diff --git a/chapitres/chapitre_00_intro.md b/chapitres/chapitre_00_intro.md index 4dc8907..50db928 100644 --- a/chapitres/chapitre_00_intro.md +++ b/chapitres/chapitre_00_intro.md @@ -1,6 +1,7 @@ -Dans ce guide pratique, nous allons explorer 10 différentes histoires d'horreur qui peuvent survenir sur les systèmes informatiques des entreprises et des organisations. Pour chacun de ces scénarios, nous allons voir différents conseils de prévention, ainsi que des moyens pour réduire les dégâts lorsque l'inévitable se produit. +Dans ce guide pratique, nous allons explorer quatre différentes histoires d'horreur qui peuvent survenir sur les systèmes informatiques utilisés par les organisations de toutes tailles, de l'individu à la grande entreprise. -Certains de ces exemples sont des attaques malveillantes. Dans tous les cas, il est nécessaire d'aviser immédiatement la direction de la sécurité de l'information de votre organisation, ainsi que les corps policiers de votre État. Si vous n'avez pas d'expertise à l'interne, vous devriez alors contacter des spécialistes en cybersécurité. -Il est aussi fortement recommandé de consulter un avocat. +Pour chacun de ces scénarios, nous allons voir différents conseils de prévention, ainsi que des moyens pour réduire les dégâts lorsque l'inévitable se produit. + +Certains de ces exemples sont des attaques malveillantes. Dans tous les cas, il est nécessaire d'aviser immédiatement la direction de la sécurité de l'information de votre organisation, ainsi que les corps policiers de votre État. Si vous n'avez pas d'expertise à l'interne, vous devriez alors contacter des spécialistes en cybersécurité. Il est aussi fortement recommandé de consulter un avocat. Tous ces conseils sont offerts gracieusement et sans garantie aucune, en souhaitant qu'ils puissent bénéficier au plus grand nombre. \ No newline at end of file diff --git a/chapitres/chapitre_01.md b/chapitres/chapitre_01.md index 021aed7..6e2bfe7 100644 --- a/chapitres/chapitre_01.md +++ b/chapitres/chapitre_01.md @@ -1,6 +1,6 @@ -# Attaque par rançongiciel +# Subir une attaque par rançongiciel -L'attaque par rançongiciel, c'est une prise d'otage de données personnelles. Pour ce faire, le logiciel va chiffrer les données d'un système et ensuite afficher un message demandant une rançon pour déchiffrer les données. La rançon sera habituellement exigée sous la forme de cryptomonnaie. Dans tous les cas, les autorités recommendent de ne jamais payer la rançon. +L'attaque par rançongiciel, c'est une prise d'otage de données personnelles. Pour ce faire, le logiciel va chiffrer les données d'un système et ensuite afficher un message demandant une rançon pour déchiffrer les données. La rançon sera habituellement exigée sous la forme de cryptomonnaie. Dans tous les cas, les autorités recommendent de ne jamais payer la rançon. Certaines juridictions voudraient même criminaliser le paiement de celle-ci. ## Comment éviter cette histoire d'horreur? @@ -23,11 +23,17 @@ Afin de limiter l'exposition à des données personnelles, essayez de les conser Pour avoir plus de détails sur les différentes stratégies de sauvegarde, nous vous invitons à consulter notre guide intitulé **Les 3 types de sauvegardes** publié en août 2021 à cette adresse : [https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/](https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/) -### Éviter les fichiers exécutables et les liens suspects par courriel ou sur des sites web peu recommandables +### Éviter les fichiers et liens suspects -Privilégiez, dans vos communications avec la clientèle et les entreprises, des courriels simples, en texte seulement, et évitez les pièces jointes qui peuvent contenir du contenu exécutable. +Plusieurs types de contenus peuvent être suspects, tout particulièrement les liens et les pièces jointes dans les courriels et sur les sites internet à réputation faible. -Dans tous les cas, n'ouvrez jamais de fichiers exécutables provenant d'une source externe non certifiée, même si c'est un de vos contacts. Tous les fichiers de type Office peuvent contenir du contenu exécutable, alors limitez vos pièces jointes à des fichiers de texte simple ou des fichiers PDF. +Un programme de sensibilitation aux courriels frauduleux est une bonne étape, s'il est bien fait. Les fraudeurs utilisent maintenant des techniques sophistiquées, alors les courriels factices avec des fautes d'orthographes ou un mauvais logo ne sont plus suffisants pour des fins de formation. Il faut prendre au piège le plus d'employés possibles pour avoir un impact. + +Privilégiez, dans vos communications avec la clientèle et les entreprises, des