Skip to main content
x

Cyberday Corsica 2019, retour d'expérience

Cet événement dans le domaine de la sécurité numérique organisé le 8 Octobre à Ajaccio nous a apporté une sensibilisation et un accompagnement dans la mise en place de notre transformation digitale (RGPD, sécurisation de notre infrastructure, sensibilisation aux risques sur internet).

RGPD (Règlement général sur la protection des données)

C’est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

Comment ça, vous ne connaissez pas la RGPD ?

Il aurait fallu pour vous que vous assistiez à cet événement. Deux ateliers  et une conférence incluant Vincent Barbè & Véronique Feingold (Adytum-Security) / Paul Miniconi & Brice Andreotta (Volpy) traitait de celle ci ! C’était la star du jour et elle était sur toutes les lèvres.

On peut comprendre que cela soit difficile à mettre en place, que l’on est pas forcément le temps de s’en préoccuper, c'est pourtant nécessaire et pas si compliqué. Une heure d’auto-évaluation et de présentation de cette loi ont permis d’en apprendre plus et de comprendre son fonctionnement avec l’aide de https://www.gdpr-rating.eu/fr/ et de Vincent Barbè (Adytum-Security).

Comment être “RGPD Compliant” (être en conformité) ?

Comprendre sa structure d’entreprise et réagir en conséquence sont les maîtres mots de la première analyse. Il n’est pas nécessaire d’en faire trop tout de suite et ainsi de perdre son temps mais davantage de comprendre et d’analyser les données personnelles (sensibles) que nous collectons. En effet, son processus de mise en oeuvre aura un impact différent dans votre structure.

Nous savons que chez Prevn, l’orientation doit être faite dans les phases d’information auprès de nos utilisateurs, pour les avertir et les sensibiliser, sur par exemple ce qu’ils peuvent et doivent faire en cas de suppression de leurs données personnelles.

Sécurité des infrastructures / environnements CLOUD

Ouvrons les yeux ! Regardons plus loin...Telle est la politique sur laquelle nous misons avec le cloud, pour fournir une puissance de calcul en adéquation avec le trafic, du stockage en veux-tu en voilà et une bande passante des plus prospère.

Sauf que… Alerte ! Il faut sécuriser tout cela ! Mais sécuriser quoi ? Et bien le flux de données (sensible ou non), qui transite au travers du réseau. N’importe qui avec quelques connaissances dans le domaine informatique pourrait y avoir accès. Vous n’êtes pas et nous ne sommes pas la NASA, nos données ne valent pas très cher et ne sont donc pas censés être “hacké” (pour le moment). Il faut tout de même faire attention et prévoir cette éventualité.

Il est de notre devoir de ne pas perdre de données ou bien de s’en faire voler. Comment faire pour se mettre à l’abri ?

Des solutions ont été réalisées durant les conférences et les ateliers, nombreuses sont celles que l’on connaît déjà (injection SQL à travers un service web, phishing pour la prise de contrôle d’un PC à distance, des documents powerpoint téléchargeables qui se révèlent être des exécutables, un système de gestion de contenu non maintenu à jour et j’en passe...), l’exploitation de faille connues d’aujourd’hui, les nouvelles de demain, il faut s’en protéger au plus vite.


Cas pratique : Lorsque nous avons plusieurs salariés dans une entreprise, il peut-être difficile de gérer les actions de chacun, quelle règle mettre en place sur un serveur de base de données quand mon API (interface de programmation) veut y avoir accès et ainsi sécuriser la connexion durablement.

Toutes ces questions et interrogations ont été admirablement résolues par Nicolas Lacourte & Irial O’Sullivan (NXO France), Pierre-Antoine Bonifacio (AISI), HUGO Bitard ainsi que la SITEC et même plus encore.

Gestion de crises cyber

Une attaque mettant en œuvre des moyens numériques effectuée au travers de réseaux informatiques Comment se préparer à affronter une telle situation ? Comment évaluer et adapter les dispositifs de gestion de crise ?

  1. Connaître son infrastructure matérielle, informationnelle et humaine
  2. Identifier son bien essentiel
  3. Établir un plan (de sauvegarde) pour réduire les interruptions et maîtriser la situation
  4. Mettre en place une organisation de crise
  5. Assurer un retour à un état nominal au plus vite

Des exercices et simulations, basiques pour sensibiliser les utilisateurs, in-situ et grandeur nature, sont indispensables pour éviter et/ou tester la réactivité face à une vrai crise.

Après une crise ?

Proactivité, maintien en détection sur le long terme.

  1. Dépôt de plainte
  2. Retour d'expérience et intégration des enseignements (s’améliorer pour ne pas reproduire la crise)
  3. Audit des systèmes et revoir la posture de sécurité

En conclusion

Le programme du Cyber Day fût plein de surprises, un avenir prometteur pour la Corse si ce genre d'événement se répète. Les conférences étaient enrichissantes, les intervenants sérieux et investis dans leurs domaines. C’était une bonne expérience, au plaisir d’assister au prochain !
 

Loïc Lastennet - CTO Prevn