PME et Cybercriminalité : quelle réalité ?

cybersécurité_ASCONE_GUIRAUD

Cybercriminalité, cybersécurité : beaucoup de discours, beaucoup de constatations, mais dans le concret ?

Les TPE et PME sont de plus en plus confrontées à la cybercriminalité, mais sont elles préparées à y faire face ?

Ont elles analysé les risques et menaces qui pèsent sur elles ?

Outres les aspects techniques de protection des données sensibles, ont elles pris les mesures simples, mais nécessaires, pour

  • sensibiliser leur personnel,
  • assurer des sauvegardes fiables
  • ou, plus simplement, organiser une reprise rapide d’activité en cas de problèmes ?

De nombreux responsables de PME ne sentent pas concernés. Et pourtant, le développement des ransomware montre que toutes les entreprises, quelles que soient leurs tailles ou secteurs, peuvent être visées.

Les facteurs humains et organisationnels sont souvent prépondérants.

Alors, après les constats et les questions, il est indispensable d’agir.

Expert en sécurité économique, ASCONE aide les PME par

  • un diagnostic
  • des recommandations simples et concrètes
  • un accompagnement dans la mise en place de plans d’actions
  • une sensibilisation des personnels

D’autres actions de terrains sont aussi possibles. Les PME, et à fortiori les plus petites, n’ont pas les moyens de tout mettre en place, mais il est vraiment indispensable de commencer à agir sur quelques points précis et de lancer ainsi une dynamique.

Cette publication vous interpelle. Alors, réagissez par vos commentaires ou contactez moi avec le formulaire de contact.

PME : Se développer avec l’intelligence économique

150604 Club_Dev_Eco_SabléASCONE Le Mans_Expert Comptable

L’intelligence économique est une expression qui parle peu aux PME. Cependant, c’est une démarche stratégique qui peut leur apporter de réelles possibilités de développement.

Responsables de PME de la région Pays de la Loire, venez découvrir la démarche grâce à des outils concrets présentés lors de trois modules de formation-accompagnement, autour de

  • La mise en place d’une veille adaptée à votre entreprise
  • Les réseaux sociaux comme stratégie de développement
  • Le partage, la capitalisation et la protection de ses savoirs internes

Durant tout le premier trimestre 2016, trois experts animeront ces modules et vous feront partager leurs expériences.

Le cabinet ASCONE participe à ce programme en animant, en mars 2016, la formation-accompagnement sur les savoirs internes.

Articulée autour d’exemples concrets de valorisation et de protection, cette formation vous fournira des outils, mais aussi un accompagnement pour mettre en place cette démarche dans votre entreprise.

En bonus, un coût très attractif proposé grâce à un financement spécifique de la DIRECCTE de la région Pays de la Loire.

Pour toute inscription, n’hésitez pas à vous rapprocher de Marie GROLLIER, chargée de projets OPCALIA : contact.pays-de-la-loire@opcalia.com

Vous pouvez aussi contacter le cabinet ASCONE au travers de la fiche contact.

Meilleurs voeux pour 2016

ASCONE-JP GUIRAUD-voeux_2016

PME : Renforcez votre compétitivité

Opcalia      Opcalia     Opcalia       Opcalia

Se développer avec des outils concrets de l’intelligence économique est désormais à la portée des PME de la région Pays de la Loire, grâce à trois modules de formation-accompagnement :

  • Comprendre et mettre en place une veille adaptée à votre entreprise
  • Les réseaux sociaux comme stratégie de développement
  • Partager, capitaliser et protéger ses savoirs internes pour se développer

En novembre et décembre 2015, sous l’autorité d’OPCALIA Pays de la Loire et avec le financement de la DIRECCTE des Pays de la Loire, trois consultants experts animeront ces modules et vous feront partager leurs expériences.

Le cabinet ASCONE participe à ce programme, et vous incite à vous rapprocher de Marie GROLIER, chargée de projets OPCALIA, pour en savoir plus et vous inscrire : contact.pays-de-la-loire@opcalia.com

Cybersécurité : retour sur deux conférences

150604 Club_Dev_Eco_SabléRetour sur deux conférences de sensibilisation en matière de cybersécurité et de sécurisation du système d’information.