courriels simples, en texte seulement, et évitez en tout temps les pièces jointes qui peuvent contenir du contenu exécutable. + +Dans tous les cas, n'ouvrez jamais de fichiers exécutables reçus par courriel provenant d'une source externe, même si c'est un de vos contacts. + +Tous les fichiers de type Office peuvent contenir du contenu exécutable, alors limitez vos pièces jointes à des fichiers de texte simple ou des fichiers PDF. ### Valider l'authenticité et l'intégrité des fichiers exécutables téléchargés diff --git a/chapitres/chapitre_02.md b/chapitres/chapitre_02.md index e892ac0..81c3871 100644 --- a/chapitres/chapitre_02.md +++ b/chapitres/chapitre_02.md @@ -1,4 +1,4 @@ -# Corruption d'un système Linux +# La corruption d'un système Linux Un serveur Linux est un environnement où il est très important d'avoir une stabilité. Ceci s'observe notamment avec l'utilisation de distributions qui ont un cycle de développement et de test beaucoup plus long que celles qui sont utilisées pour la bureautique. @@ -6,7 +6,7 @@ Cette stabilité est souvent la conséquence de choix de versions de logiciels q Cependant, dans un environnement de production, ce comportement met à risque le bon fonctionnement de l'ensemble des applications. De plus, la modification de fichiers système peut mener à des erreurs et même à la corruption du serveur. -## Comment prévenir la corruption d'un serveur +## Comment éviter cette histoire d'horreur? Voici quelques astuces pour prévenir la corruption d'un serveur ou pour en faciliter la reprise. @@ -70,7 +70,7 @@ Sur un serveur, nous ne disposons habituellement pas d'une interface graphique. sudo timeshift --create --comments "instantané initial" --tags D --snapshot-device/dev/sda1 ``` -## Comment réparer un serveur corrompu? +## Trop tard... Quoi faire, maintenant? Une fois que le mal est fait, on peut se demander quelles sont nos options pour réparer un serveur corrompu ? Malheureusement, si nous ne nous sommes pas préparés à cette possibilité, ça peut être difficile. Voici deux options possibles, selon la situation dans laquelle on se trouve. Dans le premier cas, il est recommandé de ne pas redémarrer le système avant la réinstallation du paquetage. Dans le deuxième cas, s'il est requis de redémarrer, il faut comprendre qu'il est possible qu'il ne soit plus possible de démarrer le système si la restauration échoue. @@ -92,7 +92,7 @@ Le logiciel demandera quel instantané restaurer, puis proposera de mettre à jo Les disques d'installation des distributions Linux incluent souvent une version "live session" qui permet de démarrer sur le système désiré sans avoir à modifier son système avant de faire l'installation. Ceux-ci permettent aussi aux utilisatrices et utilisateurs expérimentés de modifier un système d'exploitation existant, en utilisant la technique du changement de racine avec l'outil `chroot`. -Voici un exemple de procédure pour effectuer une connexion `chroot` avec le système Manjaro, en utilisant le terminal, depuis un disque chiffré. Comme avec toute liste de commandes Linux, prenez le temps d'exécuter chacune des étapes une par une. +Voici un exemple de procédure pour effectuer une connexion `chroot` avec le système Manjaro, en utilisant le terminal, depuis un disque chiffré. Comme avec toute liste de commandes Linux, prenez le temps d'exécuter chacune des étapes une par une et évitez les copier-coller. ```bash # Se connecter en root diff --git a/chapitres/chapitre_03.md b/chapitres/chapitre_03.md index 8830471..77ade22 100644 --- a/chapitres/chapitre_03.md +++ b/chapitres/chapitre_03.md @@ -9,26 +9,28 @@ Les principales causes d'un vol de données sont: - L'employé malicieux qui obtient des privilèges - Le vol d'équipement informatique -## Bien définir le rôle de ses employés +## Comment éviter cette histoire d'horreur? -Le premier élément d'une bonne stratégie pour réduire le risque de vol d'une base de données confidentielles, c'est de bien définir les rôles des employés. Un rôle est généralement un ensemble de tâches nécessitant l'accès à un sous-ensemble de données. Ce modèle de gestion se nomme le Role Based Access Control, plus souvent rencontré sous l'acronyme RBAC. Il fait partie des normes de conformité financières américaines Sarbanes-Oxley. +### Bien définir le rôle de ses employés + +Le premier élément d'une bonne stratégie pour réduire le risque de vol d'une base de données confidentielles, c'est de bien définir les rôles des employés. Un rôle est généralement un ensemble de tâches nécessitant l'accès à un sous-ensemble de données. Ce modèle de gestion se nomme le Role Based Access Control, plus souvent rencontré sous l'acronyme