Voici une série de contrôles issus de la norme ISO/CEI 27002 de 2013, et qui touchent (quasi) exclusivement aux moyens informatiques.
Les premiers contrôles passés en revue aujourd’hui s’adressent essentiellement aux entreprises. Elles concernent les techniques permettant une exploitation correcte, contrôlée et sécurisée des ordinateurs. Cela ne veut pas dire que vous ne devez pas y faire attention chez vous pour vos propres moyens.
Procédures documentées
Ce n’est pas le contrôle le plus appliqué… hélas !
« A quoi sert d’écrire ? Le bon sens suffit ! »
Mais voilà, si vous êtes au bureau ou que vous êtes plusieurs à utiliser le même ordinateur il y a au moins une règle que tous doivent appliquer : ‘’Comment éteindre l’ordinateur.’’ Sans ça, vous risquez bien de perdre des fichiers non sauvegardés, avorter un téléchargement ou une mise à jour longue, ou planter l’ordinateur qui effectue un travail au second plan.
D’une manière générale, toutes les règles et dispositions que vous voulez voir suivies par tous les utilisateurs (employés ou membres de la famille) devraient être fixées et écrites. En effet, dire les choses n’est pas toujours efficace.
Ainsi, l’exemple ci-dessus est-il le premier de la liste. Les sauvegardes, la manipulation des informations importantes, la gestion des erreurs et des ‘incidents’ sont les suivants (et la liste n’est pas exhaustive !)
Attention : ces documents sont ‘formels’ et doivent être mis à jour régulièrement !
Gestion des changements
Tous les changements doivent suivre une procédure claire et documentée. Principalement ceux qui touchent à la configuration des ordinateurs (matériel et programmes) et ceux qui ont une influence sur le flux des informations (ralentissements, nouveaux aiguillages, nouveaux intervenants, changement de direction, etc.). Ceci concerne donc également les changements dans l’organisation et dans les processus et procédures.
Gérer les changements demande de bien définir le changement et ses objectifs, de le faire valider par la personne responsable, de planifier le changement, de vérifier que celui-ci s’est correctement déroulé et ne cause pas de dysfonctionnements ailleurs.
Il est toujours utile de prévoir un ‘retour en arrière’ pour les cas extrêmes.
Un changement mal conçu ou mal exécuté est la cause de nombreux problèmes.
Dimensionnement
« On ne fait pas passer un camion de 30 tonnes sur un pont qui n’en supporte que dix ! »
Plusieurs éléments des systèmes informatiques doivent être surveillés afin que leur capacité permette l’usage que l’on en fait : le processeur, la mémoire vive (RAM) – sinon votre ordinateur sera très lent –, le disque dur qui a besoin de d’espace pour travailler correctement, les canaux de communication (dont la connexion à l’internet) – accepteriez-vous un téléchargement qui dure des heures ?
Les mises à jour du système d’exploitation exigent souvent une capacité supérieure à celle dont vos équipements disposent… et vous imposent parfois l’achat d’un nouvel ordinateur, sauf si vous vous y prenez correctement avec un professionnel de confiance.
Plus votre système est critique, plus vous devrez faire attention à la capacité.
Séparation des environnements
« Dans un restaurant, la cuisine est bien séparée de la salle, même si elle est visible. »
En informatique, il en sera de même : on ne développe et on ne teste pas de nouveaux produits sur la machine qui nous sert tous les jours. Les risques sont très élevés de voir notre machine perdre pied et devenir inutilisable.
Ceci concerne le matériel et les applications car leur dysfonctionnement – généralement inattendu – peut détruire des données indispensables.
Faites-donc vos essais sur un équipement de réserve comme vous bricolez ‘autant que possible’ dans votre cave ou votre garage !
Ces quatre contrôles vous permettront de disposer ‘en permanence’ d’un système, informatique fiable et limitera la survenance de problèmes de sécurité.
Les contrôles que nous verrons la fois prochaine sont plus pragmatiques et vous les appliquez sûrement… quoique !
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
Google+