Après PARIGNE L’EVEQUE en avril, ce sont des responsables d’entreprises de la région de SABLE SUR SARTHE qui ont été sensibilisés à partir d’exemples concrets de situations à risques.

Il me paraissait intéressant d’en faire un retour pour ceux qui n’ont pu assister à ces échanges.

DES RAPPELS

Le monde numérique dans lequel chaque entreprise intervient est de plus en plus réel. Il est donc indispensable de bien prendre conscience que :

  • les situations à risques concernent toutes les entreprises, quelque soient leurs tailles ou secteurs,

« Cela n’arrive pas qu’aux autres »

  • Certaines situations peuvent se transformer en vulnérabilités aux effets désastreux à partir de simples négligences humaines,

« Le facteur humain au coeur de la performance, mais aussi de la sécurité »

  • les informations et savoirs détenus au sein d’une entreprise constituent sa principale richesse, même si elles ne figurent pas au bilan.

Sensibilisation des personnels et dirigeants, et intégration de bonnes pratiques dans le quotidien, permettent d’améliorer la maîtrise des risques d’entreprise, et ainsi de réduire les risques subis.

UNE EVIDENCE

Même si elles en avaient les moyens (matériels, humains et financiers), les entreprises ne peuvent tout sécuriser. Les plus petites d’entre elles sont encore plus concernées.

Identifier et classifier les informations à protéger est un préalable nécessaire (cf. une précédente publication). Cependant, j’ai également évoqué une notion parfois méconnue, mais trop souvent dépourvue de réalité concrète : le besoin d’en connaître.

Un exemple quotidien soumis à la réflexion de chacun : devons nous nécessairement mettre en copie d’un mail des destinataires dont aucune action positive (réponse, correction, diffusion ou autre) n’est attendue ?

DES EXEMPLES CONCRETS

Pris dans l’actualité récente ils ont permis de mettre en évidence quelques bons réflexes

  • Le phishing (ou hameçonnage), source d’entrée des virus dans le système d’information
  • La fraude au Président (ou fraude aux ordres de virement), issue des techniques d’ingénierie sociale mais aux conséquences financières significatives
  • L’utilisation des outils du numérique, notamment les clés USB et les smartphones, avec pèle-mèle : les mots de passe, le cryptage ou la mise à jour régulière des logiciels
  • Le travail en déplacement, pratique et courant, mais pas sans risques si négligence ou absence de vigilance sont réelles
  • Le ramsomware (ou rançongiciel), où payer ne sert à rien

UNE NOTE POSITIVE

Face aux risques, l’entreprise n’est pas seule. Des organismes institutionnels fournissent assistance et conseils :

  • Les services de l’Etat : DGSI, Gendarmerie Nationale, DPSD
  • Les réseaux consulaires
  • D’autres services ou organismes spécialisés : D2IE, ANSSI, CNIL, INPI, etc.

Des entreprises privées, comme des sociétés informatiques spécialisées ou le cabinet ASCONE, peuvent aller au delà des discours pour réaliser des actions concrètes de sécurisation : sensibilisation des personnels, mises en oeuvre de procédures ou de moyens adaptés.

Comme les nombreux responsables d’entreprise ayant participé à ces conférences, n’hésitez pas à me soumettre vos problématiques. Je suis à votre écoute pour y répondre.

 

 

 

 

 

 

 

Sécuriser son système d’information

En partenariat avec la Ruche Numérique, le Club de développement du Pays Sabolien organise le 4 juin 2015 un atelier sur le thème de la sécurisation du système d’information.

Le cabinet ASCONE y sera présent. Je co-animerai cet atelier avec Téodor CHABIN, de la société TROVOLONE, qui développe des solutions de sécurisation pour PME.

Dans un monde où le numérique est omniprésent, et où les informations sont une matière première à forte valeur ajoutée, sécuriser son système d’information est indispensable pour éviter vols et fuites d’informations, et donc pérenniser les entreprises et leurs emplois.

