Ne mettez pas votre entreprise en péril : sécurisez votre informatique. Panne, indisponibilité technique, Anticipez les problèmes liés à l'arrêt de votre informatique. Quels sont les types de risques dont il faut se prémunir ? Comment définir un plan de reprise d'activité (PRA) qui permette d'assurer un fonctionnement sans informatique ?

1. Jeudi 08 décembre 2011
Ne mettez pas votre entreprise en péril :
sécurisez votre informatique

2. Marlène Korsia
CCIMP
Service Innovation & TIC
marlene.korsia@ccimp.com

3. La totalité des entités récoltent, utilisent et stockent des
données :
- Clients
- Employés,
- Produits
- Activité
- Autres…
Elles doivent mettre en œuvre toutes les dispositions
nécessaires pour les protéger contre la perte, le vol, les
accès non autorisés…
Quelles sont les données en danger ?

4. Perte et vol d‘information
Atteintes à l’image et la réputation
Perte de clients
Coûts internes de gestion des problèmes
Pertes de revenus associés à la propriété intellectuelle

5.  4 entreprises sur 5 ont perdu des informations sensibles lors du
vol de notebooks Ponemon Institute LLC and Symantec end-user survey, August 2009
 10% des notebooks sont perdus ou volés par an
Web & Collaboration Strategies 2009
 1 disque USB sur 2 contient des informations sensibles
Forrester Research, Inc. and Symantec Corp. survey, February 2008.
 70% des données des entreprises sont dupliquées hors des
serveurs (notebooks, clé USB …)
Ponemon Institute, U.S. Survey: Confidential Data at Risk, August 2008
 Fuite d’informations: Augmentation de 47% entre 2007 – 2009
Breach List and Statistics - Identity Theft Resource Center (ITCP) Date: 01/12/2010
 Principales raisons de la fuite d’information :
Perte de portables ou de device – 35%
Ponemon Institute, 2009, Annual Study: Costs of Security Breaches
Des données mobiles de plus en plus exposées

6. Sécurité du Cloud
L’externalisation… quels sont les risques
?
- Perte de maîtrise
- Déficience des interfaces
- Maintien de la conformité
- Localisation des données
- Perte des données
- Usurpation

7. Pascal Guenot
pascal.guenot@izitic.fr

8. Définitions
PRA = Plan de Reprise d’Activité
Le Plan de Secours Informatique (PSI)
ET
L’organisation et les processus associés

9. Définitions
RTO = Recovery Time Objective
Durée maximale d’interruption que l’entreprise peut tolérer
(délai de reprise de l’outil informatique).
Le RTO dépend de la ressource informatique considérée :
 Une application qui conditionne la production aura un RTO
faible
 On pourra (peut-être) tolérer un RTO plus long pour une
application de messagerie

10. Définitions
RPO = Recovery Point Objective
Durée maximale d’enregistrement des données que l’entreprise
peut tolérer.
Le RPO dépend du type de donnée considérée :
 RPO = 0 pour des transactions bancaires
 On pourra tolérer un RPO plus long pour des données que
l’on peut ressaisir

11. Définitions
Quel impact des valeurs de RTO et RPO ?
Plus les objectifs pour les RTO et RPO seront ambitieux :
 Plus les investissements informatiques seront élevés
 Plus l’organisation et les processus seront importants pour le
bon déroulé du PRA
On parle plutôt de PCA = Plan de Continuité d’Activité dans le
cas d’un RTO minimal et RPO = 0
Cela nécessite une infrastructure à haute disponibilité

12. Illustration
Contexte
 Contrat de maintenance avec GTI à J+1
(Garantie de Temps d’Intervention au jour ouvré suivant)
 Sauvegarde des données en fin de journée
Déroulé du PRA
 Panne du serveur informatique le mardi en fin d’après-midi
 Intervention du mainteneur informatique le mercredi matin
 Le mercredi soir, remise en service et restauration des
données
 Le jeudi est consacré à ressaisir les données du mardi qui
ont été perdues
 L’entreprise n’est vraiment à nouveau opérationnelle que le
vendredi matin
Soit 3 jours de perte de production

13. Mise en place d’un PRA
Analyse préalable des risques
Réaliser un audit organisationnel
 Identifier et hiérarchiser les processus de l’entreprise
 Bien identifier les enjeux, le périmètre, les objectifs…
Réaliser un audit technique
 Recenser les vulnérabilités du système informatique
 Identifier les solutions à mettre en place
Etablir un plan d’actions
Arbitrer un plan d’actions en cohérence entre les risques
identifiés et les objectifs de l’entreprise

14. Les risques informatiques
Les risques d’origine physique
 Risques électriques (surtension, foudre…)
 Sinistres (incendie, dégât des eaux…)
 Vols de matériel (ordinateurs et, de plus en plus,
smartphones ou tablettes)
 Pannes matérielles (crash disque…)
Les risques d’origine humaine
 Mauvaise manipulation, malveillance interne…
 Cybercriminalité

15. Les risques informatiques
Risques électriques
Protéger les équipements hébergés dans le local technique :
 Contre les dégâts électriques
 Installation électrique aux normes (disjoncteurs
thermiques et différentiels, qualité de mise à la terre…)
 Parafoudre, parasurtenseur…
 Circuit électrique dédié au local technique
 Contre les coupures d’énergie
 Onduleur
 Groupe électrogène

16. Les risques informatiques
Sinistres (incendie, dégât des eaux…)
Protéger le local technique contre les sources de dommages
matériels :
 Système de détection incendie, voire d’extinction
automatique
 Système de détection d’humidité et de fuite d’eau
 Climatisation (a minima une ventilation efficace)
Tester les systèmes régulièrement !

