent la conséquence d’un ou plusieurs faits – prévisibles ou non – exogènes ou endogènes.

Afin de pouvoir réagir au mieux, la préparation, l’anticipation, la prévision, la sensibilisation et la formation sont des éléments essentiels permettant une gestion adaptée, cohérente et efficace dans des situations instables. Cela passe par la rédaction de politiques de gestion de crise et de continuité d’activité, l’investissement en ressources humaines et matérielles, ou encore, la formation à la gestion de crise.

Exercices de gestion de crise

L’exercice de crise, qu’il soit « sur table » ou « terrain », annoncé ou inopiné, permet de manière transversale de répondre à plusieurs éléments de préparation à la gestion de crise, en fonction des objectifs de l’organisation et de son niveau de maturité.

Il faut alors considérer l’exercice de crise, d’une part en tant que moyen de validation de dispositifs et politiques, d’autre part en tant qu’outil ded formattion et enfin, en tant que levier stratégique, le tout, au profit d’une gestion de crise plus efficiente.

S’exercer pour valider les dispositifs et politiques de gestion de crise

Exemple d’exercice de crise dans le cadre d’un plan de continuité infomatique / PRA

Mettre en place pour la première fois une politique de gestion de crise ou revoir un dispositif de gestion de crise, doit provoquer l’automatisme de le tester, le valider de manière opérationnelle.

Politique de gestion de crise

En effet, à froid et en théorie, la conception et la rédaction de politiques de gestion de crise et de continuité d’activité peuvent paraître complètes et opérationnelles. Cela est effectivement peut-être le cas. Cependant, les acteurs de la gestion de crise, réussiront-ils à les comprendre et à se les approprier le moment venu, en cas de crise réelle ? Seule une mise en situation – la plus réaliste possible – permettra de mettre en lumière d’éventuels effets de bord. Ces derniers pourront être corrigés dans des versions ultérieures des politiques de gestion de crise. La fameuse roue de Deming, avec le « PDCA » (Plan / Do / Check / Act)[  issu de la norme ISO entre alors en jeu pour une amélioration continue vertueuse.

Vérifier et valider les dispositifs de gestion de crise est incontestablement un atout permettant de gérer au mieux la potentielle crise à venir. Cela permet également, grâce à l’exercice de crise, de profiter de cette occasion pour sensibiliser et former les collaborateurs à la gestion de crise.

Services de consulting

Nous pouvons vous accompagner pour mettre en place les dispositifs de gestion de crise pour gérer au mieux les potentielle situation de crise à venir. La création et le déploiement d’exercice de crise, permettra de sensibiliser et former vos collaborateurs pour gestion de crise opérationnelle.

Pour cela notre accompagnement peux concerner :

  • Évaluation ou audit de plan de continuité et de processus de gestion de crise
  • Définition et au déploiement de plans d’action d’amélioration.
  • Définition du processus opérationnel de gestion de crise.
  • Coaching du responsable de gestion de crise.
  • Organisation d’exercice sur table de gestion de crise.
Management, Sécurité

Sensibilisation à la sécurité des SI

Visionnez ce Teaser pour comprendre en quoi nous sommes tous concernés par les problèmes de cybersécurité et surtout quelles seraient les conséquences si nous ne restions pas vigilants :

Le site gouvernemental Cybermalveillance.gouv.fr nous offre ses conseils pour mettre en oeuvre des bonnes pratiques élémentaires pour protéger votre Système d’Information, qu’il soit personnel ou professionnel.

Les mots de passe

Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Face à la profusion des mots de passe, la tentation est forte d’en avoir une gestion trop simple. Une telle pratique serait dangereuse, car elle augmenterait considérablement les risques de compromettre la sécurité de vos accès.

Voici 10 bonnes pratiques à adopter pour gérer efficacement vos mots de passe :

  1. Utilisez un mot de passe différent pour chaque service
  2. Utilisez un mot de passe suffisamment long et complexe
  3. Utilisez un mot de passe impossible à deviner
  4. Utilisez un gestionnaire de mots de passe (voir Keepass)
  5. Changez votre mot de passe au moindre soupçon
  6. Ne communiquez jamais votre mot de passe à un tiers
  7. N’utilisez pas vos mots de passe sur un ordinateur partagé
  8. Activez la « double authentification » lorsque c’est possible
  9. Changez les mots de passe par défaut des différents services auxquels vous accédez
  10. Choisissez un mot de passe particulièrement robuste pour votre messagerie et les sites sensibles (voir le générateur de la CNIL  et cet outil pour tester HowSecureIsMyPassword)

Lien vers la page avec les fiches mémos :

LES MOTS DE PASSE

L’usage personnel et professionnel

La transformation numérique modifie en profondeur les usages et les comportements, être connecté est devenu le quotidien. Le développement des technologies mobiles, PC portables, tablettes, smartphones, offre désormais la possibilité d’accéder, depuis presque n’importe où, à ses informations personnelles mais aussi à son système informatique professionnel :

la frontière numérique entre la vie professionnelle et personnelle devient de plus en plus poreuse.