Quelles vulnérabilités pour l’entreprise dans un contexte numérique ?

Comment y faire face et en limiter les impacts ?

Deux questions à la base du programme de cet atelier :

  • Les enjeux spécifiques au contexte du monde numérique dans lequel les entreprises évoluent,
  • Les risques auxquelles elles sont confrontées dans ce contexte,
  • La sécurisation des informations détenues au sein des entreprises,
  • Une sensibilisation à quelques situations à risques, et aux bonnes pratiques à adopter,
  • Les briques de la sécurité informatique,
  • La spécificité de la sécurisation des entreprises industrielles.

Plusieurs cas concrets seront présentés pour un atelier qui se veut avant tout pragmatique.

Cet atelier est ouvert à toutes les entreprises du territoire. Venez nombreux, c’est gratuit.

Rendez vous jeudi 4 juin 2015 à 8 h 30 au restaurant SAINT MARTIN à SABLE SUR SARTHE (72300).

Vous pouvez encore vous y inscrire en suivant ce lien : http://doodle.com/x9hfh9hb33u6zrii

Protéger ses informations sensibles, oui mais comment ?

ASCONE CONSEIL Le MansDans une précédente publication, j’avais évoqué la classification des informations comme un préalable indispensable à leur protection, au travers d’une approche pragmatique.

Après avoir identifié les informations qui sont considérées comme sensibles pour sa propre entité (entreprise, association, collectivité ou autre), il est maintenant nécessaire de poursuivre la démarche en analysant les moyens d’une protection efficace.

Par informations sensibles, il me faut ici préciser que ce terme englobe dans mes propos autant certaines données brutes, que des informations mises en perspective ou des savoir-faire.

Une analyse approfondie de l’existant à trois niveaux

Complément de l’approche précédemment exposée, cette analyse permet de limiter le coût des moyens à déployer.

> L’aspect matériel vise à bien identifier pour chaque type d’informations

  • Les zones et outils de partage
  • Les zones et outils de stockage

étant précisé que certaines zones et outils de stockage peuvent également être des zones et outils de partage. Tel est par exemple le cas d’un réseau intranet.

> L’aspect humain vise à identifier les acteurs en liaison avec les informations

  • Le détenteur
  • L’émetteur
  • Le récepteur
  • L’utilisateur

étant précisé que certaines personnes peuvent appartenir à plusieurs catégories pour une même série d’informations. Tel est par exemple le cas d’un chef comptable qui détient des données financières, les utilise dans des synthèses, et les diffuse au dirigeant de l’entreprise.

> La durée de vie d’une information doit aussi être prise en compte pour éviter qu’une information nécessitant une action rapide soit autant protégée qu’une autre assurant un avantage concurrentiel sur le moyen terme. Tel est le cas par exemple du taux de retour d’un produit en phase de lancement.

Une adaptation des moyens de protection

Tant pour des raisons de coût que de temps ou de moyens humains, cette adaptation passe bien souvent, surtout les TPE et PME, par une gestion des droits

  • d’accès physique : protection périmétrique, badgeage, etc.
  • d’accès électronique : identifiant et mot de passe, cryptage, etc.
  • de reproduction ou de diffusion : copyright, limitation du téléchargement, etc.
  • de modification : lecture seule, cryptage, etc.

 Toute la difficulté réside dans l’équilibre entre la complexité et le niveau de protection des moyens mis en oeuvre, et leur facilité d’utilisation.

Cette gestion des droits s’appuiera sur une notion connue, mais trop souvent mal appliquée : « le besoin d’en connaître« .

Dans un envoi par mail, réserver la mise en copie aux destinataires réellement concernés par une action concrète (modification, diffusion, etc.) sur les informations transmises est sans aucun doute un moyen de protection efficace et peu coûteux.

Trop de protection peut nuire

Mettre des contraintes trop lourdes ou des procédures trop complexes entraîne aussi bien souvent une non-application ou un contournement de procédure.

