Ces articles pourraient vous intéresser
23 avril 2024| Etudes Exclusives Adelyce
Le chiffre du mois de la fonction publique territoriale
Retrouvez chaque mois le chiffre phare de la fonction publique territoriale publié par Adelyce et Zepros.
29 janvier 2024| Etudes Exclusives Adelyce
La préparation budgétaire : un chapitre 012 maitrisé pour un service public optimisé
Découvrez les enjeux du chapitre 012 avec les dépenses de personnel, les principes juridiques et financiers, la maîtrise du budget.
21 décembre 2021| Etudes Exclusives Adelyce
La gestion de l’emploi temporaire à l’hôpital public : les raisons d’un phénomène devenu structurel
Manque d’attractivité des carrières, pénurie de personnel médical et exigence de rentabilité sont à l’origine du recours excessif à l’intérim médical.
Sécurité informatique : comprendre et agir !
Sécurité informatique : comprendre et agir !
Mis à jour le
Adelyce fait le tour du sujet pour sensibiliser sans angoisser…
Alors, concrètement, qu’est-ce qu’on fait ?
Protection des données personnelles, virus, cyberattaques…
Le risque informatique c’est LE sujet qui fait peur !
La menace est réelle et n’épargne pas le service public : hôpitaux, SDIS, régions, départements, communes, régies, syndicats… sont régulièrement visés.
Pour s’en rendre compte, le CDG59 et l’association DECLIC proposent une intéressante cartographie des cyberattaques sur les organismes publics ces trois dernières années.
Du coup, les questions de sécurité s’imposent souvent dans l’urgence et sous un angle très technique… De quoi dérouter les meilleures volontés ou les bonnes résolutions de nouvelle année !
Quels sont vraiment les risques ?
Les conséquences pour moi, pour mon établissement ?
Les bons réflexes - faciles - pour prévenir le risque ensemble ?
Avec 4 situations concrètes, Julien Monteil, directeur des opérations, nous propose un digest du sujet pour sensibiliser sans angoisser sur l’usage de l’Atelier salarial bien sûr, mais pas que…
Julien Monteil
Directeur des opérations
Adelyce
Le principal risque c’est l’utilisation frauduleuse de mes identifiants
En pratique : je laisse mon mot de passe sur un post-it à proximité de mon poste ou il m’arrive de partager mes identifiants pour dépanner un collègue…
Le risque le plus probable : un utilisateur malveillant se connecte avec mes codes d’accès (même chose en cas de perte ou de vol de mon ordinateur avec mes identifiants enregistrés).
Conséquences
Si une intrusion se produit via des identifiants récupérés ou volés, il est alors possible d’exporter des données sensibles et de les exposer en interne, en externe… Cette fuite aura pour source mes accès nominatifs et pourrait engager ma responsabilité.
Solution Adelyce
La base de données Adelyce est cloisonnée par client : les autres clients ne sont donc pas exposés.
Adelyce prévoit le changement régulier et impromptu des mots de passe, en exigeant des mots de passe forts.
Adelyce propose des filtrages par IP pour que la connexion ne soit possible que depuis la structure cliente (et non de l’extérieur).
De mon côté
Je ne donne pas mes accès, je ne les laisse pas visibles.
Je ne les enregistre pas, je ne coche pas “se souvenir” (cette option n’est pas proposée dans l’Atelier salarial).
J’utilise le gestionnaire de mots de passe recommandé par ma DSI.
Top 5 des bons réflexes !
1 • Je me crée des mots de passe forts : 12 caractères avec au moins 1 minuscule, 1 majuscule, 1 chiffre, 1 caractère spécial
2 • Je ne les partage pas, même temporairement, je ne les laisse pas visibles, j’utilise un gestionnaire de mots de passe
3 • Je ne connecte pas de périphérique USB externe ou je suis scrupuleusement les consignes de la DSI
4 • J’apprends à reconnaître les e-mails frauduleux
5 • Je verrouille toujours mon poste de travail avant de le quitter
En cas de doute,
je m’adresse à mon référent sécurité.
