post

Audits et conseils en sécurité des systèmes d’information

 

SECURITE DES SYSTEMES D’INFORMATION : PME-TPE / Collectivité / ASSOCIATION

En statut de micro-entreprise, Microsystem me permet de vous accompagner et vous conseiller dans vos projets informatiques de déploiement et d’installation et surtout sur le contrôle et la sécurisation de vos systèmes d’information. Situé à Vimines (Savoie – Chambéry), j’interviens entre Grenoble et Annecy pour des petites et moyennes entreprises, des collectivités et associations.

Expert en cybersécurité, j’accompagne les entreprises en effectuant des audits des systèmes d’information et en proposant les conseils et plans d’action adaptés au contexte et des solutions de remédiation. Le périmètre commence au niveau organisationnel, peut aller de l’infrastructure (Active Directory, LAN , WAN , WIFI,  WEB) aux système d’exploitation (durcissement Microsoft ou linux) à la sauvegarde et la récupération des données.

J’apporte conseils dans la sécurisation de vos systèmes d’information et vous guide vers le choix des meilleures pratiques pour votre structure. Demandez un audit de sécurité pour votre réseau, en me contactant directement:


Informatique Chambéry

Ordinateur-Informatique-Chambéry

Sécurité des Systèmes d’Information

Audits et contrôle de conformité

Conseils, REMÉDIATIONS ET ACCOMPAGNEMENT

SENSIBILISATION

Téléphone  : 0972577925

Contacts et mentions légales

 
 
 
Notre Identifiant SIRET : 510 402 456 00022 et code APE : 6203Z – Gestion d’installations informatiques .
44.200.112.172 

Audit RGPD

Je vous propose de vérifier votre conformité réglementaire par un audit RGPD.

Audit RGPD

Ceci ne vous concerne pas, êtes-vous certain ?

Cet audit RGPD se base sur la réglementation en cours, il permet de vous donner un état des lieux concret de votre système d’information, de mettre en évidence les écarts de conformité et d’avoir les recommandations expertes les plus utiles à votre contexte.

Radar Audit RGPD

Une approche organisationnelle est également abordée ainsi que des tests techniques s’il le faut. Un livrable vous sera communiqué, ainsi que tous les conseils d’amélioration de la sécurité de votre SI.

Pour éviter les sanctions de la CNIL, de bonnes pratiques informatiques sont nécessaires. Tous les aspects sont concernés : Gouvernance, utilisateurs, infrastructure, WIFI… Contactez-moi pour de plus amples détails.

Au délà de cet audit RGPD, un accompagnement sur la politique de sécurité de votre SI peut vous être proposé, ainsi qu’un audit de votre active directory ou un scan de vulnérabilités avec une analyse des risques cyber.

 

Scan Vulnérabilités Audit RGPD

RGPD

Depuis le 25 Mai 2018, le règlement général sur la protection des données (RGPD), fournit un cadre juridique sur la responsabilité, en matière de protection des données en Europe, pour les entreprise et collectivités.

Les délégués à la protection des données (DPD) seront au cœur de ce nouveau cadre juridique pour de nombreux organismes, et aideront à la conformité avec les dispositions du RGPD.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de contrôle…

En France, le RGPD s’applique à toute organisation publique ou privée qui traite des données personnelles. Elle doit pouvoir garantir et prouver leur conformité (en documentant), ceci concerne aussi tous leurs sous-traitants. Les données personnelles doivent faire l’objet de mesures de sécurité particulière (Guide CNIL)

Au delà de la partie juridique, ce règlement impose de bonnes pratiques techniques dans l’exploitation sur l’ensemble de votre système d’information. Un audit de sécurité vous permettra de connaître l’état de maturité et de sécurité de votre SI ainsi que les actions à réaliser afin d’être conforme à la réglementation en vigueur.

En cas de non-respect, des sanctions financières pourront aller jusqu’à 4 % du chiffre d’affaires.

  1. Désigner un pilote  : Le délégué à la protection des données, le DPD (DPO) – Conseil, suivi, pilotage
  2. Cartographier vos traitements de données personnelles : Liste des données, objectifs et  leurs traitement
  3. Prioriser les actions à mener
  4. Gestion des risques
  5. Organisation de procédures internes : devancer les failles et dysfonctionnements
  6. Documenter : Il faut prouver cette conformité par une documentation adaptées et actualisée

Veuillez trouver un guide réalisé par la CNIL…

Demandez un audit RGPD pour la sécurisation de votre SI. Ceci est nécessaire pour connaître son SI, points forts et points faibles et les actions de remédiations possibles.