17. Les risques informatiques
Vol de matériel
Protéger le local technique contre les intrusions :
 Sécurisation de l’accès (serrure, lecteur de badge…)
 Détection d’ouverture du local
Prévoir un câble antivol pour chaque ordinateur
Installer une vidéo-protection des locaux
Pour les équipements portables, protéger
l’accès aux données confidentielles (mot de
passe, chiffrement…)

18. Les risques informatiques
Pannes matérielles
Privilégier les gammes professionnelles des constructeurs :
 Fiabilité (qualité des composants)
 Robustesse (portables)
 Support garanti 3 voire 5 ans…
Pour les serveurs en particulier :
 Alimentation électrique doublée
 Disques en tolérance de panne (RAID)
 Protection électrique obligatoire (onduleur)
Les contrats de garantie et de services avec les constructeurs
doivent être en cohérence avec le RTO !

19. Les risques informatiques
La sauvegarde des données
Les causes possibles pour perdre des données sont tellement
multiples que la sauvegarde est une exigence incontournable !
C’est la valeur du RPO qui va déterminer la technologie de
sauvegarde et leur fréquence /durée de rétention
Les données de sauvegarde doivent être externalisées
 Supports magnétiques stockés hors de l’entreprise
 Sauvegarde externalisée dans un data center
Les tests de restauration doivent être réguliers !

20. Les risques informatiques
La protection anti-virus
Il y a une croissance exponentielle des codes malveillants
L’enquête 2010 du CLUSIF (*)
rapporte que 40% des entreprises
ont subi un incident de sécurité dû à une infections virale
(*)
Club de la Sécurité de l’Information Français – www.clusif.asso.fr
Les sources d’infection sont multiples : messagerie, clé USB,
téléchargements…
La politique de sécurité doit prévoir les mises à jour logicielles :
 En « temps réel » pour le logiciel anti-virus (base de
signatures)
 Aussi fréquente que possible pour les systèmes
d’exploitation (correction des failles de sécurité)

21. Les risques informatiques
Sécurité logique (empêcher les intrusions et les attaques)
 Protection en amont du réseau
 Protection des accès Wifi pour éviter l’écoute, le
détournement de connexion…
 Les accès distants via l’Internet public doivent être sécurisés
(VPN)
Sécurité du réseau local
Sécurité physique (limiter les pannes réseau)
 Architecture adaptée aux besoins (bande passante, nombre
de prises…)
 Pas de câblage « volant »

22. Les risques informatiques
Les risques juridiques (1/2)
 LCEN (Loi pour la Confiance dans l’Economie Numérique)
 Hadopi (loi Création et Internet)
 LOPPSI (Loi d'Orientation et de Programmation pour la Performance
de la Sécurité Intérieure)
Conservation des données de trafic dans le but de permettre la
recherche et la poursuite des infractions pénales
Obligations liées à la CNIL (Commission Nationale de l’Informatique et
des Libertés) en ce qui concerne l’enregistrement de données
personnelles : ces informations doivent être effacées ou rendues
anonymes
Au final, la CNIL considère que les entreprises fournissant un accès
Internet à leurs employés ne sont pas concernées par cette obligation
de conservation

23. Les risques informatiques
Les risques juridiques
(2/2)
La loi Hadopi introduit l'obligation
de sécuriser son accès
La responsabilité de l'employeur est
engagée dans le cas d'une
infraction constatée au sein de
l'entrepriseUne solution de filtrage pour
empêcher le téléchargement illégal
est fortement recommandée

24. La définition du PRA
Nécessité d’un contexte stable
Au niveau organisationnel
 Les acteurs concernés par le PRA doivent tous être
impliqués
Au niveau technique
 Tous les points critiques mis en évidence par l’audit
technique doivent être corrigés avant de formaliser le PRA
Les objectifs doivent être fixés et partagés
Il faut arbitrer entre :
 les risques dont on veut se prémunir
 les objectifs (RTO/RPO, mode dégradé…)
 les coûts pour répondre aux exigences de reprise

25. L’organisation du PRA
Formalisation des procédures
Les modalités d’activation et de conduite du PRA doivent être
formalisées :
Au niveau organisationnel
 Identification des acteurs et leur rôle pendant :
 le déclenchement
 la période de secours
 le retour à la normale
Au niveau technique
Procédures techniques pour dérouler le plan de secours
informatique

26. L’organisation du PRA
Le test du PRA est fondamental
Tant qu’un PRA n’a pas été testé, il n’a pas fait preuve de son
efficacité
Il vaut mieux découvrir les problèmes pendant les tests que
pendant la crise
Le retour d’expérience (analyse post mortem) permet de
corriger ce qui n’a pas bien fonctionné
Le maintien en conditions opérationnelles
(MCO)
Le PRA doit donc évoluer et être retesté régulièrement en
conséquence des modifications de l’environnement :
Evolution de l’organisation de l’entreprise
 Turnover du personnel
 Changements sur le système informatique…

27. Conclusion
• Mieux vaut anticiper les risques que de les subir
• Prévoir les choses ne les attire pas forcément
• Savoir réagir au plus vite pour se remettre à flot

28. Conclusion
Questions / Réponses

29. La prochaine action
Réduisez vos déplacements avec les
solutions de communication à
distance
Le 15 décembre 2011
Marseille