RBAC. Il faut ici différencier l'utilisateur du rôle. L'utilisateur est l'entité qui permet l'identification et l'authentification auprès d'une système informatique. Plus communément, on parle de la paire identifiant et mot de passe. Le rôle ne possène pas de capacité d'identification et d'authentification. Cependant, il possède des permissions d'accès et d'exécution. Chaque utilisateur peut posséder un ou plusieurs rôles. Dans les meilleures pratiques, les utilisateurs n'ont qu'un seul rôle à la fois, ce qui permet d'éviter les croisements de données. -Une liste hypothétique de rôles dans une organisation pourrait être: +Une liste minimale de rôles dans une organisation pourrait être: - Conseil d'administration - Gestion - Service informatique - Comptabilité - Ressources humaines -- Service à la clientèle +- Expérience client - Approvisionnement -- Ventes et facturation +- Ventes -## Contrôler l'accès aux données +### Contrôler l'accès aux données Voici le second élément de notre stratégie. Nous allons définir, pour chacun des rôles, à quoi ils devraient avoir accès. @@ -38,9 +40,34 @@ Dans un autre scénario, nous nous intéressons aux employés du service télép Enfin, lorsque nous devons restreindre à la fois sur des enregistrement et des colonnes, il peut être utile de créer des vues, c'est-à-dire des requêtes pré-formatées aux besoins du rôle, présentées sous la forme de tables. -## Masquage et anonymisation +### Utiliser le masquage et anonymisation -- Certains employés ont besoin de voir les vraies données -- On ne veut pas tout recommencer -- Compromis entre la vie privée et la valeur de la donnée +La réalité du monde de l'entreprise, c'est qu'il n'y a pas de solution universelle. + +Parfois, certains employés ont besoin de voir les vraies données. Par exemple, les gestionnaires des ressources humaines ont parfois besoin d'accéder aux information médicales ou aux numéros d'assurance sociale des employés. + +Dans d'autres scénarios, de nombreux rapports et systèmes dérivés consomment des bases de données existantes, qui ne pourraient pas facilement être recréées avec les principes de gestion des accès que nous avons décrit ci-haut. On ne veut pas tout recommencer ! + +Un autre aspect à considérer, est que, parfois, seule une partie du champ est sensible. Les six premiers chiffres d'une carte de crédit décrivent l'émetteur de la carte, alors que les trois premiers caractères du code postal canadien identifie une ville ou un quartier. + +Dans ces situations, on aura alors recours à un procédé de masquage des données. Celui-ci permet de cacher, partiellement ou complètement, les informations contenues dans un champ. Voici quelques exemples de masquage de champs dans une base de données. + +- Une adresse courriel apparaît sous la forme suivante: `xxx@domaine.com` +- Une date de naissance est arrondie au mois près: `2000-04-00` +- Les noms de famille des employés sont substitués par des personnages de dessins animés: `François Superman` +- Un numéro de carte de crédit présente seulement les 4 derniers chiffres: `XXXX XXXX XXXX 1234` + +## Trop tard... Quoi faire, maintenant? + +Tout comme avec l'attaque par rançongiciel, si l'attaque a pu être détectée immédiatement, la première chose à faire est de limiter les accès réseau, couper l'accès à Internet et aviser les autorités publiques. + +Si l'incident a eu lieu il y a plus d'une journée, c'est vraiment trop tard pour contrer la diffusion des renseignements sur le web profond. C'est plutôt le temps de repenser sa stratégie de gestion des données et de mettre en oeuvre les conseils de ce guide immédiatement. Laissez les spécialistes en cybersécurité et la police faire le reste et collaborez avec eux. + +Le moment venu, informez le public de l'incident que vous avez vécu et des étapes que vous avez mis en place pour améliorer votre sécurité. + +## Conclusion + +Afin de trouver le bon équilibre dans l'utilisation de toutes les méthodes de prévention, il est important de considérer que c'est toujours un compromis entre la protection de la confidentialité, de la vie privée et la valeur de la donnée qui est accessible à l'utilisateur. + +La sécurité est un exercice de gestion de risques, et lorsque les incidents se produisent, il vaut toujours mieux regarder en avant et mieux se préparer pour la prochaine fois. diff --git a/chapitres/chapitre_04.md b/chapitres/chapitre_04.md index 9e7ab51..3cf50e9 100644 --- a/chapitres/chapitre_04.md +++ b/chapitres/chapitre_04.md @@ -1,11 +1,51 @@ -# Perte d'accès à une plateforme en ligne +# Perdre l'accès à sa plateforme en ligne préférée -## Panne de réseau social +Les réseaux sociaux et les