Publicité en cours de chargement...
Plan de continuité informatique et stratégie de l'autruche
Depuis l'incendie du siège du Crédit Lyonnais (mai 1996, Boulevard des Italiens) et plus récemment les attaques du 11 septembre 2001, toutes les grandes entreprises ont engagé peu ou prou des plans de continuité et de reprise d'activité (PCA-PRA) visant à améliorer la résilience du SI face à un sinistre majeur : incendie, destruction de datacenter, etc.
Mais il y a sinistre et sinistre : au regard de l'appréciation des risques, il n'est pas possible de mettre sur le même plan un sinistre d'origine accidentelle (inondation, incendie) et un sinistre d'origine malveillante (cyber-attaque). Si les probabilités sont connues dans le premier cas (les compagnies d'assurance disposent de statistiques précises sur ces questions), dans le second c'est une toute autre affaire.
Or, les dispositifs de PCA et PRA sont la plupart du temps incomplets (donc défaillants) pour les cyber-attaques, ainsi que le démontre une récente étude du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) : dans 83% des cas il n'existe pas d'équipe formalisée de réponse à des cyber-attaques, et dans plus de la moitié des entreprises le processus interne de détection et d'alerte est inexistant. Un pirate extérieur aurait donc tout loisir de jouer à distance pendant un bon moment avant d'être repéré.
Les seuls audits d'intrusion ou de vulnérabilité périmétrique (opération qui consiste à attaquer volontairement le pare-feu pour en éprouver la résistance) ne sont réalisés régulièrement (plus d'une fois par an) que dans un tiers des entreprises environ. Un tel test devrait pourtant être réalisé à minima tous les 6 mois en mode routine et à chaque fois qu'un changement majeur intervient dans les infrastructures (par exemple au changement d'un serveur Web).
Le message martelé par l'ANSSI depuis plusieurs années a le mérite d'être pragmatique : en matière de sécurité, il faut en revenir aux basiques. Et les tests d'intrusion en font partie, tout autant que la veille technologique et la supervision active du comportement suspect sur le SI.
C.C
Avez-vous apprécié ce contenu ?
A lire également.
Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.
Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...
Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...
L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...