En télétravail, j’utilise mon wifi personnel
Par facilité, j’utilise mon réseau personnel quand je télétravaille. J’utilise mon fournisseur d’accès généraliste choisi pour mes besoins initiaux personnels, à des fins professionnelles. Autrement dit : j’expose mon usage pro à mon environnement informatique perso.
Mon exposition est d’autant plus grande si j’utilise de surcroît mon PC personnel : quelle rigueur dans la mise à jour antivirus ? Connexion de périphériques utilisés par toute la famille, etc.
Conséquences
En utilisant cette connexion personnelle, j’engage ma responsabilité professionnelle : je deviens responsable du niveau de sécurité qui n’est peut-être pas aux normes prévues par mon employeur.
Je n’applique pas les engagements de sécurité pris par mon employeur vis-à-vis d’Adelyce et je risque d’exposer les données de mon établissement contenues dans l’Atelier salarial.
Solution Adelyce
Adelyce propose à tous ses clients un filtrage par IP.
Lorsqu’il est effectivement mis en œuvre par l’établissement, les connexions à l’Atelier salarial hors VPN sont empêchées.
Je suis responsable informatique et je veux profiter du filtrage par IP ?
De mon côté
J’utilise le réseau VPN préconisé par ma DSI, il me sécurise dans les deux sens :
• Il contrôle le chiffrement* et l’intégrité de la connexion en cas de tentative d’intrusion sur mon wifi
• Il évite aussi les manipulations qui pourraient être risquées de ma part, en bloquant la consultation de sites à la sécurité incertaine par exemple
J’utilise le matériel fourni par mon établissement et je respecte les bonnes pratiques “d’hygiène informatique” (pas de clé USB ou disque externe, politique de mots de passe, vigilance sur les e-mails frauduleux…).
Comment reconnaître un e-mail frauduleux ?
Un e-mail frauduleux est cliqué par 1 destinataire sur 4 en moyenne.
Les conséquences d’un simple clic peuvent être sérieuses : par exemple, déclencher un virus ou rançongiciel rendant inutilisable mon ordinateur, smartphone, tablette, voire l’intégralité des appareils connectés au réseau.
Certains indices ne trompent pas, ayez les bons réflexes :
• Je vérifie scrupuleusement l’adresse de l’expéditeur
ex : @aclelyce.fr au lieu de @adelyce.fr
• Avant de cliquer, je survole le lien pour voir apparaître sa véritable destination (URL)
• Je me méfie des bonnes nouvelles :
“Suite à une erreur la CAF vous doit 278 €…”
• Comme des mauvaises nouvelles :
“Vous n’avez pas payé, cliquez ici pour régulariser…”
• Je me rends sur les espaces clients en tapant moi-même l’adresse sur internet
Souvent usurpées, les banques, les administrations publiques, CAF, EDF, les mutuelles et prévoyances incitent à la plus grande prudence.
Elles demandent le plus souvent de se rendre sur leur espace client sans qu’aucun lien ne soit fourni.
*Chiffrement et non cryptage, petit point de vocabulaire…
Le mot “cryptage” n’existe pas. On dit habituellement que des données sont cryptées lorsque personne ne connaît le moyen de les décoder (ex : les hiéroglyphes décryptés par Champollion. “Décrypter” existe !)
Ce n’est pas le cas de données informatiques volontairement codées, transformées avec une clé secrète afin d’être protégées. Dans ce cas, il suffit de connaître cette clé pour les décoder. On parle alors de “chiffrement”.
Voir une vidéo passionnante sur le sujet
Mon établissement est la cible d’une attaque
C’est le système informatique global de la structure qui est visé.
Les virus l’attaquent directement ou utilisent un vecteur. Par exemple un utilisateur négligent se sert d’une clé USB compromise, ouvre un fichier corrompu, clique sur un lien propageant un programme malveillant :
• Rançongiciel : rançon immédiate pour récupérer l’usage du système
• Cheval de Troie : activation ultérieure pour prise de contrôle à distance
• Key logger : enregistre les saisies du clavier pour récupérer les accès
• Attaque par déni de service : envoi massif d’e-mails engorgeant les réseaux…
Conséquences
L’attaque paralyse toute activité et peut anéantir les historiques.
Un “blackout” généralement mal vécu par les utilisateurs, privés de leur outil de travail et des moyens habituels de communication (messagerie et téléphonie inopérantes).