plateformes logicielles en ligne sont devenues centrales dans bien des organisations. Cependant, est-ce qu'elles seront toujours là ? Google, au fil des années, a discontinué plusieurs dizaines de services en ligne. J'invite à consulter à ce sujet le site [Killed by Google](https://killedbygoogle.com/) qui en fait le recensement. À chaque mois, un logiciel-service est discontinué ou racheté. -## Bloquage du compte +Une autre possibilité, qui vise particulièrement les activistes et les personnes marginalisées, est la suppression ou le blocage des comptes de réseaux sociaux. -## Fermeture d'un service SaaS +Les algorithmes de surveillance des réseaux sociaux sont souvent activés par des groupes organisés qui veulent censurer un utilisateur. Le niveau de discernement de ces derniers pour reconnaître le bon sens est très limité, et dans certains cas, uniquement motivé par la profitabilité. Donc, votre compte peut être bloqué un peu n'importe quand pour des raisons arbitraires. -## Sauvegarde +Il arrive de plus en plus souvent que les prix de ce type de logiciel explose. Le gestionnaire de réseaux sociaux Hootsuite a augmenté ses prix de plus de 1000% tout récemment. Certains utilisateurs paient maintenant 75$ pour un forfait qui était 6$ avant juin 2021. -## Transfert avec API \ No newline at end of file +D'autre part, Microsoft 365 ont annoncé en septembre 2021 une hausse de prix de plus de 30% par utilisateur pour plusieurs de leurs services. + +Il faut alors se préparer à ces éventualités. Voici quelques conseil ! + +## Comment éviter cette histoire d'horreur? + +Voici quelques moyens pour diminuer les inconvénients si un des scénarios précédents se produisent. Malheureusement, dans ce cas-ci, il est difficile d'éviter par des actions de notre part, étant donné que ces plateformes là ne sont pas sous notre contrôle. + +### Avoir son propre site web + +Un premier geste est d'avoir un camp de base pour ses activités. Avoir son propre site web, gérer ses contenus et sa visibilité comporte de nombreux avantages. + +Tout d'abord, même si les pannes et les corruptions de serveurs sont toujours possibles, elles sont plus rares et une restauration complète du contenu est possible. Nous avons vu comment faire au second chapitre. + +Puis, avoir son propre site web permet d'avoir un point de référence pour vos clients et vos abonnés, s'ils n'utilisent pas eux mêmes les réseaux sociaux. Avec la conscientisation des risques et enjeux de ceux-ci, il faut s'attendre à ce que de plus en plus de gens les consultents de moins en moins. + +Enfin, un site web est à l'abri des manipulations par les algorithmes. Un visiteur a accès à tout le contenu de votre site, en tout temps. La seule exception, c'est si vous décidez vous-même de mettre des sections restreintes ! + +### Sauvegarder ses données de contact et ses contenus + +Les réseaux sociaux offrent des fonctionnalités pour exporter vos données de contact et une partie des contenus textuels que vous avez publiés. + +Profitez-en pour faire une copie de sauvegarde à un intervalle régulier, disons une fois par mois. Généralement, il faut attendre quelques jours pour obtenir ses données, et on reçois un lien par courriel pour récupérer l'archive. + +Tout le contenu visuel (images, vidéos) que vous avez publié peut être plus difficile à récupérer. Je vais alors recommander une autre tactique. + +Si vous créez votre contenu depuis une plateforme en ligne telle que Canva ou Adobe Spark, assurez-vous de tout télécharger sur votre ordinateur avant de publier, pour avoir une copie locale. Puis, assurez-vous d'avoir une stratégie de sauvegarde pour celui-ci. + +C'est votre matériel marketing, il est précieux et vous y avez consacré beaucoup de temps ! + +### Utiliser un lien statique pour lister ses comptes de réseaux sociaux + +Une dernière astuce pour la route ! En plus de votre site web personnel, il peut être utile d'avoir une page de liens accessible et bien référenciée. Un exemple de site qui offre cette fonctionnalité est [LinkTree](https://linktr.ee). + +## Trop tard... Quoi faire, maintenant? + +### Panne de réseau social + +### Bloquage du compte + +### Fermeture d'un service SaaS \ No newline at end of file diff --git a/chapitres/chapitre_05.md b/chapitres/chapitre_05.md index cdb318f..7546cdc 100644 --- a/chapitres/chapitre_05.md +++ b/chapitres/chapitre_05.md @@ -1 +1,5 @@ -# Une mauvaise manipulation cause la perte d'un mois de travail \ No newline at end of file +# Une mauvaise manipulation cause la perte d'un mois de travail + +## Comment éviter cette histoire d'horreur? + +## Trop tard... Quoi faire, maintenant? \ No newline at end of file