Imposer une personnalisation et des modifications trop fréquentes de mots de passe robustes peut conduire à des dérives du type « post-it » dans le tiroir du bureau ou utilisation d’un mot de passe unique pour tous les accès.

Rendre opérationnelle cette démarche n’est sans doute pas aisé pour des PME qui ne disposent pas en interne des compétences suffisantes. Cependant, elles peuvent s’appuyer sur les compétences de leurs partenaires habituels (informaticiens, experts comptables, juristes, etc.), mais aussi sur leur bon sens.

Protéger ses informations, oui mais lesquelles ?

ASCONE_protection_informations

La protection des informations sensibles devrait être une des préoccupations majeures des entreprises, notamment des PME, pour éviter de perdre ou d’altérer un avantage concurrentiel.

Les entreprises font de gros efforts pour bien connaître leur marché, innover, donner satisfaction à leurs clients, et développer leurs projets dans un contexte difficile. Dans ce cadre, elles accumulent informations stratégiques et savoir-faire.

Alors pourquoi, plusieurs études (dont celle récente d’IPSOS) montrent qu’elles ne se soucient pas assez, voire très peu, de les protéger ?

Peut être tout simplement parce que certains responsables d’entreprises ne savent pas bien identifier ce qui est véritablement sensible ou stratégique, et qu’une bonne méthodologie leur manque de même que du temps pour le faire ?

Un préalable : la classification des informations

Au delà d’une analyse stratégique globale qui intègrerait la notion de sécurité, identifier et classifier de manière précise et cohérente les informations (données brutes mises en perspective), ainsi que les savoir-faire issus de l’expérience, est un préalable incontournable.

Identification et classification ne sont que des moyens, mais ont la particularité de pouvoir servir plusieurs orientations stratégiques conjointes :

  • Le renforcement de savoir-faire existants (processus industriels, approches commerciales, etc.)
  • La conquête par l’innovation (disposer de nouveaux avantages concurrentiels)
  • La sécurité (adaptation des mesures de protection aux risques)

Une approche pragmatique

Elle doit s’appuyer sur deux points clés :

  • une analyse hiérarchisée des risques auxquels est confrontée l’entreprise. Depuis 2001, chaque entreprise employant du personnel doit transcrire dans un document unique son évaluation des risques professionnels vis à vis de ses salariés. La même méthodologie peut être appliquée pour les risques concernant l’entreprise en tant qu’entité globale.
  • une mesure des impacts liés à la disparition ou l’altération des informations et savoir-faire en termes
    • juridiques
    • financiers
    • techniques
    • organisationnels
    • commerciaux
    • d’image et de réputation
    • de poursuite d’activité

Pour conduire de manière pragmatique l’analyse des risques autant que la mesure d’impacts, quatre niveaux (de préférence à trois qui pourrait biaiser l’analyse) :

  • Faible
  • Moyen
  • Fort
  • Vital ou stratégique

Ce n’est qu’après avoir réalisé cette approche que l’entreprise pourra se poser la question du comment.

Citations autour la gestion des informations stratégiques

 » Une PME qui néglige l’information stratégique, c’est comme un marin qui partirait en mer sans la météo  »

Philippe REVARDEL

 » Se faire battre est excusable, se faire surprendre est impardonnable  »

NAPOLEON BONAPARTE

 » L’ignorance coûte plus cher que l’information  »

John Fitzgerald KENNEDY

 » L’expérience est le nom que nous donnons à nos erreurs  »

Oscar WILDE

 » La connaissance s’acquiert par l’expérience. Tout le reste n’est qu’information  »

Albert EINSTEIN

 » Le savoir est la seule matière qui s’accroît quand on la partage  »

SOCRATE

 » Savoir, c’est se souvenir  »

ARISTOTE

 » Dans une économie où l’unique certitude est l’incertitude, la seule source fiable d’un avantage concurrentiel durable est le savoir  »

Ikujiro NONAKA

« Savoir pour prévoir, afin de pouvoir »

Auguste COMTE

Meilleurs voeux pour 2015

ASCONE_Expert Comptable Le Mans_2015