Face à cette évolution, il est nécessaire d’adapter vos pratiques afin de protéger tant votre entreprise ou votre organisation, que votre espace de vie privée.

Voici 10 bonnes pratiques à adopter pour la sécurité de vos usages pro-perso :

  1. Utilisez des mots de passe différents pour tous les services professionnels et personnels auxquels vous accédez
  2. Ne mélangez pas votre messagerie professionnelle et personnelle
  3. Ayez une utilisation responsable d’internet au travail
  4. Maîtrisez vos propos sur les réseaux sociaux
  5. N’utilisez pas de services de stockage en ligne personnel à des fins professionnelles
  6. Faites les mises à jour de sécurité de vos équipements
  7. Utilisez une solution de sécurité contre les virus et autres attaques
  8. N’installez des applications que depuis les sites ou magasins officiels
  9. Méfiez-vous des supports USB
  10. Évitez les réseaux Wi-Fi publics ou inconnus

Lien vers la page avec les fiches mémos :

LA SÉCURITÉ DES USAGES PRO-PERSO

Les appareils mobiles

Les les téléphones mobiles intelligents (smartphones) et tablettes informatiques sont devenus des instruments pratiques du quotidien, tant pour un usage personnel que professionnel. Leurs capacités ne cessent de croître et les fonctionnalités qu’ils offrent s’apparentent, voire dépassent parfois, celles des ordinateurs de bureau. Ils contiennent tout autant ou plus d’informations sensibles ou permettent d’y accéder. Ils sont plus faciles à perdre ou à se faire voler.

Ces appareils mobiles sont, malgré tout, généralement bien moins sécurisés que les ordinateurs par leurs propriétaires.

Voici 10 bonnes pratiques à adopter pour la sécurité de vos données sur les appareils mobiles :

  1. Mettez en place les codes d’accès
  2. Chiffrez les données de l’appareil
  3. Appliquez les mises à jour de sécurité
  4. Faites des sauvegardes
  5. Utilisez une solution de sécurité contre les virus et autres attaques
  6. N’installez des applications que depuis les sites ou magasins officiels
  7. Contrôlez les autorisations de vos applications
  8. Ne laissez pas votre appareil sans surveillance
  9. Évitez les réseaux Wi-Fi publics ou inconnus
  10. Ne stockez pas d’informations confidentielles sans protection

Lien vers la page avec les fiches mémos :

LA SÉCURITÉ DES APPAREILS MOBILES

Les attaques des cybercriminels

Hameçonnage (Phishing)

L’hameçonnage ou phishing en anglais est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) ou bancaires en se faisant passer pour un tiers de confiance.

Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.

Voici quelques conseils pour vous en prémunir :

  1. Ne communiquez jamais d’informations sensibles par messagerie ou téléphone
  2. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce
    lien sans cliquer, le lien apparaît en bas de la fenêtre
  3. Vérifiez l’adresse du site qui s’affiche dans votre navigateur
  4. En cas de doute, contactez si possible directement l’organisme ou la personne concerné
  5. Utilisez des mots de passes différents et complexes pour chaque site et application
  6. Vérifiez les date et heure de dernière connexion à votre compte
  7. Activez la double authentification pour sécuriser vos accès

Lien vers la page avec les fiches mémos :

L’HAMEÇONNAGE

Les Ransomwares ou Cryptolockers

Un rançongiciel ou ransomware est un logiciel malveillant ou virus qui bloque l’accès à l’ordinateur ou à ses fichiers et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès ou éviter leur diffusion sur Internet.

Que faire en cas de ransomware ? Isoler les équipements touchés, ne pas payer la rançon, préserver les preuves, identifier l’origine, déposer plainte…

Une attaque peut en cacher une autre, voici la technique des pirates expliquée en images simplement sur les Ransomwares :

Lien vers la page avec les fiches mémos :

RANÇONGICIELS OU RANSOMWARES

Quiz pour vérifier vos connaissance

quiz

Cliquez sur ce lien pour accéder au quiz qui vous permet de mesurer si vous avez bien acquis les bases de la sécurité des SI ou alors répondez au questionnaire suivant.

Si le formulaire ne s’affiche pas correctement, utiliser ce lien : https://forms.gle/4RRiEXvU4d43Umo4A

Pour compléter vos connaissances ou réviser les bonnes pratiques vous pouvez utiliser toutes les ressources proposées dans le kit de sensibilisation Cybermalveillance.