Ce cas de figure est sous la responsabilité de l’établissement.
En principe, ses efforts se concentrent sur le rétablissement des fonctions vitales : les services aux usagers, la paie des agents…
Le retour à la normale peut prendre plusieurs jours voire semaines, une désorganisation variable selon le niveau de préparation.
Si l’Atelier salarial n’est pas la cible première, là encore, le risque majeur est la récupération de codes d’accès par un tiers, et par là, la fuite de données sensibles.
Solution Adelyce
Dès que nous sommes informés d’une attaque, par notre client lui-même, par nos alertes Google ou tout autre moyen, nos conditions générales de vente prévoient :
• L’interruption immédiate des connexions en cours à l’Atelier salarial
• La suspension de tous les accès
Nous attendons le feu vert des administrateurs – par écrit – pour rétablir les accès des utilisateurs une fois l’intégrité de leur système informatique rétablie.
De mon côté
J’enregistre les coordonnées d’Adelyce dans mon mobile pour pouvoir les prévenir dès que possible :
05 31 08 14 40 ou contact@adelyce.fr
Le meilleur moyen de lutter contre les attaques reste la prévention et le respect des consignes internes de ma DSI.
Et si Adelyce est attaquée ?
Les entreprises sont en permanence exposées à des attaques automatisées, provenant de robots et visant à exploiter les failles de leur informatique.
Ces attaques directes sont des gestes :
• De malveillance : recel de données sur le darknet à des fins lucratives
• D’activistes choisissant des cibles politiques ou institutionnelles
• D’anciens salariés : la pire menace provenant souvent de l’intérieur…
Ces attaques peuvent aussi être indirectes : l’entreprise n’est pas la cible première mais fait partie d’un environnement touché.
Conséquences
Afin de limiter l’étendue de l’attaque et une potentielle fuite de données, le service Atelier salarial est arrêté.
Dans une démarche de conservation de la preuve, un état du système informatique du moment est figé. Les autorités compétentes et les partenaires spécialisés sont mobilisés.
Solution Adelyce
La structure informatique comme l’application Atelier salarial d’Adelyce sont conçues pour offrir la meilleure protection aux clients :
• Une architecture robuste et surveillée qui garantit que les données sont : conformes au RGPD, 100 % hébergées en France, sauvegardées et chiffrées pour empêcher toute exploitation en cas de vol
• Des accès ultra contrôlés : pour les clients, les salariés, les outils de développement, avec des tests d’intrusion réguliers
• Une surveillance de dernière génération, par analyse comportementale, en temps réel
• Adelyce exige de ses hébergeurs (seuls sous-traitants) les mêmes engagements de sécurité que ceux auxquels elle s’engage auprès de ses clients
• Elle sensibilise régulièrement salariés et utilisateurs aux cyber-risques
Au-delà de ce dispositif préventif et de son équipe d’astreinte, Adelyce dispose d’un plan de reprise d’activité – confidentiel – qui prévoit notamment qu’une plateforme temporaire soit proposée pour rétablir la continuité du service Atelier salarial.
Si Adelyce devait se retrouver dans l’impossibilité définitive de poursuivre son activité, les sources de son application sont déposées auprès de l’Agence pour la Protection des Programmes.
De mon côté
Adelyce m’informe de la reprise du service.
Conformément à la loi et à ses conditions générales de vente, Adelyce prévient la CNIL et les clients concernés en cas de fuite de données.
Mon établissement aura à charge de prévenir les intéressés.
Les fondamentaux de la sécurité : mise en œuvre chez Adelyce
Comme pour assurer la sécurité d’une maison, la construction d’un système informatique requiert :
Comme pour assurer la sécurité d’une maison, la construction d’un système informatique requiert :
1 • D'abord, une architecture solide, 100 % en France
Adelyce a choisi un hébergeur indépendant, implanté comme elle en région toulousaine. Il garantit la sécurité des données de l’Atelier salarial (et celles d’Adelyce) strictement conservées sur le territoire français.
Son infrastructure d’hébergement est robuste et réactive. Elle est répartie sur 3 sites géographiques reliés.
