All Posts By

sarah

CONSEIL N°6 – Concevoir une procédure de création et de suppression des comptes utilisateurs

By | SÉCURITÉ INFORMATIQUE

Les effectifs d’une entreprise évoluent sans cesse : arrivées, départs, mobilités interne. Il est par conséquent nécessaire que les droits et les accès au système d’information soient mis à jour en fonction de ces évolutions. Il est notamment essentiel que l’ensemble des droits affectés à une personne soient révoqués lors de son départ ou en cas de changement de fonction. Les procédures d’arrivée et de départ doivent donc être définies, en lien avec les Ressources Humaines. Elles doivent au minimum prendre en compte :

  • la création et la suppression des comptes informatiques et boîtes mail associées ;
  • les droits et accès à attribuer et retirer à une personne dont la fonction change ;
  • la gestion des accès physiques aux locaux (attribution, restitution des badges et des clés, etc.) ;
  • l’affectation des équipements ;
  • la gestion des documents et informations sensibles (transfert de mots de passe, changement des mots de passe ou des codes sur les systèmes existants).

L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » utilisés par plusieurs personnes (compta1, compta2…). L’objectif étant de pourvoir tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. Par ailleurs, cela vous permettra de ne pas donner, à tous les salariés, accès à l’intégralité du système informatique.

Les procédures doivent être formalisées et mises à jour en fonction du contexte.

Par ailleurs, dans le cadre du RGPD, l’exploitation des données doit être justifiée et encadrée. Ne pas gérer la suppression des différents accès quand un collaborateur quitte l’entreprise c’est laisser un point d’accès au système d’information. Ce point d’accès peut engendrer une faille de sécurité importante et donc mettre l’entreprise dans une posture où elle ne respecte plus le RGPD et ne protège plus convenablement ses données.

RDV le 25 août pour le conseil n°7 :
Contrôler les accès internet de l’entreprise et WI-FI

Conseil n°5 – Ne pas utiliser un appareil personnel dans le cadre de la vie professionnelle

By | SÉCURITÉ INFORMATIQUE


Pour garantir la sécurité de son système d’information, l’entreprise doit maîtriser les équipements qui s’y connectent, chacun constituant un point d’entrée pour une potentielle infection. 

Les équipements personnels (smartphones, tablettes, etc.) sont difficilement maîtrisables dans la mesure où ce sont les utilisateurs qui décident de leur niveau de sécurité. Il est donc important d’interdire ou d’empêcher leur connexion au système informatique de l’entreprise. Cette interdiction est d’abord organisationnelle : même si aucune règle technique n’empêche leur connexion, il convient d’inciter les utilisateurs à ne pas recourir à de telles pratiques par exemple au moyen de la charte d’utilisation des moyens informatiques.

Dans le cas du travail à distance, le salarié doit utiliser du matériel fourni par l’entreprise, disposant de la sécurité nécessaire pour permettre la continuité du travail.

Les ordinateurs portables et tablettes font partie de notre quotidien personnel et/ou professionnel. La première des recommandations consiste justement à ne pas mutualiser les usages personnel et professionnel sur un seul et même terminal, par exemple en ne synchronisant pas simultanément comptes professionnel et personnel de messagerie, de réseaux sociaux, d’agendas, etc.

Par ailleurs, avec l’augmentation des smartphones, certains salariés peuvent être tenté de connecter leur mobile personnel sur le WI-FI de l’entreprise.

La sensibilisation des salariés est primordiale et importante. Elle doit s’accompagner de solutions pragmatiques répondant à leurs besoins. Citons par exemple la mise à disposition d’un réseau Wi-Fi avec SSID dédié pour les terminaux personnels ou visiteurs. 