KeePassXC – Ubuntu

KeePassxc – Ubuntu 20.04 LTS :

Ubuntu

 

 

 

 

 

 

Le programme KeePassXC  – Ubuntu, (famille KeePaas V.2) est un logiciel open source qui joue le rôle de « coffre-fort » de mots de passe qu’il stocke dans une base de données dont l’accès est authentifié et le contenu chiffré.

Réputé avec des algorithme fiables et certifié (NSA, ANSSI...) ce logiciel reste néanmoins fragile aux failles humaines. Cette application devient une cible de sécurité pour de nombreuses attaques.

Il est vrai qu’il existe quelques logiciels qui sont là pour casser votre mot de passe principal de KeePassXC, le fameux mot de passe maître, et ainsi donner un accès complet à la base de données. Lors de la création de la base de donnée, veillez à utiliser un lecteur déjà chiffré par le système, et/ou du moins utiliser une phrase de passe FORT ! Laisser par défaut les paramètres de chiffrement (AES 256 bits). Un fichier clé en plus peut-être utilisé comme SALT, qu’il ne faudra pas perdre ou modifier !

L’ANSSI recommandait ainsi en 2012 une taille minimale de 12 caractères, pour 3 classes de caractères, qu’il faudrait sans doute réactualiser pour tenir compte de l’évolution des moyens de calculs disponibles.

A la veille de l’informatique quantique, la tendance est déjà plutôt l’utilisation d’une phrase complète !

 

 

 

Cybersécurité

La conception d’un système d’information sécurisé (cybersécurité) ne se résume pas uniquement à l’implémentation de mesures techniques pour être en conformité réglementaire.

securite-informations informatique chambery

Il s’agit en plus de la protection des infrastructures, de protéger les personnes et les biens. C’est pourquoi l’organisation de l’entreprise et de ses différentes composantes doit permettre de prendre des décisions stratégiques importantes pour une réelle et efficace maîtrise des risques.

Le défi de la cybersécurité est souvent celui d’expliquer et de convaincre les directions de déployer une politique globale de la sécurité.

C’est pour cela qu’il est nécessaire d’identifier clairement les valeurs à protéger ainsi que les risques inhérents au système d’information afin de déterminer les besoins de sécurité et les moyens de les satisfaire. Ce patrimoine numérique doit être identifier selon un périmètre précis.

Outre les mesures de sécurité proactives de protection des valeurs, il est tout aussi important de prévoir des mesures réactives pour pallier à la survenue d’incidents non sollicités, qu’ils soient d’origine criminelle ou accidentelle. Les outils de sécurité doivent être accompagnés par des procédures d’exploitation et de gestion, avec un personnel formé à ces mesures, normes, exigences et cadres réglementaires. (ISO 2700x, RGPD, RGS…)

Le tableau ci-dessous doit permettre d’avoir une vision globale sur les capacités, les objectifs et les moyens de sécurité d’un système d’information

Capacité d’un système à
Objectifs de sécurité Moyens de sécurité
Pouvoir être utilisé Disponibilité Dimensionnement
  Accessibilité Gestion systèmes/ réseau
  Pérennité Redondance
  Procédures de sauvegardes
 
Exécuter des actions Intégrité Conception
  Sûreté de fonctionnement Performance
  Fiabilité Ergonomie
  Durabilité Qualité de service
  Maintenance opérationnelle
 
Permette l’accès Confidentialité Contrôle d’accès
aux entités autorisées Intégrité Gestion des identités
  Authentification
  Chiffrement
 
Prouver des actions Non-répudiation Enregistrement, traçabilité
Imputabilité
Traçabilité
Authenticité
Conformité

Réf. : Cybersécurité – Analyser les risques et mettre en œuvre les solutions S. Ghernaouti

Afin de mieux comprendre ces exigences, vous trouverez des guides sur les bonnes pratiques de sécurité informatique sur le site de l’ANSSI (Agence Nationale de la Sécurité des Système d’Information) : https://www.ssi.gouv.fr/administration/bonnes-pratiques/

Une défense en profondeur implique une bonne infrastructure (LANs, VLANs, DMZs…), une bonne gestion des identités, des accès réseaux et des périphériques utilisateurs maîtrisés, un durcissement des OS serveurs, poste de travail et autres actifs et des systèmes à jour, des protocoles fiables, des flux chiffrés avec des algorithmes robustes…

Tout ceci passe par une bonne connaissance de son système d’information, une documentation et des procédures à jour, une connaissance des données sensibles à protéger et des risques les plus probables et/ou impactants.

Et bien évidemment, des plans d’action pour assurer la résilience avec des sauvegardes et des restaurations régulièrement testées.