Hélas oui. Si vos informations fuitent ou que vous avez un intrus dans votre ordinateur, c’est de votre faute. Vous auriez dû faire plus attention.
C’est vite dit, car vous n’êtes que peu et mal informés, vous n’êtes pas vraiment sensibilisés – sauf vous qui me lisez – et vous n’êtes pas conscientisés. En conséquence vous n’êtes pas responsabilisés.
Et il est pourtant de votre responsabilité de faire attention, comme sur la route… que vous soyez à pied, à cheval, en vélo ou en voiture.
« La médecine tentera de vous guérir si vous tombez malade, mais personne d’autre que vous-même ne peut vous prendre en charge pour vous maintenir au top de votre forme et de votre énergie et minimiser vos risques de tomber malade. » Auteur inconnu
Ce conseil de prévention santé instruira aussi les adeptes du cyberespace… Vous êtes responsable de votre protection et de votre sécurité. Personne ne vous viendra en aide pour vous éviter d’être victime d’une cyber attaque.
(citation extraite de mon livre ‘Les Principes de Défense appliqués au cyberespace’)
Toute la question est là, clairement posée : il vous appartient de vous informer et de décider de ce que vous voulez protéger… et contre quoi.
Pour cela, pas besoin de connaître l’informatique ou la gestion des risques. Pas besoin de connaître les menaces qui existent et les parades qui y répondent.
Et c’est à ça que sert ce blog !!!
Les évènements redoutés
Quel événement concernant mes informations ou mes activités sur celles-ci aurait des répercutions dramatiques sur ma vie et celle de mes proches ?
On se posera la question sur des enjeux (ou impacts majeurs) comme :
- infraction légale ou délit (surtout si on peut être identifié et poursuivi)
- perte financière
- atteinte sérieuse à la réputation
- atteinte à l’intégrité d’une autre personne…
Vous pouvez vous référer à la liste dans cet article.
Exemple : La voiture percute un arbre => on n’arrive pas à destination (mission non accomplie), perte matérielle et financière, mise en danger des personnes…
- Si cette information venait à tomber entre les mains de quelqu’un qui ne doit absolument pas la connaître (je vous laisser imaginer de quoi il peut bien s’agir), quelle serait ma situation et comment réagirais-je ?
- Et si on venait voler cette information dans ma maison ?
- Et si on la trouvait sur mon ordinateur ou mon smartphone ?
- Et si c’était un de mes enfants ou mon/ma partenaire qui la trouvait ?
- Si cette information devait être modifiée sans que je le sache et qu’elle était utilisée telle quelle, quelles en seraient les conséquences ?
- Y aurait-il une différence si la modification et la suite d’une erreur de manipulation/retranscription ou d’un acte volontaire ?
- Et si la modification concernait une adresse email, une donnée-clef dans un tableur ou une macro… ?
- Pourrez-vous corriger après coup ?
- Si cette information – ou les moyens de l’exploiter –, qui vous est nécessaire voire indispensable, n’était plus là, que pourriez-vous réaliser ?
- Et si cette information était devenue définitivement introuvable (par exemple, perte du contenu de votre disque dur) ?
- Pourriez-vous extrapoler l’information au risque d’utiliser une information incorrecte ou incomplète (voir ci-dessus) ?
Scénarios Stratégiques
Il vous suffit de vous poser des questions simples :
QUI pourrait me faire du tort ?
C’est parfois nous-mêmes par manque d’attention ou de connaissance ; c’est aussi des proches curieux. N’oubliez pas les conjoints méfiants, les ex jaloux, les concurrents professionnels, les partenaires envieux…
Mais il y a également toute la faune des malhonnêtes et des malveillants, des pirates informatiques aux groupes structurés.
Pourquoi ces groupes structurés s’intéresseraient-ils à nos ordinateurs personnels ? Parce que ceux-ci sont moins protégés et que l’on peut ainsi pénétrer les systèmes de l’employeur.
POUR QUOI, que cherchent-ils à obtenir ?
C’est souvent financier, mais cela peut aussi nuire à votre réputation ou à celle de votre employeur et de son entreprise. Même si la cible est quelqu’un d’autre ou une entreprise avec laquelle notre patron est lié. Certains cherchent simplement à prendre votre place.
Bien évidemment, tous ces acteurs, malgré leurs objectifs ne possèdent pas tous la même motivation, les mêmes compétences et les mêmes moyens. Il faut en tenir compte.
Ces Scénarios Stratégiques devraient être décrits indiquant QUI (sources de risque), DANS QUELLES CIRCONSTANCES/CONDITIONS (génériques), et POUR QUOI (objectif visé)… et QUELLES CONSEQUENCES cela aurait (quel événement redouté serait réalisé).
Même si c’est hypothétique… Du moment que cela puisse devenir un Evénement Redouté.
Scénarios Opérationnels
Ensuite, il vous reviendra de tenter de voir ce qui pourrait concrétiser les Scénarios Stratégiques – les rendre réels. C’est ici que vous devriez faire appel à des professionnels…
Le risque étant la combinaison entre la vraisemblance et le niveau des conséquences. On parlera de danger quand l’un ou l’autre est suffisamment élevé.
Un truc ? Pensez comme si vous étiez celui qui vous veut du mal… et qu’il savait c que vous savez.
Les solutions ou mesures
Cette dernière étape consiste à décider ce que vous serez prêts à faire pour que ces scénarios opérationnels ne se produisent pas (on rend leur vraisemblance suffisamment faible) ou pour que leurs conséquences soient les plus minimes possibles.
C’est plus compliqué et c’est là que vous faites appel aux ‘bonnes pratiques’ que j’ai commencé à développer depuis l’an dernier et que je vais poursuivre petit à petit.
C’est aussi ici que vous pouvez me poser vos questions…
Ceci est un résumé succinct des concepts-clés de la méthode EBIOS Risk Manager, produit officiel des administrations françaises préparées par l’ANSSI et le Club EBIOS. Vous trouverez toutes les informations sur le site de l’ANSSI.
A bientôt, plus en sécurité avec vos informations…
Jean-Luc
Google+