Rendez-vous le mois prochain pour le conseil n°6 : 
Concevoir une procédure de création et de suppression des comptes utilisateurs 

CONSEIL N°4 – Cloud personnel pour le stockage de données professionnelles

By | SÉCURITÉ INFORMATIQUE

Le recours par les salariés à des solutions de stockage librement accessible sur Internet pose un vrai problème de sécurité. Les entreprises n’ont aucun moyen de contrôler les fichiers déposés, ni de savoir si les informations déposées sont sensibles. Bien souvent ces plateformes sont hébergées aux États-Unis, ce qui pose également un risque juridique dans le cadre du Règlement Général pour la Protection des Données (RGPD). 

Dans le cas de stockage sur un cloud personnel, les informations de l’entreprise circulent alors sur des serveurs dont on ignore le lieu d’hébergement. L’entreprise n’a donc aucune garantie sur le respect de la confidentialité de ses données. Les salariés, qui bien souvent utilisent ces hébergements afin de faire transiter des données, doivent être sensibilisés sur les risques encourus par l’entreprise via la charte informatique.

Par ailleurs, le système de synchronisation permanente du cloud laisse une « porte ouverte » au virus car l’entreprise ne peut assurer la protection des données lorsque des fichiers sont ouverts depuis un appareil personnel. 

Comme évoqué lors du conseil 3, il est nécessaire que tous les fichiers de l’entreprise soit stockées sur les serveurs et hébergements de l’entreprise. 

En conclusion, afin de sécuriser au maximum vos données et de respecter le RGPD, chaque collaborateur ayant besoin de travailler en mobilité devrait se voir confié le matériel adéquat géré par l’entreprise. 

Prochain conseil le 25 juin prochain: 
Conseil n°5 – Appareil personnel dans le cadre professionnel et inversement 

ATTENTION ALERTE VIRUS – Mise à jour obligatoire

By | SÉCURITÉ INFORMATIQUE

Microsoft vient de publier un bulletin de sécurité concernant une faille critique touchant les ordinateurs disposant de l’un des système d’exploitation suivant :

Poste client

  • Windows XP
  • Windows 7

Serveur

  • Windows 2003
  • Windows 2008
  • Windows 2008 R2

L’équipe de Ginkgo est déjà en train de s’occuper des serveurs dont elle a la charge et vous contactera si un redémarrage s’avère nécessaire.

En ce qui concerne les ordinateurs clients, vous devez absolument les mettre à jour de toute urgence.

Pour cela, si votre poste est en Windows XP, vous devez télécharger manuellement le correctif sur la page : https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4500331

Pour les autres systèmes, il vous faut effectuer une recherche via Windows update (présent dans le menu démarrer).

En cas de problème, vous pouvez bien entendu joindre notre service support au 04 73 77 07 07.

Bien que cette faille ne cible que les postes clients exécutant Windows XP ou Windows 7, nous vous conseillons très fortement de tenir vos ordinateurs à jour en vérifiant régulièrement les mises à jour disponibles via Windows update.

CONSEIL N°3 : Sauvegarder les données

By | SÉCURITÉ INFORMATIQUE

En cas de défaillance du système d’information, la possibilité de restaurer des données peut préserver et même sauver l’activité de la PME. La sauvegarde des données est le moyen le plus efficace de se protéger des logiciels malveillants. En effet, l’entreprise pourra poursuivre son activité en restaurant les données professionnelles. 
Cette sauvegarde doit également se faire en dehors de l’entreprise dans l’éventualité d’une attaque complète du système d’information ou d’un sinistre dans vos locaux (incendie, dégât des eaux, vol, etc…). 

Dans un premier temps, il faut savoir ce qui doit être sauvegardé. 
Trouver les bons fichiers, déterminer leur degré de confidentialité, leur nature et leur taille. Avant d’adopter une stratégie de sauvegarde, il faut se poser plusieurs questions : 
–       Les documents sont-ils stockés sur le serveur du siège de l’entreprise ?
–       Dans d’autres locaux ? 
–       Sur les ordinateurs portables de vos collaborateurs ?

Qu’est-ce que l’externalisation de vos données ?