Cette redondance des serveurs assure :
• la sécurité des sauvegardes,
• la restauration des données en cas de panne,
• la disponibilité et les performances de l’Atelier salarial, en répartissant les utilisateurs pour offrir les meilleurs temps de réponse.
La surveillance et la protection physique des locaux sont assurées 24h/24, 7j/7. Elles prévoient les risques d’intrusion, d’incendie (alimentation électrique ondulée, climatisations redondées), etc.
Zoom sur la protection des données
• Conformément au RGPD l’Atelier salarial ne reçoit que les informations strictement nécessaires au pilotage de la masse salariale, ce qui limite les possibles impacts.
• Ces données sont cloisonnées par client : si un établissement est visé par une attaque ou une consultation illégitime, les autres clients ne sont pas exposés, il n’y a pas de risque de “contagion”.
• Enfin, le chiffrement de ces informations empêche toute compréhension ou exploitation en cas de vol.
La sécurité, la performance et la robustesse de notre application sont parmi nos préoccupations majeures.
Elles nous amènent à faire évoluer régulièrement notre infrastructure et l’ingénierie de notre solution.
C’est pourquoi Adelyce élargit son infrastructure en 2022 avec un second hébergeur, lui aussi localisé en France.
2 • Des accès contrôlés
Ici.
Les accès utilisateurs à l’Atelier salarial sont établis suivant les droits accordés à chaque profil.
Ils sont nominatifs et peuvent être protégés par le filtrage des adresses IP sur demande.
L’accès des utilisateurs est protégé par le certificat Secure Socket Layer qui protège les consultations des sites web sécurisés (https).
www.atelier-salarial.fr est noté A+ au Qualys SSL Test.
Adelyce exige des mots de passe forts, régulièrement renouvelés.
Par défaut, Adelyce filtre toutes les IP et tentatives de connexion localisées hors France métropolitaine ou hors DOM-TOM.
Là.
Notre politique de sécurité interne prévoit toutes les mesures de confidentialité et de sécurisation des locaux et du parc informatique. Les contrats de travail des collaborateurs Adelyce imposent le respect de ce dispositif.
Au-delà de mots de passe forts et d’une protection antivirale poussée, Adelyce met en œuvre le chiffrement de tous ses postes. Hors de l’entreprise, tous les salariés utilisent une connexion VPN nominative sécurisée.
De même, les accès aux plateformes de développement sont soumis à des mesures de sécurité renforcées.
Nous sensibilisons régulièrement nos salariés sur les risques informatiques : périphériques externes interdits, consignes Do/Don’t sur les bonnes pratiques diffusées sur la TV interne, tests de reconnaissance de e-mails frauduleux, etc.
Et aussi là.
Chez Adelyce, la prévention est permanente : nous réalisons régulièrement des audits et des tests d’intrusion.
Ces tests sont menés par une société externe spécialisée. Elle est certifiée PASSI* ce qui atteste de sa conformité aux exigences de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI)*.
PASSI : Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés par l’ANSSI.
ANSSI : Agence Nationale de Sécurité des Systèmes d’Information. C’est l’autorité nationale en matière de cybersécurité.
Elle assure des missions de sensibilisation, de prévention et de défense. Elle s’adresse principalement aux opérateurs critiques, publics comme privés.
Elle a notamment corédigé un guide de sensibilisation des collectivités avec l’AMF et contribue à la plateforme cybermalveillance.gouv.
Retrouvez ce guide dans l’article du blog dédié à la cybersécurité
3 • Vigilants, tout le temps
Supervision 24h/24 avec Itrust
éditeur français de cybersécurité
Depuis 2005, une nouvelle génération d’outils de surveillance remplace peu à peu les antivirus (les derniers ransomware qui naissent chaque jour ne sont pas identifiés dans leurs bases, ou trop tard).
Ces outils utilisent l’intelligence artificielle pour scanner les vulnérabilités et alerter sur des comportements inhabituels ou à risques, en temps réel.
Amélioration continue
Après le label Cloud en 2015, Adelyce poursuit sa démarche qualité en préparant la certification ISO 27001.
Deux démarches complètent cette préparation : Application Security Verification Standard (86 points de vérification) et Cloud Security Alliance avec 350 points de contrôle.