Ce moyen consiste à sauvegarder vos données sur des sites distants. Elles sont ensuite conservées dans des centres d’hébergement (ou data center) certifiés et ultra sécurisés (sous surveillance physique et vidéo 24h/24 7j/7). En cas de sinistre, l’externalisation permet de prévenir les pertes de données.
Dans le cadre du RGPD (Règlement Général pour la Protection des Données) les entreprises ont dans l’obligation de savoir où se trouve leurs données mais également si la législation du pays d’hébergement sur la protection des données est conforme au RGPD. Le plus simple étant un hébergement en France.
Microsoft a ouvert, fin mars 2018 quatre centres d’hébergement à Paris et Marseille. 

Par ailleurs, il est nécessaire de tester vos sauvegardes afin de vérifier que le système mis en place fonctionne correctement. Une fois configuré, l’automatisation va permettre une sauvegarde régulière sans intervention humaine. 

Après avoir fait tout cela, il est essentiel d’instaurer des procédures strictes pour tous vos collaborateurs : les clouds pour les particuliers et les clés USB ne sont pas des moyens de stockage suffisamment sécurisé !

N’hésitez pas à nous consulter afin d’effectuer un audit de votre sécurité informatique et que nous puissions vous proposer la solution la plus adaptée à votre entreprise. 

Prochain conseil : Cloud personnel pour le stockage de données professionnelles, rendez-vous le 25 mai.

ODEHUS – une offre globale

By | GROUPE

ODEHUS GROUP est la structure qui coordonne les sociétés Ginkgo et F2M. L’objectif est de vous proposer une offre globale et d’avoir un seul interlocuteur pour vos différents besoins en intégration de système informatique, téléphonique et en abonnement opérateur. 

Cependant chaque société conserve son identité, son ADN et les activités de chacune d’elles restent inchangées. 


ODEHUS GROUP en image

CONSEIL N°2 : Protéger sa messagerie professionnelle

By | SÉCURITÉ INFORMATIQUE

Protéger sa messagerie professionnelle

La messagerie est un des principaux vecteurs d’infection du poste de travail, cela peut aller de l’ouverture d’une pièce jointe contenant un code malveillant ou d’un clic sur un lien redirigeant vers un site lui-même malveillant.

Les salariés doivent être particulièrement sensibilisés à ce sujet et principalement connaître les bonnes questions à se poser pour éviter : l’expéditeur est-il connu ? Une information de sa part est-elle attendue ? Le lien proposé est-il cohérent avec le sujet évoqué ? En cas de doute, de mail douteux une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc.) est nécessaire.

Par ailleurs, il est nécessaire d’éviter la redirection ou le transfert de messages professionnels vers une messagerie personnelle car cela constitue une fuite d’informations de l’entité. Si nécessaire des moyens maîtrisés et sécurisés pour l’accès distant à la messagerie professionnelle doivent être proposés.

Que l’entité héberge ou fasse héberger son système de messagerie, elle doit s’assurer :

  • de disposer d’un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs pour prévenir la réception de fichiers infectés ;
  • de l’activation du chiffrement TLS des échanges entre serveurs de messagerie (de l’entité ou publics) ainsi qu’entre les postes utilisateur et les serveurs hébergeant les boîtes aux lettres.

MIT : Qu’est-ce que c’est ?

By | MIT - Matinale de l'Informatique et des Télécoms

Nous avons lancé en janvier dernier notre première MIT. C’est un nouveau rendez-vous à propos de sujets sur l’Informatique et les Télécoms. 

Un lundi par mois, nous vous invitons autour d’un café et d’un croissant pour vous informer sur différents sujets : la sécurité informatique, le RGPD, office 365, les évolutions dans le secteur de la téléphonie… 

Des sujets variés mais adaptés aux besoins des entreprises. 
Notre idée, c’est de vous proposer du contenu de qualité, compréhensible de tous, en lien avec l’actualité et surtout utile !

Prochain rendez-vous
le lundi 8 avril
sur le RGPD
à Lyon chez notre partenaire Logiform Conseil
Immeuble le Portant
152 Grande Rue de Saint Clair
69300 Caluire-et-cuire